Rechtliches Vorgehen gegen Nessusscan?
Hallo Leute, Gestern Abend wurde auf einem meiner Server ein Nessusscan durchgeführt. Webmin, sshd und Apache haben brav die T-Online Einwahladresse von der der Angriff ausging zwischen 19 und 20 Uhr protokolliert. Ein wirkliches Eindringen kann ich bis jetzt nicht nachweisen nur, dass gezielt Sicherheitslücken in allen nach außen offenen Serveranwendungen gesucht wurden. Kann man dagegen rechtlich vorgehen? Gruss, Marc -- FH Furtwangen: http://cn.psychology4u.de/ Linux- und Netzwerkberatung: http://www.teamberatung.org Marc Mc Guinness: http://www.mcguinness.de PGP Public Key Block: http://mcguinness.psychology4u.de/public.txt
Hi, Am Donnerstag, 23. Oktober 2003 10:29 schrieb Marc Mc Guinness:
Hallo Leute,
Gestern Abend wurde auf einem meiner Server ein Nessusscan durchgeführt. Webmin, sshd und Apache haben brav die T-Online Einwahladresse von der der Angriff ausging zwischen 19 und 20 Uhr protokolliert.
Ein wirkliches Eindringen kann ich bis jetzt nicht nachweisen nur, dass gezielt Sicherheitslücken in allen nach außen offenen Serveranwendungen gesucht wurden.
Kann man dagegen rechtlich vorgehen?
wozu der Aufwand? Passiert hier fast täglich. Würde ich nur verfolgen, wenn der "Angreifer" zu hartnäckig wird. Dann ne MAil an den abuse von t-online. Reagieren mitunter recht schnell...... Aber wie gesagt: nicht mit Kanonen auf Spatzen schießen......... Sehr schön ist auch, ihm nen Honeypott auf ner virtuellen Maschine zu bauen, und dann schauen, was er so anstellt (falls du viel Zeit hast...) ciao dieter -- registered linuxuser 199810 it's time to close windows....
Hallo Marc, * Marc schrieb am 23.10.2003:
Hallo Leute,
Gestern Abend wurde auf einem meiner Server ein Nessusscan durchgeführt. Webmin, sshd und Apache haben brav die T-Online Einwahladresse von der der Angriff ausging zwischen 19 und 20 Uhr protokolliert.
Ein wirkliches Eindringen kann ich bis jetzt nicht nachweisen nur, dass gezielt Sicherheitslücken in allen nach außen offenen Serveranwendungen gesucht wurden.
Kann man dagegen rechtlich vorgehen?
Soweit ich weiß, kann man in Deutschland gegen einen "simplen" Scan nicht rechtlich vorgehen, man kann höchstens mal auf den Busch klopfen. Und er kann sich ja noch darauf berufen, dass er sich "vertippt" hat. Grüße, Tom
Am Don, 23 Okt 2003, schrieb Marc Mc Guinness:
Hallo Leute,
Gestern Abend wurde auf einem meiner Server ein Nessusscan durchgeführt. Webmin, sshd und Apache haben brav die T-Online Einwahladresse von der der Angriff ausging zwischen 19 und 20 Uhr protokolliert.
Ein wirkliches Eindringen kann ich bis jetzt nicht nachweisen nur, dass gezielt Sicherheitslücken in allen nach außen offenen Serveranwendungen gesucht wurden.
Kann man dagegen rechtlich vorgehen?
Der Scan an sich wird ja noch nichts verbotenes sein. Wenn da tatsächlich Sicherheitslücken sind wie z.B. ein durch Samba offener port 139 und irgendwelche NetBios-Freigaben dahinter, dann ist auch noch die Frage, in wie fern es etwas Verbotenes ist, auf diese Freigaben zuzugreifen. Immerhin sind es "Freigaben", d.h. wenn das System ordentlich administriert ist, ist diese Zugriffsmöglichkeit bekannt und auch absichtlich vorhanden. Wenn ich irgendwelches privates Zeug öffentlich zugänglich mache, dann macht sich derjenige, der das dann liest wohl nicht strafbar. cu Hannes
Hallo Hannes Am Donnerstag, 23. Oktober 2003 13:23 schrieb Hannes Vogelmann:
Am Don, 23 Okt 2003, schrieb Marc Mc Guinness:
Hallo Leute,
Gestern Abend wurde auf einem meiner Server ein Nessusscan durchgeführt. Webmin, sshd und Apache haben brav die T-Online Einwahladresse von der der Angriff ausging zwischen 19 und 20 Uhr protokolliert.
Ein wirkliches Eindringen kann ich bis jetzt nicht nachweisen nur, dass gezielt Sicherheitslücken in allen nach außen offenen Serveranwendungen gesucht wurden.
Kann man dagegen rechtlich vorgehen?
Der Scan an sich wird ja noch nichts verbotenes sein. Wenn da tatsächlich Sicherheitslücken sind wie z.B. ein durch Samba offener port 139 und irgendwelche NetBios-Freigaben dahinter, dann ist auch noch die Frage, in wie fern es etwas Verbotenes ist, auf diese Freigaben zuzugreifen. Immerhin sind es "Freigaben", d.h. wenn das System ordentlich administriert ist, ist diese Zugriffsmöglichkeit bekannt und auch absichtlich vorhanden. Wenn ich irgendwelches privates Zeug öffentlich zugänglich mache, dann macht sich derjenige, der das dann liest wohl nicht strafbar.
Das sehe ich aber ganz anders. Mein Rechtsempfinden sagt mir hier, dass es sehr wohl strafbar sein sollte, wenn jemand gezielt Sicherheitslücken nutzt, um daten auszuspionieren und/oder zu zerstören. Wenn ich im Sommer bei 35°C meine Balkontür über Nacht offen lasse, dann riskiere ich natürlich, dass plötzlich eine fremde Frau in meinem Schlafzimmer auftaucht, dennoch macht sich jeder strafbar, der die Wohnung ohne Erlaubnis betritt. Außerdem kann hier wohl nicht von Veröffentlichung gesprochen werden, wenn der Angreifer an die Daten nur durch Ausnutzen von Sicherheitslücken kommt. Selbst dann nicht, wenn der Server nicht ordentlich administriert ist, wie Du schreibst. Sicherlich muss der Admin sich in einem solchen Fall sagen lassen, dass er selbst schuld hat, etwa so, als wenn jemand seine Wohnungstür über Nacht nicht abschließt, aber dennoch hat niemand das Recht die Wohnung auszuräumen. Außerdem kommt es auch vor, dass in einem "ordentlich" administrierten System Sicherheitslücken existieren. Manchmal sind die Cracker eben schneller als BugTraq & Co. Ich will jetzt hier keinen Megathread zu dem Thema anfangen, aber man sollte das nicht zu leicht nehmen. CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
On Thu, 23 Oct 2003 13:31:51 +0200 Thorsten Körner <thorstenkoerner@123tkshop.org> wrote:
schuld hat, etwa so, als wenn jemand seine Wohnungstür über Nacht nicht abschließt, aber dennoch hat niemand das Recht die Wohnung auszuräumen.
Du müsstest dich schon gut begründen, wenn deine Versicherung den Schaden ersetzen soll der entstanden ist weil jemand etwas entwendet hat bei deienr offen gelassenen Wohnungstür. Im Normalfall machen die Versicherungen dies auch nicht.
On Thursday 23 October 2003 14:09, Frank Wehrsenger wrote:
Du müsstest dich schon gut begründen, wenn deine Versicherung den Schaden ersetzen soll der entstanden ist weil jemand etwas entwendet hat bei deienr offen gelassenen Wohnungstür. Im Normalfall machen die Versicherungen dies auch nicht.
Analogien greifen hier nicht. Die in diesem Fall einschlägigen (Hacker-)Paragraphen reden in der Regel von "besonders gesichert". Das ist bei einem offenen Export ohne Paßwort schlicht nicht der Fall, damit ist der Straftatbestand nicht erfüllt. An anderen Stellen wird bei Schutzmechanismen sogar "geeignet" und im Datenschutzrecht sogar teilweise "Stand der Technik" gefordert, das geht noch weiter. Kristian
Hallo Kristian Am Donnerstag, 23. Oktober 2003 15:07 schrieb Kristian Köhntopp:
On Thursday 23 October 2003 14:09, Frank Wehrsenger wrote:
Du müsstest dich schon gut begründen, wenn deine Versicherung den Schaden ersetzen soll der entstanden ist weil jemand etwas entwendet hat bei deienr offen gelassenen Wohnungstür. Im Normalfall machen die Versicherungen dies auch nicht.
Analogien greifen hier nicht.
Die in diesem Fall einschlägigen (Hacker-)Paragraphen reden in der Regel von "besonders gesichert". Das ist bei einem offenen Export ohne Paßwort schlicht nicht der Fall, damit ist der Straftatbestand nicht erfüllt. An anderen Stellen wird bei Schutzmechanismen sogar "geeignet" und im Datenschutzrecht sogar teilweise "Stand der Technik" gefordert, das geht noch weiter.
Ich würde nicht von "offenem Export ohne Paßwort" sprechen in so einem Fall. Wir reden ja davon, dass der Zugriff über eine Sicherheitslücke in irgendeiner Software stattfindet. Wenn jemand gezielt nach solchen Lücken sucht und dann zuschlägt, wenn er eine findet, dann ist es mit Sicherheit strafbar, weil der Täter ja nicht nach frei zugänglichen Informationen gesucht hat, sondern nach (wenn auch durch Sicherheits-Lücken in der Software fehlerhaft) geschützten Daten. CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
On Thursday 23 October 2003 15:40, Thorsten Körner wrote:
Ich würde nicht von "offenem Export ohne Paßwort" sprechen in so einem Fall. Wir reden ja davon, dass der Zugriff über eine Sicherheitslücke in irgendeiner Software stattfindet.
Nessus scannt per default nicht-destruktiv, d.h. es findet eine potentielle Sicherheitslücke (etwa durch Analyse der Banner eines Servers), nutzt diese aber nicht aus. Das ist kein Angriff und klar nicht strafbar (IANAL). Schaltet man destruktive Scans an, versucht nessus die Existenz der Sicherheitslücke zu bestätigen, indem es möglichst unschädlichen Exploit-Code ausführt. Hier wird die Sicherheitslücke ausgenutzt, jedoch nicht mit der Absicht einzubrechen, sondern lediglich ihre Existenz zu bestätigen. Dabei kann es jedoch zu schadbringenden Seiteneffekten kommen (Absturz des betroffenen Dienstes, damit verbundene Folgeschäden und Verdienstausfälle). Dies ist mehr oder weniger weit in der Grauzone (teilweise, je nach Folgen, eher weit drin), und bei Verdienstausfällen mindestens zivilrechtlich verfolgbar (again IANAL). Wenn dem Betreiber des angreifbaren Dienstes jedoch besondere Verpflichtungen auferlegt sind, die die Qualität, Verfügbarkeit oder Sicherheit des Dienstes betreffen (Datenschutzgesetz, Bankengesetz, Verschwiegenheitspflichten), dann hat der Betreiber des angreifbaren Dienstes ebenfalls ein Problem, so ihm mit dem Scan eine Angreifbarkeit nachgewiesen wird oder der Scan alleine schon zu Ausfällen führt (Nessus ist ein Standardtool, mithin Stand der Technik, und ein Dienstanbieter, dem besondere Verpflichtungen auferlegt sind, muß mit einem Nessus-Scan rechnen und darf durch einen solchen Scan keine Ausfälle haben).
