folgendes ist passiert: Wir haben an unserer Schule einen
Linux-Server auf dem jeder Schüler/Schülerin (soweit gewünscht)
ein Login besitzt. Nun klopfte vor einigen Tagen eine
dänische Uni bei uns an, die einen Angriff auf ihre Server
verzeichnet hat, der über unseren Server gelaufen ist.
In unseren Log-Dateien tauchte diese Verbindung auch auf
und konnte auf das zugehörigen Benutzerkonto zurückgeführt
werden, bei dem in der betreffenden Zeitspanne ein Login
aus Israel (!) verzeichnet wurde (der Linux-Server ist per
SSH auch über das Internet erreichbar). Die Dänische Uni
macht jetzt natürlich Druck und es sieht im Moment so aus,
als würde es für den Schüler, dem der Login gehört, schlecht aussehen.
Das scheint mir jedoch eine ziemlich kurzsichtige
Vorgehensweise und daher wollte ich mal ein wenig zur
gesetztlichen Grundlage recherchieren:
Kann der Schüler überhaupt nur auf Grund dieses Logeintrags
belangt werden? Schließlich sieht es ganz danach aus, das sein
Login geknackt und benutzt wurde. Oder hat er das dann
trotzdem zu verantworten, weil er sein Login besser hätte
schützen müssen?
Kann die dänische Uni unsere Schule überhaupt belangen?
Der ‚Hack‘ lief zwar über unseren Server, aber wie hätten
wir das verhindern sollen? Unser Server wurde nicht gehackt.
Der komplette Angriff wurde unter einem ‚normalen‘ Benutzerkonto
durchgeführt, das nur normale Rechte besitzt. Wie sollen wir
verhindern, dass man ein Login missbraucht? Wäre das nicht
so, als würde jemand über seinen Telefonanschluss Telefonterror
machen und das Opfer würde sich dann bei der Telefongesellschaft
beschweren?
Wer weiß mehr zum Thema oder kann mir Quellen zum Thema
empfehlen? Vielen Dank im Voraus.
Schreib das mal weiter vorne bei IT-Sicherheit rein, da sitzen die Experten.
Aus meiner Sicht kann der Schüler nichts dafür, es sei denn, er hätte seine Login-Daten irgendwie veröffentlicht. Viel wahrscheinlicher scheint mir, daß euer Server nicht wirklich gut konfiguriert ist ( freundlich ausgedrückt) und sicherheitstechnisch einige Scheunentore offenstehen. Dafür wäre dann der Admin zu belangen, aber nicht der Schüler!
den Schüler zu belangen ist lächerlich - insbesondere bei Kenntnis der Logdateien.
wie schon mein Vorposter schrieb war da eher der Server selbst das Sicherheitsproblem.
Dem Schüler wäre ein (kleiner) Vorwurf zu machen, wenn zB sein Passwort zu einfach wäre, aber dann hätten die Schüler über die Qualitätsmerkmale von Passwörtern aufgeklärt werden müssen, oder entsprechende Richtlinien im System gesetzt werden müssen.
Der eigentliche Angriff muß gar nicht von dem Israelischen Server kommen, sondern es kann sein, daß dieser ebenfalls ein Opfer wie eurer war - informiert mal den dortigen Admin.
Ergänzend dazu, wenn die dänische Uni was will, nämlich Geld, dann muß sie in Deutschland klagen. Das kann für die in die Hose gehen. In jedem Fall hebe die Log-Datei-Infos auf (Beweis!). Sorge sofort dafür, daß der Rechner keinen Anlaß zum Hacken gibt. Also Schüler vergattern, Paßwörter ändern und einen stabilen Firewall einbauen. Bei http://www.datenschutz.ch kannst dann den Rechner testen lassen (im w-w-w Archiv) sind weitere Links, auch von mir - Rubrik: empfehlenswerte Seiten - zu finden.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
warscheinlich ist Euer Server als Relay genutzt worden.
Damit ist der Schüler wohl keinesfalls verantwortlich.
Allerdings ist es ein ganz grober Sicherheitsmangel, wenn der Server relaying zulässt!
Da solltest du den entsprechenden Administratoren auf die Füße treten, und zwar heftig - oder, sofern Du es selbst bist, den Rechner schleunigst aus dem Netz nehmen und entsprechendes darüber nachlernen, Rechner ordentlich administrieren und dann wieder online gehen.
Gruß
Micha
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Ich antworte mal auf dieses Posting, auch wenn es sich
im Prinzip teilweise auch auf die anderen drei bezieht.
warscheinlich ist Euer Server als Relay genutzt worden.
Was heißt hier Relay? Wir reden hier nicht von Spam oder
anderen Dingen, die man einfach ‚relayen‘ kann.
Es geht hier um ein Login per SSH. Der Angreifer hat sich
als der Schüler ausgegeben und sich auf dem Linux-Server
eingeloggt. Ich sehe nicht, was daran falsch konfiguriert
oder unzulässig ist. Natürlich kann man mit einer solchen
Shell dann wiederum neue Verbindungen aufbauen, Programme
starten oder sonstwas machen. Ist halt Linux. Aber jede
Uni (nur so als Beispiel) bietet doch ihren Studenten auch
ein SSH-Login auf einen der Server. Der gleiche Angriff
hätte in der Tat auch über so einen Studentenaccount ausgeführt
werden können. Deswegen verbietet ja aber auch nicht die
Uni jeglichen Login aus dem Internet.
Trotzdem vielen Dank für die Beiträge. So wie ich das sehe,
kann man also wenigstens dem Schüler mit einiger Sicherheit
nicht zur Rechenschaft ziehen und sollte wohl am Besten
die Verbindung weiter nach Israel ‚verfolgen‘.
sollte wohl am Besten
die Verbindung weiter nach Israel ‚verfolgen‘.
Vor allem sollte man dafür sorgen, daß das nicht wieder passiert. Richtig konfiguriert, sollte ein Server sich so leicht nicht zu DOS-Angriffen mißbrauchen lassen, egal ob ein Account nun legal oder illegal genutzt wird. Also: im IT-Sicherheit oder Linux-Brett nachfragen, wie das geht, und nicht die Schuld nur anderswo suchen!