FB18 - Das Forum für Informatik

fb18.de / Off-Topic / Hard- und Softwarefragen

Erfahrungen mit Metasploid

Erfahrungen mit Metasploid 2007-08-30 15:26
Anonymer User
Hi habe mir hier gerade Metasploid heruntergeladen, und bin dabei zu experiementieren…

Hab dann auch nmap auf mein winxp installiert/kopiert; doch anders als gedacht (oder irgendwo gehört) kann ich aus der Metaploid-Console die per WebInterface gestartet wird nicht nmap aufrufen (nmap liegt in einem Verzeichnis das in Systemvariablen eingetragen ist und kann von einer normalen win-shell auch aufgerufen werden).

Auf welche Verzeichnisse hat den die Metaploid-Console Zugriff?
Ich kann auch nichts aus

installpath\Metasploit\Framework3\
installpath\Metasploit\Framework3\bin\
installpath\Metasploit\Framework3\tools\

aufrufen. Hat die Console so wenig Möglichkeiten oder stimmt da was nicht?

wenn ich den command "setg" ausführe, zeigt er mir das es keine Globalen Variablen gibt, sollte es da nicht etwas geben?

RE: Erfahrungen mit Metasploid 2007-08-30 15:42
Loom
Hast du unter Windows etwa keine Administrator-Rechte? :p

RE: Erfahrungen mit Metasploid 2007-08-30 16:09
garou
Bist du dir sicher, daß du hierzulande öffentlich darüber reden willst?

RE: Erfahrungen mit Metasploid 2007-08-30 19:53
Marrow
Ich fürchte, dass fällt sehr eindeutig in den Bereich verboten.
Mittlerweile sind aktuell auch Ausnahmen (z. B. für Lehre, Forschung, Penetrationsexperten) nicht wirklich klar.

Das Stichwort hier ist der sogenannte "Hackerparagraph".

Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden.

Nach einer Rücksprache mit dem Admin:
Hier gilt: Links werden gelöscht, sofern sie zu "Beschaffungsseiten" für das Programm oder ähnlich bedenklichen Seiten führt, weil diese rechtliche Konsequenzen für das Forum haben könnten.

RE: Erfahrungen mit Metasploid 2007-08-30 22:34
Anonymer User
Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden.

Gut dass ich das alles schon auf CD habe. Muss ich nix Beschaffen. Und von Besitz steht da nix… [24]

RE: Erfahrungen mit Metasploid 2007-08-30 22:36
Anonymer User
Und außerdem muß immer eine Straftat gegeben sein. Lehre, Forschung, Penetrationstest dürften immer mit Zustimmung des "Opfers" geschehen, da ist irgendwie keine Straftat zu erkennen.

RE: Erfahrungen mit Metasploid 2007-08-31 08:53
Anonymer User
Und außerdem muß immer eine Straftat gegeben sein. Lehre, Forschung, Penetrationstest dürften immer mit Zustimmung des "Opfers" geschehen, da ist irgendwie keine Straftat zu erkennen.

Die Hauptkritik am neuen Paragraphen liegt genau darin, dass solche Ausnahmen nicht klar sind und damit Unsicherheit herrscht.
Somit liegt es vermutlich an den Gerichten, das Gesetz auszulegen und SysAdmins und andere befinden sich in einer rechtlichen Grauzone.

Das sieht auch die GI so:
Dieser "Hackerparagraph" schade der Informatik, weil jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit an Universitäten und Fachhochschulen unter Strafe gestellt werde.

Quelle: http://www.heise.de/newsticker/meldung/92104

RE: Erfahrungen mit Metasploid 2007-09-01 02:58
Muelli
Interessante Lektuere zu dem Thema:
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=13233196&forum_id=121405&showthread=1

RE: Erfahrungen mit Metasploid 2007-09-01 16:39
MoKrates
Aus dem Heise Artikel:

Betroffen sehen wollen die Abgeordneten allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.

Also effektiv ueberhaupt keine Software.

Mit Metasploit kann man Penetration-Tests durchfuehren, mit boesen Massenmailern kann man seinen Mailserver last-testen/Abwehrmechanismen gegen solche Software testen.

Das wirkliche Problem an dem Gesetz ist, dass es allen, die keine Dummuser sind, Angst macht, dass sie evtl. dieses schwammige Gesetz brechen koennten, und der dann urteilende Richter keine Ahnung hat, und es evtl anwendet.

