Computersicherheit ist nun strafbar in Deutschland.

Wichtige, für die Arbeit von uns Netzwerkadministratoren und Sicherheitsexperten essentielle Werkzeuge sind nun in Deutschland verboten. Bestraft werden soll nun unter anderem die Herstellung, Überlassen, Verbreitung oder das Verschaffen von so genannten „Hacker-Tools“, die nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen.

Hier nun im Detail der komplette Wortlaut des betreffenden Artikels im durch “unsere” Regierung neu geschaffenen Paragraphen 202c StGB:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
…
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Mit anderen Worten: Es wird den oben genannten Personen nahezu unmöglich gemacht, in Zukunft ihre Arbeit auszuüben. Für den Einsatz, die Herstellung oder die Überprüfung von Sicherheitslösungen im IT-Bereich ist es unumgänglich, mit der Arbeitsweise der “bösen” Jungs vertraut zu sein, die Tools zu kennen, mit denen gearbeitet wird und diese auch zu nutzen, um die eigenen Sicherheitsvorkehrungen angemessen zu testen.

Neben der Tatsache, dass diese Einschränkungen der Möglichkeiten mich wieder in den Vermutungen bestärkt, die ich bereits vergangenes Jahr äußerte, ist hier auch der wirtschaftliche Faktor nicht zu unterschätzen. Die Sicherheitsbranche und IT-Dienstleister werden hiermit in ihrer Arbeit massivst behindert. Werkzeuge wie Nessus, die von Netzwerkadministratoren in ihrer täglichen Arbeit verwendet werden, sind ab sofort in Deutschland nicht mehr erlaubt. Das Herunterladen eines simplen Portscanners kann mich in Zukunft unter Umständen in den Knast bringen! Da mutet es fast wie Hohn an, wenn unser Bundesdatenmessi Schäuble ankündigt, für die Zukunft eine Zertifizierung “vertrauenswürdiger Sicherheitsdienstleister” zu planen. Wie bitteschön soll ich mich in die Lage versetzen, mich auf solch eine Zertifizierung vorzubereiten? Solange ich diese Zertifizierung nicht habe, darf ich mir die Werkzeuge und Techniken nicht zulegen oder aneignen, will ich mich nicht strafbar machen. Es ist einem Administrator oder Sicherheitsdienstleister wie mir nicht mal mehr möglich, die Wirksamkeit der WLAN-Sicherheitsmechanismen zu überprüfen bzw. einem Kunden zu zeigen, wie unsicher seine Installation aktuell ist, wie leicht jemand in sein WLAN eindringen kann. Sollte ich das heimlich tun und er zeigt mich an – zack – vorbestraft!

Bin grad mehr als wütend, ganz ehrlich! Sämtliche Appelle an die Regierung wurden komplett ignoriert, mit der üblichen Arroganz wurden sämtliche Experten mit Nichtbeachtung gestraft und das Gesetz in vollem schwachsinnigen Umfang beschlossen. Das Aus für die Security-Branche in Deutschland, das Aus für Computersicherheit, das Aus für meine Toleranz. Die Regierung macht mir die Ausübung meines Berufs unmöglich, ich weiß nun, was ich zu tun habe!

Update: Der heise-Artikel zum “Hackerparagraphen” ist ungewohnt unkritisch, enthält jedoch ein ein paar weitere Details.

via missi, Foto von Mr. President

Popularity: 1% [?]

Die möglichen Folgen eines simplen Tippfehlers demonstriert das folgende Video doch recht anschaulich. Statt google.com goggle.com aufrufen und die Folgen bewundern.

Ich hab es nicht persönlich nachgeprüft, kann mir aber lebhaft vorstellen, dass da einiges dran ist. Ist ja nun wirklich nicht neu, diesen Müll gibt es schon seit Jahren.

[gv data="http://www.youtube.com/v/w8TpmQMoPbQ "][/gv]

via Daily Cup of Tech

Popularity: 5% [?]

Na das ist doch mal wieder etwas nettes aus meinem Spam-Folder:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: xx.xx.xx.xx

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert K., Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – xxx
Fax: 06131 – xxx
Mobil: 0171 – xxx
Mail: xxx51@aol.com

Und im Anhang, natürlich, eine Zip-Datei, die mit an 100% grenzender Wahrscheinlichkeit den eigentlichen Trojaner enthält.

Sorry, das ist SO billig, wer diesen Anhang öffnet und sich auf diese Weise den Rechner infiziert, selbst schuld. Auf die Details muss ich bei dieser Mail sicherlich nicht eingehen, es dürfte für jeden erkennbar sein, woher hier der Wind weht. Insofern: netter Versuch, hab gerade gut gelacht. Und das wars auch schon.

Nachtrag: Die Adresse in der Mail gibt es im übrigen tatsächlich, es scheint sich hier um die Anschrift des als Urheber der Mail bezeichneten Herrn K. zu handeln. Veröffentlicht wurde sie im Impressum des Internetauftrittes der Zeitschrift “Die Kriminalpolizei” des Verlags Deutsche Polizeiliteratur. Der Herr dürfte heute eine ganze Menge eMails und Anrufe erhalten haben… Was ich nun wieder weniger lustig finde.

Popularity: 1% [?]

Eine neue Sicherheitswarnung für WordPress-Nutzer: Die WordPress Plugins myFlash, wordTube und wp-Table öffnen Sicherheitslücken, über die PHP-Scripte auf dem Server eingeschleust und dort zur Ausführung gebracht werden können. Bei heise gibt es weitere Erklärungen zu den Ursachen. Nutzer dieser Plugins bis zu den Versionen wordTube 1.4.3, wp-Table 1.4.3 und myFlash 1.10 sollten also schleunigst updaten, “sauber” sind wordTube 1.4.4, wp-Table 1.4.4 und myFlash 1.11.

Neben diesen Sicherheitslücken, die durch unsaubere Programmierung entstehen kann es unter Umständen auch Plugins geben, die gezielt zur Schaffung von Sicherheitslücken entwickelt wurden. Das ist ein prinzipielles Problem, wer ist schon in der Lage, den Code jedes Plugins erst einmal auf Backdoors hin abzuklopfen, bevor er es installiert? Und wer von denjenigen die es könnten tut es tatsächlich? Mich wundert ohnehin bereits seit geraumer Zeit, dass diesbezüglich noch nichts bis zu mir vorgedrungen ist. Vielleicht hab ich es auch nur nicht vernommen, aber solch ein Backdoor-Plugin hätte sicher für einigen Sturm in der Blogosphäre gesorgt. Ich will hiermit auch niemanden erst auf solch eine Idee bringen, sondern eher sensibilisieren.

Popularity: 1% [?]