Re: Gehacked ????????

To: debian-user-german@lists.debian.org
Subject: Re: Gehacked ????????
From: Wolfgang Weisselberg <weissel@netcologne.de>
Date: Sun, 22 Sep 2002 00:24:27 +0200
Message-id: <[🔎] 20020921222427.GA916@weissel.dyndns.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 200209180723.24554@ellinger.de>
References: <[🔎] 20020911201620.3dfd7cdf.cal.43spanish@gmx.de> <[🔎] 200209151434.09370@ellinger.de> <[🔎] 20020917225627.GA21736@weissel.dyndns.org> <[🔎] 200209180723.24554@ellinger.de>

Rainer Ellinger (rainer@ellinger.de) wrote 22 lines:
> Wolfgang Weisselberg schrieb:

> > Die "Class 3" Zertifizierung ist vollkommen irrelevant, wenn du
> > nicht garantieren kannst, dass der Absender mit dem Inhaber des
> > 'Zertifikates' uebereinstimmt.  

> Die Garantie braucht niemand.

Ich stelle mir gerade vor:
- der Sysadmin installiert ein neues qmail.  Die Files sind
  von einem DJB korrekt signiert.
- das "qmail" enthaelt einen Trojaner.  Viele wichtige und
  geheime Interna der Firma dringen nach aussen.  Die Firma geht
  deshalb pleite.

> Zumindest nicht in unserem Gesellschafts-
> system und der daraus folgenden Rechtstradition.

- Vor Gericht sagt der Sysadmin: "Ich hab' die digitale
  Unterschrift von Bernstein unter den Quellen, er ist schuld."
- DJB kommt als Zeuge, es stellt sich raus, dass es gar nicht
  seine Unterschrift ist, sondern dass jemand einen Schluessel
  mit dem Namen DJB generiert hat.  Egal, wie 'korrekt' die
  Unterschrift ist.

> Eine korrekt signierte 
> Sache *ist* vom ausgewiesenen Inhaber signiert worden.

=> Es nuetzt dir nichts, wenn die Unterschrift korrekt ist.  Die
   Unterschrift muss auch von der korrekten Person kommen.

   (Du unterschreibst einen Schuldschein in meinem Namen.  Muss
    ich ihn zahlen, bloss weil mein Name da steht?)

> In Bezug auf 
> Konsequenzen halte ich mich also immer an den ausgewiesenen Inhaber und 
> verlange auch von diesem ggf. Schadensersatz.

Aber du weisst gar nicht, ob der ausgewiesene Inhaber
ueberhaupt die Person ist!  Was ist mit dem Diebstahl eines
privaten Schluessels?  (Keylogger + ein kleiner Einbruch ==
ein Mafia-Boss mit jetzt entschluesselbaren Daten.)

Abgesehen davon ist der Schaden ja bereits entstanden -- Ziel ist
es doch, eben keine schaedlichen Pakete zu installieren, oder?

> War er nicht selbst 
> verantwortlich, muss er selbst schauen, dass er den eigentlichen 
> Verursacher dingfest macht und sich mit seinem Schaden an diesen hält.

Ich glaube nicht ganz, dass du Recht hast, aber IANAL.  Wenn
mein Auto platzende Reifen hat (Fabrikationsfehler), ist auch
nicht mein Auto-Einzelhaendler, nicht der Auto-Spediteur, nicht
der Auto-Grosshaendler und wohl auch nicht der Autohersteller,
sondern der Reifenfabrikant heranzuziehen.

Ich glaube nicht, dass du den Einzelhaendler verklagen kannst,
der sich das dann von Spediteur wiederholen muss, der sich das
dann ... ... ... wiederholen muss.

-Wolfgang

Reply to:

References:
- Gehacked ????????
  - From: Arne Braun <cal.43spanish@gmx.de>
- Re: Gehacked ????????
  - From: Rainer Ellinger <rainer@ellinger.de>
- Re: Gehacked ????????
  - From: Wolfgang Weisselberg <weissel@netcologne.de>
- Re: Gehacked ????????
  - From: Rainer Ellinger <rainer@ellinger.de>

Prev by Date: /var/log/ksymoops/*
Next by Date: Re: Nessus Scan brachte folgende Meldung
Previous by thread: Re: Gehacked ????????
Next by thread: Re: keine Hilfedateien in OpenOffice.org (openoffice.org-help-de)
Index(es):
- Date
- Thread