Jetzt haben sich die Anons etwas geschicktes einfallen lassen: Ein DDoS Tool, das in JavaScript geschrieben wurde und auf öffentlichen Servern wie pastebin plaziert wird. Danach werden die Links zur Aktion verbreitet – Anonymous goes social media – und wer den Link anklickt nimmt automatisch an der Op teil. Vorteil für die Mitglieder des Netzwerks: Die Behörden können schlecht nachweisen, ob die Seite bewusst, oder unbewusst für die Teilnahme an einem DDoS Angriff aufgerufen wurde, weil die Requests auf das Ziel ohne eigenes zutun im Hintergrund aufgebaut werden. Im Zweifel könnte das die Handlungsmöglichkeiten der Behörden aushebeln. Egal was man nun auch von den Methoden des Anonymous Netzwerks hält, aber das ist schon recht geschickt.

Vielleicht ist diese neue Form der DDoS Attacke sogar geschickter als ein kompliziertes und nur auf eine Schwachstelle in MySQL zielendes ominöses Tool wie RefRef. Ich werde mir den Quellcode jedenfalls ansehen (aus Neugier) und schauen wie es gemacht ist. Vermutlich ist es allerdings ziemlich einfach, denn ein solches JavaScript zu schreiben ist weniger aufwändig, als häufig gedacht wird.

Durch ein Waffenverbot wird – ähnlich wie bei der Prohibition – künstlich ein illegaler Markt geschaffen, der durch den Risikoaufschlag mit lukrativen Gewinnen lockt. Der Staat hat ab diesem Moment die rechtsstaatliche Kontrolle über den Waffenerwerb verloren. Die Nachfrage am illegalen Markt steigt zugleich rapide an, dem entsprechend vergrößert sich auch das Angebot und der Markt wächst. Da es sich bei den erworbenen Waffen um illegale und somit nicht registrierte Waffen handelt, werden dieses Waffen vermehrt bei kriminellen Machenschaften eingesetzt, wie es ab 1997 in England zu beobachten war. Dort stieg nach dem Verbot von Faustfeuerwaffen innerhalb von 6 Jahren die Mordrate stark an, von etwa 12 Morden je 100.000 Einwohner pro Jahr auf etwa den Wert von 15. Ganz anders im US Bundesstaat Florida: Hier sank die Mordraten nach Einführung des “right-to-carry law” die Mordrate über die Jahre um etwa 50 Prozent.

Diese Statistiken müssen allerdings immer für sich betrachtet werden und können nicht ohne weiteres auf andere Länder übertragen werden. Jede Gesellschaft ist unterschiedlich, was sich auch auf den Umgang mit Waffen auswirkt. Es gibt einen schönen Film von Michael Moore, der sich in “Bowling for Columbine” thematisch mit dem Massaker an der Columbine Highschool beschäftigt. Der Film befasst sich auch mit dem Thema Waffenrecht und stellt letztendlich fest, dass die Anzahl der Waffen in einem Land nicht der Grund ist, weswegen Waffenmissbrauch existiert. Moore macht unter anderem die irrationalen Ängste einer Gesellschaft dafür verantwortlich, die in den USA zu einem großen Teil von den Medien und dem System an sich geschürt werden. Das Phänomen kennen wir im Zusammenhang mit Amokläufen auch hier in Deutschland, die auch eine Reihe von Verschärfungen des Waffenrechts zur Folge hatten.

“Ein Staat ist nur immer so frei wie sein Waffengesetz”, sagte Gustav Heinemann, in meinen Augen einer der wirklich großen deutschen Bundespräsidenten. Ganz so sehe ich es nicht, ich denke viel mehr, dass der Staat ein an die realistschen Verhältnisse der Gesellschaft angepasstes Waffenrecht braucht. Auch dies erfordert, wie ich im vorherigen Beitrag bereits geschrieben habe, eine Versachlichung der Diskussion.

