el*Loco blogged

Paragraph 202c des StGB besagt:

§ 202a Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Darunter sollten ja auch verschlüsselte Passwörter auf UNIX Systemen gehören.

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Wenn nun also jemand ein Werkzeug zur Verfügung stellt, welches Passwörter auf UNIX Systemen per Brute-force entschlüsselt, macht er sich strafbar. Zumindest sagt mir das mein Rechtsverständnis. Das Bundesamt für Sicherheit in der Informationstechnik bietet auf der CD BSI OSS Security Suite unter anderem den Passwort Cracker "John the Ripper" an. Laut § 202c verboten.
Vor allem um für weitere Fälle Rechtssicherheit zu haben, hat der tecchannel jetzt Anzeige gegen das BSI erstattet. Ich bin gespannt, wie das ausgeht.

Damit auch wirklich keiner mehr das ganze unwichtige Zeugs meines alten Rootservers von der Platte kratzen kann wird ein wenig geshreddert. Also vom Alturo Rescuesystem booten, Partitionen löschen, eine große Primärpartition anlegen, screen aufmachen und ein beherztes

shred -v -z /dev/hda1

Dann hin und wieder mal reinschauen und sich freuen:

shred: /dev/hda1: pass 24/26 (000000)...25GiB/39GiB 65%

shred: /dev/hda1: pass 24/26 (000000)...26GiB/39GiB 67%

shred: /dev/hda1: pass 24/26 (000000)...27GiB/39GiB 70%

shred: /dev/hda1: pass 24/26 (000000)...28GiB/39GiB 73%

shred: /dev/hda1: pass 24/26 (000000)...29GiB/39GiB 75%

shred: /dev/hda1: pass 24/26 (000000)...30GiB/39GiB 78%

shred: /dev/hda1: pass 24/26 (000000)...31GiB/39GiB 80%

shred: /dev/hda1: pass 24/26 (000000)...32GiB/39GiB 83%

shred: /dev/hda1: pass 24/26 (000000)...33GiB/39GiB 86%

shred: /dev/hda1: pass 24/26 (000000)...34GiB/39GiB 88%

shred: /dev/hda1: pass 24/26 (000000)...35GiB/39GiB 91%

shred: /dev/hda1: pass 24/26 (000000)...36GiB/39GiB 93%

shred: /dev/hda1: pass 24/26 (000000)...37GiB/39GiB 96%

Aus aktuellem Anlass mal wieder der Hinweis auf die einzige Möglichkeit, ein kompromittiertes Windows System wieder sauber zu bekommen: die Neuinstallation. Und das sagen (nur) irgendwelche Windows-Hasser aus gefürchteten Newsgroups, sondern ein Artikel im Microsoft Technet. In Kurzversion:

- You can’t clean a compromised system by patching it. Patching only removes the vulnerability.
- You can’t clean a compromised system by removing the back doors.
- You can’t clean a compromised system by using some "vulnerability remover."
- You can’t clean a compromised system by using a virus scanner.
- You can’t clean a compromised system by reinstalling the operating system over the existing installation.
- You can’t trust any data copied from a compromised system.
- You can’t trust the event logs on a compromised system.
- You may not be able to trust your latest backup.
- The only way to clean a compromised system is to flatten and rebuild.

Reminder to self: WPA2 Verschlüsselung für WLANs funktioniert auch nach einstündiger Fehlersuche erst dann, wenn der Patch aus KB893357 eingespielt ist. Gnaarf Und ich habe wirklich an mir gezweifelt. Unter Linux funktioniert das mit dem wpa_supplicant ganz wunderbar, wenn man die Config versteht. In meinem Fall (WPA2 mit Pre-Shared Key) sieht die /etc/wpa_supplicant.conf so aus:

Viel kann ich momentan sowieso nicht tun - ausser warten daß die AV-Signaturen geupdatet werden und mir die Exim Config ein wenig anzuschauen ob es da eine Chance gibt das Zeugs zu blocken, also mal einige Infos zu der guten Sober-Variante:

Es scheint zwei Arten von Messages zu geben:

Subject: Thanks for your registration
Attachment: reg_text.zip
md5: 719029f12df7cdc1004dbf5e58ae4726
Dateigröße: 135826 bytes

Text: Thanks for your registration!
We have received your payment.

For more detailed information, read the attached text.

Subject: Hi, Ich bin's
Attachment: Liste.zip
md5: 7389e27041f2d924c54565a6ab9266e7
Dateigröße: 135826 bytes

Text: Hier ist die Liste die du haben wolltest.
Du solltest dich aber auch eintragen!

OK, bis dann

03:15 Uhr: Die Kaspersky Engine erkennt den Virus seit dem letzten Signaturupdate als Email-Worm.Win32.Sober.v
06:45 Uhr: knappe 6h nach Outbreak erkennen Sophos und Kaspersky die Datei als Sober Abart, Clamav und Ikarus halten das Ding für einen Mytob. Alle anderen AV-Hersteller erkennen nüscht.

Da sitz ich nun und darf ohne Kris die aktuelle Soberwelle aussitzen - immerhin dieses Mal extrem schnell erkannt und die Welt vor weiteren Infektionen geschützt. Jetzt mal warten, wann die großen AV-Hersteller ihre Patterns auf dem aktuellen Stand haben. Interessanterweise hat das LKA Bayern die Ausbreitung vorhergesagt - vielleicht mal deren Newsletter abonnieren

Seit mehr als einem Jahr ermittelt das Bayerische Landeskriminalamt gegen den Verbreiter des Computerwurms „Sober“, der in immer neuen Varianten PCs angreift.
Dem BLKA liegen Informationen vor, dass eine erneute Verbreitung des Wurmes für Dienstag, 15.11.05 durch Unbekannte geplant ist.

Wenn auch spät, dann auch hier der Hinweis auf eine Sicherheitslücke in der besten Blogsoftware der Welt - auch bei Master Kris nachzulesen. Entweder auf Version 0.8.2 updaten oder die serendipity_xmlrpc.php löschen.

Liebe Dummspammer und -Phisher, in diesem miserablen Deutsch eines schlechten Übersetzungsprogramms nimmt euch das niemand ab.

Sehr geehrter Kunde,

Da es viele Betrugsfaelle mit den Konten von unseren Bankkunden zustande gekommen sind, bitten wir Sie, eine neue TAN-Kodesabsicherung zu benutzen, um die Sperrung von Ihrem Konto zu vermeiden.

Die TAN-Absicherung besteht darin:

Sie tasten zwei TAN-Nummern in die elektronische Form ein und streichen bei Ihnen diese Nummern aus. Fuer den Fall, dass der Misstaeter Ihre TAN-Codes abfaengt und sie zu benutzen versucht, so wird Ihr Konto bis zur Klaerung der Sachlage gesperrt. Danach benutzen Sie alle Nummern, ausser diesen 2, der Reihe nach weiter.

Um den Abgang der Mittel von Ihrem Konto zu vermeiden, bitten wir alle, die Form auszufuellen, da wir die Mittel nicht vergueten, die zufolge dem Diebstahl von Ihrem Online-Zugriff zu unserem Bankkonto verlorengegangen sind.

Sie koennen die Form bei ausfuellen