Sensible Daten

[Jutschin]

Hallo!

Immer wieder hört man von Webseiten die gehackt werden mit verschiedenen mitteln. Die schnellste und leichteste Methode ist wahrscheinlich die SQL-Injection.

Unser Team hat sich nun gedacht, warum sollte man nicht die Webseiten warnen bzw. informieren, dass ihre Webseite mögliche Sicherheitslücken enthält und wie man diese beheben kann.

Nun zu meiner Frage:

Ist es erlaubt, eine automatisierte Suche (mittels Suchmaschinen) zu starten, wobei nach Webseiten gesucht wird, die Sicherheitslücken enthalten? Danach werden die Webmaster automatisch per Email benachrichtigt, wo der Fehler liegt und wie sie diesen beheben können. Dabei werden die Webseiten verschlüsselt in eine Datenbank gespeichert.

Zusammengefasst: Ist es erlaubt, nach Sicherheitslücken auf Webseiten zu suchen, mit der Absicht, dass man diese beheben möchte und keinen illegalen Nutzen daraus zieht?

Wäre nett, wenn uns wer weiterhelfen könnte (am besten mit Auszügen aus dem Strafgesetz, wo wir nichts gefunden haben)

 

[bitmuncher]

Zusammengefasst: Ist es erlaubt, nach Sicherheitslücken auf Webseiten zu suchen, mit der Absicht, dass man diese beheben möchte und keinen illegalen Nutzen daraus zieht?

Nein, ist es nicht. Um eine Sicherheitslücke zu finden musst du versuchen diese auszunutzen. Und in dem Moment greifen §§ 202a, 202c StGB. Du umgehst dann nämlich eine Zugangssperre.

 

[SchwarzeBeere]

Nein, ist es nicht. Um eine Sicherheitslücke zu finden musst du versuchen diese auszunutzen. Und in dem Moment greifen §§ 202a, 202c StGB. Du umgehst dann nämlich eine Zugangssperre.

Du musst die Sicherheitslücke nicht ausnutzen, um sagen zu können, dass potentiell eine Sicherheitslücke vorliegt. Versionsnummern oder Fehlermeldungen reichen in den meisten Fällen vollkommen aus, wobei man sich auch hier eher in einer Grauzone bewegen wird. Ganz legal wird es sicherlich nie werden, da man einfach nicht zu diesen Tests befugt ist, aber ob ein '-Zeichen im Username-Feld oder ein nicht autorisierter Verbindungsaufbau zum SSH-Server illegal ist, darüber lässt sich streiten. Genauso kann man über die Rechtmäßigkeit von passiver Informationssuche (Google, Shodan, Facebook, ..) diskutieren, solange es nicht in Stalking ausartet. Und dann ist da noch die Sache mit der Internationalität: Welches Gesetz muss sich denn nun anwenden? Deutsches? Amerikanisches? Internationales?

Allerdings ergibt sich für mich eine viel einfachere Frage: Wer haftet denn, wenn ihr etwas kaputt macht? Gerade automatisierte Tests können nur eine begrenzte Zahl von Konfigurationen, Systemen, usw.. abdecken, da sie lediglich auf einem Modell basieren. Das macht es in der Realität schwer, in allen Situationen richtig zu reagieren und die richtigen Schlüsse zu ziehen. Wenn das mal was kaputt geht, bezahlt ihr dann den Schaden? Ihr seid praktisch der Elefant im Porzellanladen.

Gleichzeitig lasst ihr den Aspekt der holistischen Sicherheit - der Teil von Sicherheit, die durch das Zusammenspiel vieler Komponenten entsteht - völlig ausser Acht. Daraus folgt, dass es kein richtiges Angreifer-Modell und damit auch kein Angriffsziel oder eine strukturierte Vorgehensweise geben kann, geschweige denn eine hohe Aussagekraft der Ergebnisse. Nur, weil es einen Angriff gibt, heisst es nicht, dass ein Angreifer damit etwas anfangen kann. Damit kannst du auf einem Webserver zwar eine Shell spawnen, wenn dieser Server aber isoliert wurde, kommst du als Skript-Kiddie nicht weiter - ein staatlich geförderter Angreifer dagegen könnte eventuell ausbrechen. Warum sollte man auch viel Zeit in das Schliessen einer Lücke stecken, die keine Auswirkungen hat oder deren Eintrittswahrscheinlichkeit in Verbindung mit dem Schaden zu klein ist? Zu dieser Analyse seid ihr aber nicht fähig, da das nicht mittels automatisierten Tests durchgeführt werden kann und ihr schlichtweg nicht die Zeit haben werdet, euch um jeden neuen Host, bei dem ihr eine potentielle Sicherheitslücke findet, zu kümmern. Das aber ist genau die Arbeit, die professionelle Pentester tag täglich machen. Sie beurteilen auf professionelle Art und Weise die Systeme und können auch aufzeigen, welchen Schaden ein Angriff anrichten kann.