Quellen:

[1] Justfacts Guncontrol (englisch)

Der Erwerb von Schusswaffen ist derzeit mit sehr strengen Auflagen versehen: Es Bedarf eines Bedürfnisses (z.B. Jagd, Sportschütze, Sammler) und einer Eignung (Sachkundenachweis), zudem muss eine sichere Verwahrung der Waffen gegeben sein (genormte Waffenschränke für Kurz- und Langwaffen). Das Bedürfnis wird fortlaufend geprüft und die Aufbewahrungen können durch die Waffenbehörden unangemeldet inspiziert werden. Ein Verstoß bei der sicheren Verwahrung der Waffen ist eine Straftat und kann mit bis zu drei Jahren Freiheitsstrafe geahndet werden. Zudem folgt bei Verstößen eine Aberkennung der waffenrechtlichen Erlaubnis und die Waffen werden eingezogen. Alle Waffen werden behördlich registriert, über das Register wird auch nachgehalten, wer welche Waffe wann an wen verkauft hat. Das Waffengesetz ist in Deutschland im Vergleich mit anderen Ländern als sehr streng einzustufen.

Meiner Meinung nach ist es richtig, den Erwerb von Waffen an verschiedene Bedingungen zu knüpfen. Ein Waffenbesitzer muss immer mit Sachkunde und vorallem verantwortungsbewusst mit seinen Waffen umgehen (Sachkundenachweis). Dazu gehört auch die sichere Aufbewahrung der Waffen und der Munition (A-/B-/0-Schränke vorhanden). Unangemeldete Kontrollen durch Behörden, oder die 2009 eingeführte fortlaufende Bedürfnisprüfung halte ich hingegen lediglich für eine Gängelung der Waffenbesitzer, die ihre Waffen legal erworben haben. Dem illegalen Markt sind die Waffengesetze so oder so scheißegal, das Waffengesetz greift hier nicht.

Die Kriminalstatistiken zeigen deutlich, dass die Waffenbesitzer von legalen Waffen in Deutschland insgesamt sehr zuverlässig sind, denn nur bei einem Bruchteil von Delikten, bei denen Schusswaffen beteiligt sind werden legale Waffen benutzt (< 1%). Interessant ist auch, dass die schweren Straftaten (Tötungsversuche, Mord, Geiselnahmen, Vergewaltigungen, …) nur etwa 3,3 Prozent aller Straftaten ausmachen, diese aber eine vergleichsweise sehr hohe mediale Aufmerksamkeit erhalten. Bei den Amokläufen war die Aufmerksamkeit und auch der gesellschaftliche Schock noch höher, deswegen wird die Debatte um den legalen Waffenbesitz so absurd emotional geführt. Das war übrigens bereits in den siebziger Jahren so – ausgelöst durch den Terror der RAF. Hierzu ein Hinweis am Rande: Die RAF benutzte bereits im Waffengesetz von vor 1976 verbotene Kriegswaffen, eine Verschärfung war also auch damals schon reine Augenwischerei, das wird bis heute praktiziert, ohne dem illegalen Markt beizukommen.

Inzwischen sind die Emotionen wieder etwas abgekühlt, so sehr, dass sogar das Bundeskriminalamt eine weitere Verschärfung für nicht notwendig hält, regelmäßig im “Jahresbericht Waffen- und Sprengstoffkriminalität” auf rückläufige Deliktzahlen bei denen Schusswaffen zum Einsatz kommen hinweist und dem legalen Waffenbesitz seine Ungefährlichkeit attestiert. Das BKA weist außerdem darauf hin, dass das Gefahrenpotential beim Besitz von illegalen Schusswaffen zu suchen ist, von denen es mutmaßlich mehr als doppelt so viele wie legale Waffen in Deutschland gibt.

Blicken wir in andere Länder, in denen der private legale Besitz von Waffen fast komplett verboten ist, wird es noch interessanter: Großbritannien z.B. hat eines der restriktivsten Waffengesetze der Welt, weist aber seit Jahren steigende Deliktraten mit Schusswaffen auf. Die Schweiz hingegen, wo bei jedem Wehrmann eine vollautomatische Kriegswaffe im Schrank steht, hat eine der niedrigsten Kriminalitätsraten. Absurder geht es wohl nicht. Es gibt keinen kausalen Zusammenhang zwischen legalem Waffenbesitz und Kriminalität, nur wollen dies die Politiker offenbar nicht wahrnehmen, denn sie müssten ja viel tiefer in unsere Gesellschaft blicken, als sie willens und fähig sind. Warum zum Beispiel waren fast alle Amokläufer vor ihrer Tat bereits in psychologischer Behandlung und wurden entsprechend medikamentiert. Warum wird hier kein Zusammenhang hergestellt, aber mit dem Waffenbesitz?