Wenn jemand gezielt nach solchen Lücken sucht und dann zuschlägt, wenn er eine findet, dann ist es mit Sicherheit strafbar, weil der Täter ja nicht nach frei zugänglichen Informationen gesucht hat, sondern nach (wenn auch durch Sicherheits-Lücken in der Software fehlerhaft) geschützten Daten.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se. Wenn Du schon eine Wohnungstür-Analogie haben willst: Jemand der an Deiner Klinke rüttelt bricht nicht ein (Nichtdestruktiver Scan). Jemand, der Deine offenstehende Tür aufmacht und einen Schritt in Deine Wohnung macht, bricht auch noch nicht ein - er könnte immer noch Nachbar sein oder "Hallo, ist jemand da?" rufen (Nichtdestruktiver Scan, mit anschließender Information des Servereigners). Jemand, der Deine offenstehende Tür aufmacht und anfängt, Deine Schränke auszuräumen bricht ein (Angriff folgt auf den Scan) und Deine Hausratversicherung zahlt nicht, weil Du der Verpflichtung zum Abschließen nicht nachgekommen bist (Besondere Verpflichtungen zum Betrieb des Servers wurden nicht eingehalten und der Serverbetreiber hat ein Problem). Die Analogie ist in jedem Fall falsch, weil vollkommen andere Gesetze gelten. Kristian
Hallo Kristian Am Donnerstag, 23. Oktober 2003 16:26 schrieb Kristian Köhntopp:
On Thursday 23 October 2003 15:40, Thorsten Körner wrote:
Ich würde nicht von "offenem Export ohne Paßwort" sprechen in so einem Fall. Wir reden ja davon, dass der Zugriff über eine Sicherheitslücke in irgendeiner Software stattfindet.
Nessus scannt per default nicht-destruktiv, d.h. es findet eine potentielle Sicherheitslücke (etwa durch Analyse der Banner eines Servers), nutzt diese aber nicht aus. Das ist kein Angriff und klar nicht strafbar (IANAL).
Schaltet man destruktive Scans an, versucht nessus die Existenz der Sicherheitslücke zu bestätigen, indem es möglichst unschädlichen Exploit-Code ausführt. Hier wird die Sicherheitslücke ausgenutzt, jedoch nicht mit der Absicht einzubrechen, sondern lediglich ihre Existenz zu bestätigen. Dabei kann es jedoch zu schadbringenden Seiteneffekten kommen (Absturz des betroffenen Dienstes, damit verbundene Folgeschäden und Verdienstausfälle). Dies ist mehr oder weniger weit in der Grauzone (teilweise, je nach Folgen, eher weit drin), und bei Verdienstausfällen mindestens zivilrechtlich verfolgbar (again IANAL).
Wenn dem Betreiber des angreifbaren Dienstes jedoch besondere Verpflichtungen auferlegt sind, die die Qualität, Verfügbarkeit oder Sicherheit des Dienstes betreffen (Datenschutzgesetz, Bankengesetz, Verschwiegenheitspflichten), dann hat der Betreiber des angreifbaren Dienstes ebenfalls ein Problem, so ihm mit dem Scan eine Angreifbarkeit nachgewiesen wird oder der Scan alleine schon zu Ausfällen führt (Nessus ist ein Standardtool, mithin Stand der Technik, und ein Dienstanbieter, dem besondere Verpflichtungen auferlegt sind, muß mit einem Nessus-Scan rechnen und darf durch einen solchen Scan keine Ausfälle haben). ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht. Und genau darum geht es mir doch. Es besteht ja kein Zweifel darüber, dass jeder für die Sicherheit seiner Daten selbst verantwortlich ist, aber aus einer Sicherheitslücke, die wie gesagt auch mal nicht auf bugtraq oder sonstwo bekannt ist, darf niemand legal Kapital schlagen, indem er sie für seine Zwecke missbraucht. Ein Ladengeschäft ist ein öffentlich zugänglicher Bereich. Wenn der Ladenbesitzer abends nach Feierabend vergisst, seinen Laden zu verschließen, ist er dafür selbst verantwortlich. Betritt um Mitternacht jemand den Laden, so könnte er sagen "ich dachte der Laden hätte geöffnet", und mag man's ihm glauben oder nicht, er wird sich damit noch nicht strafbar gemacht haben. Das gibt ihm aber nicht das Recht, Waren aus dem Laden zu entnehmen und zu sagen "Ich dachte es wäre umsonst, weil kein Kassierer da war." Der Vergleich mit dem Scan nach Sicherheitslücken, ist aber in etwa so, als ob jemand nachts um den Laden schleicht, um nach einer Stelle zu suchen, durch die er in den Laden gelangen kann. Findet er etwa ein offenes Kellerfenster im Hinterhof und geht durch eben dieses in den Laden, dann ist er ein Einbrecher, auch dann, wenn der Ladenbesitzer dafür verantwortlich ist, die Fenster verschlossen zu halten.
Wenn jemand gezielt nach solchen Lücken sucht und dann zuschlägt, wenn er eine findet, dann ist es mit Sicherheit strafbar, weil der Täter ja nicht nach frei zugänglichen Informationen gesucht hat, sondern nach (wenn auch durch Sicherheits-Lücken in der Software fehlerhaft) geschützten Daten.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se. Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Wenn Du schon eine Wohnungstür-Analogie haben willst: Jemand der an Deiner Klinke rüttelt bricht nicht ein (Nichtdestruktiver Scan). Jemand, der Deine offenstehende Tür aufmacht und einen Schritt in Deine Wohnung macht, bricht auch noch nicht ein - er könnte immer noch Nachbar sein oder "Hallo, ist jemand da?" rufen (Nichtdestruktiver Scan, mit anschließender Information des Servereigners). Jemand, der Deine offenstehende Tür aufmacht und anfängt, Deine Schränke auszuräumen bricht ein (Angriff folgt auf den Scan) und Deine Hausratversicherung zahlt nicht, weil Du der Verpflichtung zum Abschließen nicht nachgekommen bist (Besondere Verpflichtungen zum Betrieb des Servers wurden nicht eingehalten und der Serverbetreiber hat ein Problem). Wie gesagt es ist völlig klar, dass jeder, der die Tür offen stehen lässt, fahrlässig handelt, und für Schäden selbst verantwortlich ist. Ebenso klar ist aber auch, dass der Einbrecher eine strafbare Handlung begeht, gegen die man gerichtlich vorgehen kann.
Gehen wir aber mal nicht von einem Unternehmens-Netzwerk aus, sondern von "Otto Normalverbraucher". Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner. Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt. Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen. Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen. Jeder der so argumentiert, wird als nächstes sagen, es ist legeal all diese Daten zu verändern oder zu löschen, weil sie keinen Schreibschutz hatten. Die Verwendung von Windows98 oder ME wäre noch viel schlimmer, weil diese keine Brechtigungen kennen. So könnte man argumentieren, weil Otto Windows98 verwendet, dachte ich ich darf all seine Daten löschen. Das kann es ja wohl nicht sein.
Die Analogie ist in jedem Fall falsch, weil vollkommen andere Gesetze gelten.
So völlig anders können sie nicht sein, sonst sind sie eine Farce und kein Gesetz. CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se.
Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Ja, und? Du wirst gescannt - viele hundert Mal am Tag, wenn Du dasselbe Internet benutzt wie ich. Ebenso gucken sich viele hundert Leute ab Tag die Videokamerinstallation und die Sensoren der Alarmanlagen an den Scheiben Deines Ladens sowie die Dicke der Eingangstür an. Beides sind nichtdestruktive Scans und die sind vollkommen normal und selbstverständlich nicht strafbar. Selbst wenn sie später für einen Einbruch genutzt werden, ist es der *Einbruch* der strafbar ist, nicht der /Scan/, der dem vorangeht. Der dem Einbruch vorangehende Scan kann aber zum Beweis der Schwere der Tat verwendet werden (Kein Gelegenheitsbruch, sondern ein geplantes Eindringen...).
Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner.
Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt.
Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen.
Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen.
Ja. Ottos Dateien sind Ottos Dateien. Jedoch: Sind Ottos Dateien von außen ohne Paßwort zugreifbar, greifen die üblichen Hackerparagraphen nicht, denn sie sind nicht besonders gesichert. Jemand, der Ottos Rechner mit einem "Windows-R \\p37452.dip.t-online.de" browsed (oder auf eine file://p37452.dip.t-online.de/" klickt) und dann einfach so auf die Dinger zugreifen kann, muß davon ausgehen, daß Otto diese Dateien absichtlich öffentlich gemacht hat und daß dies ein legales Angebot ist. Schließlich kann ich als Nutzer dieses Dienstes nicht wissen, ob Ottos Betriebssystem ihm erst einen Kurs verpaßt hat, der ihn bei der ersten Freigabe über Ports, die Risiken von Dienstangeboten und die Notwendigkeit von Paßworten aufgeklärt hat oder ob sein System C$ einfach so ohne Paßwort freigibt. Da besteht überhaupt kein Unterschied zwischen einem Webserver, einem NFS-Fileshare, einem Anon-FTP-Server oder einem SMB-Gastshare. Jedoch: Sind Ottos Dateien von außen mit Paßwort zugreifbar, ist dies eine besondere Sicherung und ein illegitimer Zugriff auf diese Daten wäre Hacking nach den einschlägigen Paragraphen. Wobei man sich darüber streiten kann, ob die Paßworte "otto", "geheim", "passwort", "*****" oder <return> als besondere Sicherung gelten können - damit verdienen Anwälte und Richter ihr Geld. Jedoch: Betreibt Otto einen Rechner im Internet, kann man vernünftigerweise heutzutage davon ausgehen, daß Otto weiß, daß "das Internet" ein "gefährlicher Ort" ist und man bestimmte Dinge tun muß, damit man sich dort aufhalten kann. Insbesondere da Otto durch die Installation eines Virenscanners bewiesen hat, daß ihm die Existenz solcher Gefahren bewußt ist. Zum Herstellen der Minimalsicherheit gehört aber nicht nur ein Virenscanner auf dem Rechner, sondern - wie man in wirklich *jeder* PC-Zeitung nachlesen kann - auch das Einspielen von Patches des Herstellers und die Installation einer Firewall mit einer geeigneten Minimalpolicy. Man kann also billigerweise annehmen, daß Otto, wenn er das eine kennt, auch das andere weiß. Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!). Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Die Verwendung von Windows98 oder ME wäre noch viel schlimmer, weil diese keine Brechtigungen kennen. So könnte man argumentieren, weil Otto Windows98 verwendet, dachte ich ich darf all seine Daten löschen. Das kann es ja wohl nicht sein.
Jedoch: Stellt ein Hersteller Programme (auch Betriebssysteme) so her, daß sie Daten defaultmäßig ohne Paßwort weltweit ins Netz exportieren, ohne daß Otto vorher die bewußte Entscheidung getroffen hat (eine einwilligende Handlung die mindestens den Level hat wie die einwilligende Handlung, mit der Otto den EULA zugestimmt hat) dies zu tun, kann man sich überlegen, ob man den Hersteller des Programmes dafür am Arsch bekommt. Von außen kann ich jedenfalls nicht erkennen, ob Windows verwendet wird, und ob das Fehlen von Zugriffsbeschränkungen ein Ausdruck der Öffentlichkeit der Daten oder ein Defizit in der verwendeten Software ist.