Wenn wir hier allerdings den Kopf in den Sand stecken, waer das schlecht. (Wobei ich, und das ist symptomatisch, auch darin zustimme, dass man es nicht herausfordern muss, und Links wohl tatsaechlich loeschen sollte…)

Alles scheisse.

Mo

RE: Erfahrungen mit Metasploid 2007-09-01 17:24
garou
Wenn wir hier allerdings den Kopf in den Sand stecken, waer das schlecht. (Wobei ich, und das ist symptomatisch, auch darin zustimme, dass man es nicht herausfordern muss, und Links wohl tatsaechlich loeschen sollte…)
Ich würde es eher "zeigen, daß der Sand uns schon viel zu heiß ist" nennen, in der Durchführung dem "Streik durch Dienst nach Vorschrift" ähnlich. Allerdings hätte ich, wäre es meines, dieses Forum aus ähnlichen Gründen (LG HH) schon komplett geschlossen.

RE: Erfahrungen mit Metasploid 2007-09-02 21:40
MoKrates
"Streik durch Dienst nach Vorschrift" hiesse, sich nicht mehr mit Sicherheitsthemen zu beschaeftigen, und sich selbst nicht mehr absichern, weil man es ja nicht mehr kann. Andererseits wird das keinen Entscheider interessieren, wuerde ich sagen. Da erreicht man nicht viel mit.

RE: Erfahrungen mit Metasploid 2007-09-03 00:38
Muelli
Aus dem Heise Artikel:

Betroffen sehen wollen die Abgeordneten allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.

Also effektiv ueberhaupt keine Software.
Das denke ich nicht.
nmap wurde mit gutem Willen hergestellt und macht erstmal auch nix boeses. Saemtliches von milw0rm.com hingehen ist aus meiner Sicht ziemlich eindeutig "in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen".

MfG
Muelli

RE: Erfahrungen mit Metasploid 2007-09-03 01:35
garou
Saemtliches von milw0rm.com hingehen ist aus meiner Sicht ziemlich eindeutig "in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen".
Laufen da auch proof of concept exploits 'drüber?

RE: Erfahrungen mit Metasploid 2007-09-03 02:12
Muelli
Du meinst, ob PoCs auch "in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen"? Du meinst, wenn man nur "Hello, world" aufpoppen laesst, anstatt das Cookie durch die Gegend verschickt, wenn man einen XSS PoC macht?
Dann wuerde ich sagen nein, denn das ist glaub ich noch keine Computerstraftat :P

Aber sobald ein PoC soviel macht, dass er eben
Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen,
faellt er unter das Gesetz.

Aber wieso sollte man Links hier raus loeschen? Es sind nur Links. mit §202c kommt folgendes dazu:

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Hier sind (bislang) noch keine Passwoerter oder sonstige Sicherungscodes aufgetaucht.

Und _wir_ ueberlassen oder verschaffen jemandem nicht "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist". Das ist in erster Linie der Hersteller, der einen Download anbietet. In zweiter Linie der Poster, der darauf verweist. Und selbst _wenn_ es einen direkten Link zu einem Binary von meinetwegen Metasploit oder Wireshark (die evtl. als boese^tm angesehen werden koennten) gaebe, haelt immernoch nicht die Eingangspraemisse "Wer eine Straftat nach § 202a oder § 202b vorbereitet".

Hier gilt: Links werden gelöscht, sofern sie zu "Beschaffungsseiten" für das Programm oder ähnlich bedenklichen Seiten führt, weil diese rechtliche Konsequenzen für das Forum haben könnten.
s.o.
solange kein direkter download zu einem Binary verlinkt ist, gibt es keinen ersichtlichen Grund, Links zu loeschen. Nett drauf hinweisen und diskutieren ist jedoch sehr erwuenscht ;-)

RE: Erfahrungen mit Metasploid 2007-09-03 03:34
garou
solange kein direkter download zu einem Binary verlinkt ist, gibt es keinen ersichtlichen Grund, Links zu loeschen.
Mittäterschaft, Beihilfe zur Vorbereitung,… Während ich bei Metasploid zumindest noch meine Zweifel hatte, sehe ich den milw0rm-link ehrlich gedacht als tatsächlich gefährlich an, daraus drehen dir (und Tri) Richter sicher mit Freude einen Strick. Und Abmahnungsanwälte sicher auch.