Um nochmal auf die Kaliber zurückzukommen: Die Größe des Kalibers ist nicht entscheidend. Es ist durchaus möglich, mit einem Field Target Luftgewehr (Mündungsenergie > 7,5 Joule, Kaliber 5,5 mm Spitzdiabolo) eine tödliche Verletzung herbeizuführen, da diese Waffen eine ähnliche Energie besitzen, wie ein Kleinkalibergewehr (Kaliber .22lfB). Entscheidend ist auch nicht die Bauform (Kurz- oder Langwaffe), entscheidend ist immer die Person, welche die Waffe führt. Das die meisten Schusswaffendelikte von Personen verübt werden, die sich nicht an das Waffengesetz halten und sich illegal eine Waffe besorgt haben, macht eine Kaliberbegrenzung noch absurder. Die verantwortungsvollen Schützen müssten auf zwei Drittel der Schießdisziplinen verzichten, aber Kriminelle besorgen sich weiterhin alles nach Bedarf. Es ist verrückt. Und noch verrückter wird es, wenn wir uns das aktuelle NATO Kaliber für Kriegswaffen ansehen: 5,56 x 45 mm – das Geschoss ist also kleiner *sic!* als bei einem Kleinkalibergewehr und dennoch absolut tödlich. Was für ein Brainfuck das alles ist!

Es ist dringend notwendig die Diskussion rund um das Waffengesetz zu versachlichen. Waffenbesitzer sind nicht per se irgendwelche Spinner und Waffennarren, sondern betreiben dieses Hobby als Sport in unterschiedlichsten Disziplinen. Da der Sport aber weniger öffentlichkeitswirksam ist, als z.B. Biathlon haben die Waffenbesitzer kaum eine Lobby und die seit Jahren vorgetragenen Sachargumente finden kaum Gehör. Ich hoffe hier über die Piratenpartei (AG Waffenrecht) etwas bewirken zu können, da die Piraten Sachargumenten weniger abgeneigt sind als die Altparteien, wie sich im drogenpolitischen Konzept der Piraten zeigt. Es wird vermutlich noch eine Menge Wasser den Rhein hinunter fließen, bis sich etwas ändert, aber das Thema ist mir wichtig, weil es ähnlich unlogisch ist, wie eine repressive Drogenpolitik, oder eine Totalüberwachung aller Bürger via VDS.

Anstatt die Waffenbesitzer mit weiteren Verschärfungen des Waffenrechts zu gängeln, wünsche ich mir, dass Waffenrecht auch auf Politiker anwenden zu dürfen: Wer Politiker werden will, der soll doch bitte erstmal sein Bedürfnis nachweisen, dann einen Sachkundenachweis erbringen und seine Arbeit fortwährend kontrollieren lassen. Zusätzlich wird die Aufbewahrungsstätte des Politikers (seine Wohnung) in unregelmäßigen Abständen unangemeldet nach Schwarzgeld durchsucht. Das würde der Republik vermutlich wesentlich mehr bringen, als irgendwelche Waffen zu verbieten.

Linksammlung zum Thema:

[1] Waffengesetz Deutschland
[2] Gall will Großkaliberverbot
[3] Piraten AG Waffenrecht
[4] AG Waffenrecht, Artikel für die Flaschenpost
[5] 5,56 x 45mm NATO Kaliber
[6] .22 lfB Kleinkaliber
[7] Weltweite Mord Statistik (Quelle: HDR/UN)
[8] Weltweite Mord Statistik mit Schusswaffenbeteiligung (Quelle: HDR/UN)

Ich hasse W-LAN, schon immer. Bis heute habe ich noch keine positiven Erfahrungen mit dieser Technik machen können, zumindest nicht im privaten Umfeld. Und es kam wie es kommen musste: Ständig Verbindungsabbrüche, weil einer der Extender mal wieder sein Signal verloren hatte verbunden mit ständigen Neustarts. Und wer Online-Spiele spielt, wird jetzt wissen, warum W-LAN ein Arschloch ist: “Connection to the server timed out”. Kurz: Es nervt episch! Insbesondere dann, wenn es am Abend drei bis vier mal passiert.

