News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

[Incanus]

Von der Auslegung der Gesetze leben die Anwälte, Richter etc eben .

Wie gesagt ist es schwierig die Grenze zu ziehen, zwischen guten Hackern, die nur helfen wollen und den anderen, die Schaden anrichten. Hier wurde ein unverschlüsseltes Passwort gefunden, wenn ich den Artikel richtig verstanden habe, aber anstatt das so zu melden wurde erst noch getestet, ob man damit an die Kundendaten herankommen kann. Das war eventuell ein Schritt zu weit.

 

[Salamimander]

phpmyadmin ist kein Hacker Tool. Punkt.
und irgendwie muss man ja schauen ob das password valide ist. Hätte er jetzt die MySQL cli genommen wäre die plötzlich ebenfalls ein hackertool… (nach diesem Richter)

 

[Kuristina]

und irgendwie muss man ja schauen ob das password valide ist

Wieso musste er das prüfen? Eine Meldung über den Fund hätte doch gereicht erstmal.

 

[Salamimander]

Das er IRGENDEIN Password gefunden hat? So ein Quatsch. Dieses Gesetz wirft uns um so viele Jahre zurück und schadet uns langfristig. Das ist modernes Hexen verbrennen…

 

[Incanus]

Kann es sein, dass Du ein ganz klein wenig übertreibst?

 

[Piktogramm]

[...]aber anstatt das so zu melden wurde erst noch getestet[...]

Sieht aus wie ein Credential, muss es aber nicht sein. Also wird getestet, was es ist.

Egal ob Studium, Hobby oder Beruf, das ist bei Programmier·innen üblich, dass im Zweifelsfall einfach mal probiert wird, ob sich $foo so verhält wie vermutet, oder eben nicht.

Wieso musste er das prüfen? Eine Meldung über den Fund hätte doch gereicht erstmal.

"Moin, ich habe ein String in euren Binärblobs gefunden, keine Ahnung was der macht, aber ich dachte mir, ich melde das mal"
Damit macht man sich als meldende Person lächerlich und solche Tickets werden einfach geschlossen.

Ein "Moin, ihr habt Credentials im Binärblob, die Vollzugriff auf ALLE Kundendaten erlauben, pls fix" ist da schon etwas Anderes.
Vor allem ist Decompiling zum Zwecke von Bugfixing und dem Schaffen von Kompatibilität bedingt erlaubt. Bei dem was der Entwickler als Arbeitsauftrag hatte, war also durchaus zu erwarten, dass über die Credentials gestolpert wird, und dass die Credentials getestet werden.

Kann es sein, dass Du ein ganz klein wenig übertreibst?

Er äußerst sich zivilisiert und bedacht. In so mancher IT-Bude werden die Meinungsäußerungen in der Kaffeeküche dazu ganz anders ausfallen.

Ergänzung (19. Januar 2024)

@Andy
Ihr könnt ja mal ein Update zu dem Artikel geben, denn der Kollege wurde tatsächlich vom Amtsgericht Jülich für schuldig befunden und zu 50 Tagessätzen verdonnert. Er hat jedoch bereits angekündigt in Revision gehen zu wollen.

Das ganze ist so absurd...

Ping an @Andy nochmal und vielleicht auch @Jan, der Artikel kann ein Update gebrauchen (Siehe Vollzitat)

 

[Incanus]

In so mancher IT-Bude werden die Meinungsäußerungen in der Kaffeeküche dazu ganz anders ausfallen.

An manchem Stammtisch wird auch ganz anders geredet, aber ein einzelnes Urteil als Beweis für

Das ist modernes Hexen verbrennen…

zu sehen ist für mich schon reichlich übertrieben.

 

[Kuristina]

Damit macht man sich als meldende Person lächerlich und solche Tickets werden einfach geschlossen.

Das spekulierst du jetzt einfach mal eben so. Du weißt nicht, wie sie darauf reagiert hätten.

Egal ob Studium, Hobby oder Beruf, das ist bei Programmier·innen üblich, dass im Zweifelsfall einfach mal probiert wird, ob sich $foo so verhält wie vermutet, oder eben nicht.

Weil es so üblich ist? Egal, wie die Gesetze sind, es zählt was bei dir üblich ist. 😊

 

[Piktogramm]

@Incanus
Mit dem Unterschied, dass es die Leute die da derzeit schimpfen vom Urteil unmittelbar betroffen sind. Das Gericht hat da ein Urteil gefällt, wo 0815 Entwickler Probleme bekommen können.

@Kuristina
Ja sicher, eine Firma, die eine Meldung großteils ignoriert hat, bei der das Ausmaß bekannt und kommuniziert wurde, wird viel besser reagieren, wenn die Meldung absolut diffus ist.
Ganz abgesehen, es ist gelebte Praxis selbst bei den besten Softwarentwicklern. All zu unspezifische Tickets werden geschlossen.

