Selbstverteidigung im Cyberspace

Mal angenommen, ich betreibe einen eigenen Server. Des Weiteren angenommen, ich bin ein sicherheitsbewusster Administrator und habe ein NIDS, z.B. OSSEC installiert. Nun bekomme ich eines Morgens eine Meldungsflut, dass ein gar ekliger Spammer, Cracker, whatever, versucht, meinen Server zu knacken. Er oder sie könnte zum Beispiel per Bruteforcing versuchen, Zugang zu meinem System zu erhalten. Nun sehe ich ja die IP-Adresse, von der aus eben jener Angriff gefahren wird. Die erste Handlung ist natürlich der entsprechenden Abuse-Abteilung Bescheid zu geben. Aber was dann? Erfahrungsgemäß macht eben jene Abteilung nichts oder unter Umständen viel zu spät.

Ich könnte ja nun einen Gegenangriff starten, allein um dem Cracker zu zeigen, dass sein Versuch nicht unbemerkt geblieben ist. Ich könnte zum Beispiel ganz stumpf mittels hping3 den Angreifer-Host fluten. Oder einen brachialen Portscan per netcat oder nmap führen. OpenVAS bietet darüber hinaus auch einiges an Möglichkeiten.

Allerdings stellt sich natürlich die Frage, ob der angreifende Rechner nicht selbst schon Opfer einer Übernahme wurde und mein Angriff somit gar nicht den wirklichen Täter “erwischt” – was ja ein sehr wahrscheinliches Szenario ist. Das Vorgehen birgt auch noch die Gefahr, dass mein Gegenangriff in den Logdateien des eventuell bereits kompromittierten Systems auftaucht und ich mich somit selbst in Verdacht bringe (selbstverständlich wäre Spoofing, gerade bei netcat oder nmap, möglich).

Aber zur eigentlichen Frage, mit all den schon selbst genannten Überlegungen und Zweifeln: Darf ich einen angreifenden Rechner selbst angreifen? Die Entsprechung im “tatsächlichen” Leben wäre ja die klassische Notwehrsituation. Meinungen?

Nachtrag I:
Mir ist bewusst, dass die einfachste Möglichkeit wäre, die Verbindungen des Bruteforcers per DROP zu verwerfen – allerdings lässt sich bei einem VServer nur selten die Firewall so spezifisch, auf Grund eines gemeinsam genutzten Kernels, konfigurieren.

Nachtrag II:
Ich möchte auch, danke für den Hinweis von anonymous (heutzutage nennt sich wirklich jedeR so, oder???), auf Programme wie fail2ban (allerdings siehe Nachtrag I) und hostsdeny hinweisen. Dass es einen Schutz gibt, ändert aber nichts an meiner Frage.

About these ads

About 7h3linguist

geek :: anarchist :: socialist :: non-conform :: debian fanatic
This entry was posted in hacking, tech. Bookmark the permalink.

3 Responses to Selbstverteidigung im Cyberspace

  1. Pingback: Tweets that mention Selbstverteidigung im Cyberspace | 7h3linguist's journey -- Topsy.com

  2. Bernhard says:

    Notwehr zieht AFAIK nur bei Gefahr für Leib und Leben. Gegenangriff könnte dir wiederum als strafbare Handlung ausgelegt werden (was es nach geltendem Recht auch ist – zudem weiss man ja u.U. nicht in welchem Land der Angreifer ist bzw. welche Gesetzgebung dort herrscht). Das einfachste ist denke ich bei sowas wirklich via firewall bzw. skriptgesteuerten Blockregeln alla ‘denyhosts’ den Angreifer einfach bei mehr als ein paar Verbindungsversuchen pro Sekunde für die nächsten 20 Minuten zu blocken.

  3. 7h3linguist says:

    Ich denke eher, dass die Verhältnismäßigkeit gewahrt werden muss; denn Notwehr greift doch auch bei der Verteidigung von Sachwerten und nicht nur Leib und Leben.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s