Am Samstag hatte ich die Schnauze voll und habe zusammen mit meiner Frau 3 Devolo dLAN 200 AVplus bei Euronics für 111 € gekauft. Nicht billig, aber tja, was soll ich sagen: Unten rechts im Haus in die Steckdose gesteckt, oben links im Schlafzimmer eingesteckt, mit “grüner” Leistung verbunden. Ohne Probleme! Und das über einen Stromzähler und zwei Sicherungskästen hinweg einmal quer durchs ganze Haus. Dann habe ich einen Extender abgebaut und als Switch missbraucht, weil mein Switch noch in irgendeinem Karton ist und akut nicht auffindbar war und so bleibt sogar das krüppelige W-LAN erhalten. Für die Rechner Kinder – die nah genug am Accesspoint stehen – und die Smartphones.

Also ich muss schon sagen, ich bin schwer begeistert wie einfach das ging. Zuerst hatte ich Zweifel, da ich noch im Kopf hatte, dass die alten Adapter da größere Probleme machen, aber scheinbar hat sich die Technik verbessert. Der Adapter wird einfach in die Steckdose gesteckt und dann per LAN Kabel mit dem Breitband-Router verbunden, bei uns ist das eine Fritz-Box. Dann wird ein weiterer Adapter in der Nähe des zu vernetzenden PC in die Steckdose gesetzt und der PC mit einem LAN Kabel ans dLAN angeschlossen. Die Adapter erkennen und verbinden sich im Netz automatisch, was selbst bei unseren sicherlich nicht optimalen Bedingungen wunderbar geklappt hat. Zudem ist jeder Adapter gleichzeitig eine Steckdose, so dass keine Steckdose für normale Elektrogeräte verloren geht. Und wer im Mietshaus wohnt, kann die Verbindung sogar verschlüsseln, so dass der Nachbar nicht mit einem dLAN Adapter in das eigene Netz kommt. Einfach, sicher, aber nicht ganz billig. Dennoch: Wer W-LAN hasst, der wird es lieben!

Jetzt muss ich nur noch die Telekom dazu kriegen auch die Leistung zu liefern, die uns versprochen wurde. Unitymedia geht ja leider nicht mehr. :-(

Da ältere Spiele ja öfter für kleines Geld angeboten werden, meine Empfehlung: Selbst wenn das Ding irgendwann nur noch 10 Euro kostet, die sind das Spiel nicht wert, ich würde es nicht mal geschenkt nehmen. Nach der dritten oder vierten Mission habe ich es jedenfalls wieder deinstalliert. Gute Ansätze waren da, die aber leider absolut nicht ausgebaut wurden. Wirklich enttäuschend flach für einen Ego-Shooter.

Tja, hätte ich früher mal bei Gamona vorbeigeschaut, die eine ähnlich vernichtende Kritik – wenn auch ausführlicher – zu dem Spiel veröffentlicht haben, dann hätte ich mir die investierten 4 Stunden Spielzeit auch schenken können.

Sorry Ubisoft, ihr macht ja sonst ganz geile Games, aber das Spiel war mal echt ein Griff ganz tief in die Herrentoilette.

Das einzige was mir bisher negativ aufgefallen ist: Die Single Player Campagne ist buggy. Bei mir gehts an einer Stelle in Paris einfach nicht weiter. Auch das mehrfache Neustarten der Mission hat keine Abhilfe geschafft.

Wer mich adden will, mein Account heißt “motorradblogger” (raufaser war schon weg *gnarf*).

Von außen betrachtet sieht das Ganze ein wenig aus wie Kinder im Sandkasten, die sich mit Katzendreck bewerfen, was der Partei ganz offensichtlich schadet. Etwas genauer betrachtet, teilen sich die Meinungen der Parteimitglieder in Pro und Contra Tauss. Die “Contras” wollen keinen “Kinderficker” (echt so gelesen!) bzw. “Verurteilten Kinderpornographie Besitzer” in der Partei haben, weil die Öffentlichkeit darauf herumhacken würde, die “Pros” teilen Tauss eigene Meinung, dass die Chance zur Rehabilitation gegeben werden muss. Mal ganz grob umrissen. In der Ganzen Diskussion spielt dann auch noch ein wenig das NPD Thema eine Rolle, auch hier gibt es ja Forderungen keine ehemaligen NPD Mitglieder aufzunehmen.

Spielen wir einfach mal die Szenarien durch.

