Hadmut Danisch

Ansichten eines Informatikers

Webbrowser = Verdacht wegen Computersabotage

Hadmut
13.6.2012 9:41

Oje, oje, da sind wieder Kapazitäten in der Rechtsprechung unterwegs. Wißt Ihr, wie man erreichen kann, dass sie einem x-beliebigen Menschen das Haus durchsuchen und alles, was mit Computern zu tun hat, Computer, Monitor, Maus, Tastatur, Mobiltelefone, sogar Unterlagen, Notizzettel, Passworte, und selbst die Kabel wegnehmen?

Ein Leser weist mich gerade auf diesen Vorgang hin, in dem ein Wiesbadener Amtsrichter verfügt, dass bei einer Person, die er der Teilnahme an einem Angriff von „Anonymous” auf die GEMA verdächtigt, Haus und Fahrzeug durchsucht werden und alles, was irgendwie nach Internet aussieht, beschlagnahmt wird.

Der Verdacht stützt sich allerdings alleien darauf, dass von einer IP-Adresse, die dem Verdächtigen zugeordnet wird, auf einen Rechner der GEMA zugegriffen und dabei als Referrer eine Webseite genannt wurde, auf der JavaScript-Code für eine DDoS-Attacke herumliegt.

Was schon die Frage aufwirft, woher sie das wissen wollen, weil doch so mancher Datenschutzbeauftragte die Meinung vertritt, dass man IP-Adressen usw. als personenbezogene Daten gar nicht erst mitloggen dürfte.

Interessant ist aber vor allem, dass allein aufgrund des Zugriffes der Richter folgert:

Durch diese Handlung hat sich der Beschuldigte bewusst an der Aktion der Gruppierung „Anonymous” mit dem Ziel beteiligt, die Funktionsbeeinträchtigung der Server der GEMA herbeizuführen.

Was technisch eindeutig falsch ist. Denn beim derzeitigen Stand der Browser-Technik finden die allermeisten JavaScript-Code-Ausführungen statt, ohne dass es dem Benutzer bewusst wird und ein Wille dahintersteckt. Ohne spezielle Browser-Erweiterungen wie NoScript (aus der sie einem dann wohl noch einen zusätzlichen Strick drehen) sieht der Nutzer nicht, was an JavaScript ausgeführt wird. Jede andere Webseite könnte diese mit einbinden.

Es wäre nicht weiter schwierig, beispielsweise hier auf dieser Blog-Seite ein iframe von 1×1 Pixel unterzubringen und eine Grafik mit der Hintergrundfarbe darüberzulegen um sie unsichtbar zu machen, in dem die fragliche Webseite abgerufen wird – und schon würde jeder Besucher meiner Webseite diesen Code ausführen ohne es zu merken und zu wollen. Auch in einer E-Mail könnte man sowas unterbringen. Oder in einer der seit Twitter verbreiteten Shortlinks. Oder sonstiger Malware. Der Witz an innovativen DDoS-Attacken ist nämlich, dass die Täter sie gerade nicht mehr selbst ausführen, sondern arglose Dritte dazu bringen, sie unwissentlich durchzuführen.

Selbst wenn der Nutzer bewusst auf eine Seite geht, und sogar dann wenn er mit den Angriffen sympathisiert – heißt das noch lange nicht, dass er bewusst an diesem Angriff teilgenommen hätte. Das würde es nicht mal dann heißen, wenn das auf dieser Webseite groß und breit stünde. Denn man kann die Seite erst lesen, wenn man sie aufgerufen hat, und dann ist es schon zu spät.

Es kann also nicht nur sein, sondern ist nach dem, was in diesem Beschluss steht, sogar eher wahrscheinlich, dass der Nutzer da selbst gar nichts davon weiß und auch nicht vorsätzlich gehandelt hat.

Umso erstaunlicher ist, dass sie ihm gleich alles, was nach Computer aussieht, sogar Handy, Ladegeräte, Dockingstation, Tastatur, Maus, Monitor, Kabel, Modem, Router wegnehmen wollen. Das halte ich schlichtweg für Rechtsbeugung.

Denn die allermeisten dieser Gegenstände sind offenkundig nicht beweismitteltauglich und könnten selbst im Falle einer erwiesenen Straftat nicht als Tatmittel eingestuft werden – sonst müsste man auch den Tisch, den Stuhl, die Stromkabel aus den Wänden mit herausreissen.

Außerdem ist die Wirkung verfassungswidrig, denn immerhin gilt für den Betroffenen die Unschuldsvermutung, während die Eingriffe enorm sind. Nicht umsonst geht die Rechtsprechung schon seit längerem davon aus, dass ein Computer inzwischen zu den (zivilrechtlich) vor Pfändung geschützten Gegenständen gehört, die die Teilhabe am öffentlichen Leben ermöglichen. Zudem dient der Computer bei vielen Leuten dem Lebensunterhalt, und kann auch nicht einfach ersetzt werden, wenn die Daten weg sind.