Es ist sicherlich ein schöner Ansatz mit guter Absicht, aber in der Realität gibt es viele Stolpersteine, sowohl rechtlicher Natur, als auch vom Aufwand und der Aussagekraft eurer Ergebnisse her. Es gibt bereits einige Projekte, die alle Hosts im Internet gescannt und Informationen extrahiert haben, beispielsweise das Crossbear-Projekt der TU München. Schwierig wird es aber spätestens bei der Benachrichtigung der Webmaster: Woher bekommt ihr denn die Adressen für eine automatische Benachrichtigung? Whois? Email-Extraktion aus der Website?

Edit:
Aber wenn du zuviel Zeit hast: Warum schreibst du dir nicht ein kleines Programm, dass sich Code von Github, Sourceforge, .. besorgt, diesen mittels vorhandener Lösungen auf Sicherheitslücken testet und diese Sicherheitslücken dir oder dem dortigen Webmaster automatisch via Bug-Report meldet?

 

[Jutschin]

Erstmal danke für die umfangreichen Antworten.

@bitmuncher

§§ 202a - unberechtigter Zugang zu Daten
Wir haben uns nochmal beraten und wollen Webseiten lediglich auf SQL-Injection und Versions-Exposure überprüfen.
Das heißt es werden keine Zugänge zu Daten vorbereitet oder durchgeführt.

§ 202c - Vorbereiten des Ausspähens und Abfangens von Daten
Es werden keine Codes oder Passwörter ausgespäht und können somit nicht mit diesen Paragraph in verbindung gebracht werden.


Um nun eine SQL-Injection (einfaches ' bei Parameter in URL hinzufügen) oder Server-Version (https://....:80 oder umgekehrt) bei einer Website zu überprüfen, wird nur die URL etwas bearbeitet. Es werden keine Daten ausgespäht, es wird kein Zugang benötigt, es werden keine Passwörter oder Codes benötigt, es entsteht somit kein Schaden.

Ich wüsste somit keinen Paragraphen der hier zutrifft.

@SchwarzBeere
Email wird entweder per Whois gesucht oder es werden rekursiv alle Seiten der Homepage nach einer Email durchsucht, wobei die Email zur URL passen soll und keine x-beliebige genommen wird. (bereits getestet - funktioniert sehr gut)

Wäre nett wenn ihr eure Meinung dazu nochmal abgeben würdet.

 

[bitmuncher]

Du musst die Sicherheitslücke nicht ausnutzen, um sagen zu können, dass potentiell eine Sicherheitslücke vorliegt.

Ja, eine potentielle Lücke. Das heisst aber noch lange nicht, dass dort auch wirklich eine Lücke ist. Man wird relativ viele False-Positives haben, wenn man nicht prüft, ob die Lücke wirklich ausnutzbar ist, denn häufig hängen die Fehler von bestimmten Konfigurationen ab u.ä.. Hinzu kommen Systeme, die ihre Versionsnummern nicht erhöhen, aber dennoch Sicherheitspatches einspielen, Systeme, die Sicherheitslücken in einem IPS abfangen, Honeypots, die diese Lücken absichtlich haben usw..

Btw.: Als deutscher Staatsbürger unterliegt man dem deutschen und europäischen Recht. Diese wird nämlich im Fall einer Anzeige angewendet, egal ob eine US-Firma oder eine aus Russland die Anzeige erstattet, es sei denn man wird bei einer Reise dort direkt vor Ort angeklagt.

@Jutschin: Du glaubst zu sehr an ein Wohlwollen der Menschen und an die Gerechtigkeit unserer Justiz. Tatsache ist, dass im Fall einer Anzeige erst mal jede Menge Stress auf dich zukommt. Und wenn eine Firma XY Anzeige gegen dich erstattet und ein paar Logs liefert, die einen Angriffsversuch aufzeigen, kommst du plötzlich in die Beweispflicht, dass du diese Lücke nicht ausgenutzt hast um Daten zu entwenden und dass du keinen Schaden angerichtet hast. Und damit sind wir wieder bei den 2 genannten Paragraphen. Ohne einen guten Anwalt und ausreichend Geld um auch längere Prozesse durchzustehen, solltest du auf jeden Fall die Finger von dieser Unternehmung lassen. Ausserdem solltest du damit rechnen, dass alles was du an Computer-Technik bei dir rumstehen hast potentiell beschlagnahmt wird um Beweise zu sichern, wenn es zu einer Anzeige kommt.

 

[Jutschin]

Alles klar, wir danken euch für die Informationen.

Schönes Wochenende noch!

