Wir sind wieder da!

[Simaris]

Cuddly Pie schrieb:Fakt ist jedoch das dieses Verhalten Rechtlich betrachtet eine Beihilfe zu einer Straftat darstellt.

Der Satz impliziert, dass es erwiesen und bewiesen ist und somit keine Behauptung mehr darstellt.

Cuddly Pie schrieb:Wo hast du die Beweise das er sie den Angreifern nicht direkt zugespielt hat?

Durch die Unschuldsvermutung muss man in diesem Staat nicht beweisen wer unschuldig ist sondern wer schuldig ist.

Ich finde es btw auch daneben, dass er es so gemacht hat und heiße es nicht gut, da es eben die Möglichkeit geöffnet hat dass Angreifer dieses Wissen zu einem erneuten Angriff ausnutzen könnten.

Und ja, die Vermutung liegt nahe, durch die Umstände sehr nahe, aber ich lasse mich trotzdem nicht dazu hinreißen ihm das in die Schuhe zu schieben ohne es zu Wissen. Ich mache auch schon genug Fehler in meinem Leben, noch einer mehr muss nicht sein.

[Cuddly Pie]

Ich lasse mich dazu hinreißen. Das beruht sicherlich auf der einen oder anderen schlechten Erfahrung mit ihm, das gebe ich zu.

[Yavos]

(26.09.2013)Simaris schrieb:  

Zitat:da es sich beim einem DDOS Vorgang immer noch um eine Straftat handelt hat er mit seiner Handlung eindeutig Beihilfe dazu gleißtet.

Wie kommst du bitte da drauf?
Er hat sie den Angreifern nicht direkt zugespielt, die Ip war mit wenig Fachkenntnis durch die Fehlkonfiguration des Servers einfach herauszufinden gewesen.
Wir wissen nichtmal ob die Angreifer seine Info benutzt haben oder ob sie selber draufgekommen sind.

Die Beihilfe kann genauso gut unbeabsichtigt gewesen sein. Schließlich ist der Angreifer ja auch ein Besucher dieses Forums und kann alle öffentlichen Beiträge lesen.

Ablauf (Öffnen)

(25.09.2013)rainbowdash28 schrieb:  es gab Firewall-Regeln die beim IP-Wechsel verloren gingen, dadurch konnte Saij die IP über bestimmte Methoden [...] ausfindig machen.

Diese hatte er dann öffentlich hier ins Forum gestellt, wohl möglich auch auf anderen Plattformen den Usern mitgeteilt. Über ein anderes Board wurde diese IP dort dann sogar festgehalten, da Sie natürlich hier sofort entfernt wurde. Einige Minuten später wurde das Botnetz umgestellt auf unsere aktuelle IP, somit wurde natürlich wieder CloudFlare umgangen da direkt der Server angegriffen werden konnte. [...]

Saij hat aber genau genommen durch den Akt des Herausfindens der IP eine Straftat begangen.

Siehe hier (Öffnen)

(25.09.2013)Saij schrieb:  Ich hab gestern die IP des Bronies.de Servers rausgefunden. Mit einer sehr einfachen Methode. Zwar Bruteforce, aber schnell, effektiv und einfach.

Das Testen auf eine Sicherheitslücke per Bruteforce zählt bereits zu "Hacken" und ist damit strafbar, wenn nicht im Vorfeld mit den betroffenen abgesprochen. Da das allerdings keinen Datenverlust oder ähnlich schlimme Dinge zur Folge hat, wird wohl kaum jemand Anzeige gegen ihn erstatten wollen.
Den Mondurlaub (vermutlich) aufgrund der fehlenden Absprache kann ich allerdings nachvollziehen.

Und jetzt bitte wieder zurück zum Thema: Freut euch, dass das Forum wieder funktioniert und diesmal anscheinend alles richtig gemacht wurde.

[Cuddly Pie]

Ob er nun absichtlich oder nicht Beihilfe geleistet hat (wenn überhaupt), hat nur Auswirkungen auf das Strafmaß. Und wie du schon schreibst: "Saij hat aber genau genommen durch den Akt des Herausfindens der IP eine Straftat begangen." AUCH DAS ist eine Straftat. Nichts anderes. Dafür kann man ihn nicht in Schutz nehmen. Tut mir leid.