Die Analogie ist in jedem Fall falsch, weil vollkommen andere Gesetze gelten.
So völlig anders können sie nicht sein, sonst sind sie eine Farce und kein Gesetz.
Dann lies aktuelle Urheberrechts-Gesetze, die Werke von Autoren unterschiedlich behandeln, je nachdem ob es sich um Texte, Filme oder Musikstücke handelt. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
Am Donnerstag, 23. Oktober 2003 18:44 schrieb Kristian Köhntopp:
On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se.
Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Ja, und? Du wirst gescannt - viele hundert Mal am Tag, wenn Du dasselbe Internet benutzt wie ich. Ebenso gucken sich viele hundert Leute ab Tag die Videokamerinstallation und die Sensoren der Alarmanlagen an den Scheiben Deines Ladens sowie die Dicke der Eingangstür an.
Beides sind nichtdestruktive Scans und die sind vollkommen normal und selbstverständlich nicht strafbar. Selbst wenn sie später für einen Einbruch genutzt werden, ist es der *Einbruch* der strafbar ist, nicht der /Scan/, der dem vorangeht. Der dem Einbruch vorangehende Scan kann aber zum Beweis der Schwere der Tat verwendet werden (Kein Gelegenheitsbruch, sondern ein geplantes Eindringen...). ACK. Das ist ja das, was ich sage.
Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner.
Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt.
Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen.
Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen.
Ja. Ottos Dateien sind Ottos Dateien.
Jedoch: Sind Ottos Dateien von außen ohne Paßwort zugreifbar, greifen die üblichen Hackerparagraphen nicht, denn sie sind nicht besonders gesichert. Jemand, der Ottos Rechner mit einem "Windows-R \\p37452.dip.t-online.de" browsed (oder auf eine file://p37452.dip.t-online.de/" klickt) und dann einfach so auf die Dinger zugreifen kann, muß davon ausgehen, daß Otto diese Dateien absichtlich öffentlich gemacht hat und daß dies ein legales Angebot ist.
Schließlich kann ich als Nutzer dieses Dienstes nicht wissen, ob Ottos Betriebssystem ihm erst einen Kurs verpaßt hat, der ihn bei der ersten Freigabe über Ports, die Risiken von Dienstangeboten und die Notwendigkeit von Paßworten aufgeklärt hat oder ob sein System C$ einfach so ohne Paßwort freigibt.
Da besteht überhaupt kein Unterschied zwischen einem Webserver, einem NFS-Fileshare, einem Anon-FTP-Server oder einem SMB-Gastshare.
Jedoch: Sind Ottos Dateien von außen mit Paßwort zugreifbar, ist dies eine besondere Sicherung und ein illegitimer Zugriff auf diese Daten wäre Hacking nach den einschlägigen Paragraphen. Wobei man sich darüber streiten kann, ob die Paßworte "otto", "geheim", "passwort", "*****" oder <return> als besondere Sicherung gelten können - damit verdienen Anwälte und Richter ihr Geld.
Jedoch: Betreibt Otto einen Rechner im Internet, kann man vernünftigerweise heutzutage davon ausgehen, daß Otto weiß, daß "das Internet" ein "gefährlicher Ort" ist und man bestimmte Dinge tun muß, damit man sich dort aufhalten kann. Insbesondere da Otto durch die Installation eines Virenscanners bewiesen hat, daß ihm die Existenz solcher Gefahren bewußt ist. Zum Herstellen der Minimalsicherheit gehört aber nicht nur ein Virenscanner auf dem Rechner, sondern - wie man in wirklich *jeder* PC-Zeitung nachlesen kann - auch das Einspielen von Patches des Herstellers und die Installation einer Firewall mit einer geeigneten Minimalpolicy. Man kann also billigerweise annehmen, daß Otto, wenn er das eine kennt, auch das andere weiß.
Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!). Wie meinst Du das den jetzt. Das hört sich ja wie eine Aufforderung an, in fremde Rechner einzubrechen, um diese für Attacken auf irgendwelche Unternehmen zu missbrauchen. Das wäre dann eine offene Aufforderung Straftaten zu begehen. Bitte sag, dass Du das anders meinst.
Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Du setzt vorraus, dass jeder Internet-Nutzer ein wirklicher Kenner der Materie ist. Das stimmt aber sicher nicht. Die Ursache dafür liegt schon darin, dass Otto nicht unbedingt "nicht informiert" ist, sondern oft auch falsch. Dies passiert durch oberflächliche, oder z.T. sachlich falscher Informationen in irgendwelchen Zeitschriften, wie Computer-Bild, oder auch gewöhnlicher Tageszeitungen. Das Einspielen von Patches ist schon nicht ausreichend, wenn der Hersteller Microsoft heißt, und Sicherheitslücken lieber dementiert als zu schließen. Die Patches kommen dann oft zu spät. Falsch-Informationen werden auch gezielt zur Volks-Verdummung von Betriebs-System-Herstellern herausgegeben, die ihre Produkte als "sicher" bezeichnen. XP war sicherlich sicher, als eingeführt wurde, da Virenschreiber sich erstmal auf das System einschießen mussten. Das ist ihnen jedoch sehr schnell gelungen. Auch SuSE schrieb auf eine ihrer Packungen (8.1 oder 8.2?), dass SuSE-Linux Virensicher sei. Auch wenn klar ist, dass das ebenso marketingfördernd, wie Nonsens ist, glauben viele Ottos daran, bzw. lassen sich unbewußt darauf ein. Wenn Du wirklich glaubst, dass jeder Internet-Nutzer weiß, wie die Technik im Hintergrund arbeitet, dann irrst Du glaub ich gewaltig. Befrag dazu mal ein paar Leute, die den Computer einfach nur nutzen, aber ihn nicht zum Hobby gemacht haben. CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
Thorsten Körner am Donnerstag, 23. Oktober 2003 20:15:
Am Donnerstag, 23. Oktober 2003 18:44 schrieb Kristian Köhntopp:
[...] Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Du setzt vorraus, dass jeder Internet-Nutzer ein wirklicher Kenner der Materie ist. Das stimmt aber sicher nicht. Die Ursache dafür liegt schon darin, dass Otto nicht unbedingt "nicht informiert" ist, sondern oft auch falsch. Dies passiert durch oberflächliche, oder z.T. sachlich falscher Informationen in irgendwelchen Zeitschriften, wie Computer-Bild, oder auch gewöhnlicher Tageszeitungen.
Ja, aber jeder, der Auto fährt, muss sich da auch ein wenig in den grundlegenden Sicherheitsgrundlagen auskennen.
Das Einspielen von Patches ist schon nicht ausreichend, wenn der Hersteller Microsoft heißt, und Sicherheitslücken lieber dementiert als zu schließen. Die Patches kommen dann oft zu spät. Falsch-Informationen werden auch gezielt zur Volks-Verdummung von Betriebs-System-Herstellern herausgegeben, die ihre Produkte als "sicher" bezeichnen. XP war sicherlich sicher, als eingeführt wurde, da Virenschreiber sich erstmal auf das System einschießen mussten. Das ist ihnen jedoch sehr schnell gelungen. Auch SuSE schrieb auf eine ihrer Packungen (8.1 oder 8.2?), dass SuSE-Linux Virensicher sei. Auch wenn klar ist, dass das ebenso marketingfördernd, wie Nonsens ist, glauben viele Ottos daran, bzw. lassen sich unbewußt darauf ein.
Hm, wer als Autofahrer glaubt, in einem Auto, das als "sicherstes seiner Klasse" gilt, eine Garantie gegen Unfälle, Verletzungen oder gar den Tod zu haben, dem sollte sofort der Lappen wieder abgenommen werden. Zum Glück glaubt das kaum einer.
Wenn Du wirklich glaubst, dass jeder Internet-Nutzer weiß, wie die Technik im Hintergrund arbeitet, dann irrst Du glaub ich gewaltig. Befrag dazu mal ein paar Leute, die den Computer einfach nur nutzen, aber ihn nicht zum Hobby gemacht haben.
Ja, die sogenannten Sonntagsfahrer. Aber auch die brauchen einen Führerschein und müssen die Verkehrsregeln kennen und einhalten. -- Gruß MaxX 8-)
On Thursday 23 October 2003 20:15, Thorsten Körner wrote:
Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!).
Wie meinst Du das den jetzt.
Genau so wie ich das sage: Wer seinen Computer ungepatched und ohne Virenschutz und Firewall ins Internet stellt, und dieser Rechner wird dann als Hilfsmittel in weiteren Angriffen, als Spamschleuder oder Warez-Depot verwendet, der handelt grob fahrlässig, und ist an dem dadurch angerichteten Schaden mit Schuld. Ich bin der Meinung, daß diese Argumentation viel zu wenig angewendet wird, und es ist meine Überzeugung, daß sich die Rechnersicherheit weltweit deutlich verbesser würde, wenn dem nicht so wäre.
Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Du setzt vorraus, dass jeder Internet-Nutzer ein wirklicher Kenner der Materie ist.
Nein, ich fordere, daß sich jeder Internet-Nutzer eine Minimalausbildung abholen muß (bzw solche Kenntnisse nachweisen muß), bevor man ihn ins Internet läßt. Du darfst ja auch nicht einfach so ins Auto springen und losfahren.
Das Einspielen von Patches ist schon nicht ausreichend, wenn der Hersteller Microsoft heißt, und Sicherheitslücken lieber dementiert als zu schließen. Die Patches kommen dann oft zu spät.
Das ist juristisch egal. Wenn die Kiste auf Stand re den Microsoft Patchserver ist und dennoch als Sicherheitslücken ausnutzbare Programmierfehler vorhanden sind, dann kann man sich überlegen, wie man den Hersteller dafür drankriegt, aber das ist anderes Problem. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
On Thursday 23 October 2003 20:15, Thorsten Körner wrote:
Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!).
Wie meinst Du das den jetzt.
Genau so wie ich das sage: Wer seinen Computer ungepatched und ohne Virenschutz und Firewall ins Internet stellt, und dieser Rechner wird dann als Hilfsmittel in weiteren Angriffen, als Spamschleuder oder Warez-Depot verwendet, der handelt grob fahrlässig, und ist an dem dadurch angerichteten Schaden mit Schuld. Ich bin der Meinung, daß diese Argumentation viel zu wenig angewendet wird, und es ist meine Überzeugung, daß sich die Rechnersicherheit weltweit deutlich verbesser würde, wenn dem nicht so wäre. Das klang eher so, als wenn Du sagen würdest, dass viel zu wenig auf gehackte Rechner zugegrifenn wird, um damit andere Rechner zu attackieren, deshalb meine Entrüstung. Dass der Nutzer selber mit Schuld am Schaden hat, bezweifelt doch niemand hier im Thread. Weder ich, noch sonst wer. Sicher würde auch die Zahl der Wohnungs-Einbrüche deutlich zurückgehen, weder jeder seine Tür mit einer enstprechenden Vorrichtung sichert und eine Alarmanlage installiert. Genauso sicher handelt jeder grob Fahrlässig, der nicht einmal ein gewöhnliches Sicherheits-Schloß an der Tür hat. Wenn nun Einbrecher in Abwesenheit des Mieters in die Wohnung eindringen, um von dort aus in die benachbarte Bank einzudringen,
Am Samstag, 25. Oktober 2003 16:34 schrieb Kristian Köhntopp: liegt die Verantwortung dafür trotzdem bei den Einbrechern.
Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Du setzt vorraus, dass jeder Internet-Nutzer ein wirklicher Kenner der Materie ist.
Nein, ich fordere, daß sich jeder Internet-Nutzer eine Minimalausbildung abholen muß (bzw solche Kenntnisse nachweisen muß), bevor man ihn ins Internet läßt. Du darfst ja auch nicht einfach so ins Auto springen und losfahren.
Nette Vorstellung. Wäre ich auch dafür. Ist aber doch wohl eher utopisch.
Das Einspielen von Patches ist schon nicht ausreichend, wenn der Hersteller Microsoft heißt, und Sicherheitslücken lieber dementiert als zu schließen. Die Patches kommen dann oft zu spät.
Das ist juristisch egal. Wenn die Kiste auf Stand re den Microsoft Patchserver ist und dennoch als Sicherheitslücken ausnutzbare Programmierfehler vorhanden sind, dann kann man sich überlegen, wie man den Hersteller dafür drankriegt, aber das ist anderes Problem.
Da wird man wohl sehr lange überlegen sollen, bevor man sein Geld vor Gericht verbrennt. Ich finde aber, jetzt sollte dieser, doch eher müßige Thread endgültig beendet werden, ich wollte ja eigentlich so eine Endlos-Diskussion vermeiden, da diese eh nie zu einem Ergebnis führen. CU Thorsten P.S. Bitte keine P.M. Mail an Liste reicht. EOT -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
Kristian Köhntopp am Donnerstag, 23. Oktober 2003 18:44:
On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se.
Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Ja, und? Du wirst gescannt - viele hundert Mal am Tag, wenn Du dasselbe Internet benutzt wie ich. Ebenso gucken sich viele hundert Leute ab Tag die Videokamerinstallation und die Sensoren der Alarmanlagen an den Scheiben Deines Ladens sowie die Dicke der Eingangstür an.
Genau, es gibt einem höchsten Auskunft darüber, hier ggf. etwas wachsamer zu sein, wenn man die Beobachtung beobachtet.
Beides sind nichtdestruktive Scans und die sind vollkommen normal und selbstverständlich nicht strafbar. Selbst wenn sie später für einen Einbruch genutzt werden, ist es der *Einbruch* der strafbar ist, nicht der /Scan/, der dem vorangeht. Der dem Einbruch vorangehende Scan kann aber zum Beweis der Schwere der Tat verwendet werden (Kein Gelegenheitsbruch, sondern ein geplantes Eindringen...).
Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner.
Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt.
Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen.
Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen.
Ja. Ottos Dateien sind Ottos Dateien.
Jedoch: Sind Ottos Dateien von außen ohne Paßwort zugreifbar, greifen die üblichen Hackerparagraphen nicht, denn sie sind nicht besonders gesichert. Jemand, der Ottos Rechner mit einem "Windows-R \\p37452.dip.t-online.de" browsed (oder auf eine file://p37452.dip.t-online.de/" klickt) und dann einfach so auf die Dinger zugreifen kann, muß davon ausgehen, daß Otto diese Dateien absichtlich öffentlich gemacht hat und daß dies ein legales Angebot ist.
Genau, siehe auch meine andere Mail. Offen bleibt, wie weit "besonders gesichert" zu fassen ist. Aber auf jeden Fall sind Daten nicht dadurch besonders gegen fremden Zugriff gesichert, dass sie nur in digitaler Form gespeichert vorliegen ;-)
Schließlich kann ich als Nutzer dieses Dienstes nicht wissen, ob Ottos Betriebssystem ihm erst einen Kurs verpaßt hat, der ihn bei der ersten Freigabe über Ports, die Risiken von Dienstangeboten und die Notwendigkeit von Paßworten aufgeklärt hat oder ob sein System C$ einfach so ohne Paßwort freigibt.
Nein! Gibt es wirklich Systeme, die das einfach so machen? Kann doch wohl nicht wahr sein! Und so was darf man frei verkaufen?
Da besteht überhaupt kein Unterschied zwischen einem Webserver, einem NFS-Fileshare, einem Anon-FTP-Server oder einem SMB-Gastshare.
Jedoch: Sind Ottos Dateien von außen mit Paßwort zugreifbar, ist dies eine besondere Sicherung und ein illegitimer Zugriff auf diese Daten wäre Hacking nach den einschlägigen Paragraphen. Wobei man sich darüber streiten kann, ob die Paßworte "otto", "geheim", "passwort", "*****" oder <return> als besondere Sicherung gelten können - damit verdienen Anwälte und Richter ihr Geld.
Hm, ja. Aber vielleicht wäre ja der eigene Name rückwärts geschrieben sicherer *g*.
Jedoch: Betreibt Otto einen Rechner im Internet, kann man vernünftigerweise heutzutage davon ausgehen, daß Otto weiß, daß "das Internet" ein "gefährlicher Ort" ist und man bestimmte Dinge tun muß, damit man sich dort aufhalten kann. Insbesondere da Otto durch die Installation eines Virenscanners bewiesen hat, daß ihm die Existenz solcher Gefahren bewußt ist. Zum Herstellen der Minimalsicherheit gehört aber nicht nur ein Virenscanner auf dem Rechner, sondern - wie man in wirklich *jeder* PC-Zeitung nachlesen kann - auch das Einspielen von Patches des Herstellers und die Installation einer Firewall mit einer geeigneten Minimalpolicy. Man kann also billigerweise annehmen, daß Otto, wenn er das eine kennt, auch das andere weiß.
Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!).
ACK! Das würde sicher so manchen wachrütteln.
Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Hm, ob der ECDL da wirklich viel bringen würde? Aber eine bestandene Fahrschulprüfung garantiert ja auch noch nicht, dass sich der Prüfling sicher und korrekt im Straßenverkehr bewegen kann ;-)
Die Verwendung von Windows98 oder ME wäre noch viel schlimmer, weil diese keine Brechtigungen kennen. So könnte man argumentieren, weil Otto Windows98 verwendet, dachte ich ich darf all seine Daten löschen. Das kann es ja wohl nicht sein.
Jedoch: Stellt ein Hersteller Programme (auch Betriebssysteme) so her, daß sie Daten defaultmäßig ohne Paßwort weltweit ins Netz exportieren, ohne daß Otto vorher die bewußte Entscheidung getroffen hat (eine einwilligende Handlung die mindestens den Level hat wie die einwilligende Handlung, mit der Otto den EULA zugestimmt hat) dies zu tun, kann man sich überlegen, ob man den Hersteller des Programmes dafür am Arsch bekommt.
Au, ja. Wo kann man das beantragen? *g* Übrigens, auch Windows95/98 und folgende beinhalten gewisse minimale Sicherheitsmechanismen. So bräuchte ja Otto auf einem Einzelplatzrechner die Datenfreigabe gar nicht zu installieren bzw. im Netzwerk nicht an die DFÜ-Verbindung zu binden (Ich glaube, einen entsprechenden Hinweis habe ich sogar mal in irgend einem Windows-Hinweisfenster bei der DFÜ-Einrichtung gelesen). -- Gruß MaxX 8-)
Hallo, Am Thu, 23 Oct 2003, Matthias Houdek schrieb:
Übrigens, auch Windows95/98 und folgende beinhalten gewisse minimale Sicherheitsmechanismen. So bräuchte ja Otto auf einem Einzelplatzrechner die Datenfreigabe gar nicht zu installieren bzw. im Netzwerk nicht an die DFÜ-Verbindung zu binden (Ich glaube, einen entsprechenden Hinweis habe ich sogar mal in irgend einem Windows-Hinweisfenster bei der DFÜ-Einrichtung gelesen).
Allerdings ist der default, dass alles an eine neu erstellte Verbindung gebunden wird, also insbesondere auch die Datei- und Druckerfreigabe. Man muss also explizit und per Hand diese Bindung loeschen. -dnh -- Eine Katze hat einen Schwanz mehr als keine Katze. Keine Katze hat zwei Schwänze, also hat eine Katze drei Schwänze. [Bernd Brodesser in suse-linux]
David Haller am Donnerstag, 23. Oktober 2003 21:18:
Hallo,
Am Thu, 23 Oct 2003, Matthias Houdek schrieb:
Übrigens, auch Windows95/98 und folgende beinhalten gewisse minimale Sicherheitsmechanismen. So bräuchte ja Otto auf einem Einzelplatzrechner die Datenfreigabe gar nicht zu installieren bzw. im Netzwerk nicht an die DFÜ-Verbindung zu binden (Ich glaube, einen entsprechenden Hinweis habe ich sogar mal in irgend einem Windows-Hinweisfenster bei der DFÜ-Einrichtung gelesen).
Allerdings ist der default, dass alles an eine neu erstellte Verbindung gebunden wird, also insbesondere auch die Datei- und Druckerfreigabe. Man muss also explizit und per Hand diese Bindung loeschen.
Möglich, ich hab's schon lange nciht mehr gemacht. Ist das wirklich immer noch so? Warum hat dann noch niemand M$ verklagt? Wenn in den USA nicht ausdrücklich das Trocknen des Hamsters in der Mikrowelle in der zugehörigen Bedienungsanleitung verboten ist, dann kann ich dort doch auch den Gerätehersteller erfolgreich verklagen.
-- Eine Katze hat einen Schwanz mehr als keine Katze. Keine Katze hat zwei Schwänze, also hat eine Katze drei Schwänze. [Bernd Brodesser in suse-linux]
Recht hat er. -- Gruß MaxX 8-)
Hallo, Am Freitag, 24. Oktober 2003 07:42 schrieb Matthias Houdek:
David Haller am Donnerstag, 23. Oktober 2003 21:18:
Hallo,
Am Thu, 23 Oct 2003, Matthias Houdek schrieb:
Übrigens, auch Windows95/98 und folgende beinhalten gewisse minimale Sicherheitsmechanismen. So bräuchte ja Otto auf einem Einzelplatzrechner die Datenfreigabe gar nicht zu installieren bzw. im Netzwerk nicht an die DFÜ-Verbindung zu binden (Ich glaube, einen entsprechenden Hinweis habe ich sogar mal in irgend einem Windows-Hinweisfenster bei der DFÜ-Einrichtung gelesen).
Allerdings ist der default, dass alles an eine neu erstellte Verbindung gebunden wird, also insbesondere auch die Datei- und Druckerfreigabe. Man muss also explizit und per Hand diese Bindung loeschen.
Möglich, ich hab's schon lange nciht mehr gemacht. Ist das wirklich immer noch so? Warum hat dann noch niemand M$ verklagt?
Wenn in den USA nicht ausdrücklich das Trocknen des Hamsters in der Mikrowelle in der zugehörigen Bedienungsanleitung verboten ist, dann kann ich dort doch auch den Gerätehersteller erfolgreich verklagen.
weil M$ mehr Anwälte als Programmierer beschäftigt. Schau Dir einschlägige (größere) Prozesse gegen M$ an. ;) MfG Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Mirko Richter | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Peter Wiersig am Freitag, 24. Oktober 2003 09:50:
Matthias Houdek wrote:
Warum hat dann noch niemand M$ verklagt?
