Hallo Kristian Am Donnerstag, 23. Oktober 2003 16:26 schrieb Kristian Köhntopp:
On Thursday 23 October 2003 15:40, Thorsten Körner wrote:
Ich würde nicht von "offenem Export ohne Paßwort" sprechen in so einem Fall. Wir reden ja davon, dass der Zugriff über eine Sicherheitslücke in irgendeiner Software stattfindet.
Nessus scannt per default nicht-destruktiv, d.h. es findet eine potentielle Sicherheitslücke (etwa durch Analyse der Banner eines Servers), nutzt diese aber nicht aus. Das ist kein Angriff und klar nicht strafbar (IANAL).
Schaltet man destruktive Scans an, versucht nessus die Existenz der Sicherheitslücke zu bestätigen, indem es möglichst unschädlichen Exploit-Code ausführt. Hier wird die Sicherheitslücke ausgenutzt, jedoch nicht mit der Absicht einzubrechen, sondern lediglich ihre Existenz zu bestätigen. Dabei kann es jedoch zu schadbringenden Seiteneffekten kommen (Absturz des betroffenen Dienstes, damit verbundene Folgeschäden und Verdienstausfälle). Dies ist mehr oder weniger weit in der Grauzone (teilweise, je nach Folgen, eher weit drin), und bei Verdienstausfällen mindestens zivilrechtlich verfolgbar (again IANAL).
Wenn dem Betreiber des angreifbaren Dienstes jedoch besondere Verpflichtungen auferlegt sind, die die Qualität, Verfügbarkeit oder Sicherheit des Dienstes betreffen (Datenschutzgesetz, Bankengesetz, Verschwiegenheitspflichten), dann hat der Betreiber des angreifbaren Dienstes ebenfalls ein Problem, so ihm mit dem Scan eine Angreifbarkeit nachgewiesen wird oder der Scan alleine schon zu Ausfällen führt (Nessus ist ein Standardtool, mithin Stand der Technik, und ein Dienstanbieter, dem besondere Verpflichtungen auferlegt sind, muß mit einem Nessus-Scan rechnen und darf durch einen solchen Scan keine Ausfälle haben). ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht. Und genau darum geht es mir doch. Es besteht ja kein Zweifel darüber, dass jeder für die Sicherheit seiner Daten selbst verantwortlich ist, aber aus einer Sicherheitslücke, die wie gesagt auch mal nicht auf bugtraq oder sonstwo bekannt ist, darf niemand legal Kapital schlagen, indem er sie für seine Zwecke missbraucht. Ein Ladengeschäft ist ein öffentlich zugänglicher Bereich. Wenn der Ladenbesitzer abends nach Feierabend vergisst, seinen Laden zu verschließen, ist er dafür selbst verantwortlich. Betritt um Mitternacht jemand den Laden, so könnte er sagen "ich dachte der Laden hätte geöffnet", und mag man's ihm glauben oder nicht, er wird sich damit noch nicht strafbar gemacht haben. Das gibt ihm aber nicht das Recht, Waren aus dem Laden zu entnehmen und zu sagen "Ich dachte es wäre umsonst, weil kein Kassierer da war." Der Vergleich mit dem Scan nach Sicherheitslücken, ist aber in etwa so, als ob jemand nachts um den Laden schleicht, um nach einer Stelle zu suchen, durch die er in den Laden gelangen kann. Findet er etwa ein offenes Kellerfenster im Hinterhof und geht durch eben dieses in den Laden, dann ist er ein Einbrecher, auch dann, wenn der Ladenbesitzer dafür verantwortlich ist, die Fenster verschlossen zu halten.
Wenn jemand gezielt nach solchen Lücken sucht und dann zuschlägt, wenn er eine findet, dann ist es mit Sicherheit strafbar, weil der Täter ja nicht nach frei zugänglichen Informationen gesucht hat, sondern nach (wenn auch durch Sicherheits-Lücken in der Software fehlerhaft) geschützten Daten.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se. Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Wenn Du schon eine Wohnungstür-Analogie haben willst: Jemand der an Deiner Klinke rüttelt bricht nicht ein (Nichtdestruktiver Scan). Jemand, der Deine offenstehende Tür aufmacht und einen Schritt in Deine Wohnung macht, bricht auch noch nicht ein - er könnte immer noch Nachbar sein oder "Hallo, ist jemand da?" rufen (Nichtdestruktiver Scan, mit anschließender Information des Servereigners). Jemand, der Deine offenstehende Tür aufmacht und anfängt, Deine Schränke auszuräumen bricht ein (Angriff folgt auf den Scan) und Deine Hausratversicherung zahlt nicht, weil Du der Verpflichtung zum Abschließen nicht nachgekommen bist (Besondere Verpflichtungen zum Betrieb des Servers wurden nicht eingehalten und der Serverbetreiber hat ein Problem). Wie gesagt es ist völlig klar, dass jeder, der die Tür offen stehen lässt, fahrlässig handelt, und für Schäden selbst verantwortlich ist. Ebenso klar ist aber auch, dass der Einbrecher eine strafbare Handlung begeht, gegen die man gerichtlich vorgehen kann.
Gehen wir aber mal nicht von einem Unternehmens-Netzwerk aus, sondern von "Otto Normalverbraucher". Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner. Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt. Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen. Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen. Jeder der so argumentiert, wird als nächstes sagen, es ist legeal all diese Daten zu verändern oder zu löschen, weil sie keinen Schreibschutz hatten. Die Verwendung von Windows98 oder ME wäre noch viel schlimmer, weil diese keine Brechtigungen kennen. So könnte man argumentieren, weil Otto Windows98 verwendet, dachte ich ich darf all seine Daten löschen. Das kann es ja wohl nicht sein.
Die Analogie ist in jedem Fall falsch, weil vollkommen andere Gesetze gelten.
So völlig anders können sie nicht sein, sonst sind sie eine Farce und kein Gesetz. CU Thorsten -- Thorsten Körner | http://www.123tkShop.org openSource e-Commerce | http://www.123tk.com