linux-l: Angebot -Zusammenarbeit mit der Bundespolitik!

[Roland Penzin]

Am Sam, 30 Okt 1999 schriebst Du:
>Hi!

auch hi,

ich denke mal, ein wesentlicher aspekt in der diskussion pro oder
contra m$ sollte die systemsicherheit sein. dass die m$ systeme leicht
zu hacken sind, sagt man zwar allgemein, aber das "wie" ist noch nicht
so richtig allemeingut (oder habe ich da was verpasst?).

wenn mich jemand darauf anspechen wuerde, waere meine reaktion, dass
ich es ihm vorfuehren wuerde. ich habe mich mit dem thema cracken von
windoof - systemen nicht beschaeftigt, weil ich daran keinen nutzen
finden kann, aber zur demonstration an dieser stelle waere es chic.

ich hab´ mal vor ´nem jahr so in der belug gefragt, und so gesichter
gesehen nach dem schema: "solidaritaert unter netadmins - auch
systemuebergreifend" oder: "morgen in der firma sitze ich wieder vor
NT, und ich will nicht, dass du mir das kaputtmachst".

ich glaube, dass der bessere ansatz ist, dass es die spatzen von den
daechern pfeifen koennen, wie es moeglich ist, ein windoof-system zu
hacken. nur so kann man verantwortliche dazu bewegen, ihre sensiblen
firmendaten in sicherheit zu bringen.

<beispiel>
 da kam doch kuerzlich die zeitschrift iX auf die idee, die
kompetenz von supporthotlines zu testen, indem sie fragten "ich habe
mein passwort vergessen, wie kann ich mich trotzdem einloggen?" und
beanstandeten das, wenn sie keine antwort bekamen. ich sass dem
mitarbeiter zufaellig gegenueber, der das gespraech annahm, und er
kommentierte das danach mit "da glaubt doch jemand, er braucht nur 3.63
dm zu investieren, und wir verraten ihm, wie er den firmenrechner
kaputtmachen kann". nun ist inzwischen ist init=/bin/bash dank iX kein
geheimnis mehr und das zeigt auch wieder mal ganz deutlich, wie
masochistisch man sein muss, damit billiboy mit all seinem mist im
rennen bleiben kann. 
(die andere frage nach der TELES - karte war genauso daneben, als linux
-user benutzt man sowas einfach _nicht_ . die einzig (moralisch)
moegliche antwort waere gewesen, "kauf dir ´ne andere karte", was auf
der supportline irgendwie auch nicht geht. insofern hatte die iX glueck
gehabt, dass ich am naechsten tag krank war, sonst waere die strafe von
dm 181.- dm noch viel hoeher ausgefallen)
</beispiel>

zum thema: es ist nicht sinnvoll, alle m$-systeme zu hacken, deren man
habhaft werden kann. man bedenke nur den hoffnungsvollen
informaik-studenten, der am spaeten abend mal ´n bisserl ´rumgespielt
hat, und dann irgendwie eine spur zu tilgen noch nicht gewusst hat.
danach eine sechsstellige schadenersatzforderung am bein zu haben,
stoppt seine karriere ganz gewiss, denn seine neue firma, die nach drei
bis vier monaten eine gehaltspfaendung auf den tisch bekommt, wird ihn
dann postwendend in die wueste schicken. auch wenn er die reumuetige
absicht gehabt haette, seine schulden zu begleichen, er bekaeme vom
system keine.

was ich eher im auge habe, ist, dass man gewissen zweiflern die sache
demonstriert: "gehe mal heute von acht bis zehn ins internet, dann
kriegst du von mir post" und dann setzt man ihm einen pinguin als datei
"C:\windows\desktop\IchWarHierUndKannDeinGanzesSystemHacken.ico" in den
rechner. sollte der klient dann merken, was trumpf ist. ein pinguin bei
m$ ist ja per se ein fremdkoerper und sollte auffallen.

oder man benennt "c:\windows" in c:\windoof" um. der spass setzt nach
10-15 minuten ein und ist garantiert. ist zwar an sich harmlos, aber das
opfer sollte nicht herzinfarktgefaehrdet sein. kann man den patienten
zur entsprechenden zeit anrufen, wenn man sadistisch veranlagt ist.

wichtig ist in meinen augen nicht, zu hacken, sondern zu demonstrieren,
wie einfach es ist. wenn es dann die spatzen von den daechern pfeifen,
muss es auch die "computer-bild" drucken, und dann schnallt es auch ein
herr clement in NW (den habt ihr ja kuerzlich unter beschuss gehabt;
wenn ihr ihm eine resolution schickt, liest sie ein pressereferent, und
der versteht nix; also kommt sie in papierkorb)

ich denke, sie sollten jetzt kommen, ´raus mit den hackertricks, an die
oeffentlichkeit.



SCNR
-- 
roland penzin    rpc at belug.org
tel. ( 030 / 0177 )  6079 7190

rpc at xframe:~ > make love not war
make: *** No rule to make target `love'.  Stop.