Weil du laut EULA Microsoft von allen Anspruechen freistellst.
Versteckte Klausel, überraschende Klausel. Mal ganz ehrlich, welcher Windows-Anwender hat sich den Schmarrn je wirklich durchgelesen und auch noch in seiner Tragweite verstanden. Ich tippe mal locker auf weniger als 10%. Ansonsten war das eher als ironische Bemerkung gedacht. -- Gruß MaxX 8-)
On Friday 24 October 2003 15:45, Matthias Houdek wrote:
Peter Wiersig am Freitag, 24. Oktober 2003 09:50:
Matthias Houdek wrote:
Warum hat dann noch niemand M$ verklagt?
Weil du laut EULA Microsoft von allen Anspruechen freistellst.
Versteckte Klausel, überraschende Klausel. Mal ganz ehrlich, welcher Windows-Anwender hat sich den Schmarrn je wirklich durchgelesen und auch noch in seiner Tragweite verstanden. Ich tippe mal locker auf weniger als 10%.
Ansonsten war das eher als ironische Bemerkung gedacht. Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich die EULA durchgelesen hat und daraufhin seinen neuen Rechner von MS befreit und ein Linux installiert hat. Zitat, "So ein kriminelles Abkommen nehm ich nicht an."
Tschüss, Thomas -- Diese Adresse wird nur für die SuSE-Linux Liste benutzt. Mails die nicht über die SuSE Liste kommen erreichen mich _garantiert_nicht_
Thomas Templin am Freitag, 24. Oktober 2003 16:00:
On Friday 24 October 2003 15:45, Matthias Houdek wrote:
Peter Wiersig am Freitag, 24. Oktober 2003 09:50:
Matthias Houdek wrote:
Warum hat dann noch niemand M$ verklagt?
Weil du laut EULA Microsoft von allen Anspruechen freistellst.
Versteckte Klausel, überraschende Klausel. Mal ganz ehrlich, welcher Windows-Anwender hat sich den Schmarrn je wirklich durchgelesen und auch noch in seiner Tragweite verstanden. Ich tippe mal locker auf weniger als 10%.
Ansonsten war das eher als ironische Bemerkung gedacht.
Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich die EULA durchgelesen hat und daraufhin seinen neuen Rechner von MS befreit und ein Linux installiert hat. Zitat, "So ein kriminelles Abkommen nehm ich nicht an."
Recht getan hat er. Schön, dass es noch solche Menschen gibt. Mögen sie sich vermehren :-) -- Gruß MaxX 8-)
Hi, 0n 03/10/24@20:19 Matthias Houdek told me:
Thomas Templin am Freitag, 24. Oktober 2003 16:00:
Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich ^^^^^^^^^^^^^^^^^^^^^^
Recht getan hat er. Schön, dass es noch solche Menschen gibt. Mögen sie sich vermehren :-) ^^^^^^^^^
Ich will ja niemanden zu nahe treten, aber das wird vielleicht problematisch. Auf alle Faelle sollte er sich ranhalten ;). *SCNR* -- bye maik
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Maik Am Montag, 27. Oktober 2003 15:21 schrieb Maik Holtkamp:
Hi,
0n 03/10/24@20:19 Matthias Houdek told me:
Thomas Templin am Freitag, 24. Oktober 2003 16:00:
Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich
^^^^^^^^^^^^^^^^^^^^^^
Recht getan hat er. Schön, dass es noch solche Menschen gibt. Mögen sie sich vermehren :-)
^^^^^^^^^
Ich will ja niemanden zu nahe treten, aber das wird vielleicht problematisch. Auf alle Faelle sollte er sich ranhalten ;). Das darf ma nicht zu eng sehen. Wenn man sich die Lage in diesem unseren Lande mal anschaut, so scheinen sich die Rentner eher zu stark zu vermehren. *LoL*
CU Thorsten - -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQE/nS7ws5R35vLkl/cRAl/tAJ4kyFSaw9wXM3nYnLe1JmyNBekCTQCfaPB2 80vLvfqRX7iXIaxxUcV+IRo= =YBNN -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Liste, ich hab irgendwie ein seltsames Phänomen unter Suse 8.2. Ich setze das standardmäßig installierte OpenOffice ein. Dort habe ich dann ein 16 seitiges Dokument erstellt (nur Text, kaum besondere Formatierungen). Dann hab ich mich in den nächsten Computerladen geschwungen und noch schnell nen Laserdrucker (Lexmark E210) erworben, an meinen Printserver (auch ne Suse 8.2) angeschlossen, mit LPRng angesprochen, auf dem Client Foomatic, passt alles. Interessant wurde es erst, als ich versuchte, das Dokument auf dem neu erworbenen Drucker auszudrucken. Erst mal habe ich die Warteschlange lp ausgewählt (so heisst er auf dem Client). Daraufhin hat er mir nur die ersten 7 Seiten ausgedruckt und dann behauptet, er wäre fertig. Aha, hab ich mir gedacht, er spoolt wohl nicht auf dem Client, sondern schiebt alles in den Drucker-RAM (4MB) und der ist dann wohl voll. Na gut. Hab dann nach einigen Versuchen im OpenOffice als Drucker kprinter ausgewählt. Und schon ließen sich alle 16 Seiten ausdrucken. Bis auf das Titelblatt, das war unerklärlicherweise nicht dabei. Aber naja, kann ja mal vorkommen... Dann hab ich ihm den Befehl gegeben, 20 Exemplare auszudrucken. Das hat er auch gemacht - dachte ich, bis ich beim Binden war und feststellen musste, dass hier und da mal ein oder zwei, mal auch drei oder vier Seiten fehlten. Völlig wahllos, völlig ohne System. Dann hab ich mir gedacht, vielleicht liegts an OpenOffice. Hab ein PDF draus gemacht und aus dem Acrobat Reader aus ausgedruckt. Gleiches Phänomen. Was ist los? Kanns an dem neuen Drucker liegen? Wohl eher nicht, oder? Ich vermute mal, es hängt irgendwie mit dem Spooler zusammen, bloß was ist da genau los? Und vor allem, wie kann ichs fixen? Hat einer eine Idee? - -- Michael Herrmann PGP / GnuPG Fingerprint: 8C97 D13A C023 A86D 540F 3C22 98BA 324D 50A0 7771 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux) iD8DBQE/nUw8mLoyTVCgd3ERAo7YAKCKdg28mclrumgXUp1xGmJeYq0A0wCg0//l qbdMYc/PxzOBpacAgC3LRW0= =r7Ay -----END PGP SIGNATURE-----
Maik Holtkamp am Montag, 27. Oktober 2003 15:21:
Hi,
0n 03/10/24@20:19 Matthias Houdek told me:
Thomas Templin am Freitag, 24. Oktober 2003 16:00:
Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich ^^^^^^^^^^^^^^^^^^^^^^
Recht getan hat er. Schön, dass es noch solche Menschen gibt. Mögen sie sich vermehren :-) ^^^^^^^^^
Ich will ja niemanden zu nahe treten, aber das wird vielleicht problematisch. Auf alle Faelle sollte er sich ranhalten ;).
Wie bist du denn drauf? Du denkst wohl auch, Sex ist nur was für Menschen unter 20. Und Männer sind auch mit 70 oder 80 Jahren durchaus noch in der Lage, Kinder zu zeugen. Hauptsache, der Kreislauf ist gesund (nicht, dass das Herz kurz vorher schlapp macht *g*). -- Gruß MaxX 8-)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Matthias Am Montag, 27. Oktober 2003 18:31 schrieb Matthias Houdek:
Maik Holtkamp am Montag, 27. Oktober 2003 15:21:
Hi,
0n 03/10/24@20:19 Matthias Houdek told me:
Thomas Templin am Freitag, 24. Oktober 2003 16:00:
Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich
^^^^^^^^^^^^^^^^^^^^^^
Recht getan hat er. Schön, dass es noch solche Menschen gibt. Mögen sie sich vermehren :-)
^^^^^^^^^
Ich will ja niemanden zu nahe treten, aber das wird vielleicht problematisch. Auf alle Faelle sollte er sich ranhalten ;).
Wie bist du denn drauf? Du denkst wohl auch, Sex ist nur was für Menschen unter 20. Und Männer sind auch mit 70 oder 80 Jahren durchaus noch in der Lage, Kinder zu zeugen. Hauptsache, der Kreislauf ist gesund (nicht, dass das Herz kurz vorher schlapp macht *g*). Du hast hoffentlich das *LoL* nicht übersehen, das ich dahinter gesetzt habe. Das sollte ein Wortspiel sein, und auf die Anzahl der Rentner anspielen. Wenn Rentner Kinder bekommen helfen sie ja sogar dabei das Problem zu lösen. Natürlich gönne ich jedem 100jährigen seinen Spass (Ich hoffe, dass ich den dann mit 100 auch noch habe.) ;o))))))
CU Thorsten - -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQE/nV+Ns5R35vLkl/cRAjcHAJ0V6nG4+I4f0tyD0lr/zSM8U8hEKgCeLK2B RlYo7by8jlj0xF443n9UT/g= =EoDJ -----END PGP SIGNATURE-----
Thorsten Körner am Montag, 27. Oktober 2003 19:10:
Hallo Matthias
Am Montag, 27. Oktober 2003 18:31 schrieb Matthias Houdek:
Maik Holtkamp am Montag, 27. Oktober 2003 15:21:
Hi,
0n 03/10/24@20:19 Matthias Houdek told me:
Thomas Templin am Freitag, 24. Oktober 2003 16:00:
Es gibt ein Mitglied der LUG-WHV, bereits im Rentenalter, der sich
^^^^^^^^^^^^^^^^^^^^^^
Recht getan hat er. Schön, dass es noch solche Menschen gibt. Mögen sie sich vermehren :-)
^^^^^^^^^
Ich will ja niemanden zu nahe treten, aber das wird vielleicht problematisch. Auf alle Faelle sollte er sich ranhalten ;).
Wie bist du denn drauf? Du denkst wohl auch, Sex ist nur was für Menschen unter 20. Und Männer sind auch mit 70 oder 80 Jahren durchaus noch in der Lage, Kinder zu zeugen. Hauptsache, der Kreislauf ist gesund (nicht, dass das Herz kurz vorher schlapp macht *g*).
Du hast hoffentlich das *LoL* nicht übersehen, das ich dahinter gesetzt habe. Das sollte ein Wortspiel sein, und auf die Anzahl der Rentner anspielen.
Deins hab ich schon verstanden.
Wenn Rentner Kinder bekommen helfen sie ja sogar dabei das Problem zu lösen.
Naja, so richtig auch nicht. Die Probleme sitzen viel tiefer. Aber das gehört nicht hier her.
Natürlich gönne ich jedem 100jährigen seinen Spass (Ich hoffe, dass ich den dann mit 100 auch noch habe.) ;o))))))
Das hoffe ich auch - für mich natürlich *ggg* -- Gruß MaxX 8-)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Am Montag, 27. Oktober 2003 20:23 schrieb Matthias Houdek:
Thorsten Körner am Montag, 27. Oktober 2003 19:10: [...]
