Rechtsfrage zu Scannern und Scanns ;)

[Rushjo]

Original von unskilled
alle pakete im netzwerk sind für alle sichtbar die ich in diesem netz befinden. das wirst du ja nicht bestreiten können oder?
wenn die netzwerkkarte sich im pmode befindet empfängt sie alle paket und nicht nur die an die eigene mac adresse gerichteten.

An dieser Stelle widerspreche ich Dir mal. Deine Aussage gilt so "pauschal" nur für Netzwerkumgebungen mit einem Hub, aber nicht bei einem Switch. In einer solchen Umgebung werden die Antwort-Pakete immer nur an den Absender geschickt. Hierbei rede ich nun von einer "LAN Umgebung" (kein WLan). Um zu erreichen, dass alle Pakete eines "Targets" an Dich gesandt werden, genauso wie die auch die Antworten, musst doch schon ein bisschen in die Trickkiste greifen und mit so netten Sachen wie "arpspoof" arbeiten. Dazu sei Dir mal als nettes Tool dsniff empfohlen.

Ich würde doch drum bitten, bei fachlichen Diskussionen auch "sachlich" zu bleiben. Danke.

rushjo

 

[unskilled]

@rushjo ja bei einem switch verhält es sich anders. man kann aber den switch "überreden" die pakete trotzdem zu schicken. ein gute methode mit der ich erfahrung habe is das flodden des lans mit mac adressen. leider sind abe die neuen switche nicht mehr so einfach zu "überzeugen" wie ältere modelle.

ich möchte meine these nochmal mit einem beispiel belegen.
(wenn es jemand besser weiß, kann er ich ja revidieren)

Eine e-Mail durchläuft bis zum Empfänger unzählige Rechner, die die Mail speichern und weiterleiten. Kommt nun strafrechtlicher Schutz in Betracht, wenn e-Mails unbefugt von Dritten gelesen werden ?

Nein nach Verletzung des Briefgeheimnisses, § 202 StGB

§ 202 StGB verbietet es, verschlossene Briefe oder Schriftstücke zu öffnen oder zu lesen, wenn diese nicht zu seiner Kenntnis bestimmt sind. Im Gegensatz zu § 184 StGB fehlt hier ein Verweis in § 11 Abs.3 StGB, der Schriftstücke und Daten gleichstellt. Eine Verletzung des Briefgeheimnisses durch unbefugtes Lesen von e-Mails ist also nicht möglich, da e-Mails nicht von § 202 StGB umfasst sind.

Nein nach Ausspähen von Daten, § 202a StGB

Man könnte jedoch an eine Strafbarkeit nach § 202a StGB wegen Ausspähens von Daten denken. Dies erfordert aber, dass die Daten gegen unberechtigten Zugang besonders gesichert sind. Eine unverschlüsselte e-Mail fällt also nicht in den Schutzbereich des § 202a StGB. Wird die Mail hingegen verschlüsselt, ist eine Strafbarkeit nach § 202a StGB gegeben, wenn diese unberechtigterweise gelesen wird.

übetragen wird das jetzt auf unsere bespiel. den paragraphen § 202 StGB kann man ja jetzt weglassen. da die daten im ungeswitchen netzwerk nicht durch irgendeinen mechanismus geschützt sind, kommt auch § 202a StGB nicht in betracht.

ich denke ich habe meinen standpunkt erläutert.
wenn ich meinen bruder, er ist rechtsanwalt für strafrecht, mal zitieren darf. das subjektive unrechtsbewusstesein des einzelnen spielt keinerlei rolle in diesem fall. ein lesen einer fremden ungeschützten email mag moralisch bedenklich und verwerflich sein, jedoch ist es strafrechtlich nicht relevant.

ich hoffe ich bin sachlich genug geblieben!

so long

 

[Rushjo]

@unskilled

Weisste, die Diskussion wird nicht einfacher/klarer, wenn Du nur selektiv auf Argumente eingehst. Wenn dann sage was zu Allem. Du hast z.B. nichts zum Paragraph §86 "Abhörverbot" gesagt. Das ist übrigens das absolute, juristische Totschlag-Argument vor Gericht und dabei ist es egal, ob Du ein gesichertes oder ungesichertes Netz vor Dir hattest. Das wirkt sich maximal "strafmildert" aus. Übrigens haben wir den Straftatbestand der "Datenmanipulation/-veränderung" noch garnicht diskutiert, der auch sehr gerne verwandt wird.

