Leute geben ihre Server viel zu leicht aus der Hand

[Baustein]

Oh mei... Ich weiß in meinem eigenen Forum nicht, welche Kategorie zu so einem Thread passt. Diese hier kann aber auf jeden Fall nicht allzu falsch sein.

In diesem Diskussions-Thread soll es um das Folgende gehen:

Minecraft ist ein zeitaufwendiges Spiel. Es gibt viel zu erledigen, vor allem zu bauen. Wenn man dann auch noch mit Anderen, unbekannten Leuten spielen will, dann kommt der Faktor Geld bzw. zu großen Teilen Plugineinrichtung dazu. Minecraft-Server sind in der Beziehung Zeit also noch intensiver als Singleplayer-Welten.

Minecraft kann damit zu einem Hobby werden. Wie Steak gerne sagt: "Für Hobbies muss man eben Geld ausgeben". Meistens richtig. Man stelle sich die folgende Situation, in der Golf an der Stelle von Minecraft steht, vor: Man ist mal wieder auf dem Golfplatz, übt Abschläge. Irgendwie läuft es noch nicht so richtig... Da wird einem eine Hand auf die Schulter gelegt. Hinter einem steht ein Mann, gehüllt in Kapuzenpullover und das Gesicht ist von einer Guy Fawkes-Maske verdeckt. Er sagt: "Hey, ich kann machen, dass du 500m Abschläge machst. Gib mir nur eben deinen Schläger und ich bin in einer halben Stunde zurück." Man hat für diesen brandneuen Driver allerdings einen netten 500er hingelegt, aber... der Mann scheint so vertrauenswürdig! Also gibt man ihm den Schläger mit.

Der verhüllte Mann ist in dem Fall "das Böse" - im Internet für den Normalsterblichen vollkommen anonym (daher die Maske, die ja auch oft als Zeichen für Anonymität gesehen wird).

Und die Situation scheint erstmal an den Haaren herbeigezogen, aber sie ist real. Sie passiert auf Minecraft übertragen bestimmt jeden Tag mehrfach.

Ich bin niemand, der jemanden seinen Server wegnehmen will. Ich bin niemand, der ihm den Sinn seiner langen Arbeit nehmen will. Aber ich möchte versuchen, dass wenigstens ein paar Leute... ... die Augen geöffnet bekommen, und mehr auf ihr zeit- und kostenintensives Hobby aufpassen!

Daher habe ich eine kleine Testreihe gestartet, in der ich mir kleinere Server herauspicke (denn die großen scheinen das ja richtig zu machen), mich ein wenig mit dem Team unterhalte, meine Dienste als Plugin-Developer anbiete, und bewusst ein Plugin mit Code, der mich zum Operator machen kann, einschleuse.

Ein Fall, von dem ich gerne einmal erzählen würde:

Ich komme auf einen Server, es ist ein Mitglied und der Owner drauf. Ich vollende noch nicht einmal das Regel-Lese-Bestätigungs-Quiz, sondern das erste was ich schreibe ist "Braucht ihr jemanden, der euch Plugins schreibt?" Und sofort wurde angebissen. Ich habe einen kleineren Auftrag bekommen, bei dem es darum ging, für Leute mit bestimmten Permissions diverse Schadensquellen zu deaktivieren. In das Plugin, welches ich dafür geschrieben habe, habe ich eine Klasse gepackt, die nur dafür da war, mir OP-Rechte zu geben, wenn ich ein bestimmtes Wort in den Chat eingebe.

Wie wäre die Reaktion des Owners richtig:

• Das Plugin annehmen
• Es dekompilieren
• Den Code bis auf's kleinste Bisschen durchlesen
• Hoffentlich die Zeile mit setOp() finden
• Mich drauf ansprechen
• Mich bannen

Was war die tatsächliche Reaktion:

• Das Plugin wird angenommen
• Es wird auf einem Test-Server getestet
• Es wird auf meine Bitte, es doch auf dem "großen" Server zu testen, gehört
• Das Plugin "klappt" für beide Seiten, den Owner und den bösen Baustein
• Der Owner ahnt nichts, dankt mir sogar noch und gibt mir den Developer-Rang (was als mir als OP nichts bringt, aber auch ein Zeichen des Vertrauens ist).