Hallo Matthias
Natürlich gönne ich jedem 100jährigen seinen Spass (Ich hoffe, dass ich den dann mit 100 auch noch habe.) ;o))))))
Das hoffe ich auch - für mich natürlich *ggg* Vielleicht treffen wir uns dann mal im Pflegeheim und lassen die Sau raus. Dauert aber noch über 60 Jahre, also gut merken und kein Alsheimer bekommen. :-)
CU Thorsten - -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQE/nXnIs5R35vLkl/cRAlfeAJ0XJHfbv3n1krZ/ZaNei9YGMPbzmwCeMRdj vaSBOYEdqm/pZkSozk6I57s= =MfPG -----END PGP SIGNATURE-----
Hallo Am Montag, 27. Oktober 2003 20:23 schrieb Matthias Houdek: Thorsten Körner am Montag, 27. Oktober 2003 19:10: [...]
Hallo Matthias
Natürlich gönne ich jedem 100jährigen seinen Spass (Ich hoffe, dass ich den dann mit 100 auch noch habe.) ;o))))))
Das hoffe ich auch - für mich natürlich *ggg*
Vielleicht treffen wir uns dann mal im Pflegeheim und lassen die Sau raus. Dauert aber noch über 60 Jahre, also gut merken und kein Alsheimer bekommen. :-)
nur gut das ihr sonst nix zu tun habt als die liste vollzuspammen Mit freundlichen Grüßen medom
Am Montag, 27. Oktober 2003 23:49 schrieb tom medom:
Hallo Am Montag, 27. Oktober 2003 20:23 schrieb Matthias Houdek: Thorsten Körner am Montag, 27. Oktober 2003 19:10:
[...]
Hallo Matthias
Natürlich gönne ich jedem 100jährigen seinen Spass (Ich hoffe, dass ich den dann mit 100 auch noch habe.) ;o))))))
Das hoffe ich auch - für mich natürlich *ggg*
Vielleicht treffen wir uns dann mal im Pflegeheim und lassen die
Sau
raus. Dauert aber noch über 60 Jahre, also gut merken und kein Alsheimer bekommen.
:-)
nur gut das ihr sonst nix zu tun habt als die liste vollzuspammen Mit freundlichen Grüßen medom
Doch doch wir fahrn alle zur Kuhr nach Bad Alsheim zu Dr. Keutzfeld Jacobs! ;-))))) MfG Thilo (SCNR) -- http://www.chef-de-cuisine.de http://www.gasthof-linde.de
On Friday 24 October 2003 09:50, Peter Wiersig wrote:
Matthias Houdek wrote:
Warum hat dann noch niemand M$ verklagt?
Weil du laut EULA Microsoft von allen Anspruechen freistellst. Auch wenn sie fahrlässig gewesen sind und wissentlich verantwortlich sind, so die EULA. Eine Rechtsauffassung die jeder deutsche Richter sofort verbrennt, wenn denn mal jemand dies zur Anklage bringen wird. Vielleicht sollte man dem Herrn Prof. Dr. Spindler der für den VSI die Rechtsstudie zur Sicherheit der GPL gemacht hat mal einen Tip geben. Da könnte er sich weitaus mehr austoben. [...] TSchüss, Thomas -- Diese Adresse wird nur für die SuSE-Linux Liste benutzt. Mails die nicht über die SuSE Liste kommen erreichen mich _garantiert_nicht_
Hallo Matthias, Matthias Houdek schrieb am 24.10.2003 (07:42):
Wenn in den USA nicht ausdrücklich das Trocknen des Hamsters in der Mikrowelle in der zugehörigen Bedienungsanleitung verboten ist, dann kann ich dort doch auch den Gerätehersteller erfolgreich verklagen.
Urban Legend, siehe http://www.snopes.com/horrors/techno/micropet.htm Gruß, Antje P.S.: Obwohl... über Verklagen steht da nichts... -- Computers make very fast, very accurate mistakes.
Antje M. Bendrich am Freitag, 24. Oktober 2003 11:27:
Hallo Matthias,
Matthias Houdek schrieb am 24.10.2003 (07:42):
Wenn in den USA nicht ausdrücklich das Trocknen des Hamsters in der Mikrowelle in der zugehörigen Bedienungsanleitung verboten ist, dann kann ich dort doch auch den Gerätehersteller erfolgreich verklagen.
Urban Legend, siehe http://www.snopes.com/horrors/techno/micropet.htm
Na gut, aber ein mächtiger Fresstempelbetreiber musste Schmerzensgeld zahlen, weil der Kaffee zu heiß war (für die Oberschenkel) und vor allem nicht ausreichend als "heiß" gekennzeichnet. ;-) -- Gruß MaxX 8-)
Am Donnerstag, 23. Oktober 2003 18:44 schrieb Kristian Köhntopp:
Insbesondere da Otto durch die Installation eines Virenscanners bewiesen hat, daß ihm die Existenz solcher Gefahren bewußt ist. Zum Herstellen der Minimalsicherheit gehört aber nicht nur ein Virenscanner auf dem Rechner, sondern - wie man in wirklich *jeder* PC-Zeitung nachlesen kann - auch das Einspielen von Patches des Herstellers und die Installation einer Firewall mit einer geeigneten Minimalpolicy. Man kann also billigerweise annehmen, daß Otto, wenn er das eine kennt, auch das andere weiß.
Also ich kann dir viele Leute nennen, die glauben mit einem Virenscanner eine Firewall zu haben bzw. umgekehrt glauben, weil sie eine Firewall haben, sie keine Viren mehr bekommen können. Und wenn man sie aufklärt, dann sind sie noch immer skeptisch. Meine Erfahrung ist, manche brauchen einen Schaden, bis sie bereit sind zu reagieren. Von den Freundinnen meiner Tochter braucht keine einzige zu Hause unter Win ein PW und meine Tochter wird belächelt, weil sie ein PW bei ihrem Linux-PC braucht. Viele denken nur ungefähr so: Da draußen gibt es viele böse Dinge und wenn ich mir ein Programm gegen diese bösen Dinge besorge, dann bin ich vor _allen_ bösen Dingen geschützt. Ob sich das Ding jetzt Firewall oder Virenscanner nennt, ist mir doch völlig egal. Ich verstehe das ja sowieso nicht.
Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!).
Dann mußt du aber für das "Betreiben" eines PCs im Internet eine strenge Prüfung vorsehen und ich kenne genug Leute mit ECDL, deren PC-Wissensstand eine Katastrophe ist. Da wird die Wirtschaft wohl ganz viel dagegen haben und ich eigentlich auch, weil das Problem nicht bei der Wurzel gepackt wird und dazu braucht man IMO ein der Zeit entsprechendes sicheres OS.
Jedoch: Stellt ein Hersteller Programme (auch Betriebssysteme) so her, daß sie Daten defaultmäßig ohne Paßwort weltweit ins Netz exportieren, ohne daß Otto vorher die bewußte Entscheidung getroffen hat (eine einwilligende Handlung die mindestens den Level hat wie die einwilligende Handlung, mit der Otto den EULA zugestimmt hat) dies zu tun, kann man sich überlegen, ob man den Hersteller des Programmes dafür am Arsch bekommt.
Vorinstallierte Systeme sind so auszuliefern, dass sie _sicher_ sind und der Admin muß "gefährliche" Dinge erst freigeben. Dann reduzieren sich die Internetnutzer aber auf einen kleinen Bruchteil der augenblicklichen Nutzer. "Otto" ist doch schon froh, wenn er die Installations-CD des ISP durchklicken kann und schließlich im Internet ist. Zur Demonstration wie sicher Win ist, klicke man sich mal durch ein XP-Installation durch, denke nicht mit, normalerweise geht es ja immer mit ok weiter und sieht sich danach die Benutzereinstellungen in der Systemverwaltung an. Al
Hi, Am Donnerstag, 23. Oktober 2003 21:55 schrieb Al Bogner: ...
Zur Demonstration wie sicher Win ist, klicke man sich mal durch ein XP-Installation durch, denke nicht mit, normalerweise geht es ja immer mit ok weiter und sieht sich danach die Benutzereinstellungen in der Systemverwaltung an.
so eine Installation steht einen Nessus-Scan erst gar nicht durch. Gerade hier im Netz probiert: sie (die XP-Installation) macht nach genau 5 Sekunden die Grätsche und fährt runter....)) Da hat man gar keine Chance Informationen zu bekommen. ciao dieter -- registered linuxuser 199810 it's time to close windows....
Dieter Franzke am Donnerstag, 23. Oktober 2003 22:05:
Hi,
Am Donnerstag, 23. Oktober 2003 21:55 schrieb Al Bogner:
...
Zur Demonstration wie sicher Win ist, klicke man sich mal durch ein XP-Installation durch, denke nicht mit, normalerweise geht es ja immer mit ok weiter und sieht sich danach die Benutzereinstellungen in der Systemverwaltung an.
so eine Installation steht einen Nessus-Scan erst gar nicht durch.
Gerade hier im Netz probiert: sie (die XP-Installation) macht nach genau 5 Sekunden die Grätsche und fährt runter....)) Da hat man gar keine Chance Informationen zu bekommen.
Na, dass ist doch Sicherheit in Perfektion. Ein abgeschalteter Rechner ist am sichersten gegen Datenklau geschützt. Bravo, M$! -- Gruß MaxX 8-)
On Thursday 23 October 2003 22:05, Dieter Franzke wrote:
Zur Demonstration wie sicher Win ist, klicke man sich mal durch ein XP-Installation durch, denke nicht mit, normalerweise geht es ja immer mit ok weiter und sieht sich danach die Benutzereinstellungen in der Systemverwaltung an.
so eine Installation steht einen Nessus-Scan erst gar nicht durch.
Gerade hier im Netz probiert: sie (die XP-Installation) macht nach genau 5 Sekunden die Grätsche und fährt runter....))
Das ist dann ein Fehler im Nessus, oder Du hast destruktive Scans aktiviert. Nessus darf kein System mit dem Default-Scan zu einem solchen Verhalten bewegen. Bitte file einen Bugreport gegen das Nessus-Team. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
On Thursday 23 October 2003 21:55, Al Bogner wrote:
Dann mußt du aber für das "Betreiben" eines PCs im Internet eine strenge Prüfung vorsehen und ich kenne genug Leute mit ECDL, deren PC-Wissensstand eine Katastrophe ist. Da wird die Wirtschaft wohl ganz viel dagegen haben und ich eigentlich auch, weil das Problem nicht bei der Wurzel gepackt wird und dazu braucht man IMO ein der Zeit entsprechendes sicheres OS.
Das ist - mit Verlaub - Quark. Ein Auto mit ABS ersetzt den Führerschein? Kaum. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
Hallo, Erstmal freue ich mich über soviel Beteiligung, offensichtlich brennt das Thema. Kristian Köhntopp schrieb:
On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Okay, er hat aber bei dem Scan auf meinen Server versucht schadhaften Code, z.B. bei .htaccess Abfragen zu übergeben. Irgendwas mit wilden Steuerzeichen und zwischendrin ein '/new 1234567890 admin'. Das sieht für mich aber so aus, als ob jemand (um mal die Einbrecheranalogie aufzugreifen) mit der Brechstange gegen eine Plexiglasscheibe schlägt und feststellt, dass er damit alleine noch nicht in meinen Laden einbrechen kann... Gruss, Marc -- FH Furtwangen: http://cn.psychology4u.de/ Linux- und Netzwerkberatung: http://www.teamberatung.org Marc Mc Guinness: http://www.mcguinness.de PGP Public Key Block: http://mcguinness.psychology4u.de/public.txt
Marc Mc Guinness am Freitag, 24. Oktober 2003 07:11:
Hallo,
Erstmal freue ich mich über soviel Beteiligung, offensichtlich brennt das Thema.
