Moin!

merkst du was?

Betreibst Du nun Wortklauberei?
Es geht nicht darum, dass man Sicherheitsprobleme Totschweigen soll.
Sondern darum, dass man nicht jedermann beibringen soll wie man  hackt.

Jawoll. Damit nur die Elite hacken kann, sich die lohnendsten Objekte rausfischt, und dadurch, dass das Problem dann nicht so groß wird, bzw. leichter totgeschwiegen werden kann, muß man dann auch nicht handeln.

Security by obscurity funktioniert nicht!

Die Informationen sind öffentlich zugänglich. Man muß nur entsprechend recherchieren. Dass jemand, um den Verkauf seines Informationsproduktes zu fördern, solche brisanten Themen für das Volk leicht verdaulich und verstehbar aufbereitet, ist schlicht eine Folge des Kapitalismus.

Dass auch ohne Verkaufsförderung diejenigen, die das Wissen haben, sich hinsetzen und denjenigen, die das Wissen erlangen wollen, den Zugang dazu erleichtern, ist nicht undenkbar.

Wenn nun aber das Wissen um Sicherheitslücken auch ohne Zeitschriften verbreitet wird, dann sollte es doch lieber auch mit Zeitschriften verbreitet werden, weil es nur so in den öffentlichen Fokus gerät, und Gegenmaßnahmen ergriffen werden. Einfach weil der öffentliche Druck, dagegen etwas zu unternehmen, zu groß wird.

Nimm dir einfach mal einen SMB-Scanner, und scanne ein beliebiges Dialup-Netz durch. Du wirst mit Sicherheit 50% Windows-Rechner mit offenen Ports 137/139 finden, 10% von denen haben Dateifreigaben, und vielleicht 30% von denen haben keine Passwörter davor, lassen also jedermann vollkommen frei auf ihre Festplatte zugreifen. Typische Freigabenamen dabei: "C", "D", "E"... Und meist sogar schreibfähig.

Jedermann kann also böse Software installieren, ohne dass der Besitzer etwas merkt. Oder Software klauen. Oder Daten. Wurde im Fernsehen (Stern TV) auch schon gemacht. Da fanden sich dann so Lebensläufe und Bewerbungen, die die Redaktion sich dann ausgedruckt hat, um damit zu den Betroffenen hinzufahren. Die waren zwar zunächst überrascht, dass ein ihnen bislang unbekannter Reporter
so bestens über ihr Leben informiert war, aber die totale Panik und Aktionismus, diese Lücke zu schließen, war nicht wahrzunehmen.

So eine Aktion wurde auch Live im Studio ausgeführt. Der Mensch wurde (anhand seiner im Briefbogen angegebenen Rufnummer) live angerufen. Immerhin war er informiert. Er hatte den Rechner gerade neu installiert, und nur noch nicht seine Firewall wieder draufgespielt...

Und was sagt man dazu? Scheiß-Defaulteinstellung von Microsoft! Wer zum Henker kommt auf die Idee, bei einem Betriebssystem, was für die breite Masse und DAUs gedacht ist, Dateifreigaben für öffentliche IPs zu erlauben. Sowas gehört sich nicht.

Andererseits: Der Zugriff auf nicht gesicherte Dateifreigaben ist nicht strafbar. Weil ja keinerlei Sicherungsmechanismus umgangen wurde. Das Datenlesen ist vielleicht als "böse" zu bewerten, aber wenn der Server mir Daten anbietet, warum soll ich mich deren verweigern. Bei Datenveränderungen hingegen dürfte es problematisch werden.

Anderen eine Kriminelle Handlung lehren.
Zeigen wie man eine Bank knackt.

Mit dieser Begründung müßtest du den Freitagabend-Krimi verbieten. Dort zeigt man nämlich, wie man Menschen umbringt o.ä., und wie man sich am besten davor schützt, verknackt zu werden. Weil: Zwar kriegt der Kommissar den Bösewicht am Ende immer, aber nur, weil der zuwenig Krimis geschaut hat und typische Fehler macht, die ein informierter Krimigucker nicht machen würde.

- Sven Rautenberg