Am Donnerstag, 23. Oktober 2003 18:44 schrieb Kristian Köhntopp:
On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se.
Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Ja, und? Du wirst gescannt - viele hundert Mal am Tag, wenn Du dasselbe Internet benutzt wie ich. Ebenso gucken sich viele hundert Leute ab Tag die Videokamerinstallation und die Sensoren der Alarmanlagen an den Scheiben Deines Ladens sowie die Dicke der Eingangstür an.
Beides sind nichtdestruktive Scans und die sind vollkommen normal und selbstverständlich nicht strafbar. Selbst wenn sie später für einen Einbruch genutzt werden, ist es der *Einbruch* der strafbar ist, nicht der /Scan/, der dem vorangeht. Der dem Einbruch vorangehende Scan kann aber zum Beweis der Schwere der Tat verwendet werden (Kein Gelegenheitsbruch, sondern ein geplantes Eindringen...). ACK. Das ist ja das, was ich sage.
Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner.
Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt.
Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen.
Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen.
Ja. Ottos Dateien sind Ottos Dateien.
Jedoch: Sind Ottos Dateien von außen ohne Paßwort zugreifbar, greifen die üblichen Hackerparagraphen nicht, denn sie sind nicht besonders gesichert. Jemand, der Ottos Rechner mit einem "Windows-R \\p37452.dip.t-online.de" browsed (oder auf eine file://p37452.dip.t-online.de/" klickt) und dann einfach so auf die Dinger zugreifen kann, muß davon ausgehen, daß Otto diese Dateien absichtlich öffentlich gemacht hat und daß dies ein legales Angebot ist.
Schließlich kann ich als Nutzer dieses Dienstes nicht wissen, ob Ottos Betriebssystem ihm erst einen Kurs verpaßt hat, der ihn bei der ersten Freigabe über Ports, die Risiken von Dienstangeboten und die Notwendigkeit von Paßworten aufgeklärt hat oder ob sein System C$ einfach so ohne Paßwort freigibt.
Da besteht überhaupt kein Unterschied zwischen einem Webserver, einem NFS-Fileshare, einem Anon-FTP-Server oder einem SMB-Gastshare.
Jedoch: Sind Ottos Dateien von außen mit Paßwort zugreifbar, ist dies eine besondere Sicherung und ein illegitimer Zugriff auf diese Daten wäre Hacking nach den einschlägigen Paragraphen. Wobei man sich darüber streiten kann, ob die Paßworte "otto", "geheim", "passwort", "*****" oder <return> als besondere Sicherung gelten können - damit verdienen Anwälte und Richter ihr Geld.
Jedoch: Betreibt Otto einen Rechner im Internet, kann man vernünftigerweise heutzutage davon ausgehen, daß Otto weiß, daß "das Internet" ein "gefährlicher Ort" ist und man bestimmte Dinge tun muß, damit man sich dort aufhalten kann. Insbesondere da Otto durch die Installation eines Virenscanners bewiesen hat, daß ihm die Existenz solcher Gefahren bewußt ist. Zum Herstellen der Minimalsicherheit gehört aber nicht nur ein Virenscanner auf dem Rechner, sondern - wie man in wirklich *jeder* PC-Zeitung nachlesen kann - auch das Einspielen von Patches des Herstellers und die Installation einer Firewall mit einer geeigneten Minimalpolicy. Man kann also billigerweise annehmen, daß Otto, wenn er das eine kennt, auch das andere weiß.
Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!). Wie meinst Du das den jetzt. Das hört sich ja wie eine Aufforderung an, in fremde Rechner einzubrechen, um diese für Attacken auf irgendwelche Unternehmen zu missbrauchen. Das wäre dann eine offene Aufforderung Straftaten zu begehen. Bitte sag, dass Du das anders meinst.
Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Du setzt vorraus, dass jeder Internet-Nutzer ein wirklicher Kenner der Materie ist. Das stimmt aber sicher nicht. Die Ursache dafür liegt schon darin, dass Otto nicht unbedingt "nicht informiert" ist, sondern oft auch falsch. Dies passiert durch oberflächliche, oder z.T. sachlich falscher Informationen in irgendwelchen Zeitschriften, wie Computer-Bild, oder auch gewöhnlicher Tageszeitungen. Das Einspielen von Patches ist schon nicht ausreichend, wenn der Hersteller Microsoft heißt, und Sicherheitslücken lieber dementiert als zu schließen. Die Patches kommen dann oft zu spät. Falsch-Informationen werden auch gezielt zur Volks-Verdummung von Betriebs-System-Herstellern herausgegeben, die ihre Produkte als "sicher" bezeichnen. XP war sicherlich sicher, als eingeführt wurde, da Virenschreiber sich erstmal auf das System einschießen mussten. Das ist ihnen jedoch sehr schnell gelungen. Auch SuSE schrieb auf eine ihrer Packungen (8.1 oder 8.2?), dass SuSE-Linux Virensicher sei. Auch wenn klar ist, dass das ebenso marketingfördernd, wie Nonsens ist, glauben viele Ottos daran, bzw. lassen sich unbewußt darauf ein. Wenn Du wirklich glaubst, dass jeder Internet-Nutzer weiß, wie die Technik im Hintergrund arbeitet, dann irrst Du glaub ich gewaltig. Befrag dazu mal ein paar Leute, die den Computer einfach nur nutzen, aber ihn nicht zum Hobby gemacht haben. CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com