Fragwürdig ist, dass das auf §§ 102, 105 StPO gestützt wird, denn 102 erlaubt die Hausdurchsuchung nur für die Ergreifung der Person und die Suche nach Beweismitteln, nicht für die Beschlagnahme von Einziehungsgegenständen. Zwar sagt der § 111b in Absatz 3 ausdrücklich, dass Gegenstände durch Beschlagnahme für eine spätere Einziehung sichergestellt werden können und dabei die §§ 102-110, also auch die Hausdurchsuchung anzuwenden ist, aber eben nach § 111b nur dann, wenn dringende Gründe dafür sprechen. Weder ist hier ein dringender Tatverdacht gegeben, noch wäre nachvollziehbar, dass es überhaupt zu einer Einziehung von Kabeln und einer Maus kommt oder ein Mobiltelefon (!) zu einer DDoS-Attacke genutzt worden wäre, zumal die IP-Adresse zum Festnetz gehört, was klar gegen eine Nutzung des Mobiltelefons spricht.

Besonders kritisch sehe ich außerdem die Wegnahme von Handy und Router. Bei mir würden damit sämtliche Telefonverbindungen – Festnetz und Mobil – wegbrechen, ich könnte nicht einmal mehr telefonieren, etwa um im Notfall die Feuerwehr, Polizei oder Notarzt zu rufen. Man könnte auch keinen Anwalt mehr rufen, um sich gegen eine unberechtigte Durchsuchung und Beschlagnahme zu schützen. Jemandem, der nicht verurteilt ist und gegen den man keine Untersuchungshaft verhängt hat, auf diese Weise von der Telekommunikation abzuschneiden ist verfassungswidrig, es gibt nämlich im Strafermittlungsverfahren kein Recht, Telekommunikation zu unterdrücken. Das ist nur in ganz wenigen explizit gesetzlich geregelten Fällen wie Insolvenzverfahren und Vormundschaft möglich.

Weil man heute aber praktisch jeden Internet-Nutzer dazu bringen kann, unwillentlich jede beliebige Webseite zu besuchen, kann das also jedem braven Bürger passieren.

Was mich dabei verwundert ist, dass das BKA daran beteiligt war. Denn bei der Besprechung zum Thema Kinderpornosperre damals im BKA war allen, auch dem BKA, klar, dass etwa die Zugriffe auf den von von der Leyen geforderten STOPP-Server nicht für Strafverfolgung zu gebrauchen wären, weil man jeden Nutzer dazu bringen kann, etwa über solche versteckten Links, verbotene Seiten zu besuchen.

Es könnte natürlich sein, dass sie noch andere Kenntnisse haben, die den Zugriff an sich rechtfertigen würden. Ein Durchsuchungsbeschluss muss aber so abgefasst sein, dass er für sich alleine auf Richtigkeit zu prüfen ist. Und ein Verweis auf Aktenlage usw. ist nicht enthalten. Also muss man auch nicht vermuten, dass es wundersame Hintergrundinformationen gibt.

Ich halte diesen Beschluss für rechts- und verfassungswidrig.

Und für eine Folge des Glaubens der Juristen, dass ein Jura-Studium einem einfach zu allem befähigen würde. Wir brauchen dringend Fachjuristen, die sich mit Technik auskennen.

Nachtrag: Die Durchsicht von Papieren (und dazu gehören auch Passwort-Zettel) ist nach § 110 StPO nur der Staatsanwaltschaft gestattet, wenn der Betroffene nicht einwilligt. Müsste eigentlich entsprechend auch für Festplatten gelten.

35 Kommentare (RSS-Feed)

Karl Marx
13.6.2012 12:14
Kommentarlink

Der Anfangsverdacht der Computersabotage ist entstanden, weil der Betroffene, der – unstrittig – über seine IP identifiziert wurde und von dessen Recher aus bestimmte Seiten der Geschädigten abgerufen wurden, dies ausgehend von einer auf pastehtml.com abgelegten Seite unternommen hat. Das verdachtsauslösende Moment ist also hier der übermittelte Referrer und nicht – wie wwwut suggeriert – die Tatsache, dass im Browser JavaSkript eingeschaltet ist.

(Empfehlung: Wer die Entstehung eines solchen Anfangsverdachts vermeiden möchte, surft ohne Referrer. Aber auch sonst hat wohl kein Surfer ein Interesse daran, dass der Referrer übermittelt wird und ein technisches Erfordernis zur Übermittlung besteht schon gar nicht.)

Leider ist der konkrete Inhalt der im Beschluss des AG Wiesbaden genannten pastehtml.com-Seite nicht genannt. So ist es nicht klar, ob der Angriff beim Besuch der Seite direkt und ohne weitere Nutzerintervention erfolgt, oder ob der Besucher etwa auf einen Button mit der Beschriftung “Ja, ich möchte JETZT einen strafbaren Angriff auf die GEMA starten!” klicken musste, um mal die möglichen Extreme zu nennen. Im ersten Fall wäre natürlich anzunehmen, dass der Besucher und sein Rechner nur willenlose Werkzeuge sind, während im zweiten Fall die Durchsuchung wohl zu akzeptieren ist.