Und das Gesetz. Als Grundlage zur Interpretation von Gesetzes. Es zählt der Wille des Gesetzgebers und nicht unmittelbar der Wortlaut. Der Wille des Gesetzgebers steht im Gesetz und zur Bewertung des Willens kann die Begründung des Gesetzes herangezogen werden: https://dserver.bundestag.de/btd/16/036/1603656.pdf

Da findet sich u.a.

Zu Nummer 2
[...]
Zu Buchstabe a
Die Befürchtung, dass auch der gutwillige Umgang mit
Softwareprogrammen zur Sicherheitsüberprüfung von IT-
Systemen von § 202c StGB-E erfasst werden könnte, ist
nicht begründet. Die Nichterfassung des gutwilligen Um-
gangs mit Softwareprogrammen zur Sicherheitsüberprüfung
von IT-Systemen wird bereits auf Tatbestandsebene durch
zwei gesetzliche Tatbestandsmerkmale abgesichert. Einer-
seits muss es sich objektiv um ein Computerprogramm han-
deln, dessen Zweck die Begehung einer Computerstraftat ist,
und andererseits muss die Tathandlung – also das Herstellen,
Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst
Zugänglichmachen – zur Vorbereitung einer Computerstraf-
tat erfolgen.
[...]

Der Gesetzgeber beschreibt selbst, dass der gutwillige, übliche Einsatz von Wissen wie (Software-)Werkzeugen nicht der Bereich sind, wo $202[a-b] StGB greifen sollen. Der Hackerparagraf für sich ist nicht gut, aber das Ding sollte den legalen Alltag von Devs und Pentestern eigentlich überhaupt nicht betreffen. Was vom Gericht an der Stelle beschlossen wurde, irritiert und ist hoch problematisch in vielen Feldern.

 

[Incanus]

Mit dem Unterschied, dass es die Leute die da derzeit schimpfen vom Urteil unmittelbar betroffen sind. Das Gericht hat da ein Urteil gefällt, wo 0815 Entwickler Probleme bekommen können.

In welcher Hinsicht? Als 0815 Entwickler habe ich doch nicht die Aufgabe fremde Datenbanken zu entschlüsseln.

 

[Piktogramm]

@Incanus
Die Datenbank war nicht verschlüsselt, da konnte auch nichts entschlüsselt werden.
Der Entwickler sollte Zusatzmodule samt Anbindung entwickeln. Was bedeutet, dass API-Zugriffe auf die Datenbank stattfinden. Das man da schaut wie andere Module bzw. Software die API nutzt ist normal, dass man über hard coded Credentials stolpert leider auch.
Das Zugriffsmöglichkeiten mit Credentials gestestet werden ist auch normal. Solang das nur Datenbanken sind, die sowieso im Auftrag des Kunden betrieben werden, ist das auch unproblematisch.

Das Problem war halt, dass Credentials für den Vollzugriff hinterlegt waren. Das kommt leider viel zu oft vor, das kann man meist vorher nicht wissen und wenn man sowas findet meldet man sowas. Außer halt in Deutschland, weil die Gefahr der Strafverfolgung viel zu hoch ist.
Entsprechende Findings verkaufen, Veröffentlichung auf "Full Disclosure" oder über den Disclosure Mailer vom CCC sind mittlerweile als Finder deutlich sicherer/gewinnbringender als direkte Meldungen. Alles weil Staatsanwaltschaft und Richter durchdrehen -.-

 

[Incanus]

Oben wurde ja ein Artikel auf Golem verlinkt, darin steht:

Konkret ging es wohl um die Verwendung des weitverbreiteten Datenbank-Administrationstools phpMyAdmin, in das der Angeklagte das entdeckte Passwort eingegeben hatte, um auf die Datenbank von Modern Solution zuzugreifen.

Ich gebe zu, ich bin in der Thematik nicht vollständig drin, sondern beziehe meine Informationen aus diesem Thread. Aber das klingt für mich schon danach, als wäre mehr als für den Auftrag notwendig ausprobiert worden.

 

[Mensch_lein]

Das schöne dabei ist ja, das Urteil wirft sich direkt auf die Reaktionen in der Zukunft aus.

Was meine ich? Na, wenn ich ein Hacker wäre und ich so eine Lücke finde, werde ich den Teufel tun und das melden, da wie im Mittelalter von den extrem dummen Herrschern, der Überbringer der Nachricht gerichtet wurde. Es ist also absurd zu glauben, die Rechtsprechung mache irgend etwas Vernünftiges gerade.

Das negative daran ist, mehr Schwachstellen werden so offen bleiben!

Ein Hoch auf die Richter, die in ihrem Aggieren ihre Inkompetenz und ihre Kurzsichtigkeit bewiesen haben.

Abgesehen davon, wird der Admin, der dieses Passwort so offen hinterlegt hat, nicht bestraft für seine Unfähigkeit.

 

[Piktogramm]

Ich gebe zu, ich bin in der Thematik nicht vollständig drin, sondern beziehe meine Informationen aus diesem Thread. Aber das klingt für mich schon danach, als wäre mehr als für den Auftrag notwendig ausprobiert worden.