Ich bin also innerhalb von ca. 30 min Operator auf einem kleinen Server geworden. Jeder weiß, was man als OP anstellen kann. Einige haben es vielleicht sogar schon einmal schmerzlich zu spüren bekommen (mich inbegriffen).

Ich hoffe, dass wenigstens ein paar Leute diesen Thread lesen, und merken, dass sie selbst vermutlich auch auf die "Falle" reingetappt wären. Diesen Leuten gratuliere ich. Denn jetzt können sie ihren Server - und damit ihre Zeit und ihr Geld - besser beschützen. So der Plan.

Wichtig: Natürlich habe ich nachdem das Plugin vollends angenommen wurde dem Team erzählt, was ich da mache. Ich habe auf dem Server nichts zerstört und nichts getan, also lasst das Flaming von wegen "Ouh, du Griefer!".

Eventuell werde ich in nächster Zeit ein paar mehr solcher Versuche machen und euch hier auf dem Laufenden halten, denn es ist wirklich erschreckend, wie einfach man einem Server-Owner dieser Klasse einen verdammt miesen Tag bescheren kann. Vielleicht verleihen mehr solche Beispiele dem Thema auch mehr Druck.

Ich freue mich auf eure Meinungen zu dem Thema bzw. Vorschläge, für die, die ihr Hobby noch nicht gut genug schützen.

Liebe Grüße,

Baustein

[Loewengrube]

Finde ich eine gute Idee! Es ist schade, dass man so leicht zu so viel Macht kommt. Man kann für dieses Spiel enorm viel Geld ausgeben, aber dann sollte man auch in der Lage sein, dieses zu schützen. Ich selbst würde nie jemandem, der nach 2 Min auf dem Server eine Teamposition will, auch nur Beachtung schenken. Vielleicht sollte man hier im Forum "Verhaltenskurse" für unerfahrene Owner einführen, wie man in verschiedenen Situationen richtig handelt.

Aber es fängt sogar schon bei der Auswahl der Teammitglieder an. Man muss das richtige Händchen darin haben, die guten Leute auszuwählen. Schließlich steckt da immernoch am meisten Vertrauen drinn. Auch ich bin da schon reingeflogen, aber zumindest Bewerbung und Qualifikationen müssten doch stimmen, um jemandem einen entsprechenden Rang zu vergeben.

MfG

bearbeitet 3. Juli 2014 von Loewengrube

[Xagreus]

Interessant zu wissen wäre, ob Du Dich da als Baustein vorgestellt hast. Du bist nunmal hier Admin, viele die mal hier waren werden Dich irgendwie zuordnen können. Da hast Du natürlich schon vorher einen gewissen Vertrauensbonus.

Nichts desto trotz: Es ist tatsächlich so. Die meisten Leute nehmen alles an und vergeben sehr schnell Rechte - ohne darüber nachzudenken. Das Problem ist eben auch, viele Serverowner sind eine Lachnummer. Sie können selbst gar nicht programmieren, kennen sich nicht mit Servern aus, nicht mit Java, im Grunde können sie nur Befehle abtippen. Es ist also unmöglich, dass diese Leute sich schützen können. Von daher ist der ganze Versuch ziemliche Zeitverschwendung. Denn keiner der Leute die Du testen wirst, wird sich danach Monate und Jahre hinsetzen um sich mit der Materie auseinanderzusetzen.

[Steakbroetchen]

Naja, das gerade jüngere "Owner/Admins/etc" mit den Rechten auf Servern nicht so umgehen, wie man es machen sollte ist irgendwie auch nicht wirklich neu.

Das was du gemacht hast machen andere schlechter, bekommen trotzdem Rechte, griefen dann den Server und stellen das ganz stolz auf YouTube....

