Hacker-Romantik

Hachja, irgendwie las sich der Bericht trotz des am Ende etwas negativen Untertons wie die Zusammenfassung eines Hackers IV (statt "Hack the World" jetzt "Hack the VZ").

Was hat denn der Junge gemacht? Genau das selbe, was Hacker seit Jahrzehnten machen. Ich verwende explizit das Wort Hacker und nicht Cracker, die ganze Aktion hat für mich sehr viel Hacker-Ethik an sich. Es wurden keine Daten gelöscht oder manipuliert, kein Virus in Umlauf gebracht, keine Infrastruktur angegriffen, kein Staat ausspioniert, kein 3. Weltkrieg gestartet, noch nicht einmal vertrauliche Daten veröffentlicht!
Es wurden _öffentlich einsehbare_ Daten gesammelt, nicht anderes als das was jeder VZ-User täglich macht, nur technisiert, geschickter und schneller. Die Aktion hat primär zwei wichtige Dinge gezeigt: 1. Wie einfach solche Daten zu sammeln sind und 2. wie unvorsichtig die Leute mit ihren persänlichen Daten umgehen.

Dass das maschinelle Auslesen der Profile oder wasauchimmer natürlich durch die VZ-AGB untersagt werden und bla ist dabei ein Detail - nämlich dass der Betreiber auf in der Praxis völlig unwirksame Mittel wie eine juristische Klausel verwendet, anstatt das eigene Geschäftsmodell mit Datenschutz zu gefährden. Niemand lässt sich davon abhalten, böswillig dagegen verstoßen und deshalb ist es an sich sogar gut, dass jemand darauf hingewiesen hat und nicht verdeckt wesentlich sensiblere Daten abgegriffen hat.

Das hat IMHO auch viel mit Hacker-Ethik zu tun. Man macht so eine Aktion, weil es geht. Man versucht niemandem zu schaden, ausser demjenigen / der Firma, die fahrlässig dazu ermöglicht. Man veröffentlicht Informationen zum benutzten Verfahren, denn nur geteiltes Wissen ist wertvolles Wissen.

Dass es bei der ganzen Sache auch ein paar Ungereimtheiten, Unsicherheiten und potentielle wirkliche kriminelle Machenschaften gab ist ganz gut. Das bringt den Schuss Mystery rein. ;)

Yeeeeeeeeha - Nur echt mit 2^3 e
Perl-Monk, Java-Trinker, Objective-C Wizard, PHP-Kiddie, unfreiwilliger FreeBSD-/Linux-Teilzeitadmin

nicht zu vergessen, dass das vz selber an sich doch das gleiche macht: es verschachert die datensätze an werbefirmen

Vergiss bitte nicht, dass er die Schutzmaßnahmen (Captchas) ausgehebelt hat.

________________________________________________
Erst, wenn man dreimal auf Holz klopfen will, stellt man fest, dass die Welt nur noch aus Plastik und Aluminium besteht.

Captchas sind keine Schutzmaßnahmen. Sie dienen lediglich maschinen von menschen zu unterscheiden. Und wie man an diesem Beispiel hier erkennt, sind sie Wirkungslos.

Vollstrecker schrieb:
--------------------------------------------------------------------------------
> Captchas sind keine Schutzmaßnahmen. Sie dienen lediglich maschinen von
> menschen zu unterscheiden. Und wie man an diesem Beispiel hier erkennt,
> sind sie Wirkungslos.

Und ich dachte, die sind dazu da behinderte/blinde/sehschwache Menschen auszuschließen. Dass sie Computern von Menschen unterscheiden können, halte ich für ein Gerücht.

Sie sind nicht wirkungslos, man muss bewusst etwas programmieren um sie zu umgehen, oder entsprechende vorhandene Codesnippets oder Librarys verwenden die das erledigen, und auch diese Dinge müssen entsprechend eingebunden werden in den Prozess, also macht man es definitiv bewusst.
Die Argumentation das "Man tut es weil man es kann!" bzw. dieser Legitimationsversuch kann nicht aufgehen.

