Hacker & Cracker & Coder & User

#1 Moin,

möchte mal wissen wie die besucher so über dieses thema denken.
wer ist für euch gut/böse und warum ?

z.B. ein hacker dringt in ein system ein, findet dort schwachstellen und teilt diese dem admin mit.
oder ein coder der ein programm untersucht und die schwachstellen dann im web veröffentlicht.
wie wäre es noch mit einem coder der schwachstellen im betriebssystem findet und diese veröffentlicht.

durch die veröffentlichten infos, können andere zum einen schaden anrichten und zum andren können andere die sachen absichern.

es liegt meiner meinung an den usern was sie aus den infos machen und nicht am finder der infos was draus wird.

aus eigener erfahrung habe ich gelernt, dass wenn man seine zeit investiert um sachen zu lernen und besser zu machen, das man schnell der böse ist wenn man sich nicht in der guten security scene aufhält.

in der realwelt werden ex verbrecher eingesetzt um sachen zu verbessern, im web werden diese leute nach wie vor an den pranger gestellt.

wie denkt ihr über so sachen ?
ist euch egal von wem etwas geschrieben wurde, wenn die erfahrung des coders durch die 'bösen' sachen die er gecodet hat dazu beitragen euer system zu verbessern und abzusichern ?

den nur wer sich mal verbrannt hat, kennt die wahre gefahr durch feuer

gruss coder

#2 Ich denke wenn ein Coder/Hacker in ein System eindringt und die Schwachstellen dem Admin mitteilt, ist das nicht wirklich schlimm, da er eine "gute Tat" mit macht. Er könnte sich z.B. damit Geld verdienen, in dem er sich eistellen lässt, oder so. Aber wenn er die Sicherheitslücken der Öffentlichkeit mitteilt und somit anderen Hackern, etc. die Möglichkeit gibt kriminelle Angriffe auf diese Systeme zu machen, dann ist es kriminell.

So lange man mithilft Sicherheitslücken ausfindig zu machen, fährt man noch auf der guten Schiene, aber sobald man an die Öffentlichkeit geht, wird man kriminell.
Das wäre genauso, wenn man die Zahlenkombination von einem Banksafe herrausfindet und anstatt dem Bankdirektor zu sagen, dass er sie ändern soll, sie einem Verbrecherring mitteilt.
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#3

Zitat

Spike20 postete
Ich denke wenn ein Coder/Hacker in ein System eindringt und die Schwachstellen dem Admin mitteilt, ist das nicht wirklich schlimm, da er eine "gute Tat" mit macht.

der ansicht bin ich auch.
was das veröffentlichen angeht, denke ich, dass eine veröffentlichung auf "seriösen" seiten oder sonstiges nicht "böse" ist.
Da dies bestimmt nicht das einzigste system dieser art war, in welchem die sicherheitslücke gefunden wurde, ist es nur eine hilfestellung bzw. ein hinweis für andere admins.

die "bösen" sind dann die jenigen, die diese information zu privaten zwecken ausnutzt.

generell würde ich "gut" in diesem bereich so definieren, dass der "hacker" zwar in ein system eindringt, aber datenschutz berücksichtigt sowie keinerlei informationen des systems publiziert oder daten ändert/zerstört.
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!

#4 In diesem Falle ist "böse" oder "gut" unzulässig - jeder hat seine eigenen standpunkte, sollte jemand eine Schwachstelle herausfinden und sie ausnutzen ( was auch immer er mit seinen informationen anstellt) ist das der Fehler von dem der die Schwachstelle hat bzw. das Programm mit dieser lücke oder mit diesem Fehler erschaffen hat. Es liegt an ihm diesen Fehler zu beheben und auch daraus zu lernen. Er/Sie/Es hat die Verantwortung zu tragen für den Schaden der dabei eventuel passieren kann. In diesem Falle heißt es "might is right". - Es ist kein Fehler eine Schwachstelle auszunutzen es ist ein Fehler eine solche zu erschaffen und davon nichts zu wisen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5

Zitat

Xeper postete
In diesem Falle ist "böse" oder "gut" unzulässig - jeder hat seine eigenen standpunkte, sollte jemand eine Schwachstelle herausfinden und sie ausnutzen ( was auch immer er mit seinen informationen anstellt) ist das der Fehler von dem der die Schwachstelle hat bzw. das Programm mit dieser lücke oder mit diesem Fehler erschaffen hat. Es liegt an ihm diesen Fehler zu beheben und auch daraus zu lernen. Er/Sie/Es hat die Verantwortung zu tragen für den Schaden der dabei eventuel passieren kann. In diesem Falle heißt es "might is right". - Es ist kein Fehler eine Schwachstelle auszunutzen es ist ein Fehler eine solche zu erschaffen und davon nichts zu wisen.