Kristian Köhntopp schrieb:
On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Okay, er hat aber bei dem Scan auf meinen Server versucht schadhaften Code, z.B. bei .htaccess Abfragen zu übergeben. Irgendwas mit wilden Steuerzeichen und zwischendrin ein '/new 1234567890 admin'.
Gut, da liegt eine strafbare Handlung bzw. der Versuch einer solchen vor, aber das reicht auch aus (§ 303a+b (2) StGB, Datenveränderung und Computersabotage: "Der Versuch ist strafbar." ). -- Gruß MaxX 8-)
On Friday 24 October 2003 15:39, Matthias Houdek wrote:
Gut, da liegt eine strafbare Handlung bzw. der Versuch einer solchen vor, aber das reicht auch aus (§ 303a+b (2) StGB, Datenveränderung und Computersabotage: "Der Versuch ist strafbar." ).
Du meinst, es ist strafbar, sich bei einem Loginversuch zu vertippen? Nicht wirklich, oder? Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
Hallo Kristian Am Samstag, 25. Oktober 2003 16:52 schrieb Kristian Köhntopp:
On Friday 24 October 2003 15:39, Matthias Houdek wrote:
Gut, da liegt eine strafbare Handlung bzw. der Versuch einer solchen vor, aber das reicht auch aus (§ 303a+b (2) StGB, Datenveränderung und Computersabotage: "Der Versuch ist strafbar." ).
Du meinst, es ist strafbar, sich bei einem Loginversuch zu vertippen? Nicht wirklich, oder? Es ist auch nicht strafbar seinen Autoschlüssel in die Tür eines fremden Autos zu stecken, weil man es auf dem Kaufhaus-Parkplatz verwechselst hat. Es ist aber sehr wohl strafbar zu versuchen, ob ein fremdes Auto sich mit Deinem Schlüssel öffnen lässt, wenn Du weisst, dass es nicht Dein Auto ist. Das ist dann nämlich eine versuchte Straftat und dort ist eben auch der Versuch strafbar. Dass man das nicht wird nachweisen können, ändert nichts an der Sachlage.
CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
Kristian Köhntopp am Samstag, 25. Oktober 2003 16:52:
On Friday 24 October 2003 15:39, Matthias Houdek wrote:
Gut, da liegt eine strafbare Handlung bzw. der Versuch einer solchen vor, aber das reicht auch aus (§ 303a+b (2) StGB, Datenveränderung und Computersabotage: "Der Versuch ist strafbar." ).
Du meinst, es ist strafbar, sich bei einem Loginversuch zu vertippen? Nicht wirklich, oder?
Bei einem unberechtigten Loginversuch schon. Und das meine nicht ich, sondern das Gesetz. Wobei hier immer noch die Frage der Beweislast steht - was aber am Prinzip nichts ändert. -- Gruß MaxX 8-)
On Friday 24 October 2003 07:11, Marc Mc Guinness wrote:
Okay, er hat aber bei dem Scan auf meinen Server versucht schadhaften Code, z.B. bei .htaccess Abfragen zu übergeben. Irgendwas mit wilden Steuerzeichen und zwischendrin ein '/new 1234567890 admin'.
Wie meinen? Was ist eine .htaccess-Abfrage? Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
Hallo Kristian, Kristian Köhntopp schrieb:
On Friday 24 October 2003 07:11, Marc Mc Guinness wrote:
Okay, er hat aber bei dem Scan auf meinen Server versucht schadhaften Code, z.B. bei .htaccess Abfragen zu übergeben. Irgendwas mit wilden Steuerzeichen und zwischendrin ein '/new 1234567890 admin'.
Wie meinen? Was ist eine .htaccess-Abfrage?
Ich spreche vom Passwortschutz mittels .htaccess und .htpasswd, wenn man bestimmte Bereiche meiner Homepage betreten möchte. Gruss, Marc -- FH Furtwangen: http://cn.psychology4u.de/ Linux- und Netzwerkberatung: http://www.teamberatung.org Marc Mc Guinness: http://www.mcguinness.de PGP Public Key Block: http://mcguinness.psychology4u.de/public.txt
On Sunday 26 October 2003 09:43, Marc Mc Guinness wrote:
Wie meinen? Was ist eine .htaccess-Abfrage?
Ich spreche vom Passwortschutz mittels .htaccess und .htpasswd, wenn man bestimmte Bereiche meiner Homepage betreten möchte.
Ah, Du meinst einen GET-Request, bei dem eine Headerzeile "Authentication" mitgesendet wird. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
Hallo Kristian, Kristian Köhntopp schrieb:
On Sunday 26 October 2003 09:43, Marc Mc Guinness wrote:
Wie meinen? Was ist eine .htaccess-Abfrage?
Ich spreche vom Passwortschutz mittels .htaccess und .htpasswd, wenn man bestimmte Bereiche meiner Homepage betreten möchte.
Ah, Du meinst einen GET-Request, bei dem eine Headerzeile "Authentication" mitgesendet wird.
So nennt man das also. Gut, dass Du uns aufklärst, sonst hätte mich womöglich niemand verstanden. Gruss, Marc -- FH Furtwangen: http://cn.psychology4u.de/ Linux- und Netzwerkberatung: http://www.teamberatung.org Marc Mc Guinness: http://www.mcguinness.de PGP Public Key Block: http://mcguinness.psychology4u.de/public.txt
Hallo Frank Am Donnerstag, 23. Oktober 2003 14:09 schrieb Frank Wehrsenger:
On Thu, 23 Oct 2003 13:31:51 +0200
Thorsten Körner <thorstenkoerner@123tkshop.org> wrote:
schuld hat, etwa so, als wenn jemand seine Wohnungstür über Nacht nicht abschließt, aber dennoch hat niemand das Recht die Wohnung auszuräumen.
Du müsstest dich schon gut begründen, wenn deine Versicherung den Schaden ersetzen soll der entstanden ist weil jemand etwas entwendet hat bei deienr offen gelassenen Wohnungstür. Im Normalfall machen die Versicherungen dies auch nicht. Du hast mich falsch verstanden. Nur weil die Versicherung nicht zahlt, und dies Aufgrund einer Klausel betreffend grober Fahrlässigkeit in den AGB auch meist nicht muss, heisst das nich lange nicht, dass der Dieb sich nicht Strafbar gemacht hat.
CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
On Thu, 23 Oct 2003 15:11:22 +0200 Thorsten Körner <thorstenkoerner@123tkshop.org> wrote:
Du hast mich falsch verstanden. Nur weil die Versicherung nicht zahlt, und dies Aufgrund einer Klausel betreffend grober Fahrlässigkeit in den AGB auch meist nicht muss, heisst das nich lange nicht, dass der Dieb sich nicht Strafbar gemacht hat.
Natürlich hat sich der Dieb strafbar gemacht, aber der Vergleich ist insofern auch nicht unbedingt passend da ein reines Scannen nicht mit dem Diebstahl verglichen werden kann, ein Diebstahl würde eher einer Datenmanipulation gleichkommen. Wenn ich durch eine offene Haustür in eine Wohnung schaue mach ich mich nicht strafbar.
Hallo Frank Am Donnerstag, 23. Oktober 2003 17:23 schrieb Frank Wehrsenger:
On Thu, 23 Oct 2003 15:11:22 +0200
Thorsten Körner <thorstenkoerner@123tkshop.org> wrote:
Du hast mich falsch verstanden. Nur weil die Versicherung nicht zahlt, und dies Aufgrund einer Klausel betreffend grober Fahrlässigkeit in den AGB auch meist nicht muss, heisst das nich lange nicht, dass der Dieb sich nicht Strafbar gemacht hat.
Natürlich hat sich der Dieb strafbar gemacht, aber der Vergleich ist insofern auch nicht unbedingt passend da ein reines Scannen nicht mit dem Diebstahl verglichen werden kann, ein Diebstahl würde eher einer Datenmanipulation gleichkommen. Nochmal zum mitschreiben: es geht mir nicht um den Scan selber, sondern das gezielte ausnutzen gewonnener Informationen über Sicherheitslücken, um an Daten zu gelangen, die ganz offensichtlich nicht öffentlich zugänglich sind.
Wenn ich durch eine offene Haustür in eine Wohnung schaue mach ich mich nicht strafbar. Das ist richtig. Sobald Du aber nicht nur schaust, sondern ohne Aufforderung eintrittst und in die Schränke schaust, bist Du ein Einbrecher, selbst wenn Du nichts aus den Schränken entwendest.
CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
On Thursday 23 October 2003 17:52, Thorsten Körner wrote:
Nochmal zum mitschreiben: es geht mir nicht um den Scan selber, sondern das gezielte ausnutzen gewonnener Informationen über Sicherheitslücken, um an Daten zu gelangen, die ganz offensichtlich nicht öffentlich zugänglich sind.
Wie ich bereits sagte, ist der Scan nicht strafbar. Wird ein Scan vorgenommen und die so gewonnen Daten dann als Hilfsmittel für einen Einbruch benutzt, dann ist es der Einbruch, der strafbar ist, und es ist der Scan, der beweist, daß es sich um eine vorbereitete Tat an Stelle eines Gelegenheitsbruches handelt. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG
Kristian Köhntopp am Donnerstag, 23. Oktober 2003 18:45:
On Thursday 23 October 2003 17:52, Thorsten Körner wrote:
Nochmal zum mitschreiben: es geht mir nicht um den Scan selber, sondern das gezielte ausnutzen gewonnener Informationen über Sicherheitslücken, um an Daten zu gelangen, die ganz offensichtlich nicht öffentlich zugänglich sind.
Wie ich bereits sagte, ist der Scan nicht strafbar.
Wird ein Scan vorgenommen und die so gewonnen Daten dann als Hilfsmittel für einen Einbruch benutzt, dann ist es der Einbruch, der strafbar ist, und es ist der Scan, der beweist, daß es sich um eine vorbereitete Tat an Stelle eines Gelegenheitsbruches handelt.