Übertragen wir das auf eine absolut identische Situation in einem völlig alltäglichen Bereich.
Ein Gebäude, eine Firma oder eine private Wohnung hat normalerweise eine Tür die man auf und zu machen kann. Diese Tür hat im Normalfall eine Sicherheitsvorkehrung, nicht Captcha sondern Türschloss genannt.
Jemanden der nicht bewusst vor hat diese Sicherheitsvorkehrung zu überwinden (bei seinem eigenem Eigentum wäre das ja kein Problem, nur hier in diesem Fall war es ja definitiv nicht sein Eigentum) indem er die Tür eintritt oder entsprechende Werkzeuge verwendet um den Mechanismus auszuhebeln, der tut sowas auch nicht, nicht einmal "ausversehen". Auch hier gilt, Captchas umgehen oder "knacken" selbst ist nicht das Problem, der Grund warum ich das tue ist das Entscheidende. Ein Hammer zu verwenden ist auch nicht verboten, benutze ich ihn bewusst um ein Fenster einzuschlagen sieht das schon anderes aus!

Der Argumentation hier folgend würde jemand der sich im Internet auf unzähligen Seiten oder sonst wo informiert wie man ein Türschloss knackt automatisch die Legitimation erhalten in die Wohnung einzusteigen, schließlich "kann er es ja", und wenn der Wohnungsbesitzer nicht fähig ist seine Wohnung so abzusichern und Vorkehrungen zu treffen das man niemals unbefugt reinkommt hat er eben selber Pech .... ich denke mal dieser Argumentation würde im "Reallife" KEINER folgen, warum also im Internet?!

Dieses Beispiel kann auf soooooviele Dinge übertragen werden ... wenn am Straßenrand ein Cabrio steht kommt auch niemand Normaldenkende auf den Gedanken "Hey da setze ich mich rein oder schau mal was so nettes im Handschuhfach ist, schließlich ist es 'oben' offen, also kann ich es, und damit ist es erlaubt"

Ich hoffe es ist deutlich geworden was ich meine.

ItsJustMe schrieb:
--------------------------------------------------------------------------------
> Sie sind nicht wirkungslos, man muss bewusst etwas programmieren um sie zu
> umgehen, oder entsprechende vorhandene Codesnippets oder Librarys verwenden

Das muss man eh machen um automatisiert eine Seite abzugrasen.

> Übertragen wir das auf eine absolut identische Situation in einem völlig
> alltäglichen Bereich.

Diese Situation hat damit ÜBERHAUPT nichts zu tun.

Denn es ist kein SCHLOSS vorhanden, da ein Mensch das Captcha löschen kann und somit nichts ABGESCHLOSSEN ist (wie etwa durch ein Passwort oder die Notwendigkeit eines Schlüssels).

Ansonsten müsste ja alles verboten sein, was maschinell nachgebildet werden kann. Google indiziert Milliarden von Seiten, das könnte ein Mensch auch nie schaffen.

Das Captcha ist doch nur die Frage "Was steht hier?" und die kann man doch auch automatisiert beantworten.

anticaptcha schrieb:
-----------------------------------------------------------------
> Denn es ist kein SCHLOSS vorhanden, da ein Mensch das Captcha löschen kann
> und somit nichts ABGESCHLOSSEN ist (wie etwa durch ein Passwort oder die
> Notwendigkeit eines Schlüssels).

Meine Güte, wie einsilbig muss man denken oder nach Ausreden suchen weil man es sich schön reden will, für Sie ein anderes Beispiel.
Vor einer Betriebseinfahrt hängt eine lumpige rot-weise Plastikkette die den Hof absperrt, kein Schloss, oder sonstiges.