Damit würdest du jedes Eindringen in eine Privatsphäre als legal bezeichnen...! Nur weil der Anwender ein System benutzt, welches eine Sicherheitslücke besitzt. Es ist ganz egal, was er mit den Daten macht. Allein das lesen ist schon illegal. Schon das nicht authorizierte Betreten ist schon strafbar.
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#6 Ja, aber da ist es auch oft schwer festzustellen was "nicht" authorisiert bedeutet. Das benutzen eines Services den ein anderer Rechner anbietet ist nähmlich NICHT strafbar. Sonst wäre jeder Mailversand und jeder Webseitenaufruf ja eine Straftat da man dort auch Daten von der Platte abruft und ich dafür keine spezielle Erlaubnis bekommen habe. Wenn ich als normaler User also einen Server offen habe (Und sei er auch ohne Wissen so mitinstalliert worden) DARF ich diesen Service auch in dem dafür vorgesehenen Maße benutzen.

Strafbar wird es erst wenn ich erstens versuche Authentifizierungen zu umgehen da dieser Service dann ja nicht mehr frei angeboten wird oder wenn ich einen Service für Dinge ausnutze für die er nicht gedacht ist. Also z.B. einen freien Webserver zum Erlangen von root Rechner etc. Aber z.B. ist das faken einer Mail auf einem freien Mailserver ganz legal solange ich nicht in der Mail selber behaupte jemand zu sein der ich nicht bin. Das wäre wieder strafbar. Aber computerseitig ist das vollkommen legal. Also nicht immer gleich ankommen mit Hacker sind böse, ist ales strafbar usw.

Bei Hackern unterscheidet man die "Arten" mit "Hutfarben". Ein Whitehat ist ein guter der erkannte Sicherheitsmängel an den entsprechenden Hersteller weiterleitet und diesem angemessene Zeit einräumt diese Mängel zu beheben bevor man das ganze überhaupt öffentlich macht.

Ein Blackhat ist jemand der nur den eigenen Profit aus ist und auf illegale Weise Daten entwendet um diese zu verkaufen etc. (Meist Industriespionage).

Natürlich gibt es da auch alle Abstufungen. Ich persönlich behaupte mal einen reinen Whitehat gibt es nicht. Man mag ja auch noch so gute Absichten besitzen aber alleine der Reiz mal was "verbotenes" zu probieren ist sicherlich sehr hoch auch wenn dadurch normal keiner Schaden erleidet weil man die so erlangten Daten ja nicht verkauft etc.

Und dann darf man den größten Teil nicht vergessen, die Script Kiddies, die sich meist ohne Kenntnisse in illegaler Absicht bewegen einfach nur zu zerstören. Ich denke das von diesen Leuten auch die größte Gefahr ausgeht da sie nicht nur zerstören wollen sondern oft schon durch ihre fehlenden Kenntnisse genügend anrichten.
Von einem Hacker würde ein normaler User kaum etwas bemerken. Die gehen normalerweise rein/raus und hinterlassen keine Spuren da sie meist nur auf wichtige Daten aus sind. Der ganze Rest will mir wohl am liebsten die Platte löschen um zu beweisen wie "cool" sie sind

Natürlich gibt es überall auch Ausnahmen.

Ich persönlich freue mich aber über Bekanntschaften mit White-Grayhats. Alle anderen versuche ich mit allen Mitteln aufzuspüren und fernzuhalten.

#7 Hi,

cooles Thema!
Ich habe selbst kurze Zeit in der Cracking Scene mitgemacht und natürlich was das ganze Image immer eine Sache der Perspektive.

Hacker werden leider von vielen Leuten als böse angesehen, weil sie etwas können wo was "Angst machen kann"! - und klar gibts auch hier die "guten Hacker" und auch die "bösen Hacker"

Cracker sind meiner Ansicht die "Bösen" und bei Hackern ist das Ansichtssache, weil es dort auch schwarze Schafe gibt!

axo und Coder sind wenn sie von Microsoft sind natürlich auch oft die schwarzen Schafe

http://www.net-lexikon.de/Hacker.html
http://www.net-lexikon.de/Cracker.html

Greetz Lp

#8 Eines ist ja wohl klar: Fehlerfreie Softwar schreibt keiner.

