Am 28. Januar wurde die neue Version 3.1 des Metasploit-Frameworks veröffentlicht. Wer noch nie etwas davon gehört hat: Das Metasploit-Framework ist eine Entwicklungs-Plattform für Sicherheitstools und Exploits und besteht aus einer Sammlung von Tools, Bibliotheken, Modulen und User-Interfaces. Damit können z.B. Penetration-Tests durchgeführt oder installierte Patches auf ihre Wirksamkeit geprüft werden. Die Basisfunktion ist ein 'Module Launcher', über die der gewünschte Exploit samt Payload konfiguriert und an das gewünschte Zielsystem geschickt werden werden kann. Ist der Exploit erfolgreich, wird die Payload auf dem Zielsystem ausgeführt und eine Shell zur Interaktion mit der Payload geöffnet.

Das Framework ist in Ruby geschrieben und enthält außerdem in C und Assembler geschriebene Komponenten. Es läuft sowohl unter Unix/Linux/BSD/Mac OS X als auch Windows, wobei für die Unix-Derivate ein Tar-Archiv und für Windows ein Installationsprogramm bereitgestellt werden. Letzteres enthält alle notwendigen Bestandteile und eine Reihe nützlicher Netzwerktools.

Version 3.1 enthält eine grafische Benutzeroberfläche für Windows-Systeme und über 450 Module, darunter 265 aus der Ferne ausnutzbare Exploits. Enthalten sind z.B. ein in Ruby geschriebenes Assembler-Paket (METASM), der Netzwerkpaketgenerator Scruby (ein eingeschränkter Ruby-Port von Scapy), Module zum Angriff auf das iPhone und WLANs und etliches mehr.

Das Metasploit-Framework ist also eine sehr nützliche Sache, wenn man Systeme auf ihre Sicherheit überprüfen will. Trotzdem (oder gerade deshalb?) stellt sich die Frage, ob es in Deutschland evtl. gegen den "Hackerparagrafen" § 202c StGB verstößt. Der fängt mit "Wer eine Straftat nach § 202a oder § 202b vorbereitet" an, da es hier aber gerade um das Gegenteil geht, nämlich die Verhinderung solcher Straftaten, sollte alles im grünen Bereich sein. Aber: IANAL - und bisher gibt es kein einziges Urteil, das als Anhaltspunkt dienen könnte. Es gibt zwar eine Anzeige von TecChannel gegen das BSI (Bundesamt für Sicherheit in der Informationstechnik), das mit der BOSS-CD ebenfalls "Hackertools" verbreitet, aber die scheint im Sande verlaufen zu sein. Die Staatsanwaltschaft Bonn will keine Ermittlungen aufnehmen, TecChannel hat dagegen am 31.10.2007 Beschwerde eingelegt, seitdem gibt es anscheinend nichts Neues.

Übrigens argumentiert das BSI ähnlich wie ich oben: "Nach § 202 c StGB neu wird das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hackertools" nicht als solches unter Strafe gestellt. Nach dieser Vorschrift macht sich derjenige strafbar, der eine Straftat nach § 202 a oder § 202 b StGB vorbereitet, indem er sich derlei Tools verschafft. Die Hackertools müssen also der Vorbereitung des unbefugtes Ausspähens oder Abfangens von Daten dienen und müssen auch zu diesem Zweck bewusst eingesetzt werden. §§ 202 a und 202 b StGB sprechen aber übereinstimmend davon, dass die jeweilige Tathandlung "unbefugt" geschehen muss. Wo eine Einwilligung dessen vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer IT-Sicherheitsberatung, erfolgt der Datenzugang mit einer entsprechenden Befugnis. Eine Strafbarkeit ist in solchen Fällen nicht gegeben." (Quelle: TecChannel).

Privatsphäre, Internet, usw.

Einige Leute scheinen das mit dem Internet und der Privatsphäre nicht ganz verstanden zu haben. Ein aktuelles Zitat von Herrn Schäuble: "Es ist doch schizophren, dass dieselben Menschen, die bedenkenlos ihre Daten ins Internet stellen, sofort die Stasi kommen sehen, wenn wir moderne Ermittlungsmethoden brauchen." Der Herr scheint den Unterschied zwischen absichtlich im Internet veröffentlichten Daten und absichtlich nicht im Internet veröffentlichten Daten nicht zu erkennen. Oder wohl eher nicht erkennen zu wollen. Ähnlich hatte ja schon die Landesregierung Nordrhein-Westfalens argumentiert: Durch den Anschluss eines Rechners an das Internet gehört er nicht mehr zu Privatsphäre. Den Blödsinn hatte ich ja damals schon kommentiert, dem ist nichts hinzuzufügen. Warum ich es trotzdem hier erwähne, hat einen anderen Grund: Auch viele Internet-Nutzer scheinen nicht begriffen zu haben, dass Daten im Internet Freiwild sind. Auch wenn sie als "Privat", "Nur für Freunde" oder Ähnliches markiert sind, bedeutet das nicht, dass nicht auch Dritte darauf zugreifen können. Z.B. über eine Schwachstelle, wie es jetzt bei MySpace geschehen ist. Da wurden 17 Gigabyte Fotos von "privaten" Profilen gesammelt und über BitTorrent veröffentlicht. Wer Daten veröffentlicht, muss mit so etwas rechnen. Alles, was den eigenen Rechner verlässt, kann sonstwo landen. Darum veröffentlicht man ja nicht alles, und darum möchte Herr Schäuble ja auch gerne auf unseren Rechnern rumschnüffeln.

Ach, eines noch: Da ich nicht bedenkenlos Daten ins Internet stelle, sondern mir das sehr genau überlege, kann ich eines ja wohl mit gutem Recht schreiben: Das, was Herr Schäuble da plant, sind Stasi-Methoden. Oder Gestapo-Methoden, wenn ihm dieser Vergleich lieber sein sollte.

Frau Zypries und die verschwundenen Laptops

Verschwörungstheorien über den Einbruch bei Frau Zypries kursieren schon genug im Netz. Ich möchte kurz auf zwei Punkte eingehen. Zum einen: Auf den Rechnern befanden sich angeblich keine brisanten Daten. Wirklich gar keine? Dann wurden sie wohl nie benutzt. Sonst dürfte da was zu finden sein, und seien es gelöschte Mails oder Dateien, gespeicherte Passwörter und was es an "Benutzungsspuren" sonst noch so gibt. Und zum anderen: Die Wohnung war nicht bewacht, weil Frau Zypries nicht da war? Dann kann sie ja froh sein, das es Diebe und keine Bombenleger waren. Wobei ich bei einer "chirurgischen Tat" eher Wanzen als Bomben suchen würde. Ich hoffe, die Wohnung wurde inzwischen gründlich überprüft. Nicht dass demnächst verfängliche Videos bei YouTube auftauchen und Frau Zypries zurücktreten muss. Schließlich ist sie plötzlich eine der letzten Barrieren zwischen uns und Herrn Schäubles Überwachungsstaat.

Carsten Eilers