Es kommt nun trotzdem keiner auf den Gedanken "Hey heb ich einfach die Kette hoch oder haenge sie aus und geh rein, kann ich ohne Probleme, also darf ich!" Selbst wenn man Sie nicht anfasst und drunter wegtauchen würde und somit noch nicht einmal das Teil angefasst hat ist es nicht erlaubt. Es ist auch hier ein leichtes diese Sicherheitsvorkehrung zu umgehen, auch hier kann so eine Aufgabe von einem Nicht_Menschen übernommen werden, unerlaubt bleibt es! So oder so!

Wie bereits gesagt ist wichtig, dass ein Schutz (wenn auch ein geringer) vorhanden ist, der umgangen werden muss, damit man an die Daten kommt.

Der Richter wird im Zweifelsfall entscheiden müssen, ob der Schutz ausreichend war um als solcher bezeichnet zu werden, nicht die Golemleser. Ihr dürft auch nicht vergessen, dass der Schutz für seinen Zweck, nämlich öffentliche Daten vor Crawlern abzuhalten, ausreichend ist. ES SEI DENN, man umgeht ihn bewusst.

Da könnt ihr reden wie ihr wollt, fakt ist: er musste sich eines Tools bedienen um ein Hindernis zu umgehen, welches der Betreiber eingebaut hat um genau das zu verhindern.

________________________________________________
Erst, wenn man dreimal auf Holz klopfen will, stellt man fest, dass die Welt nur noch aus Plastik und Aluminium besteht.

ItsJustMe schrieb:
------------------------------------------------------------------------------
> auch hier kann so eine Aufgabe von einem Nicht_Menschen übernommen werden,
> unerlaubt bleibt es! So oder so!

Dann ist, dieser Logik folgend, das lösen eines Captchas durch den (menschlichen) Nutzer ebenso verboten?

Mal zur Veranschaulichung:

- Lösen des Captchas durch den menschlichen Nutzer: Erlaubt, erwünscht.
- Lösen des Captchas durch ein Programm: Illegal, schwerste Straftat.

Irgendwie unlogisch, nicht wahr?

Gruß
Tantalus

ItsJustMe schrieb:

> Es kommt nun trotzdem keiner auf den Gedanken "Hey heb ich einfach die
> Kette hoch oder haenge sie aus und geh rein, kann ich ohne Probleme, also
> darf ich!" Selbst wenn man Sie nicht anfasst und drunter wegtauchen würde
> und somit noch nicht einmal das Teil angefasst hat ist es nicht erlaubt. Es
> ist auch hier ein leichtes diese Sicherheitsvorkehrung zu umgehen, auch
> hier kann so eine Aufgabe von einem Nicht_Menschen übernommen werden,
> unerlaubt bleibt es! So oder so!

Schon wieder komplett falsch.
Auch hier gehst du davon aus, dass jemand diese Kette nicht hoch heben DARF. Bei einem Captcha kann allerdings JEDER *GEWOLLT* diese "Sperre" umgehen.
Nach deinem Beispiel oben würde ja das manuelle "umgehen" eines Captchas unerlaubt sein (und folglich natürlich auch das automatisierte).

Ich bezweifle immer noch sehr stark, dass das Lösen eines Captchas mittels eines Computerprogramms illegal ist.

Letzten Endes ist es aber doch so, dass der "Hacker" als Person scheinbar schon berechtigt war, die Daten einzusehen (er hatte ja offensichtlich einen Nutzeraccount, und hat nur Daten ausgelesen, die für Inhaber eines Nutzeraccounts per Defninition auch sichtbar sein sollen). Das einzig "illegale" an der Aktion war zunächst einmal, dass er dieses Auslesen nicht "von Hand", sondern automatisiert durch ein Script vorgenommen hat.

Was man ihm also (strafrechtlich!) vorwerfen kann, ist eine nicht genehmigte Weitergabe der Daten, nicht aber, dass er sich die Daten verschafft hat.

Gruß
Tantalus



1 mal bearbeitet, zuletzt am 20.10.09 12:56 durch Tantalus.