RE: Erfahrungen mit Metasploid 2007-09-03 04:02
Muelli
Da hab ich keine Angst vor. Warum auch? [1] Weil ich milw0rm.com geschrieben hab? Nicht mal als Hyperlink… Ich denke, man sollte die Kirche im Dorf lassen und sich nicht selber unnoetig verrueckt machen. Ich sehe, wie schon erwaehnt, keinen Grund Wirbel zu machen. Das neue Gesetz stellt folgendes unter Strafe:

"[Boese Programme…] herstellt sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht"

herstellen: Nein. Also.. vll. doch, aber das tut hier nix zur Sache ;-)
Verschaffen: Nein.
Verkaufen: Nein
Ueberlassen: Nein
Verbreiten: Nein
Sonst Zugaenglich machen: Nein. Das macht immernoch der, wo die Seite innehat. Google macht auch nix "sonst" zugaenglich, genau wie gmx, wenn sie eine Mail mit nem Link routen.

Aber ich bin (gottseidank :P) zu wenig Jurist um das gut bewerten zu koennen, lasse mich natuerlich gerne eingehend beraten :P Wir sollten vielleicht den Hype nutzen um ins Tor Netz zu ziehen. Wir haben dann keine juristisch verpflichtende .de Domain mehr und niemand weiss im Prinzip an welchen Fleck im Universum der Server steht und wer drauf zugreift. Juhu. Es ist mittlerweile auch nicht mehr soo aufwaendig, sich Tor faehig zu machen.


[1] Offiziell ist die Fachschaft Informatik als HOLDER eingetragen. *shrug* Die kann ruhig verklagt werden… Tri steht nur genauso viel drin, wie ich oder Patrick.

RE: Erfahrungen mit Metasploid 2007-09-03 04:33
GroßerSchöpfer
[1] Offiziell ist die Fachschaft Informatik als HOLDER eingetragen. *shrug* Die kann ruhig verklagt werden… Tri steht nur genauso viel drin, wie ich oder Patrick.

Das greift nur für das Zivilrecht, Strafrecht richtet sich nur gegen natürliche, nicht gegen juristische Personen. Dafür hat man im Strafrecht aber auch ruhe vor Abmahnanwälten.

Das heisst aber auch, dass man nicht einfach hingehen kann, und das Forum (oder die juristische Person, die das Forum betreibt) anklagen kann, man müsste erst mal ermitteln wer da eigentlich eine Straftat begangen hat. Naja, und im Strafrecht kann man auch erst mal zu allem die Aussage verweigern, weil man sich ja selbst belasten könnte, und die müssen dann erst mal nachweisen … das geht im Zivilrecht auch so nicht.

RE: Erfahrungen mit Metasploid 2007-09-03 10:56
Marrow
Das Problem mit Links zur Beschaffung ist folgendes:
http://www.heise.de/newsticker/meldung/89348
Nach dem nun im Volltext vorliegenden Urteil vom 27. April 2007 (Az. 324 O 600/06) haftet der Betreiber eines Internetforums grundsätzlich und auch ohne Kenntnis für sämtliche dort eingestellte Beiträge. Dieselbe Kammer des LG Hamburg hatte bereits mit der erstinstanzlichen Entscheidung im Rahmen des heise-Foren-Urteils für erhebliche Rechtsunsicherheit im Netz gesorgt.

Der Kläger müsse sich als Störer die Verbreitung dieser Äußerung zurechnen lassen, denn sie waren über ein von ihm unterhaltenes Internetforum öffentlich zugänglich gemacht worden.

Für die Störereigenschaft reiche bereits das bloße Verbreiten einer unzulässigen Äußerung aus. Nicht erforderlich sei, dass der Verbreiter selbst hinter den rechtswidrigen Inhalten stehe oder sie gar verfasst habe.

Andere Landgerichte wie z. B. Düsseldorf sehen die Sache anders.

Das LG Hamburg hat auch das Urteil gegen heise wegen Beiträgen im Forum gefällt. Siehe http://www.heise.de/newsticker/meldung/72026
Im vorliegenden Fall sahen das Unternehmen Universal Boards und dessen Geschäftsführer Mario Dolzer ihre Rechte verletzt. Einzelne Forenteilnehmer hatten im Forum zu einem Bericht von heise online über die Geschäftspraktiken von Universal Boards ein Skript veröffentlicht, das geeignet sein soll, den Betrieb von Download-Services dieses Unternehmens zu gefährden. Dessen Rechtsanwalt Bernhard Syndikus verlangte daraufhin per Abmahnung vom Verlag, es zu unterlassen, "an der Verbreitung von 'Leserkommentaren' mitzuwirken, in denen wörtlich oder sinngemäß dazu aufgerufen wird, Dateien, insbesondere das Programm 'k.exe', so oft wie möglich von den Servern meiner Mandantschaft downzuloaden, um die Server meiner Mandanten 'in die Knie zu zwingen'".

