Re: [FYI] Brigitte Zypries (BMJ): "Waffenschein" für Hacker-Tools und: verdeckte Ermittler im Netz

[Thomas Roessler <roessler@guug.de>]

On 2000-05-15 16:14:46 +0200, Christiane Schulzki-Haddouti
wrote:

> ich halte eine begrenzte Zulassung nicht fuer
> unvernuenftig. Es handelt sich hier immerhin ja nicht
> um ein Verbot (was deppert waere). Denn das duerfte
> zumindest die Hemmschwelle heraufsetzen und einen
> kurzen Download samt einfach mal Ausprobieren
> verhindern. Die Kryptoanalogie zieht hier IMHO nicht.

Was ist der Unterschied zwischen einer "begrenzten
Zulassung" und einem "allgemeinen Verbot mit Ausnahmen"?


Laß' mich ein Beispiel für ein "Hacker-Tool" nehmen -
tcpdump.  Das ist ein Netzwerk-Sniffer, mit dem man schon
eine ganze Menge erreichen kann - zum Beispiel anderer
Leute E-Mail, wenn sie übers gleiche Ethernet-Segment
läuft.  Und erst mit der libpcap, die diesem Tool
zugrundeliegt.

Anwendungsbeispiel gefällig?

Der Mac meiner Freundin wollte nicht über meinen
Linux-Rechner drucken.  Auf dem Macintosh herausfinden zu
wollen, was genau passiert, war illusorisch (Fehler No.
-4711), und mit der Debug-Ausgabe des LPRng konnte ich
auch nicht viel anfangen, da reichlich unübersichtlich.
Also

     # tcpdump -i eth0  -s 8192 -w ptrace port printer

eingetippt, Daten mitgeschnitten, kurz hereingeschaut -
"Ah, der Macintosh erzeugt Host- und Dateinamen mit
Umlauten und Leerzeichen".  Tischkante gebissen.

Oder: Mein Paketfilter beschwert sich, daß IP-Pakete von
192.168er-Adressen per PPP hereinkommen.  Ich benutze
selbst solche Adressen für mein internes Netz und habe sie
daher im Filter geblockt; tatsächlich sollten sie nicht im
allgemeinen Internet vorkommen, da sie für internen
Gebrauch reserviert sind.  Also: tcpdump genommen, session
aufgezeichnet, hinterher analyisert - und siehe da,
www.networksolutions.com schickt Pakete mehrfach und mit
unterschiedlichen Absenderadressen ab.  Ups.

Das ist zweifelsohne eine legitime Anwendung.  Ebenso ist
es eine legitime Anwendung, wenn ich einen "exploit", der
auf Bugtraq verteilt wird, analysiere, um zu erfahren, ob
von mir verwendete Software davon betroffen ist.  Legitim
ist auch, wenn der Quellcode von "distributed DOS"-Tools
auf bugtraq verteilt und dadurch einer Analyse leichter
zugänglich wird.

Das heißt, eine "beschränkte Zulassung" wird ebenso wie
ein Verbot vor enormen Abgrenzungsproblemen stehen, da es
sehr, sehr viele berechtigte Interessen und legitime
Anwendungen gibt, und da viele Tools, die für den einen
oder anderen wie Hacker-Werkzeuge aussehen, wichtige
Funktionen bei der Diagnose von Netzen und Systemen haben.
"Globallösungen" funktionieren nicht.


Ich glaube aber, daß das den meisten Playern auch klar
ist.


Immerhin fordert der Europaratstext zum Thema "cybercrime"
Strafbestimmungen nur dann ein, wenn entsprechende
Werkzeuge vorsätzlich dazu beschafft, entwickelt, etc.
werden, um rechtswidrig in andere Systeme einzudringen.
Dieser Vorsatz dürfte etwa bei einem "exploit" auf
bugtraq, der /tmp/gotcha mit root-Rechten erzeugt, eher
schwierig nachzuweisen sein.

Tatsächlich scheint mir eine Strafbestimmung, die an der
tatsächlichen oder versuchten Straftat ansetzt und _dann_
die Werkzeuge betrachtet, deutlich sinnvoller zu sein als
eine, die die Werkzeuge als solche und ohne Hinblick auf
eine bestimmte Zweckbestimmung betrachtet.

-- 
http://www.guug.de/~roessler/