Tauss tritt wieder in die Partei ein, es gibt ein großes Medientamtam mit Titeln wie “Piratenpartei nimmt Verurteilten Kinderpornographie Besitzer Tauss auf”. Gut, wo sie recht haben, da haben sie recht. Wäre nicht besonders förderlich für unsere Wahlprognosen. Oder vielleicht auch nicht? Kommt darauf an, wie wir mit dem Thema umgehen und den Grund der Aufnahme nach außen kommunizieren. Könnte auch eine Chance sein. Oder aber auch voll nach hinten losgehen. Schwierig.

Ich selbst bin im Wahlkampf nur einmal auf das Thema Tauss/Zensursula (war damals eine Sauce) negativ angesprochen worden: Von einem offensichtlich ziemlich bildungsfernen Pärchen, dass einen Kinderwagen von sich her schob. Naja, das ich selbst Kinder habe, dass kann man mir ja auch leider nicht ansehen, von daher war’s schon okay, auch weil sich das Paar nicht auf eine Diskussion einließ, sondern uns einfach nur anpflaumte und weiterging. Insofern stellt sich die Frage, ob wir den Wiedereintritt von Tauss nicht doch aushalten würden, wenn wir es auf seine rechtsstaatliche Rehabilitation stützen.

Das nächste Szenario ist, dass Tauss nicht eintritt (was der Status Quo ist, da im die Aufnahme verwehrt wurde) und alles bleibt wie es ist. Tauss wird vermutlich weiterhin die Piraten unterstüzten, ohne Parteimitglied zu sein. Er wird sich dabei vielleicht nicht wohl fühlen, vorallem auch, weil ihm ein Hausverbot zur Bundesgeschäftsstelle erteilt wurde. Das ist übrigens sehr intransparent gelaufen, die Parteimitglieder haben das über Herrn Tauss erfahren, was ich für eine Partei, die sich Transparenz auf die Fahne geschrieben hat ziemlich armselig finde. Insbesondere, wenn ein sehr bekanntes ehemaliges Mitglied der Piraten davon betroffen ist. Es ist übrigens sehr interessant, dass die 15 Berliner – soweit ich das überblicken kann – alle gegen die Aufnahme von Tauss sind und ihn als Störer empfinden.

Die Ablehnung des Aufnahmeantrags wird ebenso mediale Kreise ziehen, weil Jörg Tauss ein bekannter Politiker war. Auch das wird der Partei schaden. Nur wird das der Partei definitiv schaden, nicht wie beim ersten Szenario, dort lässt sich durch eine gute Begründung das Echo möglicherweise auch ins positive verkehren.

Fakt ist doch, dass wir als Piratenpartei, als Partei des Grundgesetzes uns auch an dieses zu halten haben. Bei Ex-NPDlern genauso wie bei verurteilten Verbrechern, die ihre Strafe abgebüßt haben. Das rechtsstaatliche Prinzip sieht auch auch die Rehabilitation vor. Menschen können sich ändern – auch NPDler – und brauchen genau wie Straftäter eine zweite Chance. Unabhängig von den Absprachen, die zwischen dem damaligen Buvo und Tauss getroffen worden sind. Das ist meine ehrliche Meinung zu dem Thema.

Ich will mich jetzt aber gar nicht auf eine Seite schlagen, das überlasse ich anderen, möchte aber darauf hinweisen, dass die gesamte Diskussion um Tauss der Partei schadet. Es ist von Anfang an, also ab der Erteilung des Hausverbots durchweg unpiratig gehandelt worden. Richtig wäre gewesen: Meinungsbild im LQFB (wofür haben wir die Software denn…), Mehrheitsentscheidung und gut. Da gäbe es dann auch gar nichts zu rütteln. Und je nach Ausgang hätte entsprechend gehandelt werden müssen. Szenario 1: Begründung bestmöglich kommunizieren, Szenario 2: Begründung bestmöglich kommunizieren und alle sind “zufrieden” – oder zumindest weniger aufgebracht, als es jetzt der Fall ist.

Also für’s nächste Mal: So wie es beim Fall Tauss gelaufen ist… das geht gar nicht!

Prozess optimieren bitte, kkthxbye!

als ich heute das hier gelesen habe, ist mir ehrlich gesagt die Kinnlade runtergefallen. Da fragt selbst Netzpolitik mal nach, was das denn konkret zu bedeuten hat. Überhaupt stoßen mir die Bundespressemitteilungen in letzter Zeit ziemlich übel auf, weil sie immer nach dem gleichen Schema ablaufen. Ein wenig Text, dann ein Zitat von einem führenden Pirat, dann wieder Text, wieder ein Zitat und so weiter. Mir ist schon klar, dass Pressemitteilungen nach diesem Schema geschrieben werden, ich selbst habe ja auch des öfteren mit der Presse zu tun, da ich hier im Märkischen Kreis der Ansprechpartner für die Presse bin.