Hadmut
13.6.2012 12:41
Kommentarlink

Der Referrer sagt nur, dass der Browser vorher auf der Seite war. Er sagt nicht, dass der Benutzer das bewusst wahrgenommen hat.

Kann ja auch durchaus sein, dass die Seite so gebaut ist, dass man willentlich draufhauen muss. Aber dann muss das im Beschluss erwähnt werden, worauf sich der Verdacht begründet.


Jakob
13.6.2012 13:12
Kommentarlink

Die Speicherung der IP-Adressen von Webseitenbesuchern ist vielleicht im Normalbetrieb aus Datenschutzgründen nicht zulässig. Während eines laufenden DDOS-Angriffs hat der Betreiber jedoch ein berechtigtes Interesse daran, die IP-Adressen der Angreifer zu erfassen um diese in der Firewall zu sperren oder eine Strafverfolgung in die Wege zu leiten.

Das Sperren des Referers hilft übrigens auch nicht gegen den Verdacht, da man in den meisten Fällen auch allein anhand der Anfrage und der Häufigkeit der Anfragen zwischen normalen Zugriffen auf eine Webseite und der Teilnahme an einem DDOS-Angriff unterscheiden kann. Und wenn festgestellt wird, dass von einem Anschluss aus an dem Angriff teilgenommen wurde, dann ändert der fehlende Referer nichts an dem Verdacht gegen den Anschlussinhaber.


HF
13.6.2012 15:04
Kommentarlink

Aufrüstung beginnt im Kopf, auch bei Juristen. Wenn immer von Cyberwaffen und Cyberkrieg gesprochen wird, wird das Tatwerkzeug zur Waffe. Bei Waffengebrauch kennt das Strafrecht kein Pardon.


anon
13.6.2012 15:44
Kommentarlink

Wieder ein Grund mehr Anonymisierungsdienste zu benutzen.

Was mich wundert, Hadmut, ist, dass dich das wundert. Also ich habe nichts anderes erwartet.


Karl Marx
13.6.2012 16:35
Kommentarlink

@Hadmut: Es sei eine Seite eingerichtet worden, „auf der durch den Besucher […] eine DDoS-Atacke gestartet werden konnte.” (Beschluss des AG Wiesbaden) Das klingt danach, dass nach dem Abruf eine Benutzeraktion erforderlich war, um den Angriff zu starten. Und das klingt für mich nicht danach, dass diese Benutzeraktion ohne Wissen und Wollen des Besuchers möglich war. Vieleicht kann ja irgendjemand diese Seite oder einen Screenshot davon auftreiben, um hier Klarheit zu schaffen.

@Jacob: Im vorliegenden Fall wurde der Beschluss damit begründet, dass der Betroffene eine Seite aufgerufen habe, „auf der durch den Besucher […] eine DDoS-Atacke gestartet werden konnte”. Diese Information wurde im Referrer an den Server übertragen. Ohne diese Information (mit abgeschaltetem Referrer) hätte der vom Gericht vorgebrachte Anfangsverdacht gegen den Betroffenen nicht vorgelegen.

Dass schon eine hohe Zahl oder eine hohe Frequenz von Seitenabrufen für sich genommen einen Anfangsverdacht gegen den betreffenden Kunde begründet, wage ich zu bezweifeln. Mir sind jedenfalls keine derartigen Beschlüsse bekannt.


Ralf Muschall
13.6.2012 18:51
Kommentarlink

Ich denke nicht, dass die weitreichende Beschlagnahme durch Unwissenheit verursacht ist. Es geht wohl eher darum, Angst zu verbreiten, und das erreicht man am besten dadurch, dass man die Betroffenen massiv schädigt und arbeitsunfähig macht.


Stefan H
13.6.2012 18:59
Kommentarlink

Wer die Website besucht, findet einen Button mit der Bezeichnung “Feuer FREI!!” Sogar mit freier Eingabe der anzugreifenden URL.
Daher kann ich den Beschluss grundsätzlich nachvollziehen.

Dass die IP-Adressen gespeichert wurden könnte man auf die Tatsache zurückführen, dass der Angriff angekündigt war, und die Seitenbetreiber sich deshalb vorbereiten konnten.

Was die Wegnahme von Router, Handy etc. angeht so stimme ich dir vollkommen zu.


Hadmut
13.6.2012 19:52
Kommentarlink

@stefan: Kann man trotzdem unterjubeln. Nehmen die dazu nur POST oder auch GET?


Jan
13.6.2012 19:23
Kommentarlink

Das Amtsgericht Wiesbaden hat beschlossen, dass eine DDoS-Attacke gestartet werden konnte? Toll, was die so beschließen, vielleicht hätten sie untersuchen sollen was da war, statt zu beschließen was da sein soll.