Ich mache mir eher Sorgen das es als "schwäche" interpretiert wird, wenn der Forenbesitzer nichts gegen Strafrechtliche Verstöße Unternimmt. Das könnte andere Personen dazu verleiten weitere Straftaten gegen das Forum zu begehen, oder gar Strafrechtlich relevante Inhalte zu Posten, die zwar dank des sehr fleißigen Moderationsteams schnell gelöscht würden, aber für die der Forenbetreiber im Zweifelsfall gerade stehen muss.

BTW: Ich sehe nicht grundsätzlich alles schwarz. Aber die Sorge, das mit dieser Situation falsch umgegangen wird sitzt mir im Nacken. Dies ist kein kleines Hinterhofforum, sondern eine starke und ausgewachsene Community. Die jedoch stets zu überblicken und in solchen Situationen die Richtigen Entscheidungen zu Treffen ist mit Sicherheit sehr Schwierig. Da bin ich nicht neidisch auf den Forenbetreiber.

Aber du hast recht: Back to topik.

Ich freue mich natürlich ebenfalls sehr das das Forum wieder läuft und ich danke dem fleißigen Mods dafür. Hoffendlich erleben wir nicht schon bald wieder solch unschöne downtimes.

[404compliant]

Fakt ist, das öffentliche Breittreten der Sicherheitslücke und das posten von Informationen, die für weitere Attacken genutzt werden können, ist eine ganz schlechte Idee, und damit ist Saij's Verhalten entweder dumm, grob Fahrlässig, oder tatsächlich feindselig. Keins davon passt zu dem Saij, den ich kenne und schätze, deswegen bin ich schon etwas besorgt. Hoffen wir, dass ihm die kurze Denkpause gut tut.

[bisty]

Meiner Meinung nach, hat Saij aller richtig gemacht: hätte er diese Sicherheitslücke nicht veröffentlicht, dann hätten die Admins auch nie über diese Sicherheitslücke erfahren(seien wir mal realistisch, Evenprime ist eben nicht der beste Admin aller Zeiten), was dem Angreifer gewisse Handlungsfreiheit geben würde. Security through Obscurity war immer eine ganz schlimme Idee - wirkungsvolle Maßnahmen sollen auch dann wirkungsvoll bleiben, wenn jede Schwein kennt, wie genau das ganze funktioniert. Schließlich, bezahlen Google/Facebook/Paypal auch Geld diejenigen, die Sicherheitslücken in ihren Software entdecken, und Securityteam darüber benachrichtigen. Würde ich diese Webseite leiten, würde ich Saij gerne in meinem Team haben. Und die Tatsache, dass Admins neue Konfiguration wohl nicht getestet haben, zeigt uns, dass die Community ihnen wohl egal ist.

[Dandelo]

Zitat:Meiner Meinung nach, hat Saij aller richtig gemacht: hätte er diese Sicherheitslücke nicht veröffentlicht, dann hätten die Admins auch nie über diese Sicherheitslücke erfahren

Und es dem Team einfach direkt mitzuteilen, war wohl keine Option?

[ShrineMaiden]

Was bringt es den hatern, unser lieblingsforum zu DDossen ._.

[Unknown]

(27.09.2013)bisty schrieb:  Und die Tatsache, dass Admins neue Konfiguration wohl nicht getestet haben, zeigt uns, dass die Community ihnen wohl egal ist.

Sie haben versucht, das Forum schnellstmöglich wieder für alle erreichbar zu machen, und du schlussfolgerst, ihnen sei die Community egal?

(27.09.2013)Lightning Flash schrieb:  Was bringt es den hatern, unser lieblingsforum zu DDossen ._.

Überhaupt nichts. Vielleicht einfach Schadenfreude, oder sie machen sich darüber lustig, wie Bronies ausrasten, wenn ihr Favoritenforum mal für einige Stunden nicht erreichbar ist.

[404compliant]

(27.09.2013)bisty schrieb:  Security through Obscurity war immer eine ganz schlimme Idee

Nichts desto trotz gilt responsible disclosure als einzig verantwortungsvolle Veröffentlichungsstrategie. Sofortige Veröffentlichung erhöht das Missbrauchsrisiko massiv, eine angemessene Vorwarnzeit zur Behebung der Schwachstelle ist die bessere Lösung.

Die Veröffentlichung der IP diente jedenfalls keinerlei Aufdeckung von Sicherheitslöchern, es ist schließlich kein Geheimnis, dass es eine IP gibt. Außer Dummheit, Fahrlässigkeit, Ego oder Feindseligkeit gab es keinen plausiblen Grund dafür.