Tantalus schrieb:
--------------------------------------------------------------------------------
> ItsJustMe schrieb:
> ---------------------------------------------------------------------------
> ---
> > auch hier kann so eine Aufgabe von einem Nicht_Menschen übernommen
> werden,
> > unerlaubt bleibt es! So oder so!
>
> Dann ist, dieser Logik folgend, das lösen eines Captchas durch den
> (menschlichen) Nutzer ebenso verboten?
>
> Mal zur Veranschaulichung:
>
> - Lösen des Captchas durch den menschlichen Nutzer: Erlaubt, erwünscht.
> - Lösen des Captchas durch ein Programm: Illegal, schwerste Straftat.
>
> Irgendwie unlogisch, nicht wahr?
>
> Gruß
> Tantalus

Auch hier ist das doch viel zu kurz gefasst. Wieder ein Beispiel, eine Fussgängerzone, hier gibt es meistens am Eingang/Ende Beton- oder Stahlhindernisse damit man nicht mit einem Auto reinfahren kann sondern eben nur mit Fahrrad oder zu Fuss, oder eine Spielstraße wo Hindernisse so aufgestellt sind das man selbst vom Fahrrad absteigen muss um das Hinderniss/Sicherheitsvorkehrung zu überwinden.

Hier wurde eine Maßnahme getroffen um Computerprogramme oder ähnliches abzuhalten und Menschen entsprechend durchzulassen, das ist der gleiche Vergleich wie ich eine Unterscheidung machen kann zwischen Spaziergänger, Autofahrer, Motorradfahrer und Radfahrer. Man kann Sicherheitsvorkehrungen NIEMALS pauschalisieren, auf den Zweck kommt es an.

Leo schrieb:

> Da könnt ihr reden wie ihr wollt, fakt ist: er musste sich eines Tools
> bedienen um ein Hindernis zu umgehen, welches der Betreiber eingebaut hat
> um genau das zu verhindern.

Und er muss sich gleichermaßen eines Tools bedienen (oder ein Programm schreiben) um überhaupt etwas zu automatisieren.
DAS alleine ist nun wirklich kein Argument.

ItsJustMe schrieb:
------------------------------------------------------------------------------
> auf den Zweck kommt es an.

Dieser Zweck ist in dem konkreten Fall aber rein zivil- und nicht strafrechtlich relevant. Es ist ein Verstoß gegen die Nutzungsbedingungen, denen er als Nutzer (höchstwahrscheinlich) zugestimmt hat. Eine Straftat wird daraus deswegen aber noch lange nicht.

Gruß
Tantalus

ItsJustMe schrieb:
--------------------------------------------------------------------------------
> Die Argumentation das "Man tut es weil man es kann!" bzw. dieser
> Legitimationsversuch kann nicht aufgehen.

Das war auch keine Legitimation, sondern eine Erklärung. Beispiele dafür gibts es viele: Man kann auf den meisten Konsolen Homebrew ausführen, weil Hacker beweisen wollten, dass man kann. Die ersten Computerspiele wurden erfunden, weil Programmierer (wurde die damals am MIT schon Hacker genannt? ;)) beweisen wollte, dass man es kann. Usw. Sogenannte "sichere" Systeme laden geradezu ein zu testen, ob sie wirklich sicher sind, oder man "es kann".

> Jemanden der nicht bewusst vor hat diese Sicherheitsvorkehrung zu
> überwinden (bei seinem eigenem Eigentum wäre das ja kein Problem, nur hier
> in diesem Fall war es ja definitiv nicht sein Eigentum) indem er die Tür
> eintritt oder entsprechende Werkzeuge verwendet um den Mechanismus
> auszuhebeln, der tut sowas auch nicht, nicht einmal "ausversehen".