 

[SchwarzeBeere]

Ja, eine potentielle Lücke. Das heisst aber noch lange nicht, dass dort auch wirklich eine Lücke ist. Man wird relativ viele False-Positives haben, wenn man nicht prüft, ob die Lücke wirklich ausnutzbar ist, denn häufig hängen die Fehler von bestimmten Konfigurationen ab u.ä.. Hinzu kommen Systeme, die ihre Versionsnummern nicht erhöhen, aber dennoch Sicherheitspatches einspielen, Systeme, die Sicherheitslücken in einem IPS abfangen, Honeypots, die diese Lücken absichtlich haben usw..

Das ist mir bekannt, weswegen ich auch explizit "potentiell" geschrieben habe. Mehr ist nach deutschem Gesetz nicht möglich, da alles in einem potentiellen Angriffsversuch bzw. mit einer potentiellen Vorbereitung (§202c) von diesem interpretiert und damit verfolgt werden MUSS.

Btw.: Als deutscher Staatsbürger unterliegt man dem deutschen und europäischen Recht. Diese wird nämlich im Fall einer Anzeige angewendet, egal ob eine US-Firma oder eine aus Russland die Anzeige erstattet, es sei denn man wird bei einer Reise dort direkt vor Ort angeklagt.

Als amerikanischer Serverbetreiber wirst du aber nicht bei den deutschen Kollegen nachfragen, sondern bei den amerikanischen Kollegen Anzeige erstatten, die sich dann vermutlich beim deutschen Provider oder der deutschen Polizei melden. Damit kannst du auch als deutscher Staatsbürger in den USA verurteilt werden - nur, ob du ausgeliefert wirst, ist hier sicherlich die andere Frage. Beispiele findest du im Internet genügend, in letzter Zeit war wohl der Lette Deniss Calovskis der prominenteste.

@Jutschin:

Es werden keine Codes oder Passwörter ausgespäht und können somit nicht mit diesen Paragraph in verbindung gebracht werden.

Das kannst du bei automatischen Scans nicht verhindern, weswegen du dich potentiell auch automatisch strafbar machst. Gleichzeitig gilt das o.g. auch weiterhin, d.h. eine Sicherheitslücke zu melden ist in vielen Fällen nutzlos, da ihr nicht das komplette Bild betrachtet. Die Nutzlosigkeit und Gefährlichkeit einer solchen Meldung wird dadurch unterstützt, dass die whois-Daten in vielen schlichtweg falsch sind oder die Domains auf den Betreiber der DNS-Server registriert sind. Nicht auszudenken, wenn ihr potentielle Sicherheitslücken einem völlig Fremden meldet, der diese dann an Kriminelle weitergibt. Ihr könntet euch also durch das simple Versenden potentieller Lücken an einen falschem Empfänger (und Email-Adressen auf Websites finden, die mit der Domäne übereinstimmen, aber schlichtweg nicht hierfür geeignet sind, ist ziemlich einfach.) strafbar machen - und angreifbar, denn nun besitzt der "Angegriffene" sogar eure Kontaktdaten inkl. eines Nachweises, dass ihr ihn angegriffen habt. Wer sagt, dass ihr die Daten nicht anderweitig nutzt, z.B. verkauft? Damit wäre es sogar schon geschäftsmäßig.

Nimms mir nicht übel, aber weder bitmuncher, noch ich, noch ihr könnt das letzten Endes beurteilen und alle Paragraphen diesbezüglich inkl. der Urteile kennen. Wenn ihr das professionell aufziehen wollt, dann gründet ein Unternehmen, lasst euch von einer juristischen Spezialistin oder einem Spezialisten beraten und überlegt euch dann, was ihr macht. Alles andere wäre grob fahrlässig.

 

[beavisbee]

gerade solche automatisierten Dinger können auch ordentlich nach hinten los gehen...

Praktisches Beispiel:
unser Chef hat einen Penetrationstester beauftragt, unseren Shop mal genauer unter die Lupe zu nehmen, hat aber - um realistische Bedingungen beizubehalten - bewusst KEINEM Mitarbeiter was davon erzählt... leider nicht mal den doch recht wachsamen Admins...

Der Penetrationstester hat angefangen, mit ein paar Standard-Tools die Seite nach potentiellen Lücken abzusuchen, die enorm große Request-Anzahl in kürzester Zeit wurde vom Nagios sofort gemeldet, einer unserer Admins hat die IP geblockt, mit hetzner telefoniert und denen erzählt, dass von deren Rechenzentrum aus ein Angriff auf unseren Shop läuft und kurze Zeit später ruft der Penetrationstester bei meinem Chef an und fragt, warum er plötzlich ne böse Mail von seinem Hoster bekommt...

Und da war es ein vorher abgesprochener Penetrationstest - somit konnte das mit dem Server-Hoster des Testers alles geklärt werden und die Admins haben seine IP ab da bewusst durchgelassen...

Aber wenn du solche Spielchen ohne Absprache machst, kann das ganz schnell arg nach hinten los gehen... dann gilt die alte Weisheit

"Gut gemeint" ist oft genau das Gegenteil von "gut gemacht"