disLEXia: So, 17. Nov 2002

Sunday, November 17, 2002

EU-Rat will Anti-Hacker-Gesetzgebung verschärfen
Geht es nach dem Willen des Rats der Europäischen Union, drohen Sicherheitsprüfern im IT-Bereich und gutwilligen Hackern bald dieselben Strafen wie Cyberterroristen. In einer Stellungnahme zum umstrittenen Rahmenbeschluss der EU-Kommission zu Angriffen auf Informationssysteme, die heise online vorliegt, plädiert die Vertretung der EU-Mitgliedstaaten in Brüssel für eine gravierende Verschärfung des Kommissionsvorschlags. Auf Druck von Ländern wie Frankreich, Portugal, Großbritannien, Griechenland und Spanien wurde aus einem der Kernparagraphen der Vorlage, dem Artikel 3, das Privileg für Security-Experten zum freien Testen von Systemen gestrichen.
Übrig blieb allein die Formulierung: "Mitgliedsstaaten sollen mit Hilfe der notwendigen Maßnahmen sicherstellen, dass der absichtliche, nicht erlaubte, ganz oder teilweise erfolgende Zugang zu Informationssystemen strafrechtlich verfolgt werden kann." Die Definition von "Informationssystem" ist dabei denkbar weit gefasst und bezieht sich auf "Computersysteme und elektronische Kommunikationsnetzwerke sowie die durch sie bereitgehaltenen, verarbeiteten, empfangenen oder übertragenen Daten." "Nicht erlaubt" wird -- kaum stärker eingrenzend -- näher erläutert als "nicht durch den Besitzer oder Rechteinhaber des Systems autorisierter Zugang". Deutschland, Österreich und Italien wandten sich zwar gegen die Neufassung, konnten sich mit ihrem Votum allerdings nicht durchsetzen.
Experten fürchten nun, dass die Sicherheit des Netzes durch die verschärfte Klausel beeinträchtigt werden könnte. So wirft das Ratspapier, das in der zweiten Novemberhälfte in Brüssel weiter verhandelt wird, etwa die Frage auf, ob das Aufdecken von Schwachstellen selbst dann strafrechtlich relevant würde, wenn Systemadministratoren keine oder nur äußerst unzureichende Schutzvorkehrungen getroffen haben. Eine klare Festlegung des Gesetzgebers erscheint hier vor allem angesichts der sich in letzter Zeit häufenden Fälle notwendig, in denen findige Nutzer mit Cracker-, Einbruchs- und Diebstahlvorwürfen konfrontiert werden. So wurde jüngst etwa der Nachrichtenagentur Reuters vorgeworfen, sich durch die Eingabe einer noch nicht verlinkten Webadresse unrechtmäßiger Weise in den Besitz börsenrelevanter Informationen gebracht zu haben. Die Online-Versicherung HUK24 rief die Polizei, als Datenschutzexperten auf ähnliche Weise einer umfangreichen, vollkommen ungesichert im Web vorgehaltenen Kundenliste auf die Spur kamen. Nun drohen paradoxerweise nicht der nachlässigen Firma, sondern den Aufdeckern der klaffenden Lücke strafrechtliche und berufliche Konsequenzen.
In seinen Vorüberlegungen zur Änderung des Rahmenbeschlusses schreibt der Rat zwar, dass eine "Überkriminalisierung vermieden" werden müsse. Kleinere Vorfälle sollten nicht tragisch genommen werden. "Autorisierte Personen wie legitime private oder geschäftliche Nutzer, Manager, Controller und Netzwerkbetreiber" sollten genauso wenig ins Visier der Ermittler geraten wie "Personen innerhalb der Firma oder Externen, denen die Erlaubnis zum Testen der Sicherheit eines Systems gegeben wurde". Doch die gute Absicht der Verfasser des Papiers wird durch die dann folgenden Artikel weitgehend ad absurdum geführt.
Lebenslange Haftstrafen, wie sie das US-Repräsentantenhaus für böswillige Angreifer in besonders schweren Fällen befürwortet, sieht der EU-Rat zwar bislang nicht vor. Auf das Eindringen in Informationssysteme sollen mit ein bis zwei Jahren Gefängnis aber dennoch recht empfindliche Bußen stehen. Zusätzlich oder alternativ sollen die Mitgliedsstaaten Geldstrafen implementieren. Auf das Cracken oder Stören von IT-Systemen im Rahmen einer kriminellen Organisation oder in Fällen, in denen ein Angriff auf kritische nationale Infrastrukturen zielte oder substanziellen ökonomischen oder physischen Schaden anrichtete, stehen laut Plan des Rats mindestens zwei bis fünf Jahre Gefängnis. EU-Ländern soll es zudem überlassen bleiben, noch schärfere Strafen zu verhängen. Als Umsetzungsfrist für die strafrechtlichen Vorgaben ist weiterhin der 31.12.2003 im Gespräch. [heise]
17:42 # G!