Stefan H
13.6.2012 20:08
Kommentarlink

Zumindest dürfte in diesem Fall nichts untergejubelt worden sein. (Jedenfalls startet das JS in seiner derzeitigen Form erst nach aktivem Benutzerwunsch.

Wenn ich das auf die Schnelle richtig verstanden hab, wird mittels JS versucht, ein Image von der betreffenden URL herunterzuladen, genutzt wird dazu Jquery ajax –> in diesem Fall get

Ich habe jetzt aber nur schnell drüber geschaut, mich daher bitte nicht kreuzigen, sollte ich mich irren.


aladin
13.6.2012 20:30
Kommentarlink

>die Betroffenen massiv schädigt und arbeitsunfähig macht

Bin mal gespannt, ob man gleiches auch bei der Operation “Fliegender Teppich” noch zu sehen bekommt. Vermutlich aber eher nicht. Ja, ja, keine Gleichheit im Unrecht – aber das hat schon irgendwie Methode (wäre ja nicht das erste Mal in so einem Umfang).

Unabhängig davon verlassen die mit solchen Aktionen gerade selbst die Rechtsstaatlichkeit – quasi ein Judikativ/Exekutiv-Exzess.


Karl Marx
13.6.2012 21:28
Kommentarlink

@Jan: Nein. Das AG Wiesbaden hat nicht „beschlossen“ sondern festgestellt, dass dort eine DDoS-Attacke gestartet werden kann/konnte. Ich habe mir die pastehtml-Seite gerade mal angeschaut: Da steht tatsächlich “FEUER FREI !!!”.

Beschlossen hat das AG die Durchsuchung.

Unter http://anonnewsde.tumblr.com/ wird gemeldet, dass zwei Varianten im Umlauf gewesen sein sollen. Die beiden Varianten kann man natürlich über den Referrer unterscheiden. Es ist wohl ausgeschlossen, dass jemand mit dem Referrer auf die Seite mit dem “FEUER FREI”-Button nicht mit Wissen und Wollen auf denselben gedrückt hat.


Josh@_[°|°]_
13.6.2012 22:04
Kommentarlink

Passt wohl recht gut: http://www.internet-law.de/2012/06/unverhaltnismasige-beschlagnahme-von-festplatten.html

Zum Referrer: Manche Seite funktionieren nicht mehr, wenn man ihn komplett ausschaltet, etwa Foren, die von Disqus Gebrauch machen, diverse Boards, ‘n stuff. 😉

Für den Firefox gibt es das dufte Add-On RefControl, mit dem man seitenweise justieren kann, oder man setzt das Ding auf [forge], so erhält der angebrauste Server stets die Info, man sei bereits dort gewesen.

JavaScript grundsätzlich aus und nur bei echtem Bedarf einschalten ist IMHO immer eine gute Idee. Weiß ja nicht wie es Euch geht, mir als fast-nur-Leser fehlt dadurch beinahe nie etwas, im Gegenteil: Läßt man etwa bei der New York Times alles zu, dann gelangt man flugs auf die “Nur gegen Kohle”-Anmeldeseite. Hat man es verboten, so kann man quasi alles und in Ruhe lesen. 🙂


arc
14.6.2012 0:09
Kommentarlink

“weil der Betroffene, der – unstrittig – über seine IP identifiziert wurde”
Unstrittig für wen?
u.a. http://www.heise.de/ct/artikel/Unschuldig-unter-Verdacht-291506.html oder
http://www.heise.de/ct/artikel/Schwierige-Gegenwehr-1069835.html

Weitere gleichlautende Beschlüsse sind im Spiegel-Artikel verlinkt
http://www.spiegel.de/netzwelt/netzpolitik/anonymous-attacke-gegen-gema-fuehrt-zu-hausdurchsuchungen-a-838656.html


yasar
14.6.2012 8:20
Kommentarlink

Leute, Ihr geht davon aus, daß das Javascript nur dann losgeht, wenn der betreffende draufklickt.

Aber das ist ein computer vor dem Ihr da sitzt. es ist ohne weiteres möglich, jemandem etwas unterzuschieben, daß so tut, als ob derjenige auf diesn Knopf geklickt hat, ohne daß der Benutzer etwas davon weiß. Mit ein bischen Erfahrung dürfte es nur eine Sache von Minuten sein, sich ein Script zusammenzubasteln, der diese Attacke durchführt und den “korrekten” referrer angibt, ohne daß der Benutzer interagieren muß.

Und bevor forensische Untersuchungen gelaufen sind, ist das unmöglich zu unterscheiden. Und für diese Forensischen Untersuchungen benötigt man kein Handyladekabel und auch keinen Router, zumal die meisten Heim-Router Ihre Logs verlieren, sobald sie aus sind und Kabel meines wissens selten Logs führen.