(27.09.2013)bisty schrieb:  Schließlich, bezahlen Google/Facebook/Paypal auch Geld diejenigen, die Sicherheitslücken in ihren Software entdecken, und Securityteam darüber benachrichtigen.

Da verwechselst du was, das ist non disclosure, wenn nur der betroffene exklusiv die Informationen erhält.

[Evenprime]

bisty, das find ich gerade echt witzig und du liegst vollkommen falsch:

1. Bei entdecken von Sicherheitslücken ist immer zuerst der Administrator und/oder Softwarehersteller direkt zu informieren.
2. Eine Ausnahme wäre, wenn diese verweigern, das Problem zeitnah zu beheben, denn dann wäre es allgemein vorteilhafter alle Nutzer des selben Systems zu warnen, so dass diese selbst Gegenmaßnahmen ergreifen können.
3. Eine andere Ausnahme wäre, wenn bekannt ist, dass die Lücke bereits aktiv ausgenützt wird und somit bereits Schaden entsteht.

1. Ist nicht passiert. Es wurden Daten im vollen wissen, dass dies zu sofortigen Angriffen führen würe, veröffentlicht. Nicht nur die Methodik, sondern auch Ergebnis. Hätte er kurz uns angeschrieben hätten wir das schnell eingetragen und fertig.
2. Ist nicht der Fall. Wir sind die einzigen davon betroffenen und somit gab es sonst niemanden, der von einer Veröffentlichung mehr provitieren würde als wir von einer discrete disclosure. Unsere Nutzer, welche ebenfalls betroffen wären, können auch keine Maßnahmen ergreifen, denen brachte die Info also auch nichts.
3. War nicht der Fall. Angriffe starteten erst direkt nach der Veröffentlichung. Wären sie schon zuvor gewesen, wäre das etwas anderes.

Also das Verhalten war absolut atypisch für jemanden, der Sicherheit fördern will.

PS:

(27.09.2013)404compliant schrieb:  

(27.09.2013)bisty schrieb:  Schließlich, bezahlen Google/Facebook/Paypal auch Geld diejenigen, die Sicherheitslücken in ihren Software entdecken, und Securityteam darüber benachrichtigen.

Da verwechselst du was, das ist non disclosure, wenn nur der betroffene exklusiv die Informationen erhält.

Dem stimme ich zu. Zudem wurde ja nicht probiert zu fragen, ob es denn eine Belohnung gäbe. Wir wurden überhaupt nicht kontaktiert. Nur so als Idee für andere die etwas finden, man könnte ja einfach fragen

[mrx1983]

(27.09.2013)bisty schrieb:  Meiner Meinung nach, hat Saij aller richtig gemacht: hätte er diese Sicherheitslücke nicht veröffentlicht, dann hätten die Admins auch nie über diese Sicherheitslücke erfahren

Warst du mal auf der mybb Seite?
Da steht auch, wenn man eine Sicherheitslücke findet, erstmal dem Team mitteilen.
Das Team muss doch die Gelegenheit haben das rechtzeitig zu fixen.
Wo hat Saij diesem Team hier die Zeit gegeben das zu fixen?
Solche Lücken müssen immer direkt dem Team mitgeteilt werden, und wenn das Team das gefixt hat, dann kann das Team nach eigenem Ermessen und Zeitplan die Lücke veröffentlichen.

[Cuddly Pie]

Und da genau das, allem Anschein nach, nicht passiert ist, liegt die Vermutung sehr nahe das dies ganz absichtlich auf diese weise veröffentlicht wurde. Das wirkt schon fast so als habe er dem Forum damit schaden wollen. Sollte das tatsächlich so sein dann ist das sehr schade.

[FlaK]

(27.09.2013)bisty schrieb:  (...) seien wir mal realistisch, Evenprime ist eben nicht der beste Admin aller Zeiten (...) Würde ich diese Webseite leiten, würde ich Saij gerne in meinem Team haben. (...)

Du kannst Recht mit der Aussage haben, dass Saij ein "besserer" Admin wäre - was die technischen Fähigkeiten angeht.
Es geht hier aber nicht nur um die technischen Fähigkeiten, sondern auch um die Persönlichkeit an sich. Evenprime ist uns bisher immer treu geblieben, er hat sich nicht nur als reiner Tech-Admin bewährt. Ich will nicht behaupten, dass Saij Selbiges nicht könnte, allerdings hat er jetzt genau das Gegenteil bewiesen, ob aus Eifersucht (Wollte er Tech-Admin sein und dem Team zeigen, dass er es draufhat und sich gleichzeitig dafür rächen, dass er nicht angenommen wurde?) oder wegen anderer Gründe ...