Ich stehe grundsätzlich auf dem Standpunkt: Wer einen Fehler/Lücke findet, der muß es den Verantwortlichen mitteilen - erfolgt keine Reaktion bzw. verstreicht eine angemessene Zeit, so muß die Lücke auch veröffentlicht werden. Nur so kann sichergestellt werden, daß sich der Rest der Welt vor dieser Lücke schützen kann.

Beispielsweise Cisco veröffentlicht Bugs stufenweise: erst intern, dann die ISPs, dann die größten Kunden und dann öffentlich. So ist sichergestellt, daß die Internetinfrastrukturen beispielsweise gut geschützt ist gegen die Ausnutzung neuer Bugs.

Verwerflich finde ich es, wenn Kapital aus eine illegalen Handlung geschlagen wird. Software mit Ser*hier nicht!* verteilen ist IMHO ok, jedoch damit Geld verdienen ist nicht ok.

Ich würde mir wünschen, daß sich jeder, der eine Software oder ähnliches "kostenfrei" nutzt auch darüber im Klaren ist, was es bedeutet und daß ab einem bestimmten Nutzungsgrad einfach ein Kauf notwendig ist.

In diesem Sinne!

Robert[/u]
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 also den beitrag von MacDefender finde ich bis jetzt am besten !
anhand der einstellung würde ich behaupten MacDefender gehört schon zu der älteren gruppe der compu user, so ab 30 aufwärts

auch interessant zu lesen das hier klar getrennt wird !
man sieht in erster linie auf das was gemacht wurde und dann von wem, warum.

wenn man als beispiel die cracker scene sieht, ohne die ganze arbeit der leute...gäbe es heute doch wesentlich weniger infos über sicheres coden.
zum beispiel die ganzen anti bait beiträge und beispiele wie man als shareware coder sein tool absichert.

die sache mit der veröffentlichung scheint noch ein streitpunkt zu sein.
ich selber finde, wenn gewisse firmen nicht auf die warnungen reagieren, muss man das sogar im web veröffentlichen.

gerade durch das web haben wir doch die möglichkeit, schnell einer breiten masse diese infos zu geben.
wenn ich in der realwelt sehe das mein neuer opel astra an der tanke beim tanken feuer fängt, kann ich das meinen bekannten erzählen, das wars...
oder ein brief an auto motor sport ?

leider reagiert nicht jede firma sofort und man muss dann schon ein wenig druck ausüben.
klar der nachteil ist wenn man einen bug veröffentlicht, nach der veröffentlichung sinds dann meist 2 wochen die irgendwelche kids den bug ausnutzen.

aber was ist einem nun lieber, 2 wochen ärger mit kids die lediglich lesen und ausprobieren oder ewigkeiten die richtigen freaks auf der kiste, die diesen bug für sich behalten ?

ich persönlich war selber mal so ein kid.
erst durch texte und die arbeit anderer leute, habe ich mich moralisch weiterentwicklet und fand es gut nicht nur schwachstellen auszunutzen, sondern dem einfachen user, der ja nur seine kiste benutzen möchte zu helfen.

schade nur das durch die medien gewisse themen hochgejubelt werden und dann die breite masse von viren zu trojanern zu würmern wechselt.
auch macht doch keiner was an seinem pc wenn der nicht bedroht ist.
wer lädt sich den updates runter, wenn er nicht im radio was von mydoom hört ?

wenn ich bedenke, der erste wurm im web um 1983...
21 jahre später das selbe problem...unglaublich !

und einen hijacker hatte ich vor jahren, loop.com
das die erst jetzt so abgehen wundert mich...
auch wieso bug ausnutzen zum installieren ?
reicht doch mit javascript registry keys setzen, kennt nur keiner von den spamern *bg*

solange die user nach dem motto leben : ok ich hab eine fensterscheibe, die könnte man mir ja einwerfen...aber wer sollte bei mir schon das fenster einwerfen.
wird sich nix ändern und es wird immer jemand geben der für fame mydoom schreibt...

das man programme nicht unbedingt zu 100% richtig coden kann ,kenn ich von meinen tools...
aber ich dachte das problem haben leute wie ich, die sich coden selber beibringen und das nicht studieren.