Interessantes Thema :-) Gut, der Scan als solcher ist natürlich nicht strafbar. Damit werden ja noch keine Daten ausspioniert, sondern nur Zustände. Dringt jetzt jemand über eine so festgestellten offenen Zugang (ob vergessen oder absichtlich offen gelassen, ist sogar egal) in das System ein, so ist das an sich auch noch kein Straftatbestand, denn weder § 202a noch § 303a/b StGB greifen hier, es wurden ja weder Daten ausspioniert oder verändert - die Log-Dateien hat ja das System selbst geschrieben *g*. Eventuell könnte man es als Versuch einer Datenveränderung (§ 303a (2)) rechtlich würdigen, aber auch das dürfte sich nur auf eine Vermutung stützen lassen. Wenn allerdings darüber andere Zugänge geöffnet werden oder Daten verändert werden, so ist das eindeutig ein Straftatbestand, der auf Antrag mit Sicherheit auch verfolgt wird. Aber die Datenveränderung muss nachgewiesen werden. Beim einfachen "Datenklau" wird es schwieriger, denn in § 202a steht: "... und die gegen unberechtigten Zugang besonders gesichert sind" - was bei einem System, das ggf. offen wie ein Scheunentor war, sicher nicht erfüllt sein wird. Unbeeinflusst davon bleibt natürlich immer noch die Frage zivilrechtlicher Schritte, wenn ein materieller Schaden entstanden ist. -- Gruß MaxX 8-)
Hallo Matthias Am Donnerstag, 23. Oktober 2003 20:04 schrieb Matthias Houdek:
Kristian Köhntopp am Donnerstag, 23. Oktober 2003 18:45:
On Thursday 23 October 2003 17:52, Thorsten Körner wrote:
Nochmal zum mitschreiben: es geht mir nicht um den Scan selber, sondern das gezielte ausnutzen gewonnener Informationen über Sicherheitslücken, um an Daten zu gelangen, die ganz offensichtlich nicht öffentlich zugänglich sind.
Wie ich bereits sagte, ist der Scan nicht strafbar.
Wird ein Scan vorgenommen und die so gewonnen Daten dann als Hilfsmittel für einen Einbruch benutzt, dann ist es der Einbruch, der strafbar ist, und es ist der Scan, der beweist, daß es sich um eine vorbereitete Tat an Stelle eines Gelegenheitsbruches handelt.
Interessantes Thema :-)
Gut, der Scan als solcher ist natürlich nicht strafbar. Damit werden ja noch keine Daten ausspioniert, sondern nur Zustände.
Dringt jetzt jemand über eine so festgestellten offenen Zugang (ob vergessen oder absichtlich offen gelassen, ist sogar egal) in das System ein, so ist das an sich auch noch kein Straftatbestand, denn weder § 202a noch § 303a/b StGB greifen hier, es wurden ja weder Daten ausspioniert oder verändert - die Log-Dateien hat ja das System selbst geschrieben *g*. Eventuell könnte man es als Versuch einer Datenveränderung (§ 303a (2)) rechtlich würdigen, aber auch das dürfte sich nur auf eine Vermutung stützen lassen.
Wenn allerdings darüber andere Zugänge geöffnet werden oder Daten verändert werden, so ist das eindeutig ein Straftatbestand, der auf Antrag mit Sicherheit auch verfolgt wird. Aber die Datenveränderung muss nachgewiesen werden.
Beim einfachen "Datenklau" wird es schwieriger, denn in § 202a steht: "... und die gegen unberechtigten Zugang besonders gesichert sind" - was bei einem System, das ggf. offen wie ein Scheunentor war, sicher nicht erfüllt sein wird. Aber was ist, wenn die Datengeschützt sind, der Zugriff hierauf aber, wie in diesem Fall gemutmaßt über eine gezielt gesuchte Sicherheitslücke erfolgt?
CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
Thorsten Körner am Donnerstag, 23. Oktober 2003 20:39:
Hallo Matthias
Am Donnerstag, 23. Oktober 2003 20:04 schrieb Matthias Houdek:
Kristian Köhntopp am Donnerstag, 23. Oktober 2003 18:45:
On Thursday 23 October 2003 17:52, Thorsten Körner wrote:
Nochmal zum mitschreiben: es geht mir nicht um den Scan selber, sondern das gezielte ausnutzen gewonnener Informationen über Sicherheitslücken, um an Daten zu gelangen, die ganz offensichtlich nicht öffentlich zugänglich sind.
Wie ich bereits sagte, ist der Scan nicht strafbar.
Wird ein Scan vorgenommen und die so gewonnen Daten dann als Hilfsmittel für einen Einbruch benutzt, dann ist es der Einbruch, der strafbar ist, und es ist der Scan, der beweist, daß es sich um eine vorbereitete Tat an Stelle eines Gelegenheitsbruches handelt.
Interessantes Thema :-)
Gut, der Scan als solcher ist natürlich nicht strafbar. Damit werden ja noch keine Daten ausspioniert, sondern nur Zustände.
Dringt jetzt jemand über eine so festgestellten offenen Zugang (ob vergessen oder absichtlich offen gelassen, ist sogar egal) in das System ein, so ist das an sich auch noch kein Straftatbestand, denn weder § 202a noch § 303a/b StGB greifen hier, es wurden ja weder Daten ausspioniert oder verändert - die Log-Dateien hat ja das System selbst geschrieben *g*. Eventuell könnte man es als Versuch einer Datenveränderung (§ 303a (2)) rechtlich würdigen, aber auch das dürfte sich nur auf eine Vermutung stützen lassen.
Wenn allerdings darüber andere Zugänge geöffnet werden oder Daten verändert werden, so ist das eindeutig ein Straftatbestand, der auf Antrag mit Sicherheit auch verfolgt wird. Aber die Datenveränderung muss nachgewiesen werden.
Beim einfachen "Datenklau" wird es schwieriger, denn in § 202a steht: "... und die gegen unberechtigten Zugang besonders gesichert sind" - was bei einem System, das ggf. offen wie ein Scheunentor war, sicher nicht erfüllt sein wird.
Aber was ist, wenn die Datengeschützt sind, der Zugriff hierauf aber, wie in diesem Fall gemutmaßt über eine gezielt gesuchte Sicherheitslücke erfolgt?
Dann ist die Sachlage klarer. Wenn das System je nach Brisanz der Daten (nicht jeder kleine Firmenserver braucht eine mehrstufige, nach allen Reglen der Kunst konfigurierte Firewall ;-) nach dem aktuellen Stand der Technik geschützt war, das Dateisystem ggf. auch noch verschlüsselt - dann ist der Datenklau (nicht aber die (nicht-destruktive) Suche nach entsprechenden Lücken!) mit sehr großer Wahrscheinlichkeit strafbar. Wo genau die Grenze liegt - das müssen im Einzelfall die Gerichte entscheiden (wie Kristian schon schrieb). Vielleicht wäre es besser gewesen, im Gesetz nicht "gegen unberechtigten Zugang besonders gesichert" zu schreiben sondern "nicht ausdrücklich frei zugänglich". Dann wäre eine entsprechende Freigabe, ein offener Port mit dem offiziell dazugehörigen Dienst (HTTP, FTP, POP, ...) _ohne_ auch nur die simpelste Passwortabfrage IMHO ein solcher "ausdrücklich freier Zugang" und alles andere damit prinzipiell strafbar. Aber so steht es halt nicht im Gesetz. -- Gruß MaxX 8-)
Am Don, 23 Okt 2003, schrieb Frank Wehrsenger:
On Thu, 23 Oct 2003 13:31:51 +0200 Thorsten Körner <thorstenkoerner@123tkshop.org> wrote:
schuld hat, etwa so, als wenn jemand seine Wohnungstür über Nacht nicht abschließt, aber dennoch hat niemand das Recht die Wohnung auszuräumen.
Du müsstest dich schon gut begründen, wenn deine Versicherung den Schaden ersetzen soll der entstanden ist weil jemand etwas entwendet hat bei deienr offen gelassenen Wohnungstür. Im Normalfall machen die Versicherungen dies auch nicht.
Deswegen ist der Eindringling (in die Wohnung) aber trotzdem ein Straftäter! Ein offener Port 139 mit einer NetBios-Freigabe ist aber auch keine offene Balkontür für die ein Betretungsverbot im Sinne der Verletzung der Privatsphäre oder der Unverletzlichkeit der Wohnung gilt. Wenn es Freigabe ist, heißt es ja gerade: Lesen und schlimmsten Falls auch Schreiben erlaubt! Ich beurteile die Zerstörung oder Veränderung von Daten allerdings auch kritscher als nur das Lesen, weil damit ja wirklich Schaden verbunden sein kann. cu Hannes
Am Donnerstag, 23. Oktober 2003 14:09 schrieb Frank Wehrsenger:
On Thu, 23 Oct 2003 13:31:51 +0200
Thorsten Körner <thorstenkoerner@123tkshop.org> wrote:
schuld hat, etwa so, als wenn jemand seine Wohnungstür über Nacht nicht abschließt, aber dennoch hat niemand das Recht die Wohnung auszuräumen.
Du müsstest dich schon gut begründen, wenn deine Versicherung den Schaden ersetzen soll der entstanden ist weil jemand etwas entwendet
Es geht nicht darum, wer den Schaden bezahlt! Natürlich ist es dumm die Tür offen zu lassen, aber der Dieb hat sich strafbar gemacht, egal ob die Tür gar nicht oder nur schlecht abgeschlossen war. ciao, Rüdiger
Am Donnerstag, 23. Oktober 2003 13:31 schrieb Thorsten Körner:
Wenn ich im Sommer bei 35°C meine Balkontür über Nacht offen lasse, dann riskiere ich natürlich, dass plötzlich eine fremde Frau in meinem Schlafzimmer auftaucht, dennoch macht sich jeder strafbar, der die Wohnung ohne Erlaubnis betritt.
Hatte ich auch schon versucht.Allerdings ohne Erfolg :) Gruß Harald
Hallo Harald Am Donnerstag, 23. Oktober 2003 14:25 schrieb Harald Huthmann:
Am Donnerstag, 23. Oktober 2003 13:31 schrieb Thorsten Körner:
Wenn ich im Sommer bei 35°C meine Balkontür über Nacht offen lasse, dann riskiere ich natürlich, dass plötzlich eine fremde Frau in meinem Schlafzimmer auftaucht, dennoch macht sich jeder strafbar, der die Wohnung ohne Erlaubnis betritt.
Hatte ich auch schon versucht.Allerdings ohne Erfolg :) Tja man gibt ja nicht auf *LoL*
CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com
On Thu, Oct 23, Marc Mc Guinness wrote:
Kann man dagegen rechtlich vorgehen?
Frag Deinen Anwalt. Und google: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html besonders: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Portscan -- USB is for mice, FireWire is for men! sUse lINUX ag, nÜRNBERG
Hallo, * Marc Mc Guinness <suse-linux@mcguinness.de>:
Gestern Abend wurde auf einem meiner Server ein Nessusscan durchgeführt. Webmin, sshd und Apache haben brav die T-Online Einwahladresse von der der Angriff ausging zwischen 19 und 20 Uhr protokolliert.
Schick eine Mail über den Vorgang an abuse@t-online.de Die sollen recht wenig Spass verstehen, wenn gelangweilte Schnarchnasen ihren Account missbrauchen, um Zeugs aus <URL:http://www.scriptkiddie.de/nessus/> nachzuspielen. Gruss, Andreas -- don't use the fork, luke! :() { :& :& } ; :
participants (22)
-
Al Bogner -
Andreas Kneib -
Antje M. Bendrich -
David Haller -
Dieter Franzke -
Frank Wehrsenger -
Hannes Vogelmann -
Harald_mail@t-online.de -
Kristian Köhntopp -
Maik Holtkamp -
Marc Mc Guinness -
Matthias Houdek -
Michael Herrmann -
Mirko Richter -
Olaf Hering -
Peter Wiersig -
Rüdiger Meier -
Thilo Alfred Bätzig -
Thomas Preissler -
Thomas Templin -
Thorsten Körner -
tom medom