Ich meine mich sogar an ein "Anleitungsvideo" zu erinnern, wo empfohlen wird, zu fragen ob sie ein Plugin brauchen blablabla aber dann soll der Owner/Admin ihnen Rechte geben, bevor er das Plugin bekommt, weil man ja schon auf vielen Servern erlebt habe, dass die Server das Plugin nutzen und einen einfach bannen usw. Der "Social Engineering Kurs für kleine" also...

Generell scheinen auch jüngere Spieler oftmals ein ziemlich schlimmes Verständnis für Serverrechte zu haben...

Auf dem Server wo ich momentan etwas spiele hört man ungefähr einmal die Stunde eine Nachfrage von wegen "Kann ich Mod werden bla bla bla...."

In Bewerbungen zum Moderator stand dann, nachdem ihnen oftmals noch erklärt werden musste, wie man das Forum überhaupt bedient und Themen/Beiträge verfasst, im Prinzip "Bitte macht mich zum Mod weil ich bin gut und will Mod sein". Mehr nicht.

Wenn solche Leute dann mal einen eigenen Server haben werden die wohl auch mit Rechten um sich werfen...

Von Java haben die meist gar keine Ahnung und wissen nicht einmal, dass es so etwas wie dekompilieren gibt.

Und selbst wenn sie das machen würden, wäre für sie spätestens bei einem Plugin welches obfuscated wurde Schluss.

Vor nicht allzu langer Zeit gab es doch sogar den Fall, dass ein ziemlich beliebtes Plugin oder Mod, was davon es war weiß ich nicht mehr, auch eine Backdoor eingebaut hatte und diese so gutobfuscated hat, dass es einige Zeit niemandem aufgefallen ist.

Ich habe auch zu diesem Thema eine recht "harte" Meinung:

Wer so verantwortungslos mit seinen Werken umgeht, der hat es irgendwo auch verdient und muss das ganze eben auf die harte Tour lernen.

[Baustein]

@Xagreus: Nein, ich habe mich bewusst nicht als ich vorgestellt

@Steak: Nun, ich kann nur aus meiner Vergangenheit reden: Ein - damals - krasser Nitrado-10-Slot-Server war die Crème de la Crème! Bis irgendwann Griefer kamen, und durch einen Bekannten, dem ich gewissenlos Rechte gegeben habe, OP waren. Ich habe es also tatsächlich auf die harte Tour gelernt.

Doch ich bin der festen Überzeugung, dass wenn damals wer auf mich zugekommen wäre: "Hey, schau mal, hier und da, da kannst du was besser machen, damit das und das nicht passieren kann!", dann wäre ich darauf eingegangen und hätte mein bestes getan, es umzusetzen. Und ich hoffe, dass es noch Andere gibt, denen ich mit einer solchen Aktion helfen kann.

Liebe Grüße,

Baustein

[Glumandala]

Ich bin beeindruckt.

Allerdings musst du da in manchen Situationen mit schweren Konsequenten rechnen, da es wirklich zu sehr starken Missverständnissen kommen könnte & wer weiß, wie weit das "Opfer" gehen möchte und dich nicht sogar noch bei Anbietern wie Bukkit o.Ä. meldet. (Es gibt genug die meinen Sie müssen das machen.)

Dennoch bist du das perfekte Vorbild und ein wirklich guter Servercoach. Das "Projekt" hat ein sehr gutes Prinzip, ist allerdings mit vielen Gefahren verwickelt.

Viel Erfolg!

Mit freundlichen Grüßen,

René Uchiha

[Baustein]

Bei Bukkit melden... Mhmm, ich habe noch nie großartig was auf der Bukkit-Seite gemacht, und habe das auch nicht vor... Und ich denke, wenn ich denen das schildere und einen Link zu diesem Thread poste, wird es auch Nachsicht geben.... Aber danke für die Warnung

Liebe Grüße,

Baustein

[Xagreus]

Und ich hoffe, dass es noch Andere gibt, denen ich mit einer solchen Aktion helfen kann.