im bekanntenkreis habe ich 2 die informatik studieren, sorry aber die sind nicht fähig ein tool selber zu coden.
lediglich bausteine des tools können die schreiben, aber ein tool von 0 mit konzept usw geht nicht.
lernen die da nicht coden ?

das soll nicht arogant sein, nur zeigen wie ich anfänglich dachte.
coder können halt richtig top coden...
security admins sind immer 100% aktuell auf der höhe...
softwarefirmen verkaufen nur top software...

alles quatsch

gruss coder

#10 @Spike20

Wie gesagt mir geht es weder um legal noch illegal wenn es bei mir ne Sicherheitslücke gibt und jemand nutzt die aus ist das mein Problem und ich trage die Verantwortung dafür - dummheit tut nun mal weh und der der die Sicherheitslücke gefunden hat war bestimmt nicht dumm - also sicherheitslücke entfernen und es besser machen.

@Laserpointa

Ich würde eigentlich nur die Leute als "Hacker" bezeichnen die sich auch mit der Kultur identifizieren können - wenn man dann nun Programmieren kann ist man eigentlich schon einer weil man ja genügend Wissen benutzt um es schließlich auch anzuwenden sei es den nun positiv oder negativ auf der anderen Seite sind auch all die Hacker, die zb. das WWW erschafen haben usw.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 @coder: Schöner Text auch von dir, gefällt mir sehr und kann da auch so voll zustimmen. Kenne selber auch 3 Leute die Informatik studiert haben (oder fast fertig sind) und ich bin da nicht so begeistert. Gut, sie können zwar schon was programmieren aber das sie sich Wirklich auskennen kann ich nicht gerade behaupten. Alleine wenn ich sehe wie viele Fehler die Sourcen teilweise haben.

Schein für die meisten da eben "nur" ein Job zu sein wo man das tippt was man gesagt bekommt. Verstehen oder gar alleine lernen wie das besser geht gibt nicht mehr Geld

Und falls jetzt jemand denkt ich weiß ja nicht wie schwer coden ist: Ich habe schon vor 19 Jahren mein erstes Programm geschrieben. Eines meiner Programme läuft tagtäglich in der Produktion und ist bisher (1,5 Jahre) anscheinen vollkommen fehlerfrei Und ich habe mir das alles komplett selber beigebracht ohne Studium oder Schule. Finde sowas ist überflüssig und zeigt eigentlich schon das man es nicht kann. Wer sich fürs coden wirklich interessiert braucht nähmlich kein Studium weil man das wunderbar selber lernen kann. Und auch die ganzen Website-Ersteller mit ihren tollen Fertigprogrammen zum zusammenbasteln sind für mich nix. Sowas kann jeder. Und wenn ich mir die ganzen Webseiten nur so angucke kann man fast weinen so schlecht und voller Fehler sind die. Frage mich da oft wozu es überhaupt Normen gibt.

by the way: Ich bin noch nicht ganz 30 falls es jemanden interessieren sollte Aber ich bin seit jetzt fast genau 20 Jahren aktiv am Rechner. Damals noch ohne Internet und im gemütlichen Mausnet unterwegs falls das noch jemand kennen sollte

#12 Hi MacDefender,
ich hab inzwischen auch schon über 20 Jahre Computererfahrung, ein Teil davon noch im "Computerentwicklungsland" DDR . Ich kann dir nur zustimmen, Interesse vorausgesetzt ist learning by doing das beste Rezept. Mir graut auch immer, wenn ich sehe, wie ressourcenverschwendend heute programmiert wird. Aber wahrscheinlich prägt einen der Umgang mit 64 KB RAM aus den Anfangstagen, für den Rest des Lebens.
__________
Gruß BugFix

#13 Hi,
ich möchte noch mal etwas zu den "Informatikstudenten" sagen:
Man lernt da schon programmieren und zwar "richtig" programmieren!!!!!
ich kenne aber auch solche "Informatiker" die einfach nur schlecht sind.
Das liegt dann aber nicht am Studium sondern an den Versagern unter uns.

nochwas: man lernt wie man ressourcenschonend programmiert.
darüber hatte ich auch schon mehrere Streitgespräche zb. (ob man ein Short oder ein Int belegt).


gruesse

#14 hi,
viel kann mir mal einer von euch helfen.
ich hatte mal ne URL von na seite, wo man das "hacken" üben kann.

weiss jemand was ich damit meine bzw. kennt einer von euch solche seiten?

#15 Ich glaub da bist du hier etwas falsch.
Aber schau mal hier:
http://board.protecus.de/t5919.htm