Weiterhin sei gesagt, ein "Switch" sendet und empfängt Pakete immer direkt vom "Ziel" und sendet die im Gegensatz zu einem Hub nicht an alle Teilnehmer der C-Klasse-Netzes. Daher muss man Ihn dazu bringen, einem die Pakete zu senden (weil er einen für den Absender hält) und gleichzeitig das "Ziel" dazubringen, dass es einem die Pakete sendet, weil es denkt, man sei der "Switch".

Original-Weg:

"Ziel" -----------------> "Switch" -------------------> "Inet"

angestrebter Weg:

"Ziel" -----------------> "eigener Rechner" ------------------> "Switch" ---------------> "Inet"

Okay, soviel zur Grundlage des Sniffen des Gesamt-Traffics in "switched enviroments". Und weil dies aber nicht so einfach ist, wie Du auch schon erwähnst hast, muss man den "Switch" und das "Ziel" halt nett bitten. Dies erreicht man durch Tools wie "arpspoof", welches ein Bestandteil von "dsniff" ist. Dazu empfiehlt es sich mal die Dokumentation zu lesen. Dort findet man denn Folgendes:

3. Operation
3.1. How do I sniff in a switched environment?

The easiest route is simply to impersonate the local gateway, stealing client traffic en route to some remote destination. Of course, the traffic must be forwarded by your attacking machine, either by enabling kernel IP forwarding (sysctl -w net.inet.ip.forwarding=1 on BSD) or with a userland program that acccomplishes the same (fragrouter -B1).

Several people have reportedly destroyed connectivity on their LAN to the outside world by arpspoof'ing the gateway, and forgetting to enable IP forwarding on the attacking machine. Don't do this. You have been warned.
3.2. arpspoof always fails with "couldn't arp for host"?

You can only arpspoof hosts on the same subnet as your attacking machine.

3.3. Why isn't dsniff / *snarf seeing anything?
3.3.1. ...when using arpspoof to intercept client traffic?

Make sure you are actually forwarding the intercepted packets, either via kernel IP forwarding or with fragrouter.

If you are indeed seeing the client's half of the TCP connection (e.g. as verified using tcpdump), make sure you've enable dsniff's half-duplex TCP stream reassembly (dsniff -c). The *snarf tools do not yet support this mode of operation.

3.3.2. ...when I can see ongoing connections with tcpdump?

libnids, dsniff's underlying TCP/IP reassembling library, needs to see the start of a connection in order to follow it. There are several good reasons for this, as outlined in Ptacek and Newsham's seminal paper on network IDS evasion.

The best you can do, in a live penetration testing scenario, is to

1. start sniffing
2. selectively reset existing connections with tcpkill, and then
3. wait for the users to reconnect

This is horribly intrusive and evil, but then again, so are pen tests.

3.3.3. ...when sniffing a busy network, or a switch's monitor port?

You may be losing some packets, either at the switch's monitor port (mirroring ten 100 Mbit Ethernet ports to a single port is never a good idea) or within libpcap - anathema to libnids, which needs to see all packets in a connection for strict reassembly. Try enabling dsniff's best-effort half-duplex TCP stream reassembly (dsniff -c) instead.

Other general performance enhancements for sniffing include:

1. SMP, which on most OSs results in only one processor handling the high interrupt load, leaving the other to do real work
2. good NICs and drivers with working DMA
3. large kernel buffers for efficient packet capture (OpenBSD's BPF already does this)
4. custom kernel support for single-copy packet capture (e.g. direct access to such buffers in kmem from userland)

3.3.4. ...when sniffing traffic on an unusual port?

Try enabling dsniff's magic (dsniff -m) automatic protocol detection, which should detect the appropriate protocol (if dsniff knows about it) running on any arbitrary port. If dsniff still fails to pick up the traffic, it may be an unusual protocol dsniff doesn't yet support. Create a dsniff services file like

hex 12345/tcp

where 12345 is the TCP port of the unknown service, run dsniff with -f services and send the resulting hexdump of the connection trace to me. Some proprietary protocols transmogrify almost daily, it's not easy keeping up!
3.3.5. ...when sniffing unknown traffic, or a new version of some protocol?

dsniff's decode routines are admittedly pretty sleazy, and cut many corners for the sake of performance (and simplicity - you try fully decomposing all 30+ open / proprietary protocols that dsniff handles!). Additionally, many of the protocols dsniff handles are completely proprietary, and required a bit of reverse engineering which may not have been all that complete or accurate in the face of new protocol versions or extensions.