Intellectual Property Blog
Check out bIPlog, a new intellectual property weblog from students at UC-Berkeley. [Inter Alia via Ernie the Attorney]
8:43 # G!

AU: NSW terror laws increase wiretapping, detention powers
NSW state police will be given increased wiretapping powers and the ability to interrogate suspects without a lawyer present, under a new government anti-terrorism plan. The new laws, which will be announced in parliament on Tuesday, will also allow the use of military forces at civilian utilities.
Under Premier Bob Carr's anti-terrorist strategy, NSW police will be given enhanced powers to investigate and detain terrorist suspects.
It will include electronic surveillance of... [zem]
8:39 # G!

US DoE Shuts Down PubScience
After intense lobbying from the Software & Information Industry Association (SIIA), the United States Department of Energy has shut down the PubScience database. On the site there is now only a message: "PubScience has been discontinued". The old static content can still be viewed in the Web Archive (the database functionality is of course not mirrored there). PubScience was an index of scientific journals used by DoE researchers to publish their findings. It was not a full text database. A PubScience search result would give you the abstract of an article and a link to the publisher's page, where, depending on the publisher, you could either view the article for free, or buy it. In other words, it was a private/public partnership: PubScience provided the summaries for free, and if you wanted to read the full text, you usually needed a subscription or had to pay per article. Nevertheless, there are commercial indexing services competing with PubScience, which offer some data for free, but often charge substantial sums even for viewing the abstracts (and will likely raise their prices now that the free competition is out of business). The SIIA lobbying eventually resulted in a bill with an attached report that recommended the closure of PubScience because of its competition with commercial services. The whole thing cost only $500,000 a year but was the most popular website of the DoE. It's bad enough that the full texts of scientific articles funded by the government are not freely available, but now even indexing is handed over to corporate interests. The SIAA plans to target other free bibliographic databases as well, according to a representative: "One is law-related, the other has to do with agriculture. [..] We have no intention of going after PubMed." PubMed is, of course, the essential free indexing database of medical articles (no full texts either). It is unclear which databases SIIA is referring to, but the agricultural one may well be AGRICOLA by the US Department of Agriculture. Their language -- "no intention of going after PubMed" -- suggests immense arrogance, which is probably justified by the level of corruption in all branches of the US government. I wish I could write something here about political actions you can take to stop this from happening, but I'm afraid there aren't any. Also see: The Assault on the Public's Right to Know by Marylaine Block. [infoAnarchy]
8:22 # G!

UK child pornography investigation
UK police are claiming a lack of funding has hampered the investigation of 7,000 people suspected of downloading child pornography from a US-based web site. The government denies funding is a problem though, saying it has provided extra funding:
[Home Office minister Hilary Benn] said ¬£25m had gone towards setting up the National Hi-tech Crime Unit and overall police budgets had increased.
"Hundreds of arrests have already been made and the police say that we can expect further ... [zem]
8:06 # G!

How do you deal with Internet fraud?
This paper covers fraud that uses Internet technology as an integral part of the fraud and fraud that is already taking place by other means where the Internet is merely another method of delivery. [Help Net Security]
0:59 # G!

Spoofing - Arts of attack and defense
How to spot and avoid potential spoof atacks. Covers DNS spoofing, IP address spoofing, email address spoofing, link alteration, name similarity and content theft. [Help Net Security]
0:37 # G!

