Ein Gerichtstermin wegen SQL-Injection

 (sockpuppet.org)
1 Punkte von GN⁺ 2025-02-26 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung

  • Nach dem Informationsfreiheitsgesetz (FOIA) des Bundesstaats Illinois sind die meisten Informationen im Besitz öffentlicher Stellen grundsätzlich offenzulegen. Die Stadt Chicago lehnte jedoch eine FOIA-Anfrage mit der Begründung ab, ein Datenbankschema (schema) könne ein Sicherheitsrisiko darstellen. Daraufhin reichte der Datenjournalist Matt Chapman Klage ein und wies mithilfe von Sachverständigenaussagen nach, dass das Schema keine Sicherheitsbedrohung darstellt. Er gewann sowohl in erster Instanz als auch in der Berufung, unterlag am Ende jedoch vor dem Supreme Court von Illinois.
  • Der Supreme Court entschied, dass ein Datenbankschema unter „Dateilayout“ falle und daher nicht offenzulegen sei. Dadurch wurde öffentlichen Stellen faktisch der Weg eröffnet, Informationsfreiheitsanfragen unter Verweis auf die Datenbankstruktur abzulehnen. Zur Behebung dieses Problems wurde jedoch ein Gesetzentwurf (SB0226) eingebracht. Dieser sieht vor, dass öffentliche Stellen ihre Datenbankstruktur beschreiben müssen, damit Antragsteller gezielt bestimmte Datenabfragen anfordern können.
  • Der Gesetzentwurf ist ein wichtiger Schritt für mehr Informationstransparenz, und es ist notwendig, lokale Abgeordnete zu kontaktieren und sie zur Verabschiedung des Gesetzes aufzufordern.

Hintergrund

  • Das Informationsfreiheitsgesetz (FOIA) von Illinois ist weitreichend, und in den meisten Fällen gelten von öffentlichen Stellen erhobene Informationen als öffentliches Eigentum.
  • Informationsanfragen können unkompliziert per E-Mail gestellt werden, und auf solche Anfragen muss gesetzlich innerhalb von fünf Tagen geantwortet werden.
  • Eine zentrale Einschränkung des FOIA besteht darin, dass Behörden nicht zur Erstellung neuer Unterlagen gezwungen werden können.
  • Ein Datenbankschema beschreibt die Struktur einer Datenbank und wird immer wichtiger, da Informationen öffentlicher Stellen zunehmend in Datenbanken gespeichert werden.

Matt Chapman gegen die Stadt Chicago

  • Matt Chapman ist ein Experte für Datenjournalismus, der mit umfangreichen FOIA-Anfragen arbeitet.
  • Das CANVAS-System in Chicago ist eine große Datenbank, die Parkticket-Daten zentral verwaltet. Matt beantragte das Schema dieser Datenbank, doch sein Antrag wurde abgelehnt.
  • Chicago begründete die Ablehnung damit, dass eine Offenlegung die Systemsicherheit gefährden könnte, woraufhin Matt Klage einreichte.

Ich trete in den Zeugenstand

  • Es gab eine Auseinandersetzung darüber, ob die Offenlegung eines Datenbankschemas die Sicherheit gefährden würde.
  • SQL-Injection ist eine der wichtigsten Angriffsmethoden auf Datenbanken, und es wurde diskutiert, ob ein Datenbankschema für solche Angriffe genutzt werden könnte.
  • Ich betonte in meiner Aussage, dass SQL-Injection-Angriffe nicht über ein Datenbankschema durchgeführt werden.

Die blutige Spur des Rechtswegs

  • Die Klage wurde in erster Instanz gewonnen, doch Chicago legte sofort Berufung ein.
  • In der Berufungsinstanz wurde hervorgehoben, dass eine Offenlegung mit sehr hoher Wahrscheinlichkeit die Sicherheit gefährden müsse.
  • Am Ende entschied der Supreme Court von Illinois, dass ein Datenbankschema als Dateilayout angesehen werden könne.

