[HaBo]

TMP2k1 · 27.03.06, 22:40

Hi all!

Ich hätte eine rechtliche Frage zum Thema Account-"Hacking".
Eine Bekannte von mir hat sich bei irgend so einer Flirt- und Bilder-gegenseitig-bewerte-Seite registriert.
Dabei hat sie logischerweise eben auch ein Passwort eingegeben, und weil ich gerade dabei war, hat sie mich gefragt, ob das denn halbwegs sicher sei.
Ich beschäftige mich zwar schon einigermaßen lange mit verschiedensten "tiefgreifenderen" Themen in Sachen PC-(Un)Sicherheit, Netzwerktechnik, Crack-Me's und solchen Sachen, würde mich allerdings in den meisten Dingen trotzdem eher als Einsteiger bezeichnen. Aber gut - das steht auf einem anderen Blatt.
Jedenfalls habe ich, meinem Laien-Wissen folgend, gemeint, es sei schon so halbwegs sicher (war immerhin mit Zahlen, die nichts mit dem Geburtsdatum zu tun haben und 8 oder 9 Zeichen lang), aber per Bruteforcing kriegt man das bestimmt innerhalb von ein paar Stunden raus.
Naja, dann hat sie gemeint, ich soll's probieren und hat ein anderes PW eingegeben, das ich jetzt natürlich nicht kenne.

Hier meine Frage:
Wenn ich jetzt mit diversen Attacken, z.B. per JohnTheRipper oder sowas in der Art über den Account drübergehe (keine Sorge, ich will nicht als Script-Kiddie enden, bloss für die "Wette" hier und so als kleiner Einstieg), wer könnte dann damit ein Problem haben?
Können mich die Betreiber der Homepage verklagen, immerhin ist es ja quasi ihr "Territorium" in das ich da eingreife.
Andererseits habe ich ja nicht vor (und könnte es auch [noch] gar nicht), ihren Server zu connecten und die PW-Liste zu klauen. Also entsteht denen ja kein Schaden, und die, der er entstehen könnte, weiß ja davon und hat es mir erlaubt.
Und dann noch ne andere, rein theoretische Frage: angenommen, das würde so funktionieren mit dem Bruten des PW und ich würde das mit dem Account von einem User machen, der nichts davon weiß, allerdings OHNE irgnendetwas an seinem Account zu ändern oder irgendwelche Posts zu schreiben, das wäre wohl vermutlich spätestens nicht mehr legal, oder?

Thx so far
TMP2k1

t3rr0r.bYt3 · 27.03.06, 23:45

Zitat:

Wenn ich jetzt mit diversen Attacken, z.B. per JohnTheRipper oder sowas in der Art über den Account drübergehe, (...) wer könnte dann damit ein Problem haben?

die betreiber der site. du versucht de facto, irgendwo einzubrechen (mal verglichen ^^)

Zitat:

Können mich die Betreiber der Homepage verklagen, immerhin ist es ja quasi ihr "Territorium" in das ich da eingreife.

klage, naja.. mit einer anzeige würde ich schlimmstenfalls rechnen. im normalfall scheren sich die meisten nicht drum, außer es wird offensichtlich und va nervig.
wenn du das mal nen abend 10 minuten lang machst, werden die admins das meistens (aber nicht immer) übergehen, solltest du na ne nacht oder länger bruteforcen, kriegste sicher ne anzeige.
das du das einverständnis der account-userin hättest, ist egal. sie benutzt nur den account, die site aber gehört den betreibern. du produzierst auch bei denen traffic und legst evtl. die datenbank lahm.

wo wir beim nächsten punkt wären: bruteforce übers netz is ne verdammt langwierige sache.. da steigt der zeitfaktor gegenüber einem lokalen angriff auf einen hash oder code um ein vielfaches.
weiterhin hat ein halbwegs venünftiger mensch dort seine vorrichtungen getroffen, also dass z.b. nach 3 erfolglosen versuchen die ip erstmal ne stunde gesperrt ist oder sowas. dan ständig reconnecten ist sinnlos, eher gibts nen 2ten urknall als dass du das ding knackst. und proxys usw sind theoretisch möglich, aber du bräuchtest 1. eine verdammt lange liste (musst ja häufig switchen) und 2. verzögert sich das ganze dann wieder, wenn du nen umweg machst

Anzeige

- Anzeige -

proofi · 28.03.06, 14:32

Also so wie ich das hier raus les: Wenn einer wirklich erpicht wäre das pw zu knacken könnte er es schaffen ?! Abgesehen von dem Zeitaufwand.....