Wenn das Schloss vom Hersteller als besonders sicher beworben wird, halte ich es für sehr gut den Mechanismus auszuhebeln und dann darauf hinzuweisen dass es geht und wie. Ansonsten wiegen sich die Benutzer des Schlosses in falscher Sicherheit, die von eben jenen ausgenutzt wird, die nichts bekannt machen.

> Ein Hammer zu verwenden
> ist auch nicht verboten, benutze ich ihn bewusst um ein Fenster
> einzuschlagen sieht das schon anderes aus!

Wenn zuvor eine Firma erzählt hat, das Fenster wäre unzerstörbar, woraufhin es für sicherheitsrelevante Dinge verwendet wird, ist auch ein Hammer imho ein gutes Mittel. ;)


Ich hoffe, es ist die klargeworden, wie ich das meine. ;)


PS: Dann irgendwelche Daten verkaufen zu wollen o.ä. ist eine andere Geschichte - das ist die Verlockung, der nicht jeder widerstehen kann.

Yeeeeeeeeha - Nur echt mit 2^3 e
Perl-Monk, Java-Trinker, Objective-C Wizard, PHP-Kiddie, unfreiwilliger FreeBSD-/Linux-Teilzeitadmin

Yeeeeeeeeha schrieb:

> PS: Dann irgendwelche Daten verkaufen zu wollen o.ä. ist eine andere
> Geschichte - das ist die Verlockung, der nicht jeder widerstehen kann.


Wir reden hier aber genau und EINZIG über diesen Fall! Er hat es nicht gemacht um etwas zu demonstrieren, anfangs hatte er es nur für sich gemacht und ging sehr schnell in die Schiene über damit Kapital schlagen zu wollen, auf seinem eigenen Blog konnte man das nachlesen.
Er hatte sich weder an die Eigentümer der Daten gewandt noch an den Besitzer/Verwalter der Daten, VZ-Netzwerk, um auf irgendwas hinzuweisen, er hat die Daten genommen, in eine DB gepackt, sie non_puplic in einem Board zur freien Verfügung gestellt, und wie heute die Staatsanwaltschaft Berlin bestätigte noch weiteres Kapital daraus schlagen wollen und 20.000 Euro von VZ erpressen wollen! Er ist und wird niemals ein Held wie ihr versucht die Sache darzustellen werden, zumindest teile seiner Absichten.

Ich glaube du verwechselst hier etwas.

Stell dir vor, du willst dein Auto auf einem sog. bewachten Parkplatz abstellen. Die Betreiberfirma behauptet, dieser wäre sicher und da du noch nichts anderes gehört hast, glaubst du es. Der Betreiber haftet aber nicht für den Verlust deines Autos, weil du konntest dich ja selbst entscheiden es dort abzustellen.

Nun kommt ein böser Junge und findet heraus dass der Wachmann schläft, die Kameras kaputt sind und die Kette am Eingang kein Schloss besitzt. Er treibt ein bisschen Unfug um darauf hinzuweisen, ohne aber großen Schaden anzurichten.

Wer ist nun schlimmer? Der böse Junge oder der Betreiber, der unvorsichtig mit dem Eigentum seiner Kunden umgegangen ist und wider besseres Wissen nicht auf Risiken eingegangen ist?

Yeeeeeeeeha - Nur echt mit 2^3 e
Perl-Monk, Java-Trinker, Objective-C Wizard, PHP-Kiddie, unfreiwilliger FreeBSD-/Linux-Teilzeitadmin

Tantalus schrieb:
--------------------------------------------------------------------------------
> Letzten Endes ist es aber doch so, dass der "Hacker" als Person scheinbar
> schon berechtigt war, die Daten einzusehen (er hatte ja offensichtlich
> einen Nutzeraccount, und hat nur Daten ausgelesen, die für Inhaber eines
> Nutzeraccounts per Defninition auch sichtbar sein sollen). Das einzig
> "illegale" an der Aktion war zunächst einmal, dass er dieses Auslesen nicht
> "von Hand", sondern automatisiert durch ein Script vorgenommen hat.

