[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [FYI] Brigitte Zypries (BMJ): "Waffenschein" für Hacker-Tools und:verdeckteErmittler im Netz
- To: debate@fitug.de
- Subject: Re: [FYI] Brigitte Zypries (BMJ): "Waffenschein" für Hacker-Tools und:verdeckteErmittler im Netz
- From: kris@koehntopp.de (Kristian Koehntopp)
- Date: 18 May 2000 16:09:01 -0000
- >Received: from valiant.koehntopp.de (valiant.koehntopp.de [195.244.233.52])by white.koehntopp.de (8.9.3/8.9.3/SuSE Linux 8.9.3-0.1) with SMTP id SAA20592for <debate@fitug.de>; Thu, 18 May 2000 18:08:00 +0200
- Comment: This message comes from the debate mailing list.
- Newsgroups: schulung.lists.fitug-debate
- References: <Pine.SOL.4.10.10005181248000.25737-100000@basta>
- Sender: owner-debate@fitug.de
In schulung.lists.fitug-debate you write:
>Gibt es hier Ansätze, den Betreiber der gefährlichen Anlagen haftbar zu
>machen, wenn er eine Konfiguration verwendet, die so eine indirekte Tötung
>prinzipiell ermöglichen? (Steuerungsanlage der Achterbahn mit
>Internetanschluß oder so...)
Faelle, in denen eine Betreiberhaftung sinnvoll waere, gibt es
auch jetzt schon ausreichend viele. Nimm zum Beispiel
(willkuerlich gewaehlte Beispiele)
white:~ # kshowmount -e rzserv2.fh-lueneburg.de
Export list for rzserv2.fh-lueneburg.de:
/pd-software (everyone)
/stadtinf (everyone)
/usr/lib/cobol (everyone)
/usr/local (everyone)
/ora-client 193.174.32.20
/user (everyone)
/usr/lpp/info (everyone)
/var/spool/mail (everyone)
/install 193.174.32.20
/u (everyone)
/u1 (everyone)
white:~ # kshowmount -e www.math.uni-augsburg.de
Export list for www.math.uni-augsburg.de:
/server (everyone)
/... (everyone)
/home (everyone)
Jede dieser Maschinen ist trivial zu oeffnen und dient dann als
Ausgangsbasis fuer weitere Angriffe auf das Netz der
betreffenden Universitaet, aber auch als Ausgangsbasis fuer
Denial Of Service Attacken. Die Betreiber dieser Maschinen
handeln grob fahrlaessig, indem sie ihre Maschinen so
konfiguriert in das Netz lassen und leisten einem Angreifer, der
eine Ausgangsbasis fuer Attacken gegen Dritte braucht, bei
seinem Angriff Beihilfe.
Bisher wird so etwas jedoch nicht juristisch verfolgt und
geahndet, daher ist der Leidensdruck bei den Serverbetreibern
nicht hoch genug. Die Betreiber haben gar kein Interesse an
Sicherheist ihrer eigenen Systeme, es ist noch nicht unrentabel,
unsichere Systeme zu betreiben.
Erst wenn der Dekan der Uni Augsburg und der Dekan der FH
Lueneburg Zahlungsaufforderungen, Vorladungen oder
Schadenersatzforderungen auf dem Tisch haben und diese
Forderungen tatsaechlich durchgesetzt werden, wird der Rest der
Netzcommunity vielleicht anfangen, nachzudenken und vor allen
Dingen nachzurechnen. Wenn Schily etwas fuer die
Rechnersicherheit in Deutschland tun moechte, dann sollte er an
einigen solcher Installationen (vielleicht auch ein paar Firmen
druntermischen) ein Exempel statuieren...
Kristian