Hadmut
14.6.2012 9:32
Kommentarlink

zu yasar: Viele unterstellen ohnehin, dass es eine direkte Verbindung von Mausbewegung/-klick zu Seitenausführung gibt, weil das Mensch-Maschine-Interface mit Maus und Mauszeiger natürlich ergonomisch darauf ausgelegt ist, dem Menschen den Gebrauch eines normalen Werkzeuges vorzugaukeln, wie ein Hammer, mit dem man einen Nagel in die Wand schlägt.

Tatsächlich aber ist es aber nicht die Maus, sondern der Computer, der JavaScript ausführt, ohne Kontrolle des davor sitzenden Menschen. Maus und JavaScript-Ausführung haben miteinander überhaupt nichts zu tun, ausser dass eben der Browser einen interpretativen Zusammenhang herstellt.

Das führt zu dem Irrtum zu glauben, dass die Webseite nur dann losgeht, wenn man draufklickt, so wie der Nagel ja auch nicht von selbst in die Wand rutscht. JavaScript wird aber nicht mechanisch durch Mausbewegungen ausgeführt. Also kann der Computer jederzeit das tun, was da steht.

Oder er kann auch ohne die Webseite besucht zu haben und ohne überhaupt einen Browser auszunutzen per Malware angreifen und als Referrrer die Seite angeben, damit man glaubt, es beruhe nicht auf Malware.

Und nur weil auf der Webseite ein Button „Los geht’s” ist, heisst das ja noch lange nicht, dass das nur so abläuft.


Mario S
14.6.2012 9:12
Kommentarlink

Ob es in diesem Fall “dem Browser unwissend untergejubelt” wurde oder nicht, geht aus den bisher genannten Quellen nicht hervor. Unter

http://www.spiegel.de/netzwelt/netzpolitik/anonymous-attacke-gegen-gema-fuehrt-zu-hausdurchsuchungen-a-838656.html

werden die Angriffe auf die GEMA-Webseite auch thematisiert. Hier ist ein interessanter Absatz zu lesen: “Andere haben für den Vorwurf, ebenfalls hinter den Gema-Attacken zu stecken, gar keine Erklärung.” Entweder, diese Personen spielen das Unschuldslamm (was ihr gutes Recht ist, nicht dass ich falsch verstanden werde), oder aber sie wissen tatsächlich nicht, was da passiert ist und was sie mit dieser Sache zu tun haben sollten. Ich halte Hadmuts Einwand in diesem Punkt daher für berechtigt, zumal das Unterschieben fremden JavaScript-Codes mit etwas HTML nun wirklich kein besonders tiefes Fachwissen benötigt.

Abgesehen davon halte ich das von Hadmut angeführte Zitat aus dem Durchsuchungsbeschluss für unagemessen, in meinen Augen ist es sogar eine Unverschämtheit: “Durch diese Handlung hat sich der Beschuldigte bewusst an der Aktion […] beteiligt […].” Auch, wenn mir jetzt vielleicht zahlreiche Juristen widersprechen werden: Für den Beschuldigten gilt die Unschuldsvermutung. Der Beschuldigte **hat** sich nicht beteiligt, er **soll** sich beteiligt haben. Von “bewusst”, also von Gewissheit, kann zur Zeit noch gar keine Rede sein. Genau das – die Beteiligung und der Vorsatz – soll ja in diesem Verfahren geklärt werden. Diese Formulierung klingt fast wie eine Vorverurteilung. Und ich dachte, Juristen würden so großen Wert auf eine präzise formulierte Sprache legen?


Karl Marx
14.6.2012 11:46
Kommentarlink

@arc: „Unstrittig“: Dein erster Link zeigt auf einen Fall aus 2008, wo wohl der Provider einen Fehler bei der IP-Kunde-Zuordnung gemacht hat. Ein solcher Fehler wurde im aktuellen Fall von niemandem behauptet.

Dein zweiter Link betrifft Tauschbörsen-Fälle. Hier sind wohl (ich habe die Seiten wirklich nur ganz oberflächlich angelesen, korrigier mich bitte, wenn ich was völlig falsches reininterpretiere) Erfassungsfehler beim Dienstleister für die Rechteinhaber passiert. Das ist mit dem GEMA-DDoS nicht vergleichbar, weil hier Webserver-Logs vorliegen.

Was der SPIEGEL-Artikel mir genau sagen soll, ist mir nicht klar.

@yasar: Es ist unerheblich was man alles programmieren könnte. Der Vorwurf der Staatsanwaltschaft ließe sich nur dadurch entkräften, dass man nachweist, dass es bereits 2011 ein solches Skript gab. Nach meinem Kenntnisstand lässt sich der Referrer nicht netzseitig fälschen.

