Hadmut Danisch

Ansichten eines Informatikers

Lächerliche Einstufung als Hacker

Was ich da nun gerade auf dem Heise Newsticker gelesen habe, spottet mal wieder jeder Beschreibung: Ein Anti-Spam-Aktivist sei von einem US-Gericht zu einer Strafe von 60.000 US-Dollar verurteilt worden. (Wobei ich in gewissen Kreisen auch als Anti-Spam-Aktivist zähle, insofern ist es durchaus bedrohlich.) Wofür er verurteilt wurde, ist einfach lächerlich und zeigt den Zustand der Justiz:

  • Er hat einen Proxy verwendet.
  • Er hat ein UNIX-Betriebssystem verwendet. (Wurde das Gericht von Microsoft geschmiert?)
  • Er hat einen Shell-Account eingesetzt. (Was? Nicht nur UNIX, sondern auch noch einen Account?)
  • Er gab sich als Mail-Server aus. (Wie gibt man sich denn als Mail-Server aus? Indem man SMTP benutzt?)
  • Er hat den UNIX-Befehl “host -l” benutzt. Deshalb sei er ein Hacker, weil dieser Befehl dem normalen Anwender nicht bekannt sei. (Ach, du meine Güte. Ich benutze zwar nie host -l, sondern bevorzuge dig axfr um genau das gleiche zu tun. Aber was mache ich, wenn das dem normalen Anwender auch nicht bekannt ist?)

Jetzt aber mal im Ernst: Das ist in höchstem Maße bedenklich, wie da fachkundige Leute bekämpft und mit Zwang auf “Normalbenutzer-Niveau” gedrückt werden, nicht unähnlich unserem Hackertool-Verbot. Erschreckend auch das unglaublich hohe Maß an Inkompetenz, das dieses Gericht da gehabt haben muß. Da wird mit Wahnsinn das Standardschema Industrie-gewinnt-gegen-Bürger durchgesetzt.

Technische Anmerkung:

  1. Wenn die ihren DNS-Server nicht gegen Zonentransfers abdichten, dann sind die selbst schuld und sollten sich mal über ihre Administration Gedanken machen.
  2. Wenn ein Zonentransfer deren Infrastruktur so sehr gefährdet, dann ist bei denen sowieso allerhand faul. Security by Obscurity ist sowieso eine Katastrophe.

In Kürze gibt’s von mir auch was in der Art, zu einem deutschen Gericht…

(Nachtrag: Man muß sich mal das Urteil durchlesen, was da geurteilt wurde, als HTML oder als Fax (PDF).)


3 Kommentare (RSS-Feed)

BlueLion
19.1.2008 21:06
Kommentarlink

Ich habe das Urteil mal durchgelesen, und sehe die Sache schon etwas kritischer – offenkundig hat sich Ritz Zugang zu vertraulichen Informationen verschafft, wozu er nicht autorisiert war, diese Informationen veröffentlicht (und damit beträchtlichen wirtschaftlichen Schaden verursacht). Darüberhinaus hat er laut Urteil den Betrieb des Providers massiv gestört. Daß die Security-Vorkehrungen von Sierra unzureichend waren, steht auf einem anderen Blatt. Es ist m.E. auch nicht von Belang, mittels welcher technischen Spezifika Ritz hier agiert hat. Fakt bleibt, daß er – wissentlich – dieses Unternehmen stark geschädigt hat.
Als Beschäftiger in der IT-Industrie betrachte ich das als kein Kavaliersdelikt.


Hadmut
19.1.2008 21:23
Kommentarlink

Naja, das ist eben die Frage, ob es so “offenkundig” war.

Zunächst mal ist das Urteil in sich so unstimmig, daß ich mir nicht vorstellen kann, daß die Fehler erst nach den Findings of Facts anfangen. Das Gericht hatt offenbar ein paar Sachen technisch nicht wirklich verstanden, und ob unter diesen Umständen die Facts richtig festgestellt werden konnten, wage ich zu bezweifeln.

Wenn man einen Zonen-Transfer allein deshalb als “unauthorized” hinstellt, weil Microsoft das so hinstellt, dann habe ich da ganze erhebliche Zweifel. Ob etwas “unauthorized” ist, müßte rechtlich untersucht werden und kann nicht einfach deshalb als unerlaubt hingestellt werden, weil Microsoft es nicht paßt. DNS-Daten im öffentlichen Internet sind zunächst mal per se für die Veröffentlichung gedacht. Warum allein ein anderer Query-Typ die Abfrage rechtswidrig machen soll, erschließt sich mir nicht. Das erscheint mir überaus willkürlich bzw. industriegeprägt.

Es mag ja sein, daß Ritz nach diesem Urteil krumme Dinge gedreht hat, wohl sogar mehr oder weniger zugegeben (z. B. Hacking Verizon).

Das US-Recht ist aber nun einmal ein Präzedenz-Fall-Recht, womit auch einzelne Aspekte dieses Urteils quasi zu geltendem Recht werden können, weil sich in Zukunft auch andere Gericht darauf berufen und sich einzelne Aspekte herausgreifen können.

Selbst wenn der Typ da krumme Dinger gedreht hat (und das scheint nach dem Urteil ja wirklich der Fall zu sein), ist das Ergebnis nun, daß bestimmte DNS-Abfragen, oder schon generell der Gebrauch von Unix, Shell-Accounts oder schon Befehlen, die nicht jeder Dumm-User kennt, per se die Annahme rechtswidrigen Hackens begründen.

Wenn der tatsächlich krumme Dinger gedreht hat, dann ist das ja nur um so subtiler, weil in einem für die Masse der Bevölkerung plausibel und richtig erscheinenden Urteil höchst bedenkliche Präzedenz-Entscheidungen huckepack in die Rechtsprechung eingeführt werden.

Ich höre jetzt schon, wie sich unsere Politiker die Formulierungen zueigen machen, wenn es um die Hackertool-Diskussion geht.

Es heißt nämlich auch, daß man als Sicherheitsfachmann per se, eben weil man etwas weiß, was der Durchschnittsbenutzer nicht weiß, nach inzwischen dort geltender Rechtsprechung praktisch als illegaler Hacker gilt. Da wird schleichend schon das reine Sicherheitswissen als illegal und strafwürdig hingestellt.


[…] nur deutsche Richter haben Probleme das Internet zu […]