Wenn jemand irgendwas in Richtung Datenbank entwickelt hat man irgendwas in Richtung PHPmyAdmin, Mycli oder schlicht Datenbank frontends für die Entwicklungsumgebung seiner Wahl auf dem Rechner.
Wie Bauarbeiter Hämmer haben, Fleischer Messer hat Datenbank Dev wie Ops Datenbankwerkzeuge aufm Rechner.
Imho wird es schon schwer irgend ne Ausbildung in dem Bereich zu machen, ohne dass man das Zeug verwendet und zu schätzen lernt.

Edit, Nachtrag:
Das ist entsprechend auch die Sprengkraft hinter dem Urteil. Der Betroffene hat bereits Revision eingelegt, Gott sei Dank, denn wenn das Urteil bestand hat, wird IT in Deutschland echt schwer. Jedes Erstsemester Informatikstudium fast schon eine Anleitung zum Verbrechen -.-

Abgesehen davon, wird der Admin, der dieses Passwort so offen hinterlegt hat, nicht bestraft für seine Unfähigkeit.

Da wird Ops wenig für können. Credentials im Code vergeigt normalerweise Dev. ebenso wie das Design der Datenhaltung, wo von Außen dann doch ein bisserl viel erreichbar war.

 

[Mensch_lein]

@Piktogramm

Ok, dann formuliere ich es eben um.

Der Verantwortliche, der das Passwort ohne weitere Absicherung so hinterlegt hat, wird nicht bestraft, noch sein Fehlverhalten angemahnt. Was passiert also, der Verantwortliche macht es weiterhin so. Ist ja kein Problem. Weitergehen, gibt nichts zu sehen. Hüstelt!

Oder etwas einprägsamer, es wird weiterhin keinen vernünftigen Schutz geben.

 

[Incanus]

Wenn jemand irgendwas in Richtung Datenbank entwickelt hat man irgendwas in Richtung PHPmyAdmin, Mycli oder schlicht Datenbank frontends für die Entwicklungsumgebung seiner Wahl auf dem Rechner.

Ja und? Darum ging es in dem Urteil aber doch gar nicht, sondern um die Anwendung dieses Tools auf die Datenbank der Firma.

denn wenn das Urteil bestand hat, wird IT in Deutschland echt schwer.

Warum? Nach der Logik dürfte auch niemand mehr eine Ausbildung zum Gärtner machen, da eine Spitzhacke auch für einen Einbruch verwendet werden könnte.

 

[Piktogramm]

Warum? Nach der Logik dürfte auch niemand mehr eine Ausbildung zum Gärtner machen, da eine Spitzhacke auch für einen Einbruch verwendet werden könnte.

Du hast es eigentlich verstanden.
Beruflicher Alltag wird kriminalisiert. Das sieht bei Devs anders aus, als beim Gärtner. Aber an sich haut es übertragen hin.

Ja und? Darum ging es in dem Urteil aber doch gar nicht, sondern um die Anwendung dieses Tools auf die Datenbank der Firma.

Es gibt den Entwickler, seinen Auftraggeber und MS. Auftraggeber hat Entwickler beauftragt Zussatzmodul für Software zu entwickeln. Entwickler braucht dazu Zugang zur Datenbank, die MS im Auftrag des Auftraggebers bereitstellt. Entwickler sucht in bestehender Software nach Datenbankcredentials bzw. Schnittstellendefinition zur Datenbank. Unter der Annahme, dass MS keinen Scheiß gebaut hat, sollten Credentials Nur für die Datenbank des Auftraggebers in der Software liegen. Die Gefundenen Credentials haben jedoch viel mehr Zugriff erlaubt, als angenommen, viel mehr als technisch sinnvoll und auch nach 2021 bestehender Rechtslage. Also wurde der Fund gemeldet.

Das der Entwickler um seinen Auftrag zu erfüllen, sich Infos zur Datenhaltung/Datenbank beschafft ist völlig normal. Wie man Datenbankverbindungen/Credentials testen soll, ohne PHPmyAdmin oder vergleichbares einzusetzen darfst du mir gern erklären. Mir fällt wenig ein, welches weniger invasiv ist.

 

[Accutrauma]

Weil einem das Urteil nicht in den Kram passt sind Richter inkompetent und bestechlich? Eine eher gewagte These. Sie müssen sich an geltende Gesetze halte und wenn der Hackerparagraph das eben im Augenblick so vorsieht, dann ist das wohl rechtens. Die Linie zwischen ‚guten‘ und ‚bösen‘ Hackern ist wohl schwer zu ziehen.

Die Sachlage lag vor. Meiner Meinung nach Inkompetenz des Richters. Auch immer lustig gewisse Gerichte z.B welche Themen verhandeln und man den Kopf schuettelt ueber manche deren Urteile. Hamburg IT, Frankfurt Arbeitsrecht.

 

[Incanus]

Du hast es eigentlich verstanden.
Beruflicher Alltag wird kriminalisiert.

Beruflicher Alltag eines Entwicklers ist es fremde Datenbanken zu entschlüsseln?

 

[Accutrauma]

@Incanus

Also ich wuerde mich auch erstmal vergewissern ob es das ist was ich vermute.