Netter Gedanke, nur passt er leider auf die wenigsten Menschen. Es steht immer und überall geschrieben: Für einen Server muss man entsprechende Kentnisse haben. Dumm ist nur, dass die ganzen kleinen Kinder nicht daran denken. Rootserver gibt es mittlerweile wie Sand am Meer zu sehr günstigen Preisen, das kann sich beinahe jeder von seinem Taschengeld leisten.

Leute, die ohne nachzudenken, Plugins von vollkommen fremden Personen nehmen, bei denen man nicht einmal Ansatzweise sagen kann, ob das Vertrauenswürdig ist, die haben viel größere Probleme als das jemand evtl. OP-Rechte bekommt.

Das sind typische Windows-Klicki-Bunti-Nutzer, die jeden einzelnen Befehl erstmal bei Google suchen müssen.

Es ist vielleicht nett gemeint von Dir, aber zum Großteil sinnlos. Einfach verschwendete Zeit. Es ist ja nicht so, dass man sich Java-Kentnisse in 10 Minuten erarbeiten kann, ebenso wenig wie die gewissenhafte Nutzung eines Servers. Die meisten interessiert das auch nicht. Sie wollen nur schnell einen Server zusammenflicken. Die werden es frühstens dann lernen, wenn sie richtig auf die Fresse fliegen. Und damit meine ich eher: N Server der tausende Spammails versendet, ihr Server und sie dann ne Schadensersatzklage an den Hals kommen, damit der 20€-Billigserver plötzlich 2.000€ kostet.

Edit: Was die Sache mit Bukkit angeht, da würde ich mir weniger Sorgen machen. Eher würd ich mir über die eventuellen Strafrechtlichen Konsequenzen Gedanken machen - falls wirklich einer der Genies auf den Gedanken kommt Dich anzuzeigen.

bearbeitet 3. Juli 2014 von Xagreus

[Glumandala]

Edit: Was die Sache mit Bukkit angeht, da würde ich mir weniger Sorgen machen. Eher würd ich mir über die eventuellen Strafrechtlichen Konsequenzen Gedanken machen - falls wirklich einer der Genies auf den Gedanken kommt Dich anzuzeigen.

Darauf wollte Ich letztendlich hinaus.

[Baustein]

Soweit ich weiß ist nichts daran strafbar. Ich gebe ihnen ein Plugin, welches Funktionen in einem Spiel ausübt, die von Minecraft und Bukkit - und somit den Anbietern, die ich nutze - gefördert werden. Mehr mache ich nicht. Ich hacke kein Konto, sehe keine Daten ein.

Sollte ich mich irren, zeigt mir doch bitte den Paragraphen, dann werd' ich mir meinen guten Willen nochmal durch den Kopf gehen lassen

Liebe Grüße,

Baustein

[Steakbroetchen]

Wenn man sich tatsächlich nur Zugang beschafft, ohne sich Daten zu beschaffen o.ä. ist es tatsächlich nicht strafbar, zumindest in Deutschland. Wie es anderswo aussieht weiß ich nicht.

Beim Rest gebe ichXagreus allerdings voll und ganz Recht.

[naib864]

Ich finde das ist eine super Aktion, da hast du eine gute Idee gehabt

Ich hatte auch einmal einen Server und ich hatte auch keine Ahnung von nix, wäre also wahrscheinlich auch auf diese Masche reingefallen

[Xagreus]

Ich hacke kein Konto, sehe keine Daten ein.

Das ist sehr naiv gedacht. Denn allein der Versuch und sogar die Vorbereitung dafür ist strafbar.

Ich hab mir gerade mal die Zeit genommen, mein StGB durchzublättern und auch passende Paragraphen gefunden:

Du würdest Dich strafbar machen nach ?202c Abs. 1 StGB und ?303a StGB (der ebenfalls nochmal auf ?202c StGB verweist).

Denn Du hast ein Programm hergestellt, dass es möglich machen würde, dass Du Daten änderst, ausspähst und/oder zerstörst (durch die zusätzlichen Rechte), welches Du auch verbreitet hast. Selbst wenn Du diese Möglichkeiten an sich nicht genutzt hast und es auch nicht vorhattest, ändert das nichts daran, dass Du Dich strafrechlich bereits im rotem Bereich bewegst.

