Suche innerhalb des Archivs / Search the Archive All words Any words

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] USA: Erste Gefängnisstrafe wegen Veröffentlichung einer Sicherheitslücke



Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
http://de.internet.com/index.html?id=2023001

Dienstag, 19.08.2003

USA: Erste Gefängnisstrafe wegen Veröffentlichung einer Sicherheitslücke

In den USA wurde kürzlich erstmals eine Gefängnisstrafe wegen der
Veröffentlichung von Informationen über eine Sicherheitslücke verhängt.
Der Mitarbeiter von Tornado Development Bret McDanel (29) hatte im
Webmail-System, dass den Kunden des Unternehmens zur Verfügung gestellt
wird, einen Fehler entdeckt. Ein Angreifer konnte die Session-ID anderer
Users auslesen und so auf den Posteingang zugreifen. Obwohl der
Beschäftigte das Problem bei den zuständigen Technikern meldete, wurde
der Bug nicht behoben, berichtete das US-Fachmagazin ''SecurityFocus''
gestern. 

 Ein halbes Jahr später, McDanel hatte inzwischen einen Job in einem
anderen Unternehmen angenommen, konnte die Lücke immer noch ausgenutzt
werden, um Nachrichten auszuspionieren. Daraufhin schickte der
Ex-Mitarbeiter Tornados eine E-Mail mit Informationen zur
Sicherheitslücke an 5.600 Kunden des Unternehmens. Um den Server nicht
zu überlasten, wurde die Aussendung sogar an drei Tagen nach und nach
abgearbeitet. Die Reaktion des ehemaligen Arbeitgebers ließ jedoch nicht
lange auf sich warten. Tornado behob den Fehler sehr schnell und
verklagte McDanel wegen Verstoßes gegen den "Computer Fraud and Abuse
Act". 

 Das Gesetz stellt die Veröffentlichung von Informationen, die zu einem
Einbruch in Computersysteme genutzt werden können, unter Strafe.
Ursprünglich sollte mit der Regelung gegen Cracker und Script-Kiddies
vorgegangen werden, die Programmier-Anleitungen oder Codes für Viren,
Würmer und Trojanische Pferde auf ihren Webseiten zur Verfügung
stellten. Für die Bekanntmachung der Funktionsweise des Fehlers im
E-Mail-System wurde McDanel nun in erster Instanz zu 16 Monaten
Gefängnis verurteilt.  

 Der 29-jährige kündigte an, in Berufung zu gehen. Zur Unterstützung hat
ihm das auf Internet-Recht spezialisierte "Center for Internet and
Society" des Juristischen Instituts der Universität Stanford McDanel
seine Direktorin Jennifer Granick zu Seite gestellt. Granick hat beim
Berufungsgericht bereits ein 62 Seiten umfassendes Papier eingereicht,
in dem unter anderem die Bedeutung der offenen Diskussion von
Sicherheitslücken dargelegt wird. Sollte sich Tornado mit seiner Klage
durchsetzen können, hätte das Auswirkungen auf die gesamte Arbeit von
Sicherheitsexperten im IT-Bereich. Diese sind oft darauf angewiesen,
Fehler gemeinsam mit anderen Programmierern und den Software-Herstellern
in öffentlichen Mailing-Listen zu diskutieren, um Gegenmaßnahmen zum
Schutz der User entwickeln zu können. (ck)

-- Attached file included as plaintext by Listar --
-- File: nsmailKO.TMP

_______________________________________________
Neue-medien -!
- listi -
 jpberlin -
 de

News-Mailingliste des Netzwerk Neue Medien e.V.         
http://www.nnm-ev.de
http://www.nnm-ev.de/mailinglisten/neue-medien.html


---------------------------------------------------------------
Liste verlassen: 
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.