PS:
Ne lange proxyliste ist kein problem..... .

**Elderan** · 28.03.06, 18:30

Zitat:

Original von TMP2k1
Hi all!

Hier meine Frage:
Wenn ich jetzt mit diversen Attacken, z.B. per JohnTheRipper oder sowas in der Art über den Account drübergehe (keine Sorge, ich will nicht als Script-Kiddie enden, bloss für die "Wette" hier und so als kleiner Einstieg), wer könnte dann damit ein Problem haben?
Können mich die Betreiber der Homepage verklagen, immerhin ist es ja quasi ihr "Territorium" in das ich da eingreife.

Ja sie könnten dich verklage/anzeigen. Denn durch deine Loginversuche entsteht denen ein enormer (oder nur erhöhter) Traffic sowie eine erhöhte Auslastung des Servers.
Dadurch können andere User schlechter, oder gar nicht, auf die Website zugreifen => Umsatzeinbüße (wenn keiner meinen Server erreicht, verdiene ich nichts).

Da allerdings meistens deine Connection eher den Maßstab setzt, wird es nicht ganz soooo schlimm für sie. Dennoch sind Brute-Force Attacken extrem auffällig und leicht zu erkennen.

Aber du musst es gar nicht testen.
Mit einer guten Anbindung erreicht man im Web ca. 80 Versuche/Sek (sofern nur HTTP/FTP Header transportiert werden).

Errechnet sich so, sofern deine Connection den Maßstab gibt:
HTTP-Header (vernachlässigbar) + Größe der Antwortseite
(alles ohne Bilder).

Sagen wir mal rund 10 KB pro Versuch mit DSL 3000= 384 KB/10 KB = 38 Versuche/Sek.

Dann rechnest du die Anzahl der möglichen PWs aus:
36 mögliche Zeichen ^ 8 Zeichen lang = 2,82111E+12 mögliche PWs
Das dauert dann also ca. 2300 Jahre.

Achja, pro Stunde hat der Server dann einen Traffic von rund 1,3 GB, wenn du das also über einen längeren Zeitraum machst, wäre das schon sehr Geschäftsschädigend = evt. Anzeige.

TMP2k1 · 28.03.06, 20:25

Hallo!

Danke erstmal an alle, die geantwortet haben.
Naja, sowas in der Art hab ich mir schon gedacht wegen dem Traffic.
Von daher ist es nätürlich auch nachvollziehbar, wenn die Betreiber irgendwann sauer werden, egal, ob der Account-Benutzer einverstanden ist oder nicht ...
Und dass es ziemlich auffällig ist, leuchtet auch ein

@t3rr0r.bYt3: Das mit einer IP-Sperrung ist kein Problem, ich hab schon manuell einige wahrscheinliche PW's eingegeben ... vielleicht so 15-20, da ist nichts passiert.

@Elderan: Hmm, interessante Beispielrechnung. Scheint ja dann bei so einem Verhältnis der Wahrscheinlichkeit, das PW zu knacken zu der, sich damit nen ganzen Haufen Ärger einzubrocken nicht wirklich rentabel zu sein.

Gäbe es denn eine angebrachtere Methode, an so ein PW ranzukommen, ohne erstmal etliche GB an Traffic zu verursachen und leicht zurückverfolgbar zu sein?
Oder kann man sagen, das PW ist wirklich relativ sicher, weil außer bruten gibt's nichts brauchbares, und das macht eh keiner?

Snite · 28.03.06, 20:41

Ist ja eigentlich schon alles geschrieben aber mal so eine Frage, wenn dich deine Bekannte gefragt hat ob das Passwort sicher ist. Warum ist es dann wichtig es rauszufinden ob gerade dieses Passwort sicher ist ? Du könntest ihr doch einfach erklären was für ein Passwort sicher wäre. Also z.B. so etwas wie "H[ld34=w2§54*" oder so ähnlich.