Alles doof und so schön rechtlich unklar. [26]

RE: Erfahrungen mit Metasploid 2007-09-03 13:36
TriPhoenix
Eben, das ganze ist nicht in einer rechtlichen Grauzone sondern in vielfachen rechtlichen Grauzonen gleichzeitig und da habe ich einfach keine Lust drauf. Mag sein dass es übertriebene Vorsicht ist, aber potentiell kommt man da an Dinge, auf die zumindest ich nicht scharf bin (selbst wenn es "nur" ein Rechtsstreit ist, der damit ausgeht, dass ein Richter die Sache als "OK" erklärt).

RE: Erfahrungen mit Metasploid 2007-09-03 13:58
MoKrates
Eine Regierung, die Gesetze schafft, die ausschliesslich rechtliche Grauzonen schaffen, gehoert abgewaehlt.

Meine Meinung

Mo

RE: Erfahrungen mit Metasploid 2007-09-03 15:26
Faleiro
Mo, du hast die Stammtisch-Tags vergessen. (Oder Bild-Tags.) ;)

RE: Erfahrungen mit Metasploid 2007-09-03 17:03
MoKrates
Noe. Das mein ich ernst. Eine Thematik, die man verstanden hat, kann man auch klarer regeln. Dass Menschen, wie Stefan Esser ihre Seite vom Netz genommen haben, und hier dieses Thema auf diese Weise diskutiert wird, zeigt auf, dass keiner wirklich weiss, wie das Gesetz gemeint ist.

Ich zB bin der Meinung, das Muelli es zu freundlich auslegt. Andererseits bin ich der Meinung, dass jedes Tool als Dual-Use-faehig bezeichnet werden kann, und das Gesetz quasi nie greift.

In beiden konkreten Faellen (Stefan Essers abgeschaltete Seite, Duckmaeusertum hier im Forum) ist es nicht das Gesetz gewesen, dass die Wirkung hatte, sondern das FUD, das dieses Gesetz produziert. Darf ich Tri zitieren?

Eben, das ganze ist nicht in einer rechtlichen Grauzone sondern in vielfachen rechtlichen Grauzonen gleichzeitig und da habe ich einfach keine Lust drauf. Mag sein dass es übertriebene Vorsicht ist, aber potentiell kommt man da an Dinge, auf die zumindest ich nicht scharf bin (selbst wenn es "nur" ein Rechtsstreit ist, der damit ausgeht, dass ein Richter die Sache als "OK" erklärt).

FUD. Deutlicher geht es nicht.

Meine Meinung:
1. Ein Gesetz, das FUD produziert ist falsch (bzw. falsch formuliert)
2. Eine Regierung, die solche Gesetze macht, ist falsch in ihrem Amt. Zumindest bezueglich der Thematik.

RE: Erfahrungen mit Metasploid 2007-09-03 17:27
garou
Weil ich milw0rm.com geschrieben hab?
Was nach deiner Aussage eine (wie IIRC Marrow es nannte) Beschaffungsseite ist.
Nach einer etwas eingehenderen Konsultation des StGB ist Beihilfe zur Straftat IMO so eine 50:50-Sache (Beihilfe setzt Vorsätzlichkeit voraus, aber du hast ja vorsätzlich auf eine Seite hingewiesen, auf der sich Programme, die zur Begehung einer Straftat erforderlich sind, befinden, auch wenn der Hinweis nicht zwecks Begehung einer konkreten Straftat getätigt wurde). Wie gesagt, der Sand ist heiß.

Nicht mal als Hyperlink…
On's plaintext oder hyperlink ist, macht keinen Unterschied, auch ein "technisch nicht versierter Anwender" kann URLs copy&pasten oder schlimmstenfalls abtippen, und selbst hamburger Richter haben genug technisches Wissen, diese Tatsache zu erkennen.