Aber es kann doch nicht sein, dass bei einem so wichtigen Thema, wie dem Staatstrojaner nur Standard Pressemitteilungen veröffentlicht werden, die an Langweiligkeit und Flachheit kaum zu überbieten sind und sich auf dem Niveau der Schülerzeitung einer durchschnittlichen Hauptschule bewegen – mal etwas überspitzt ausgedrückt. Überhaupt ist der gesamte Presseprozess in der Partei sehr undemokratisch, wenig transparent und es gibt auch keine Mitwirkungsmöglichkeiten. Zumindest habe ich sie noch nicht finden können.

Gestern haben sich ein paar Piraten und ich daran begeben eine alternative Pressemitteilung zu entwickeln. Dafür haben wir das Piratenpad genutzt und ich muss sagen: Das hat sehr gut geklappt. Jeder konnte sich einbringen, recherchieren, Quellen durchforsten und so ist ein in meinen Augen wirklich stimmiger und guter Text entstanden, der dem Ausmaß des Verfassungsbruchs durch den Einsatz der Trojaner auch gerecht wird. Klar, da fehlen natürlich die schönen Zitate irgendwelcher Spitzenpiraten, aber die könnten wir ja gerne noch herbeifaken. ;-)

Warum macht die Bundespresse das nicht auch so transparent? Ich konnte auf der Webseite und im Wiki nicht mal einen konkreten Ansprechpartner für Pressemitteilungen finden. In NRW übrigens auch nicht. Es gibt leider nur allgemeine Adressen, die E-Mails landen dann in irgendeinem Ticket-System. Das ist undurchsichtig, intransparent und ehrlich gesagt ziemlich unpiratig. Ich habe gestern Abend an die NRW Presse und die Bundespresse eine E-Mail geschrieben. Bis jetzt noch keine Reaktion. Mir ist klar, dass wir alle keine Berufspolitiker sind, ich habe das Problem ja auch, aber eine E-Mail zu beantworten, müsste doch wohl kurz drin sein.

Ich muss ehrlich gestehen, dass ich mich im Moment von den Pressemitteilungen und dem gesamten Presseverfahren als Pirat nicht wirklich gut vertreten sehe. Es wäre schön, wenn die Pressearbeit transparenter wäre und auch Instrumente wie das Piratenpad dafür genutzt würden. Liebe Bundespresse, öffnet euch für eure Mitglieder, gemeinsam geht doch vieles leichter und das ist doch die eigentliche Stärke von uns Piraten. Das wünsche ich mir übrigens genauso den Landesverband NRW, in dem ich Mitglied bin.

Update:

Über Twitter habe ich nun erfahren, dass es im Wiki eine Seite gibt, die beschreibt, wie bei der AG Presse mitgearbeitet werden kann. Das ist ja schonmal ein Anfang, aber das könnte noch verbessert werden. Sich erst in der AG vorzustellen, oder Pressemitteilungen an eine Mailingliste zu schicken ist suboptimal, gerade wenn es schnell gehen muss. Schön fand ich, wie es sich gestern über Twitter organisiert hat. Das war sehr offen gestaltet und sehr transparent. Vielleicht ließe sich das in Zukunft von der AG Presse auch so handhaben?

Bedingt dadurch, dass auch viele Menschen aus der Online-Welt den Feierlichkeiten beiwohnen werden, wird das sicherlich ein spaßiger Event. Ich überlege schon eine Twitter-Wall an’s Haus zu werfen. ;-)

So jetzt aber zum eigentlichen Thema: Bedingt durch die unterschiedliche Mediennutzung unserer Gäste, ist es gar nicht so einfach eine Gästeliste zu erstellen. Einige haben Facebook, einige haben nur Twitter und andere wiederum sind gar nicht in sozialen Netzwerken vertreten.

In Facebook haben wir eine Veranstaltung gemacht, das hat auch ziemlich gut geklappt, weil @Flocke73 und ich beide Admins sind und wir so unsere unterschiedlichen Freundeskreise einladen konnten.