P.S.: Ich hab jetzt nicht richtig verstanden ob das Passwort was sie hat ein Passwort mit Buchstaben und Zahlen oder ein Passwort nur mit Zahlen ist. Ich nehme mal an das es Buchstaben und Zahlen hat ansonsten würd ich ja nun nicht sagen das es unbedingt sicher ist da z.B. bei einen sechsstelligen Passwort gerade mal 999999 Möglichkeiten in Frage kommen.

bye

poiin2000 · 28.03.06, 21:01

Ich merke mal deutlich an das wir hier keine Rechtsberatung machen!
Aber ihr dürft gerne euere Meinungen weiter austauschen.

p2k

TMP2k1 · 28.03.06, 23:32

Das, was sie jetzt wirklich hat, kenne ich ja nicht, aber das andere war mit Buchstaben und Zahlen. Ich geh wohl mal davon aus, dass das aktuelle auch so sein wird.

Naja, und warum ich ihr nicht einfach sage, was ein sicheres Passwort wäre: klar, rein praktisch gedacht wäre das das sinvollste. Aber uns, oder vorwiegend mir, geht es eben um die Frage, ob man ein PW in dem Stil wie das, was ich gesehen habe, in einem einigermaßen brauchbaren zeitlichen Rahmen knacken könnte.
Und weil ich mich bei dem Versuch nicht mit aller Gewalt strafbar machen will, hat mich das eben mal interessiert, wie das da so mit der Strafbarkeit bzw. der Strafverfolgung so aussieht in so einem Fall

stone.dr · 29.03.06, 00:54

Naja, ich weiß nicht ob das Sinn macht, gleich den Server zu knacken, wenn man nur in nen Account rein will -> da gibts andere Möglichkeiten, die eher funktionieren.

Ich würde mit Deiner Bekannten mal das Thema Phishing durcharbeiten und mal generell die PC Konfiguration anschauen, sowie den "sicheren" Umgang mit Passwörtern behandeln.

TMP2k1 · 29.03.06, 17:09

Hi!

OK, also was die "Wette" mit meiner Bekannten angeht, hat sich die Sache erledigt. Ich habe ihr die Bruteforcing-Methode mal im Netzwerk anhand von ein paar Sachen gezeigt, mit verschiedenen Passwörtern.
Und dann sind wir mal die ganzen allgemeinen Sachen zu PW's, Cookies, offenen und gesperrten Port's und dem ganzen Kram mal durchgegangen.
Ich glaub, sie hat's halbwegs kapiert

Danke euch trotzdem!

So long

TMP

Snite · 29.03.06, 20:03

Also die Frage ob so ein Passwort wie ich es oben gepostet habe durch bruteforce in einen "normalen" Zeitrahmen rausbekommen werden kann ist defintiv mit nein zu beantworten. Es gibt aber ja noch viele andere gefährliche Methoden an so ein Passwort zu kommen. Du solltest deine Bekannte gut aufklären vorallen über Phishing und Cookies.

bye

ElLute · 30.03.06, 01:48

ist es nicht so, dass unsichere passwörter vor allem auch mit psychologie zu tun haben?!?

zuerst probiert man kurze ketten... sich wiederholende ketten, ketten mit bekannten daten des users, wörterbücher und dann halt noch klassisch bruteforce... und wenn man den psychologischen faktor durch ein gut gewähltes annähernd zufälliges passwort ausschaltet, dann hat man halt ein gutes passwort!?