RE: Erfahrungen mit Metasploid 2007-09-03 22:08
Muelli
Andererseits bin ich der Meinung, dass jedes Tool als Dual-Use-faehig bezeichnet werden kann, und das Gesetz quasi nie greift.
Warum geht denn keiner auf meine Argumentation ein?
Wie wuerdest du argumentieren, dass Exploits von milw0rm.com oder securityfocus.com, die Passwoerter aus Programmen rausholen, nicht "in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen"? Fuer eigene Pentest Zwecke? Dazu langt es meist, die Versionen des Advisories zu vergleichen oder einfach nicht Passwoerter rauszuholen, sondern, wie schon mal erwaehnt, etwas "Hello World"ishes zu machen.


btw: Ich wuerde mich sehr ueber dedicated server im (vornehmlich) latein-amerikanischen Ausland freuen. Wenn jemand also Angebote hat, oder weiss, wo man sowas findet: nur zu :)

RE: Erfahrungen mit Metasploid 2007-09-03 23:54
FireTiger
btw: Ich wuerde mich sehr ueber dedicated server im (vornehmlich) latein-amerikanischen Ausland freuen. Wenn jemand also Angebote hat, oder weiss, wo man sowas findet: nur zu :)

Wozu? Eine in Deutschland auf/über Server im Ausland begangene Straftat ist AFAIK immer noch eine Straftat.Aber IANAL.

RE: Erfahrungen mit Metasploid 2007-09-04 01:20
Muelli
Klar. Aber vieles ist im Ausland einfach nicht eine Straftat. Und wenn die deutschen Ermittlungsbehoerden in Mexiko nach Daten fragen, weil jemand einen Link zu Metasploit gesetzt hat, dann werden wahrscheinlch dumm gucken.

Ausserdem wird ausserhalb Europas weniger data retention betrieben, was mir erstmal zusagt.

Das deutsche Recht^tm im Internet ist mE ziemlich leicht zu hacken, man muss es eben nur machen. Und erstaunlicher weise hab ich noch keine zusammenfassende Liste ueber Provider im Ausland gefunden…

RE: Erfahrungen mit Metasploid 2007-09-04 09:07
Faleiro
Daß man wenig Infos sieht (oder gar konkrete Angebote) für dedicated Server oder VPN-Proxys o.ä. im Ausland, wundert mich auch schon länger. Und sei es auch nur, um den selbstgerechten Hacker-Nachbarn vom Mithören auzuschließen, indem man die unverschlüsselte Kommunikation lieber von einem x-beliebigen Server in Mexiko ausgehen läßt…

RE: Erfahrungen mit Metasploid 2007-09-04 12:28
MoKrates
Andererseits bin ich der Meinung, dass jedes Tool als Dual-Use-faehig bezeichnet werden kann, und das Gesetz quasi nie greift.
Warum geht denn keiner auf meine Argumentation ein?
Wie wuerdest du argumentieren, dass Exploits von milw0rm.com oder securityfocus.com, die Passwoerter aus Programmen rausholen, nicht "in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen"? Fuer eigene Pentest Zwecke? Dazu langt es meist, die Versionen des Advisories zu vergleichen oder einfach nicht Passwoerter rauszuholen, sondern, wie schon mal erwaehnt, etwas "Hello World"ishes zu machen.

Da hast Du Recht. Andererseits, und jetzt kommen wir irgendwie aus der "eigene Pentest-Zwecke" und "ausschliesslich fuer Straftaten geeignet"-Ecke heraus.

Es kommt ja auch vor (zum Glueck nimmt das ab), dass nach der Entdeckung einer Sicherheitsluecke das ganze als eher akademisch betrachtet wird, und dem Hersteller erstmal klar gemacht werden muss, dass eine komplizierte Moeglichkeit eine einfache Moeglichkeit ist, wenn man einen fertigen Exploit hat.

Wenn die Sicherheitsluecke ist: "Man kann PWs entwenden", dann ist das Entwenden von PWs ueber einen PoC-Exploit schon etwas "Hello, world!"iges; UND man uebt Druck aus, dass diese Sicherheitsluecke gefaelligst geschlossen wird. Besser ein oeffentlicher PoC als ein Wurm unter der Kontrolle des Islamistischen Terrors[tm].

Andererseits, was ist mit Wurmern, die massenweise Mails verschicken? Das ist zwar recht offensichtlich, nur man muss es vernuenftig abgrenzen, und das wird wieder schwierig.

Nur, wenn man nichts mehr erfinden, herstellen oder vertreiben darf, was es anderen Menschen erleichtert, Straftaten zu begehen, duerfte man keine Autos, Kuechenmesser oder Rasenmaeher mehr herstellen oder verkaufen.