Und bevor mir nun jemand kommt mit: "Aber es gibt viele Hacker die Unternehmensseiten "hacken" um auf Sicherheitsprobleme aufmerksam zu machen", das mag korrekt sein, aber auch die machen sich Strafbar. Das Ding ist nur, dass Unternehmen das meist peinlich ist und das nicht an die große Glocke hängen wollen. Die geben denen dann n bisschen Geld oder kostenlose Produkte und für beide Seiten herrscht dann stillschweigen. Denn verfolgt wird das nur auf expliziten Strafantrag.

Würde jetzt also jemand, dem Du so ein Plugin geschickt hast, zur Polizei rennen und Anzeige erstatten, hättest Du innerhalb der nächsten 4 Wochen Deine erste Vorladung zur Polizei und ein paar Wochen/Monate später wohl bereits einen Termin vor dem zuständigem Amtsgericht.

Wenn man sich tatsächlich nur Zugang beschafft, ohne sich Daten zu beschaffen o.ä. ist es tatsächlich nicht strafbar,

Vorsicht mit dem Halbwissen. Das kann ganz schnell nach hinten los gehen.

bearbeitet 3. Juli 2014 von Xagreus

[Beefsteakwerfer]

Man kann darüber streiten, ob das Vorgehen rechtlich ok ist. Man bedenke: Es war nie seine Absicht Daten zu erlangen, zu verändern, zu beschädigen, usw. und er hat es auch nie versucht. Die Tat und die Absicht ist also gar nicht gegeben und der Versuch war auch nie vorhanden . ?303a StGB fällt somit automatisch weg.

Wen es interessiert, dem kann ich später auch eine längere Antwort geben.

Meine Aussagen zur rechtlichen Situation, sowie zu Paragraphen, ihrer Interpretation und Auslegung und allem Anderen was dazu gehört ist stets als subjektive Laienmeinung zu verstehen. Mein Beitrag gibt lediglich meine Meinung zum Thema wider. Es stellt keinerlei Beratung dar. Dementsprechend behalte ich mir Fehler, Irrtümer und Missverständnisse vor.

bearbeitet 4. Juli 2014 von Beefsteakwerfer

[Baustein]

Mich interessiert es

Liebe Grüße,

Baustein

[Xagreus]

Es stellt keinerlei Beratung dar.

Solange Du kein zugelassener Rechtsanwalt bist, musst Du Dir darüber keine Sorgen machen. Dann kannst Du gar keine Rechtsberatung geben. Falsche Rechtsberatung ist nur für zugelassene Rechtsanwälte ein Problem, weil man die in Regress nehmen kann.

Ansonsten: Die persönliche Auslegung der entsprechenden Texte ist irrelevant. Denn ?202c bietet nicht viel Platz für freie Interpretation:

? 202c

Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach ?202aoder ?202bvorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (?202aAbs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) ?149Abs. 2 und 3 gilt entsprechend.

Quelle:http://dejure.org/gesetze/StGB/202c.html

In diesem Fall ist das eine klare Sache:

Baustein hat eine Software (Plugin) hergestellt, die ihn beim Schreiben eines bestimmten Textes OP-Rechte gibt. Durch diese Rechte wäre er in der Lage Daten auszuspähen, zu verändern, zu löschen und zu vernichten. Er kann sich damit unberechtigterweise Zugriff zu einem fremden System verschaffen. Diese Software hat er verbreitet (er hat sie jemand anderem überlassen) damit die "Opfer" genau diese installieren.

Er muss die Möglichkeiten gar nicht nutzen, allein die Herstellung und Verbreitung dieser Software ist eine Straftat.

Kommen wir zum Nächsten:

? 303a

Datenveränderung

(1) Wer rechtswidrig Daten (?202aAbs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt ?202centsprechend.

Quelle:http://dejure.org/gesetze/StGB/303a.html

Die Software ermöglicht ihm die Änderung von Daten (Er wird als OP in einer Datei eingetragen, rechtswidrig und ohne Wissen des Opfers). Selbst wenn er diese Möglichkeit nicht genutzt hat, so kann man dies doch als Versuch auslegen, der ebenfalls strafbar ist.