Anzeige

- Anzeige -

27.03.06, 22:40	#1 (permalink)
TMP2k1 Registriert seit: 26.03.06 Likes: 0	Account-PW von Kumpel bruten - Rechtslage Anzeige Hi all! Ich hätte eine rechtliche Frage zum Thema Account-"Hacking". Eine Bekannte von mir hat sich bei irgend so einer Flirt- und Bilder-gegenseitig-bewerte-Seite registriert. Dabei hat sie logischerweise eben auch ein Passwort eingegeben, und weil ich gerade dabei war, hat sie mich gefragt, ob das denn halbwegs sicher sei. Ich beschäftige mich zwar schon einigermaßen lange mit verschiedensten "tiefgreifenderen" Themen in Sachen PC-(Un)Sicherheit, Netzwerktechnik, Crack-Me's und solchen Sachen, würde mich allerdings in den meisten Dingen trotzdem eher als Einsteiger bezeichnen. Aber gut - das steht auf einem anderen Blatt. Jedenfalls habe ich, meinem Laien-Wissen folgend, gemeint, es sei schon so halbwegs sicher (war immerhin mit Zahlen, die nichts mit dem Geburtsdatum zu tun haben und 8 oder 9 Zeichen lang), aber per Bruteforcing kriegt man das bestimmt innerhalb von ein paar Stunden raus. Naja, dann hat sie gemeint, ich soll's probieren und hat ein anderes PW eingegeben, das ich jetzt natürlich nicht kenne. Hier meine Frage: Wenn ich jetzt mit diversen Attacken, z.B. per JohnTheRipper oder sowas in der Art über den Account drübergehe (keine Sorge, ich will nicht als Script-Kiddie enden, bloss für die "Wette" hier und so als kleiner Einstieg), wer könnte dann damit ein Problem haben? Können mich die Betreiber der Homepage verklagen, immerhin ist es ja quasi ihr "Territorium" in das ich da eingreife. Andererseits habe ich ja nicht vor (und könnte es auch [noch] gar nicht), ihren Server zu connecten und die PW-Liste zu klauen. Also entsteht denen ja kein Schaden, und die, der er entstehen könnte, weiß ja davon und hat es mir erlaubt. Und dann noch ne andere, rein theoretische Frage: angenommen, das würde so funktionieren mit dem Bruten des PW und ich würde das mit dem Account von einem User machen, der nichts davon weiß, allerdings OHNE irgnendetwas an seinem Account zu ändern oder irgendwelche Posts zu schreiben, das wäre wohl vermutlich spätestens nicht mehr legal, oder? Thx so far TMP2k1

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Rechtslage?	junb	HaBo Lounge	33	02.11.07 13:48
Rechtslage -> Videomitschnitte	webfreak	Internet Allgemein	6	08.10.07 00:59
Rechtslage Film Download	Dawen	Off topic-Zone	7	17.01.05 09:15

28.03.06, 14:32	#3 (permalink)
proofi Registriert seit: 24.02.06 Likes: 0	Also so wie ich das hier raus les: Wenn einer wirklich erpicht wäre das pw zu knacken könnte er es schaffen ?! Abgesehen von dem Zeitaufwand..... PS: Ne lange proxyliste ist kein problem..... .

28.03.06, 20:25	#5 (permalink)
TMP2k1 Themenstarter Registriert seit: 26.03.06 Likes: 0	Hallo! Danke erstmal an alle, die geantwortet haben. Naja, sowas in der Art hab ich mir schon gedacht wegen dem Traffic. Von daher ist es nätürlich auch nachvollziehbar, wenn die Betreiber irgendwann sauer werden, egal, ob der Account-Benutzer einverstanden ist oder nicht ... Und dass es ziemlich auffällig ist, leuchtet auch ein @t3rr0r.bYt3: Das mit einer IP-Sperrung ist kein Problem, ich hab schon manuell einige wahrscheinliche PW's eingegeben ... vielleicht so 15-20, da ist nichts passiert. @Elderan: Hmm, interessante Beispielrechnung. Scheint ja dann bei so einem Verhältnis der Wahrscheinlichkeit, das PW zu knacken zu der, sich damit nen ganzen Haufen Ärger einzubrocken nicht wirklich rentabel zu sein. Gäbe es denn eine angebrachtere Methode, an so ein PW ranzukommen, ohne erstmal etliche GB an Traffic zu verursachen und leicht zurückverfolgbar zu sein? Oder kann man sagen, das PW ist wirklich relativ sicher, weil außer bruten gibt's nichts brauchbares, und das macht eh keiner?