Auf Twitter herrscht ja irgendwie immer das Chaos, weswegen es ja auch so geil ist, aber deswegen hier die Bitte: Wenn ihr nicht auf Facebook seid und Gast auf unserer Hochzeit sein wollt, dann hinterlasst bitte einen Kommentar. Schön wäre es, wenn ihr noch dazu schreibt, mit wievielen Personen ihr kommt.

Für die, die von weiter weg kommen, müssen wir auch noch Schlafplätze organisieren. Siehe #mocamp11.

Anonymous

Derzeit ist die Hacker Gruppierung Anonymous des öfteren in Medien, sei es mit dem bereits jetzt legendärem Hack der Gema durch die AnonyPwnies, oder mit der “Operation Bart” in den USA. Zudem läuft hier in Deutschland derzeit die “Operation Summerstorm”, sowie “Operation Blitzkrieg”, die sich den Rechtsradikalen entgegenstellt und deren Webseiten hackt und mit DDoS Angriffen blockiert – so zum Beispiel die Webseite der NPD. Bei den DDoS Angriffen wird das Tool LOIC (“Large Orbit Ion Canon”) eingesetzt, was allerdings so einige Probleme mit sich bringt: Die Server werden von vielen Teilnehmern der Aktionen mit sinnlosen HTTP Requests geflutet, die IP Adressen der Teilnehmer landen dabei natürlich im Log des Webservers, wodurch es in den .NL und in .GB bereits zu Festnahmen gekommen ist, die IP Adressen führten die Ermittler zu den Angreifern. Die IP ließe sich natürlich auch fälschen, doch die Mehrheit der Teilnehmer an den DDoS Aktionen wird wohl ein Windows XP/Vista/7 verwenden, wo IP Spoofing nicht mehr möglich ist. Um diese Problematik zu umgehen, entwickeln einige Anonymous Hackavisten derzeit an einem neuen Tool mit dem Namen “RefRef”, das nach einem anderen Prinzip arbeitet. Ich habe mir das Thema angesehen und will nun ein wenig etwas darüber schreiben.

Laut den Entwickeln wird das in JavaScript geschriebene Tool RefRef darauf basieren, dass sich per JavaScript “die eigene Rechenkapazität der Website gegen [die Website] selbst richtet”. Dazu nutzt das Tool “Schwachstellen in SQL aus, um einen vernichtenden Effekt auf die Ziel-Website auszuüben”. Laut Informationen der Entwickler nutze RefRef eine Schwachstelle im Javascript und im SQL-Server aus, um eine JavaScript Datei im Temp-Verzeichnis des Servers abzulegen, um mit einem erneuten Request diesen in eine Endlosschleife von Selbstaufrufen zu bringen. Das klingt für mich ehrlich gesagt ziemlich seltsam und verworren, gut war glaube ich auch ein Artikel beim “ehemaligen Nachrichtenmagazin”. Auch die weiteren Medienberichte zum neuen Tool geben wenig Aufschluss, sind alle irgendwie unterschiedlich und ich halte die Aussagen für ziemliches Snakeoil – trotz der Tatsache, das dieses neue Tool angeblich bereits erfolgreich an pastebin getestet wurde.

Was ich mir vorstellen könnte, wäre allerdings folgendes Szenario: Wenn eine Seite für SQL-Injections anfällig ist, wäre es durchaus möglich von außen nicht erwünschte Inhalte in die Seite einzuschleusen. Dieser Inhalt könnte z.B. ein kleines JavaScript sein, dass in einem sehr kleinen Intervall asynchrone HTTP Requests erzeugt, die ebenfalls die SQL-Injection ausnutzen und den Datenbank Server zusätzlich mit sinnlosem Quatsch (z.B. “BENCHMARK” hehe) beschäftigen. Hierdurch würden auch reguläre Besucher der Seite zum DDoS beitragen, was ein unglaublich wirkungsvoller Multiplikator, gerade bei stark frequentierten Seiten wäre. Zudem handelt es sich bei einem solchen Angriff um einen Doppelschlag: Die Datenbank wird in die Knie gezwungen und auch der Webserver wird ordentlich beschäftigt. Zur Verfolgbarkeit: Würde die SQL-Injection z.B. über TOR oder I2P gemacht, wäre der Angreifer nicht durch Ermittlungsbehörden aufspürbar. Und ein Anonymisierungsdienst bietet sich an, weil es ja kein DDoS Angriff ist, zu dem ein Netz von Bots oder Personen benötigt wird. Lediglich ein Request für den Inject, das war es.

