Hacker Paragraph § 202c StGB in der Praxis

Hallo

musste sich schon jemand von euch mit § 202c StGB in der Praxis auseinander setzten, gibt es eine Unterscheidung zwischen ‘guter’ und ‘böser’ software?

Nachdem letztes Jahr zwei meiner Web - Projekte Opfer von Angriffen geworden sind hab mich etwas intensiver mit dem Thema Sicherheit beschäftigt, zuletzt mit der Frage, wie (in)effizient ein Bruteforce Angriff auf Logins sein kann, was wirksame Schutzmechanismen sind und wie (leicht) man es durch Serverlogs nachvollziehen kann. Dazu habe ich kleines Tool geschrieben. Urspünglich war es nur auf mein Projekt zugeschnitten, mittlerweile habe ich es allgemeiner gestaltet, u.a. Passwort - Policys, Anzahl an Versuchen und Wartezeiten hinzugefügt und bin dabei meinen Bruteforce - Algorythmus zu optimieren (z.B. gibt es Kombination die wahscheinlicher sind als andere). Natürlich braucht es immer noch eine Menge Geduld :D.

Dieses Projekt würde ich gerne als Testwerkzeug und um andere Meinungen zur Vorgehensweise zu hören veröffentlichen, weiß jedoch nicht ob oder unter welchen Umständen dieses ohne Probleme zu bekommen möglich ist. Vlt. mache ich mir auch nur zu viele Gedanken da ein Bruteforcen doch recht trivial ist.

Drake

Gibt das Programm am Ende das Passwort aus ?
Wenn es nur den Zugang testet und die Zeit & Versuche ausgibt, müsste es ja eigentlich nicht illegal sein?

Machst du das auf einer fremden WebSite ohne Zustimmung ist das auch ein Angriff.

Zur Zeit ja, interessanter Gedanke. Hab auch überlegt um es zu entschärfen und daraus kein ‚Einbruchswerkzeug‘ zu machen den zu sendenden user-Agent zu hardcoden und nicht mehr vom Benutzer setzten zu lassen.

Das ist schon klar :). Mir geht es um die Risiken einer Veröffentlichung. Vlt. kennt jemand auch Urteile zu diesem Thema, glaube es ist schwierig einen Anwalt zu finden der sich damit auskennt, abgesehen vom Vetter

Naja das ist klar. Aber meiner Einschätzung nach liegt dann nicht mehr die Verantwortung beim Programmierer.
Ich bin aber auch kein Anwalt oder sowas, dass ich das richtig Bewerten kann. Ist also nur eine grobe Einschätzung.

[QUOTE=Swoop]Naja das ist klar. Aber meiner Einschätzung nach liegt dann nicht mehr die Verantwortung beim Programmierer.
Ich bin aber auch kein Anwalt oder sowas, dass ich das richtig Bewerten kann. Ist also nur eine grobe Einschätzung.[/QUOTE]
Nur dass es keine Missverstaendnisse gibt:
Du nutzt ein Tool um Luecken in einer Fremden Webseite aufzuspueren ohne Genehmigung-> Angriff, Strafbar

Da ist es volllkommen egal was irgendein Programmierer davon haelt.

Es geht doch darum, dass er eine Software Entwickelt hat, um ein Login-Prozess auf Sicherheit zu testen. Also wieviele Versuche und Zeit benötigt wird um mit Brute-Force zu knacken.
Wenn die Software nur Versuche und Zeit ausgibt und nicht die Zugangsdaten am Ende ersichtlich sind ist die Software doch eigentlich nciht illegal. Man muss es doch nur richtig Publizieren? Und wenn es dann ein Nutzer nutzt um damit illegal andere Seiten zu cracken, ist nicht der Entwickler der Software schuld sondern der Anwender.

Hab zwar keine Ahnung von Recht, aber wenn das Tool illegal sein sollte, dann müssten die ganzen Penetrationstools ja auch illegal sein, was aber nicht der Fall ist. Das was illegal sein wird ist die Benutzung dieser Tools in fremden Netzwerken bzw. an fremder Software.

ja sicher, aber …

Brenne die „gute“ Software auf eine CD, brenne die „böse“ Software auf eine andere CD und klebe beide CDs mit einem Kaugummi zusammen. Jetzt schmeiß die CD-Kaugummi-CD-Masse wirbelnd nach oben. Schillert im Sonnenschein schön, hat aber keinen Einfluss auf den Unterschied zwischen den beiden Softwareständen. Der Unterschied ist nämlich - (ja, Dramatik ist gut) - die eine Software trommelwirbel ist auf den linken Scheibe, die Andere auf der Rechten tata

Es kommt auf den Einsatzzweck der Software an - glücklicher weise nicht der den der Programmierer vorgesehen hat. Sondern den so wie der Endanwender die Software nutzt. 2 Möglichkeiten zum Zeitpunkt des Veröffentliches: entweder Anwalt befragen oder anschließend auf Gut-Glaubens (oder wie das heißt) berufen. In letzterem Fall wird nichts passieren solange Du ein gesetzestreuer Bürger bist.

hand, mogel

Das hat nichts damit zu tun ob die Credentials ausgegeben werden oder nicht, sondern ob man die Berechtigung hat das Tool auf dem jeweiligen SYstem zu verwenden.