The best way to get new protocols handled by dsniff is to send me traffic traces of a few complete connections / sessions, from start to finish (making sure to capture the packets in their entirety with tcpdump -s 4096, or with Ethereal), along with any pointers to relevant documentation (or client/server implementations).

If you'd like to give it a try yourself, add an entry to dsniff's dsniff.services file to map the traffic you wish to analyze to the "hex" decode routine, and dissect the hexdumps manually.

Dies funktioniert übrigens auch sehr gut in grossen C-Klasse-Netzen mit "moderen" Switches wie z.B Cisco Katalyst etc. (meine persönliche Erfahrung!!!).

Okay, dann mal zu Deinem Ansatz:

1. Wie bekommst Du es hin, dass der "Switch" Dich für den Absender der Paketes hält und Dir damit das Antwort-Paket sendet?
2. Wie erreicht Du es, dass das "Ziel" Dir die Request-Pakete sendet?

Du hast ja schhliesslich keinerlei "physische Verbindung", sprich es kann nur übers Netzwerk funktionieren und dort ist "arpspoof" die einzige, mir bekannte Methode dies zu erreichen.

Würde mich mal interessieren, welchen anderen Ansatz Du dort nutzt.

rushjo

[1] Quelle "dsniff program", monkey.org (english)
[2] Quelle "dsniff - how do i sniff in switched enviroments?", monkey.org (english)

 

[unskilled]

@rushjo
erstmal zum rechtlichen

wie gesagt wir reden hier von unverschlüsselten und geschützten Netz. Bei Lan halt ungeswitched.

§86 Abhörverbot? Was für ein Gesetzbuch?

Ich denke zu meinen, du wolltest §89 TKG.

§ 89 TKG 2004 Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen
Mit einer Funkanlage dürfen nur Nachrichten, die für den Betreiber der Funkanlage, Funkamateure im Sinne des Gesetzes über den Amateurfunk vom 23. Juni 1997 (BGBl. I S. 1494), die Allgemeinheit oder einen unbestimmten Personenkreis bestimmt sind, abgehört werden. Der Inhalt anderer als in Satz 1 genannter Nachrichten sowie die Tatsache ihres Empfangs dürfen, auch wenn der Empfang unbeabsichtigt geschieht, auch von Personen, für die eine Pflicht zur Geheimhaltung nicht schon nach § 88 besteht, anderen nicht mitgeteilt werden. § 88 Abs. 4 gilt entsprechend. Das Abhören und die Weitergabe von Nachrichten auf Grund besonderer gesetzlicher Ermächtigung bleiben unberührt.

kann man ja hier nur auf WLAN beziehen diesen §. da ein offenes WLAN Netzwerk mit einegechalteten DHCP ja keine beosndere Sicherung der Daten für einen bestimten Personen kreis hat, kann der einzelne davon ausgehen, das alle in diesem Netz gesendetetn Informationen für die Allgemeinheit bestimmt sind. Darum tritt §89TKG hier nicht in Kraft.

in Betracht kommen weiterhin:

§202a StGB Ausspähen von Daten hab ich schon was dazu gesagt
§263a StGB Computerbetrug

da muss ich wieder mal zitieren:

§ 263
Betrug
(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er durch Vorspiegelung falscher oder durch Entstellung oder Unterdrückung wahrer Tatsachen einen Irrtum erregt oder unterhält, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

§ 263a StGB ist ein betrugsähnliches Delikt, welches sich dadurch auszeichnet, daß sämtliche Merkmals des Betruges, § 263 StGB, erfüllt sein müssen mit Ausnahme der "Täuschung" und des "Irrtums", da sich lediglich Menschen, nicht aber Datenverarbeitungsanlagen "irren" können. Die Tathandlung ist somit, im Gegensatz zum Betrug, nicht eine "Täuschung", sondern ? in allen Varianten des § 263a StGB ? die Beeinflußung des Ergebnisses eines Datenverarbeitungsvorgangs.

mit meinem abhöhrversuch des netzwerkes nehme ich keinen einfluss auf das ergebniss des datenverabreitungsvorgang, somit käme auch hier §263a nciht in betracht.

§265a StGB Erschleichen von Leistungen

Wer die Leistung eines Automaten oder eines öffentlichen Zwecken dienenden Telekommunikationsnetzes, die Beförderung durch ein Verkehrsmittel oder den Zutritt zu einer Veranstaltung oder einer Einrichtung in der Absicht erschleicht, das Entgelt nicht zu entrichten, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

hier wiederum kommt uns zugute das ein LAN oder WLAN meist nicht öffentlichen zwecken dient. somit fände auch hier der § keine Anwendbarkeit.

