Yep, i shit you not!
Sist søndag ble en lov slått igjennom på høyeste hold i Tyskland, som forbyr all generering, lagring, kopiering og distribusjon av kode som kan brukes til å utføre kriminelle handlinger.
Teksten i loven er relativt vag, men flere jurister har kommet frem til at det over omtrent er det som har blitt vedtatt, og det har allerede nå ført til at Stefan Esser har måttet stenge ned sin site (som bl.a. fokuserte på å detektere og presentere PHP bugs).
Det skremmende er at dette i praksis også betyr at alle pentestere, sårbarhetstestere osv bryter loven hvis de f.eks. har nmap, metasploit, webinspect, wikto, nikto eller andre vanlige verktøy lagret på sine maskiner.
Og hvor går grensen? Kan man mellomlande med fly i Tyskland med slik kode på laptop'ene? Kan et IDS system har filtrer med exploit strenger? Kan man ha whitepapers som forklarer et exploit?
Hvordan skal Tyskland nå undervise studenter innenfor it sikkerhet? Hvordan skal de få testet sine egne systemer?
For styresmaktene sier (verbalt) at de ikke vil straffe folk som jobber lovlig med IT Sikkerhet, men teksten i loven skiller ikke mellom lovlig og ulovlig lagring av slik kode.
Som Esser skriver på sin hjemmeside:
"The big problem is that the (law) is not clearly written; it allows too much interpretation,"[...]"While our government says that they do not want to punish, for example, hired penetration testers, this is not written down in the law."
Italia jobber for tiden med en lignende lov...
Sist søndag ble en lov slått igjennom på høyeste hold i Tyskland, som forbyr all generering, lagring, kopiering og distribusjon av kode som kan brukes til å utføre kriminelle handlinger.
Teksten i loven er relativt vag, men flere jurister har kommet frem til at det over omtrent er det som har blitt vedtatt, og det har allerede nå ført til at Stefan Esser har måttet stenge ned sin site (som bl.a. fokuserte på å detektere og presentere PHP bugs).
Det skremmende er at dette i praksis også betyr at alle pentestere, sårbarhetstestere osv bryter loven hvis de f.eks. har nmap, metasploit, webinspect, wikto, nikto eller andre vanlige verktøy lagret på sine maskiner.
Og hvor går grensen? Kan man mellomlande med fly i Tyskland med slik kode på laptop'ene? Kan et IDS system har filtrer med exploit strenger? Kan man ha whitepapers som forklarer et exploit?
Hvordan skal Tyskland nå undervise studenter innenfor it sikkerhet? Hvordan skal de få testet sine egne systemer?
For styresmaktene sier (verbalt) at de ikke vil straffe folk som jobber lovlig med IT Sikkerhet, men teksten i loven skiller ikke mellom lovlig og ulovlig lagring av slik kode.
Som Esser skriver på sin hjemmeside:
"The big problem is that the (law) is not clearly written; it allows too much interpretation,"[...]"While our government says that they do not want to punish, for example, hired penetration testers, this is not written down in the law."
Italia jobber for tiden med en lignende lov...