@mogel
dein Beitrag verwirrt mich ein wenig und doch bringt er irgendwie mein Problem mit anderen Worten auf den Punkt.

Dieses Gesetz ist ja noch relativ neu, und wirklche Urteile ausser den Selbstanzeigen und einem Verfahren gegen den BSI fördert google mir nicht zu Tage, gefolgt von schwammigen Einschätzungen von Juristen.

Ich hoffe einfach weiter darauf, dass sich vielleicht jemand findet der sich in der Praxis damit konfrontiert sah.

:smiley:

tja - so ist das

aber es gibt wirklich nichts dazu. Wenn man den § ganz exakt nimmt, darf noch nicht mal Windows verkauft werden. Mit genügend ping-Befehlen lässt sich so einiges lahm legen (in der Theorie). Eigentlich müsste lt. diesem § man Microsoft wegen Verkaufs von Hackersoftware verklagen.

Solange wie Du e im guten Glauben machst, solltest Du keine Probleme bekommen. Und Du hast das Programm ja geschrieben um die Logfiles zu checken etc.

es fehlt der danke button:)

Das hab ich wirklich. Leider bin ich tatsächlich zufrieden mit meinem Ergebniss. Ich finde es faszinierend, dass bruteforce von der theoretischen Vorgehensweise her nichts anderes ist als ein dähmlicher bubblesort, sich jedoch aus psychologischer Sicht optimieren lässt. Wenn man abseits einer word list arbeitet, gibt es immer noch genug Kombinationen die wahrscheinlicher sind als andere. Macht wenn man es lokal testet keinen großen Unterschied, probiert man es jedoch gegen eine Web - Anwendung ergibt sich als riesiger Flaschenhals die Zeit zwischen absenden des requests und erhalten der Antwort.

Beispiel:
8 Zeichen Passwort, wir lassen Groß - und kleinschreibung zu gefolgt von den Ziffern 0…9, ergib in Deutschlandt 8^62 mögliche Kombinationen.
Der Flaschenhals verschafft uns in dem Fall eine vorgetäuschte Sicherheit, da 8^62mögliche Anfragen zu senden eine recht lange Zeit in Anspruch nehmen würde.
Wenn wir jetzt davon ausgehen, das es sich um einen Bereich handelt in dem der User mit vom System generierten Passwörten arbeitet oder gezwungen ist dieses in regelmäßigen Abständen ändern muss sind triviale Passwörter a la 12345678 oder aaaaaaaa ausgeschlossen.

Dieses lässt sich aus meiner Sicht noch weiter verfeinern. Daher würde ich gerne ein Test Tool zur Verfügung stellen welches brute force und Mensch probiert in (un) gleichgewicht zu bringen. Ich hab mich bis jetzt nicht getraut / gesträubt etwas zu präsentiern, aber hier habe ich meiner Meinung etwas das es Wert ist. Daher auch die Frage hier, es geht mir nur um das auzeigen der größtmöglichen Sicherheitslücke, dem Bunutzer, und ja ich bin stolz auf mein Werkzeug :smiley:

Solange du nicht irgendwas hackst, kein Problem. Mit deinen Systemen kannst du machen was du willst.

es geht darum was andere damit machen :slight_smile:

Solange Dual-Use möglich ist, kein Problem

Ich betrachte das Tool erstmal als harmlos, da der zeitliche Aufwand enorm ist wenn man nicht gegen seine eigene Struktur testet.

Wurde ja schon sehr oft erwähnt… Ein Entwickler entwickelt ein Programm zu einem gewissen Zweck, keine Zeile Code ist irgendwie auch nicht im “Verbund” strafbar. Das bedeutet, die Entwickler von Hackersoftware können erst dann zur Rechenschaft gezogen werden, wenn sie ihre Werke selbst illegal einsetzen (Computerviren), eigene Testserver ausgenommen. Ansonsten ist für den Vertrieb der Software ein Lizenzabkommen von Nöten, in welchem steht, dass man den Entwickler für Schäden, die durch die Nutzung der SW entstehen, nicht zur Verantwortung ziehen kann und der Anwender dieser SW sie auf eigene Gefahr hin nutzt.
Der Einsatz von Hackersoftware für gezielte Angriffe auf fremde Server bedarf einer schriftlichen Erlaubnis des Betreibers der Server. Geheimdienste und Justiz-Behörden besitzen eine Generalberechtigung.