§ 303a
Datenveränderung du sagtest Datenmanipulation

Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

weder mache ich mit den abhören diese daten unbrauchbar, lsöche oder unterdrücke sie. also auch hier keine strafbarkeit nach §303a

alle gesetze und § sind eigentlich immer auslegungssache. wenn dich jemand reinlegen will, dann schafft er das auch. es wird dann halt gesagt mit deinem abhörversuch wurde die funktion des server xyz beeinträchitg und schon finden die § ihre anwendung.
trotzdem je besser dein anwalt um so besser deine chancen ich kenne da nen guten.


so nun zum mac flodding. da der switch ja ne adresstabellen hat, ist das ziel dieses angriffs diese zu überfordern oder außer kraft zu setzen. dazu leitet man viele pakete mit gefälschten mac adressen auf den switch. dieser kann bald nicht mehr zwischen real existierenden und gefälschen macadressen unterscheiden und leitet alle pakete zu allen port weiter. er fungiert dann praktisch nur naoch als hub.
neue geräte haben aber meist für jeden port ein extra adressspeicherbereich der diesen angriff sehr erschwert.
ich werde mich mal umfassend mit dsniff befassen und vllt zu gegebener zeit mal ein unqualifizierten post dazu loslassen.

so long

 

[Gulliver]

Es wird hier zu salopp auf statischen Paragraphen geritten.
Fals dein Bruder jurist ist, wird er dich sicherlich deutlich gemacht haben das unser Rechtssystem nicht unwesentlich vom Kontext lebt.

Dh. das es eine grosse Rolle spielt _warum_ du Daten "untersuchst" (in diesem Fall).

Ich kann ruhigen gewissens in dem Netzwerk meiner Firma OHNE ankuendigung Netzwerkverkehr untersuchen um eventuelle Fehler zu lokalisieren. Allerdings kann ich schwer begruenden warum ich in dem Netzwerk meiner Firma Payloads vom Netzwerkverkehr abfange. Voellig unabhaengig davon ob ich auf Fehlersuche bin oder nicht.
Eine Payload ist nicht fuer technische Untersuchungen relevant. Und genau die ist doch fuer die vorher beschreibenen Faelle bedeutsam?
Ebenso wird grundsaetzlich der Eingriff in die privatsphaere Dritter als kritisch erachtet. Und abfangen einer Payload oder lesen von emails (jedem (email)provider sind alle emails der user zugaenglich) gelten zunaechst mal als ein solcher Eingriff. Von diversen schweinereien oeffentlicher Einrichtungen/Behhoerden einmal abgesehen, die sich solches Recht ueber Bruecken "erschleichen".

wenn ich meinen bruder, er ist rechtsanwalt für strafrecht, mal zitieren darf. das subjektive unrechtsbewusstesein des einzelnen spielt keinerlei rolle in diesem fall. ein lesen einer fremden ungeschützten email mag moralisch bedenklich und verwerflich sein, jedoch ist es strafrechtlich nicht relevant.

Bestimmt hat er auch einen Taxischein.

mfg

 

[unskilled]

Bestimmt hat er auch einen Taxischein.

is schon klar. wenn man an mancher leute intellekt nicht ran kommt,
(und ich will deinen damit nicht bewerten),
macht man witze über sie. is deine meinung ok. mir wirds zu persönlich!

 

[Rushjo]

Auf jeden Fall ist es so, dass neben der reinen Rechtslage in deutschen Gerichtswesen die Ansicht des jeweiligen Richters eine grosse Rolle spielt, egal wie "genial" Deine Argumente oder Deine Rechtsauslegung ist. Es gibt hier im Gegensatz zu den Staaten keine "Präzedenzfälle". Okay genug der "Juristerei", da ich eigentlich froh bin, wenn ich einen großen Bogen um diese "Berufsgruppe" machen kann.

rushjo

 

[[starfoxx]]

Muss ich sagen dass es Bizarr ist dass ich für ein Spiel, das zerkratzt ist, nochmal 50 euro hinlegen darf, weil der Staat mir untersagt sicherheitskopien von meinem eigentum herzustellen?

Es wird immer lächerlicher.

Und der erste der ankommt, mit "bäbä, wenn es keinen kopierschutz hat.." kriegt... irgendwas schlimmes.