28.03.06, 20:41	#6 (permalink)
Snite Registriert seit: 12.03.06 Likes: 0	Ist ja eigentlich schon alles geschrieben aber mal so eine Frage, wenn dich deine Bekannte gefragt hat ob das Passwort sicher ist. Warum ist es dann wichtig es rauszufinden ob gerade dieses Passwort sicher ist ? Du könntest ihr doch einfach erklären was für ein Passwort sicher wäre. Also z.B. so etwas wie "H[ld34=w2§54*" oder so ähnlich. P.S.: Ich hab jetzt nicht richtig verstanden ob das Passwort was sie hat ein Passwort mit Buchstaben und Zahlen oder ein Passwort nur mit Zahlen ist. Ich nehme mal an das es Buchstaben und Zahlen hat ansonsten würd ich ja nun nicht sagen das es unbedingt sicher ist da z.B. bei einen sechsstelligen Passwort gerade mal 999999 Möglichkeiten in Frage kommen. bye

28.03.06, 21:01	#7 (permalink)
poiin2000 Member of Honour Registriert seit: 06.03.03 Likes: 3	Ich merke mal deutlich an das wir hier keine Rechtsberatung machen! Aber ihr dürft gerne euere Meinungen weiter austauschen. p2k

28.03.06, 23:32	#8 (permalink)
TMP2k1 Themenstarter Registriert seit: 26.03.06 Likes: 0	Das, was sie jetzt wirklich hat, kenne ich ja nicht, aber das andere war mit Buchstaben und Zahlen. Ich geh wohl mal davon aus, dass das aktuelle auch so sein wird. Naja, und warum ich ihr nicht einfach sage, was ein sicheres Passwort wäre: klar, rein praktisch gedacht wäre das das sinvollste. Aber uns, oder vorwiegend mir, geht es eben um die Frage, ob man ein PW in dem Stil wie das, was ich gesehen habe, in einem einigermaßen brauchbaren zeitlichen Rahmen knacken könnte. Und weil ich mich bei dem Versuch nicht mit aller Gewalt strafbar machen will, hat mich das eben mal interessiert, wie das da so mit der Strafbarkeit bzw. der Strafverfolgung so aussieht in so einem Fall

29.03.06, 00:54	#9 (permalink)
stone.dr Registriert seit: 25.12.04 Likes: 0	Naja, ich weiß nicht ob das Sinn macht, gleich den Server zu knacken, wenn man nur in nen Account rein will -> da gibts andere Möglichkeiten, die eher funktionieren. Ich würde mit Deiner Bekannten mal das Thema Phishing durcharbeiten und mal generell die PC Konfiguration anschauen, sowie den "sicheren" Umgang mit Passwörtern behandeln.

29.03.06, 17:09	#10 (permalink)
TMP2k1 Themenstarter Registriert seit: 26.03.06 Likes: 0	Hi! OK, also was die "Wette" mit meiner Bekannten angeht, hat sich die Sache erledigt. Ich habe ihr die Bruteforcing-Methode mal im Netzwerk anhand von ein paar Sachen gezeigt, mit verschiedenen Passwörtern. Und dann sind wir mal die ganzen allgemeinen Sachen zu PW's, Cookies, offenen und gesperrten Port's und dem ganzen Kram mal durchgegangen. Ich glaub, sie hat's halbwegs kapiert Danke euch trotzdem! So long TMP

29.03.06, 20:03	#11 (permalink)
Snite Registriert seit: 12.03.06 Likes: 0	Also die Frage ob so ein Passwort wie ich es oben gepostet habe durch bruteforce in einen "normalen" Zeitrahmen rausbekommen werden kann ist defintiv mit nein zu beantworten. Es gibt aber ja noch viele andere gefährliche Methoden an so ein Passwort zu kommen. Du solltest deine Bekannte gut aufklären vorallen über Phishing und Cookies. bye

30.03.06, 01:48	#12 (permalink)
ElLute Registriert seit: 24.08.05 Likes: 0	ist es nicht so, dass unsichere passwörter vor allem auch mit psychologie zu tun haben?!? zuerst probiert man kurze ketten... sich wiederholende ketten, ketten mit bekannten daten des users, wörterbücher und dann halt noch klassisch bruteforce... und wenn man den psychologischen faktor durch ein gut gewähltes annähernd zufälliges passwort ausschaltet, dann hat man halt ein gutes passwort!?

[HaBo]

Account-PW von Kumpel bruten - Rechtslage