(27.09.2013)bisty schrieb:  Und die Tatsache, dass Admins neue Konfiguration wohl nicht getestet haben, zeigt uns, dass die Community ihnen wohl egal ist.

Klar.
Die Community ist ihnen völlig egal. xD
Deswegen setzen sie sich auch hin und stecken immer wieder Stunden, wenn nicht Tage, in die Behebung von Fehlern, die Weiterentwicklung des Forums oder die Beantwortung von Fragen zu diesem Thema.
Wenn die Admins für ihre Arbeit in irgendeiner materiellen Weise bezahlt werden würden, könnte man über deine Aussage sogar diskutieren.

[Nex Displosio]

Ist doch egal ob Saij gebannt ist oder nicht.

1. hat er nur Mondurlaub was 7 Tage bedeutet(Hört mal auf Weichpflaumen zu sein im Team)
2. Wäre er laut seinem Profil eh gegangen.(Er ist grad aber online ist wohl ein Fall von PlexHolm-Syndrom if you know what i mean)
3. Interessieren sich vermutlich 99% der aktiven User nicht wirklich für ihn.

Macht euch mal hier nicht alle ins Hemd.

[404compliant]

(27.09.2013)Evenprime schrieb:  Dem stimme ich zu. Zudem wurde ja nicht probiert zu fragen, ob es denn eine Belohnung gäbe. Wir wurden überhaupt nicht kontaktiert. Nur so als Idee für andere die etwas finden, man könnte ja einfach fragen

Wie, ihr gebt Belohnungen raus für gemeldete Sicherheitslücken?
*scnr*

(27.09.2013)FlaK schrieb:  Ich will nicht behaupten, dass Saij Selbiges nicht könnte, allerdings hat er jetzt genau das Gegenteil bewiesen, ob aus Eifersucht (Wollte er Tech-Admin sein und dem Team zeigen, dass er es draufhat und sich gleichzeitig dafür rächen, dass er nicht angenommen wurde?) oder wegen anderer Gründe ...

Als kleiner Hinweis an die jüngeren Semester hier: Saij hat bis Sommer 2012 dem Team angehört und ist auf eigenen Wunsch ausgeschieden.
Ich würde vorschlagen, wir lassen einfach mal das Spekulieren sein, und geben ihm eine Chance, nach der Mondmission seinen Standpunkt darzulegen.

[Evenprime]

Sorry für den kleinen Ausfall eben. Offenbar probiert es gerade mal wieder jemand, und ich habe nun dementsprechend die Sicherheitsregeln bei Cloudflare angepasst.

[InsaneBronie]

was warn grad los,..... kurz bevor es abbrach stand bei benutzer sowas:

Spoiler (Öffnen)

6.436 Benutzer aktiv in den letzten 15 Minuten: 133 Mitglieder, 17 davon unsichtbar und 6.301 Gäste

[DaaVid]

(28.09.2013)Evenprime schrieb:  Sorry für den kleinen Ausfall eben. Offenbar probiert es gerade mal wieder jemand, und ich habe nun dementsprechend die Sicherheitsregeln bei Cloudflare angepasst.

Hauptsache der bleibt nicht eine Woche offline

---

(28.09.2013)InsaneBronie schrieb:  was warn grad los,..... kurz bevor es abbrach stand bei benutzer sowas:

Spoiler (Öffnen)

6.436 Benutzer aktiv in den letzten 15 Minuten: 133 Mitglieder, 17 davon unsichtbar und 6.301 Gäste

Haha, dieser Rekord !

[Unknown]

(28.09.2013)InsaneBronie schrieb:  was warn grad los,..... kurz bevor es abbrach stand bei benutzer sowas:

Spoiler (Öffnen)

6.436 Benutzer aktiv in den letzten 15 Minuten: 133 Mitglieder, 17 davon unsichtbar und 6.301 Gäste

Es ist ja das Prinzip eines DDoS, mit vielen Anfragen gleichzeitig den Server zu überlasten. Kurz bevor er überlastet wurde, scheint er immerhin noch den Besucherrekord aktualisiert zu haben.