Selbst wenn der Richter oder Staatsanwalt wohlwollen wäre, müssten sich Dich mindestens wegen ?202c belangen, ob sie wollen oder nicht. Denn hier ist es keine Auslegungssache. Die Frage wäre nur die schwere der Schuld. Die dürfte relativ gering ausfallen und somit dürftest Du nicht so extrem viel zu erwarten haben (vielleicht ein paar Sozialstunden oder ne minimale Geldstrafe).

[Baustein]

Nunja, der Admin von dem o.g. Server war mir eigentlich sehr dankbar, dass ich ihm da geholfen habe. In Zukunft lass ich das aber vielleicht lieber

Liebe Grüße,

Baustein

[Xagreus]

Er kann ja auch dankbar gewesen sein. Solange er Dich nicht anzeigt, hast Du nichts zu befürchten. Denn tatsächlich werden diese Straftaten nur auf Antrag verfolgt.

Das Problem ist nur: Man weiss nie, ob jemand das dankbar als Tipp hinnimmt oder ob er Dich deswegen anzeigen wird. Aus diesem Grund würde ich das wohl lieber lassen.

ich z.B wäre nämlich definitiv einer derjenigen, die sich den Quelltext anschauen, bevor sie soetwas installieren. Und hätte ich da was entdeckt, dass Dich zum OP machen würde, hätte ich dich direkt gebannt, alle relevanten Daten kopiert und wir mit den Sachen direkt zur Polizei gegangen.

[Loewengrube]

Und dann würde ich mich fragen: Wirklich? Wegen einem Minecraft-PlugIn - ja, ich betone das Wort Minecraft - zur Polizei gehen und eine Anzeige erstatten? Gegen anonym unter Decknamen "Baustein"? Selbst wenn man so blöd ist und sich das PlugIn installiert, kann man schlimmstenfalls einfach das PlugIn löschen und sich über die Konsole Zugang schaffen. Es werden immerhin in keinster Weise Daten geklaut oder "Eigentum" beschädigt.

Natürlich gibt es Situationen, in denen sowas anders ist und genannte Punkte verletzt werden, aber dann wendet man sich immer noch zuerst an die Hosting-Gesellschaft etc. Denn das größte strafrechtliche Schlupfloch, das das Internet zu bieten hat, ist die Anonymität. Man weiß nie, ob man von einem Profihacker oder einem verpickelten Pupertierenden ausgetrickst wurde.

[Xagreus]

Und dann würde ich mich fragen: Wirklich?

Meine Gegenfrage wäre nun: Ernsthaft? Ich verstehe nämlich nicht, wie Menschen der Meinung sein können "ach, ist doch nur n Minecraft-Server, was solls?" Es geht doch nicht darum, wogegen so ein Angriff gerichtet war. Und wenn jemand nur ne leere Datei gelöscht hat, die überhaupt keine Bedeutung hat, so ist das vollkommen irrelevant.

Es gibt Geschäfte, die rufen die Polizei wenn Du denen nur ne mini-Weintraube klaust. Da geht es nicht um den Wert oder den Schaden der entstanden ist, sondern darum, klare Zeichen zu setzen. Das man sich das nicht gefallen lässt und dass es Gesetze in diesem Land gibt, an die sicher jeder zu halten hat - wie bescheuert manche davon auch sein mögen.

Denn das größte strafrechtliche Schlupfloch, das das Internet zu bieten hat, ist die Anonymität. Man weiß nie, ob man von einem Profihacker oder einem verpickelten Pupertierenden ausgetrickst wurde.

Dafür wurde "Strafantrag gegen unbekannt" eingeführt.

Wenn jemand bei mir zu Hause einbricht, dann hinterlässt der in der Regel auch keine Visitenkarte mit Namen und Anschrift. Trotzdem ruf ich die Polizei und verlange, dass die tun, was sie tun können, selbst wenn mir nichtmal ein Cent geklaut wurde.