Israelis face prison over web site posting
An IDF soldier has been sentenced to 14 months prison for passing classified information to a web site. The civilian operators of the site could also face charges. There's not much information in the article, no details about the type of information or the name of the site.
The police and the IDF are carrying out a joint investigation into the affair and other soldiers, as well as civilians, are expected to be detained. [zem]
0:35 # G!

Virus With a EULA
Rob Lemos at news.com reports on a new "greeting card" virus that protects its author by using a EULA (End User License Agreement):
The FriendGreetings electronic greeting card has all the hallmarks of a mass-mailing computer virus.
The e-mail misleads a victim into downloading an application--ostensibly to view a Web card--and then sends itself to every e-mail address in the victim's Outlook contacts file. At least a few systems administrators have complained in Usenet postings that the mass-mailing e-card was to blame for swamping their network.
Yet the creators--Permissioned Media, a company apparently based in Panama--will be hard to prosecute: The viral card is protected by a license agreement that tricks unsuspecting users into clicking "Yes" and consenting to have the program send itself to all their e-mail contacts.
This exploits the well-known fact that people don't actually read EULAs, but just click "I Accept." [Freedom To Tinker]
Edward W. Felten discusses if a EULA can make an computer virus legal. Let me shed some light on this subject from a german legal perspective:
Nobody reads EULAs/the fine print. You might trust "the market" to keep people from abusing this fact but the german law does not. Our civil law (BGB) states:

BGB § 305 (1) Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. [...]
BGB § 305c (1) Bestimmungen in Allgemeinen Geschäftsbedingungen, die nach den Umständen, insbesondere nach dem äußeren Erscheinungsbild des Vertrags, so ungewöhnlich sind, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht, werden nicht Vertragsbestandteil. [...]
BGB § 306a Die Vorschriften dieses Abschnitts finden auch Anwendung, wenn sie durch anderweitige Gestaltungen umgangen werden.
BGB § 307 (1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist. [...]
BGB § 310 (1) § 305 Abs. 2 und 3 und die §§ 308 und 309 finden keine Anwendung auf Allgemeine Geschäftsbedingungen, die gegenüber einem Unternehmer, einer juristischen Person des öffentlichen Rechts oder einem öffentlich-rechtlichen Sondervermögen verwendet werden. [...]
(3) Bei Verträgen zwischen einem Unternehmer und einem Verbraucher (Verbraucherverträge) finden die Vorschriften dieses Abschnitts mit folgenden Maßgaben Anwendung:
1. Allgemeine Geschäftsbedingungen gelten als vom Unternehmer gestellt, es sei denn, dass sie durch den Verbraucher in den Vertrag eingeführt wurden;
2. § 305c Abs. 2 und die §§ 306 und 307 bis 309 dieses Gesetzes sowie Artikel 29a des Einführungsgesetzes zum Bürgerlichen Gesetzbuche finden auf vorformulierte Vertragsbedingungen auch dann Anwendung, wenn diese nur zur einmaligen Verwendung bestimmt sind und soweit der Verbraucher auf Grund der Vorformulierung auf ihren Inhalt keinen Einfluss nehmen konnte; [...]

This basically says: preformulated contracts (e.g. fine print/EULA) are somewhat restricted when used by a company in a contract with a consumer. Especially BGB § 305c states that clauses which are so unusual that they where beyond reasonable expectation, are invalid. Click the translate button below to read what Google thinks is the exact wording of the law.
To my understanding all EU countries have similar laws. I assume that courts in coutries without such laws still apply somewhat similar standarts. I can't envision that an EULA stating hidden somewhere on page 23 that you have to pay the publisher of some obscure Software 100.000 US$ holds up in any court.
Even assuming that the Virus-EULA is a valid contract the contract can only legitimate the use of resources owned by parties of the contract. But the mass mail also interferences with the rights of all the people who will recieve the Virus next. So the Person which clicked "I Accept" in the EULA did a contract on stuff which are not on his disposal.
To sum up: I think EULAs are no new challange to the legal system. It is just like the fine print on most of the papers you have to sign every day for shopping, University admission, Currency exchange, etc. In general the legal system handles this stuff reasonable well.
0:08 # G! Translate