Aktuelle Lage

  • Öffentliche Stellen im Bundesstaat Illinois haben nun die Befugnis, die Offenlegung von Datenbankschemata abzulehnen.
  • Datenbanken dürfen nicht zu einem Mittel der Informationsverbergung werden, und der neue Gesetzentwurf SB0226 könnte dieses Problem lösen.
  • Der Gesetzentwurf legt fest, dass die Datenbankstruktur hinreichend beschrieben werden muss, damit Antragsteller gezielt bestimmte Queries anfordern können.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-02-26
Hacker-News-Kommentare

  • Hallo, ich bin der Kläger in diesem Verfahren. Ich bereite einen begleitenden Beitrag zu tptaceks Post vor. In der Zwischenzeit könnt ihr jederzeit Fragen stellen

    • Schaut euch in der Zwischenzeit diesen alten Beitrag an: Link

  • Das Beispiel „Suche nach allen Parktickets von Bob O und rufe auch den gesamten Rest der Datenbank ab“ ist ein Beispiel für SQL Injection. Hier ist „everyone's“ wegen des einzelnen isolierten Apostrophs problematisch

  • Ich finde, die Stadt sollte das Schema offenlegen, aber ich stimme der These des Artikels nicht zu, dass die Kenntnis des SQL-Schemas einem Angreifer nicht hilft

    • Ein Angreifer rekonstruiert das SQL-Schema mithilfe eines SQL-Injection-Angriffs. Das Schema ist ein Ergebnis des Angriffs, keine Voraussetzung
    • Es wird impliziert, dass sich das Schema wiederherstellen lässt, sobald eine Schwachstelle gefunden wurde, aber das ist nicht immer so. Wenn man das Schema kennt, lässt sich eine Schwachstelle leichter ausnutzen

  • Kurt hat diesen Beitrag gepostet, um sich über mich lustig zu machen. Mein Publikum sind überwiegend nichttechnische Menschen mit Bezug zur Lokalpolitik in Chicago

    • Sich in der Lokalpolitik zu engagieren ist sehr reaktionsgetrieben. Ich habe in meiner Freizeit viel erreicht, unter anderem Gesetze durchgebracht
    • Lokalpolitik dreht sich um Message Boards. Wenn man sich einbringt, kann man viel bewirken

  • Ist es nicht seltsam, dass Supreme Court und Berufungsgericht wegen Syntaxfragen unterschiedliche Auffassungen haben?

    • Seltsam ist, dass das Gesetz mehrdeutig geblieben ist. Wenn die grundlegende Satzstruktur eines Gesetzes für Gerichte nicht klar ist, ist das System schon an der ersten Hürde gescheitert

  • Bin ich der Einzige, der über die Ausnahmeregelung für Quellcode etwas irritiert oder besorgt ist?

    • Man kann sich leicht ein Szenario vorstellen, in dem eine Stadt bestimmte Software selbst entwickelt und „Bias“ im Quellcode versteckt
    • Ich denke nicht, dass der vorgeschlagene Änderungsantrag ausreicht

  • Sehr interessante Lektüre

    • Zu glauben, dass die Offenlegung des Schemas schützenswert sei, ist absurd. Ich arbeite in einem kleinen Unternehmen und versuche, Kunden die Daten bereitzustellen, die sie brauchen

  • Nach der Entscheidung des Illinois Supreme Court scheint sich eine Gelegenheit ergeben zu haben, „Alles ist eine Datei“ zu sagen

  • Ich habe für das cleartap.com-Projekt per FOIA über eine Million Seiten an Dokumenten angefordert. Die meisten Bundesstaaten verlangen für das Zusammentragen von Dokumenten nur geringe Gebühren

    • Michigan wollte $50K für die FOIA-Anfrage. Vermutlich wegen der Flint-Bleikriese. Sie wollten wohl, dass ich verschwinde

  • Wenn die Öffentlichkeit nicht wissen kann, welche Daten die Regierung besitzt, gibt es keine Informationsfreiheit