Problem bei der ganzen Sache: Nicht alle Webauftritte sind anfällig für SQL-Injections. Es muss also eine gravierende Lücke in der Software vorhanden sein, so dass ein externer Zugriff auf die Datenbank ermöglicht wird, aber es ist ein denkbares Szenario und wie die AnonyPwnies beim GEMA Hack sagten “as always startet with a sql injection”. Die Entwickler schreiben dazu folgendes:

“RefRef is a revolutionary DoS java site. Basically, by using an SQL and .js vulnerability, you can send a page request packet from your home computer with embedded .js file, because of the vulnerability in the SQL/Javascript engine on MOST websites, the site actually TEMPs the .js file on its own server. So now the .js is in place on the host of the site. Next since you still have the request, it picks up the .js file, and all of the requesting for packets power happens on the server, not the requestee. I send two packets from my iphone, and everything else happens on the server. Basically eats itself apart, because since both are on the server, its all a local connection. This tool only makes you vulnerable if you don’t keep your systems patched, perform the basic security, which is how Sony got caught with it’s pants down.”

Ich verstehe diese Aussage nicht wirklich, weil ich auf anhieb keine Warnung gefunden habe, dass für Apache so ein Angriffsvektor besteht.  Sie sprechen von zwei Requests, der erste ein manipulierter HTTP Request, der eine JavaScript Datei im tmp Verzeichnis ablegt, und den zweiten, der die Datei aufnimmt und ab da sollen alle Requests lokal laufen. In anderen Berichten steht dann überhaupt nichts mehr von einer JavaScript Datei, sondern nur, dass das Tool in JavaScript entwickelt würde. Es ist daher auch nicht auszuschließen, dass da einfach falsch zitiert wurde, oder ähnliches, denn folgender Text von hackingtricks.in lässt eher auf einen HTTP Header Exploit schließen, obwohl der erste Satz des oben zitierten Textes, doch eher nach der SQL Injection Variante klingt.

“Wie sich herausstellt, wird der Angriff clientseitig gestarted und sendet ein separates Skript mit dem Verbindungs-Request zum Zielserver. Dieser Request ist tatsächlich der Exploit selbst und sobald der Server beginnt den Request zu verarbeiten wird er damit fortfahren, bis er abstürzt. Kurz gesagt, je stärker der Server um so schneller wird er abstürzen.”

Screenshot von RefRef

Generell sind die Informationen der ausländischen Medien andere, als das was deutsche Medien – unter anderem auch Gulli.com – zur RefRef geschrieben haben. Ein HTTP Header Angriff hat nämlich wenig mit SQL und JavaScript zu tun. Die Informationslage ist also mehr als unklar. Tja, was ist es denn nun? SQL injected content hack, schnödes DDoS, Webserver Exploit, oder gar alles zusammen? Auch der Screenshot, der von Anonymous im Internet gepostet wurde trägt nicht wirklich zur Klärung bei. Das sieht nämlich nach einem ziemlich einfachen JavaScript DDoS Tool aus, was keinen Unterschied zu LOIC darstellen würde. Eine weitere Option wäre allerdings noch, dass es eine Kombination aus DDoS und SQL Injection ist. Der Server würde dann von Hand bombardiert, wobei die SQL Injections vom Tool angehangen werden, um den Datenbank-Server lahmzulegen.

Ich persönlich vermute aber, dass es sich um ein Tool für das oben von mir beschriebe Szenario handelt. SQL Injection, JavaScript wird in die Ausgabe eingeschmuggelt und die Besucher bombardieren unwissentlich Server und Datenbank. Eigentlich recht elegant, aber dazu muss die Seite eben anfällig für SQL Injections sein. Wir werden es im September sehen, dann soll das Tool angeblich released werden.

Ich bin gespannt und hoffe, dass sich das ganze nicht wirklich als Snakeoil, oder einfach nur eine witzige Aktion von Anon handelt, denn rein sicherheitstechnisch wäre es interessant den Angriff zu untersuchen, damit wir unsere Server dagegen absichern können.

Wenn jemand Tipps, Anregungen, einen Link hat, oder einfach mehr weiß als ich, dann schreibt doch bitte einen Kommentar. :-)