Dem stimme ich absolut zu. Ein CAPTCHA das von einem Programm gelesen werden kann ist eben KEIN wirksamer Zugangsschutz. Wenn Holtzbrinck seinen User gegenüber behauptet es wäre eben doch ein wirksamer Schutz und sie so in falscher Sicherheit wiegt, dann ist das von Holtzbrink einfach nur fahrlässig und gefährlich für diejenigen, die dem angeblichen Schutz glauben.

Yeeeeeeeeha - Nur echt mit 2^3 e
Perl-Monk, Java-Trinker, Objective-C Wizard, PHP-Kiddie, unfreiwilliger FreeBSD-/Linux-Teilzeitadmin

Yeeeeeeeeha schrieb:
--------------------------------------------------------------------------------
> Ich glaube du verwechselst hier etwas.
>
> Stell dir vor, du willst dein Auto auf einem sog. bewachten Parkplatz
> abstellen. Die Betreiberfirma behauptet, dieser wäre sicher und da du noch
> nichts anderes gehört hast, glaubst du es. Der Betreiber haftet aber nicht
> für den Verlust deines Autos, weil du konntest dich ja selbst entscheiden
> es dort abzustellen.
>
> Nun kommt ein böser Junge und findet heraus dass der Wachmann schläft, die
> Kameras kaputt sind und die Kette am Eingang kein Schloss besitzt. Er
> treibt ein bisschen Unfug um darauf hinzuweisen, ohne aber großen Schaden
> anzurichten.
>
> Wer ist nun schlimmer? Der böse Junge oder der Betreiber, der unvorsichtig
> mit dem Eigentum seiner Kunden umgegangen ist und wider besseres Wissen
> nicht auf Risiken eingegangen ist?

Pure Verdrehung der Tatsachen, sämtliche Sicherheitsvorkehrungen die man vorher getroffen hat haben gegriffen, man hat nur entsprechend mehr Energie verwendet diese wiederrum auszuhebeln bzw. zu umgehen. Es waren weder vorhandene Sperren defekt, noch wurde fahrlässig etwas schleifen gelassen.
Und nochmal, der hat nicht ein bisschen Unfug getrieben und 10 oder 100 Profile gecrawlt um zu beweisen das es geht und das dann frecherweise veröffentlicht oder an die Presse/den Besitzer getragen, er hat es weit überdimensioniert gemacht und letztendlich einen völlig anderen Zweck verfolgt (Mutmaßung) indem er das nicht in einem Board der "anonymen Notare, Gesetzteswächter und freien Verbraucherschützer" publizierte und zur Verfügung stellte, nein er hat das einem sehr fragwürdigem Publikum zugänglich gemacht, und selbst darauf erst hingewiesen als die "Kacke" schon am dampfen war ...

Zum Thema "Wer ist schlimmer und sollte bestraft werden" sag ich einmal, die Sache die der Typ abgezogen hat ist in meinen Augen wesentlich schlimmer als eine eventuell Sorgfaltsverletzung der Pflichten von VZ die ICH hier gar nicht erst sehe, und die Gesetzgeber wohl auch nicht sonst hätte ja wohl die Staatsanwaltschaft die da tief drin hängt schon etwas angekündigt _gegen_ die Betreiber der VZ-Netzwerke.
Als zweiten Punkt noch, selbst wenn beide Mist gebaut _hätten_ kann man ja wohl nicht danach gehen wer mehr Schuld hat und der andere kommt straffrei aus der Geschichte raus. [Ein Schläger und ein Kindervergewaltiger überfallen ein Kind, bestraft man nun nur den Vergewaltiger weil der viel schlimmer ist als der kleine Schläger mit seinen paar Kopfnüssen? (Keine Beziehung zu einzelnen hier genannten parteien, ein sehr abstraktes Beispiel das nur dazu dienen soll den Hintergrund zu verdeutlichen)]