@Mario S: Ich versteh denn Sinn des Unterschiebens nicht. Da liegt unter pastehtml.com/view/axt2b0nlz.html eine duchgestylte Website mit dem Fawkes-Konterfei und bietet einen dicken Button mit der Inschrift “Feuer Frei!” an. Ihr URL befindet sich in den Referrer-Logs der GEMA. Wieso sollte jemand um diese Seite herum eine weitere Programmierung vornehmen, die zum Zweck hat, dass der Betroffene eine Aktion auslöst, von der er nicht weiß, dass er eigentlich auf den Feuer-Frei-Knopf gedrückt hat?

@Hadmut: In einem anderen Tab habe ich die pastehtml-Seite jetzt einige Minuten offen. Ich kann dir versichern: Von allein hat ist der Nagel noch nicht in die Wand gerutscht.


Hadmut
14.6.2012 11:51
Kommentarlink

@Karl Marx: So ein Quatsch! Natürlich lässt sich der Referrer fälschen, man kann in den HTTP-Request reinschreiben, was man will.

Und der Sinn und Zweck, Leute dazu zu bringen, ohne ihr Wissen an einer DDoS-Attacke teilzunehmen, ist ja der Sinn und Zweck einer DDoS-Attacke, das machen auch sehr viele sogenannte Bots. Das passiert hunderte von Millionen Male.

Und das böse Skript muss auch nicht auf der Seite selbst sein, sondern wäre nach dem Prinzip sowieso irgendwo anders untergebracht, z. B. in einer gekaperten Seite auf Facebook oder irgendeiner Spam-Mail. Es geht nicht darum, dass Du auf der Angriffsseite bist, sondern irgendwo anders. Hier auf dieser Blog-Seite könnte man beispielsweise Code versteckt haben, der im Hintergrund diese Seite aufruft.

Du scheinst kaum Ahnung von der Sache zu haben, aber daran die Wahrheit festmachen zu wollen. Du hast technisch überhaupt nicht verstanden, wie das abläuft.


Karina
14.6.2012 13:25
Kommentarlink

Was heisst da eigentlich Gschädigter? Die Gema-Seite ist fast nur PR. Da ist doch niemand geschädigt, wenn die mal ein paar Stunden nicht erreichbar ist. Und wenn jemand ein Formular gebraucht hat um der Gema zu sagen welche Musik er benutzt, der kommt ein paar Stunden später nochmal vorbei, wenn es nicht geklappt hat. Bis dahin haben die den vorliegenden Stapel eh noch nciht abgearbeitet. Wenn der Mail-Server betroffen war, so fortschrittlich ist die Gema nicht dass die viel mails schreiben, da entsteht auch kein nenennswerter Schaden. Wenn die nicht arbeiten konnten, wie in den Kommentaeren gesagt wird, würde das ja bedeuten dass der gesamte Workflow über den Webserver läuft. So dumm wird doch nichtmal die Gema sein, oder?

Nur die Sabotage, senn absichtlich, kann es ja wohl nicht sein. Diese ganzen Gesetze sabotieren mich ständig, dafür kann ich auch keinen bestrafen.


Hadmut
14.6.2012 14:16
Kommentarlink

Quatsch. Niemand muss sich seine Webseite angreifen lassen, und wenn sie noch so nutzlos ist.


Mario S
14.6.2012 14:19
Kommentarlink

@Karl Marx: Wenn man keine Ahnung hat… Sie haben jedenfalls keine, sonst wäre ihre Terminologie präziser!

Das bisher (!) niemand einen Fehler bei der IP-Zuordnung behauptet hat, heißt ja nicht, dass deswegen die IP-Zuordnung fehlerfrei gewesen sein muss. Es sei denn, Sie hätten eine funktionierende Kristallglaskugel und könnten in dieser sehen, mit welchen Argumenten der Beschuldigte sich zukünftig verteidigen wird und was noch alles in den Akten steht.

Es handelt sich hier auch nicht um “weitere Programmierung”, sondern um höchstens eine Zeile HTML. Vielleicht noch ein oder zwei weitere, wenn man es besser verstecken will.

Der Referrer ist sehr einfach zu manipulieren. (“Fälschen” ist hier irgendwie kein so gutes Wort, finde ich). Selbst die Absender-IP, auf deren Grundlage die Durchsuchung angeordnet wurde, könnte theoretisch “gefälscht” worden sein. Der Aufwand für’s IP-Spoofing ist zwar deutlich höher, aber die Möglichkeit besteht. Dass die Antwortpakete hier dann garantiert ins Leere laufen würden, dürfte im Rahmen des DDoS-Angriffs sogar belanglos sein, denn die Antwort des angegriffenen Servers interessiert ja gar nicht.

Aber verlassen wir die Kristallkugel:

Es geht gar nicht darum “welchen Sinn dieses Unterfangen” hätte, erst recht geht es nicht darum, dass Sie es “nicht verstehen”. Es geht ausschließlich darum, dass es möglich ist:

Punkt 1: Es ist möglich (!) dass der Benutzer nicht aktiv irgendwohin geklickt hat und sich nicht vorsätzlich oder gar wissentlich an dem Angriff auf die GEMA beteiligt hat.

