31. Oktober 2002

[ Datenschutz , Internet ]

Security by Obscurity

Anders Jacobsen hat ein hochinteressantes Update zu "Hacking the Information Economy" von vor 2 Tagen:

Worum ging es? Der Nachrichtenagentur Reuters wurde vorgeworfen, einige schwedische Unternehmen "gehackt" zu haben um so vorzeitig an Informationen zu gelangen. Nun aber kam heraus, dass sich alle Beteiligten einig sind, dass Reuters die Informationen direkt von der Website des Unternehmens hat! (Ausführlicher Artikel im Wired)

Was ist passiert? Ein klassisches "Security by Obscurity"-Sicherheitskonzept, das mal wieder schiefgelaufen ist: Der Bericht, den Reuters haben wollte, lag offen und ungeschützt auf dem Webserver des Unternehmens, nur war er von nirgends verlinkt. Reuters "riet" also einfach die Adresse und fand den Bericht (bei Dateinamen wie "Quartalsbericht01.pdf", "Quartalsbericht02.pdf", "Quartalsbericht03.pdf" ist das auch wirklich nicht schwer...).

Die juristische Seite: Ist es "Hacking", wenn jemand ein öffentlich zugängliches Dokument von einem Webserver abruft? Auf keinen Fall! (Sage ich. Dazu gibt es aber auch andere Auffassungen.) Ich rufe ab, was ich will. Wenn ich es nicht bekommen soll, muss es halt geschützt werden. Ob irgendwo ein Link steht oder nicht, ist ganz egal.

Die praktische Seite: Liebe Kunden, liebe noch-nicht-Kunden, liebe Welt: Wenn Sie nicht wollen, dass irgendwer Ihre supergeheimen Dokumente liest, dann packen Sie sie nicht auf ihren offenen Webserver! Alles, was durch einen URL direkt adressiert werden kann, wird adressiert werden! Und wenn dann nicht mindestens ein Passwort auf dem Verzeichnis liegt, wandert die Datei halt durchs Netz. Fragen Sie jemanden, der sich mit sowas auskennt [tm]!

Trackbacks sind Links von anderen Weblogs auf diesen Eintrag.