Punkt 2: Es scheint (!) Nutzer zu geben, die beschuldigt werden, aber sich nicht erklären können, warum (siehe meinen Link zum Spiegel).

Punkt 3: Verdächtige gelten bis zu einem rechtskräftigen Urteil als unschuldig.

Die logische Schlussfolgerung daraus ziehen Sie bitte selber. Und einige dieser Schlussfolgerungen hätte der Ermittlungsrichter bereits bei Ausfertigung des Durchsuchungsbeschlusses berücksichtigen müssen. Allein darum geht es!


Hadmut
14.6.2012 14:22
Kommentarlink

…zumal es inzwischen einige Techniken gibt, Webseiten so übereinander zu legen, dass jemand glaubt, was ganz anderes anzuklicken.

Die Angriffsmethode, Leute auf diese Weise zum Anklicken von was anderem zu bringen, gab’s letztens auch irgendwo. Funktionierte irgendwie mit Layern.


Mario S
14.6.2012 14:27
Kommentarlink

@Hadmut: Du meinst wahrscheinlich die Diskussion um “Abofallen” im GPRS/UMTS-Netz, in denen unter harmlosen Werbebannern die “Bestätigung” des Abos zu sagenhaft günstigen 3,99 pro Monat versteckt ist…


yasar
14.6.2012 14:54
Kommentarlink

@Karl Marx: Wieso gehst Du davon aus, daß Angreifer sich brav an Regeln halten, z.B. der Bankräuber im Auto hält sich an Verkehrregeln bei der Verfolgungsfahrt? Ein Referrer ist überhaupt nicht kryptografisch oder sonstwie gesichert. Da kann ich al Angreifer sagen, was ich will (oder auch nicht).


Karl Marx
14.6.2012 18:52
Kommentarlink

@Hadmut: Ich habe nicht behauptet, dass es nicht möglich ist, den Referrer zu fälschen. Ich habe nur behauptet, dass der Referrer netzseitig, also durch einen Inhalteanbieter, nicht gefälscht werden kann. Aber bitte beantworten Sie doch mal die Frage, wer an einer solchen Fälschung ein Interesse haben könnte. Ich sehe niemanden und auch kein passendes Motiv.

Auch halte ich es für plausibel, dass sich hier einfach Leute – möglicherweise ohne sich der Strafbarkeit bewusst zu sein – zufällig aber eben willentlich an der Sabotage der GEMA beteiligt haben.

Bots: Es gibt derzeit einfach keinen Hinweis auf solche Bots.

„Hier auf dieser Blog-Seite könnte man beispielsweise Code versteckt haben, der im Hintergrund diese Seite aufruft.“ In einem solchen Falle würde diese Seite (oder keine) in den Referrer-Logs der GEMA auftauchen.

Mir ist keine Methode bekannt, wie man netzseitig den Referrer ändern kann.

Mario S.: „Das[s] bisher (!) niemand einen Fehler bei der IP-Zuordnung behauptet hat, heißt ja nicht, dass deswegen die IP-Zuordnung fehlerfrei gewesen sein muss.“ Solange kein Indiz für eine falsche Zuordnung vorliegt, gibt es keinen Grund anzunehmen, hier läge einer vor.

„Der Referrer ist sehr einfach zu manipulieren.“ Der lokale Benutzer kann das. Sie als Seitenanbieter können Ihren Besuchern nicht beliebig den Referrer vorgeben (von Sonderfällen wie rel = “noreferrer” abgesehen).

Aber Sie haben meine Argumentation auch nicht verstanden. Wer genau soll ein Interesse daran haben den Referrer auf den Wert http://pastehtml.com/view/axt2b0nlz.html zu ändern? Legen Sie doch mal ein nachvollziehbares Szenario vor! Das passt doch hinten und vorn nicht zusammen.

(IP spoofing: pastehtml verwendet XHR, also HTTP das läuft über TCP).

„Punkt 1: Es ist möglich (!) dass der Benutzer nicht aktiv irgendwohin geklickt hat und sich nicht vorsätzlich oder gar wissentlich an dem Angriff auf die GEMA beteiligt hat.“ Es ist möglich, aber nicht plausibel. Plausibel ist, dass mit dem Rechner des Betroffenen die pastehtml-Seite abgerufen wurde und der Betroffene auf “FEUER FREI!!!” geklickt hat.

„Punkt 2: Es scheint (!) Nutzer zu geben, die beschuldigt werden, aber sich nicht erklären können, warum (siehe meinen Link zum Spiegel).“ Wieviele von den 106 Betroffenen sind das? (Ich such mir das jetzt nicht raus, noch haben wir kein Leistungssschutzrecht, Sie dürfen also kurze Zitate bringen).


Hadmut
14.6.2012 18:56
Kommentarlink

@Karl Marx: Mehrfach falsch. Erstens gibt es keinen Beweis, dass es überhaupt der Browser mit diesem JavaScript war. Kann man trivial durch Malware nachahmen.

Zweitens kann man durchaus den Referrer fälschen, indem man den Browser veranlasst, diese Seite im Hintergrund zu besuchen und transparent anzuklicken.

Drittens hätten die, die dahinterstecken, ein Interesse daran.

Viertens ist das alles überflüssig, weil das im Beschluss stehen müsste.


Karl Marx
14.6.2012 19:03
Kommentarlink

yasar Wer genau ist bei dir “Angreifer”? Ich sehe hier das Opfer (die GEMA) und die von den Durchsuchungen Betroffenen. Die Arbeitshypothese der Behörden ist, dass die Betroffenen die Angreifer sind. Welches Interesse sollen diese Betroffenen haben, den Referrer gerade auf den pastehtml-URL zu ändern?

Andere, also solche, die nicht Opfer und nicht Betroffene sind, haben keine Möglichkeit den Referrer, die die Browser der Betroffenen übermitteln, zu ändern. Für den konkreten Nachweis des Gegenteils mithilfe von Codebeispielen oder Links zu solchen ist Hadmut Danisch sicherlich einverstanden, oder nicht?


Karl Marx
14.6.2012 19:34
Kommentarlink

Hadmut: „Malware nachahmen.” – Warum sollte der Malware-Autor ausgrechnet den Referrer genau auf einen URL setzen, unter dem dieselbe Funktionalität JavaSkript-mäßig verfügbar ist? Damit die Mitarbeiter von der GEMA den Eindruck gewinnen, die Betroffenen würden auf den “FEUER FREI!!!”-Button klicken?

„Zweitens kann man durchaus den Referrer fälschen, indem man den Browser veranlasst, diese Seite im Hintergrund zu besuchen und transparent anzuklicken.“ – Wozu der Aufwand? Das kann man einfacher haben, indem man die pastehtml-Seite bearbeitet und die Notwendigkeit zu klicken entfernt. Wenn ich das richtig gelesen hatte, gab es eine solche Seite auch, aber keinen Durchsuchungsbeschluss, der diese Seite als Referrer nennt.

„Drittens hätten die, die dahinterstecken, ein Interesse daran.“ – Woran? Die Betroffenen in die Pfanne zu hauen? Es so erscheinen zu lassen, als müsste jeder vernünftig denkende Außenstehende annehmen, die Betroffenen selbst hätten die Attacke ausgeführt?


Hadmut
14.6.2012 19:53
Kommentarlink

Hör endlich auf mit dem Quatsch. Ich kann solches Kommentar-Ping-Pong nicht leiden. Du hast doch eigentlich keine Ahnung und erwiderst immer nur, indem Du alles anzweifelst. Das ist Trollerei.

Außerdem ist der Verdacht und nicht die Unschuld zu beweisen. „Warum sollte…” ist kein Argument um eine Alternative auszuschließen.


Karina
14.6.2012 20:04
Kommentarlink

> Niemand muss sich seine Webseite angreifen lassen, und wenn sie noch so nutzlos ist.

Nein, aber wenn kein Schaden entstanden ist, zum Beispiel kein Verdienstausfall, woher nehmen die dann die Berechtigung für Durchsuchungen und Festnahmen? Das ist meines Erachtens maximal eine Ordnungswidrigkeit. Aber bei der Gema, die sich benimmt und behandelt wird wie eine Behörde, packt man gleich den Vorschlaghammer aus


Hadmut
14.6.2012 20:17
Kommentarlink

@Karina: Steht im Beschluss. Versuch bzw. untauglicher Versuch. Ist in Deutschland bei vielen Straftaten ebenfalls strafbar.


DavidXanatos
14.6.2012 21:41
Kommentarlink

@Karl Marx

“„Drittens hätten die, die dahinterstecken, ein Interesse daran.“ – Woran? Die Betroffenen in die Pfanne zu hauen? Es so erscheinen zu lassen, als müsste jeder vernünftig denkende Außenstehende annehmen, die Betroffenen selbst hätten die Attacke ausgeführt?”

genau, darum geht es, wen man genug unschildige mit in die pfanne haut, kus der staat zwangsläufig die echten shculdigen auch wne sie ganze 90% des haufens ausmachen mit frei laufen lassen, da eben die unschuldigen in die pfanne gehauenen 10% vonden schuldigen 90% technisch nicht zu unterscheiden sind.

Das ist doch eine ganz einleuchtende Taktik.

David X.


gemaodagemanich?
24.6.2012 12:28
Kommentarlink

@Karl Marx:

Sie fragen allen Ernstes, welches Interesse ein Täter haben könnte, falsche Spuren zu legen und damit den Verdacht auf Unschuldige zu lenken? Das ist nämlich genau das hier beschriebene Szenario. Können Sie sich nicht vorstellen, dass besagte Seite nur aus dem einfachen Grund gebaut wurde, um eine “Tatwaffe mit Fingerabdrücken” präsentieren zu können?