youbooks.top
Book menu
  1. Bowden Mark
  2. Worm
  3. Bowden, Worm (eBook)-12.html
Prev Next

9

Mr Joffe geht nach Washington

Heute fällt ein gewaltiger Schatten über die Stadt … und unsere Ängste werden wahr.

– The X-Men Chronicles

Die Nachricht erreichte die Liste am 6. März, einem Freitag, am frühen Abend.

»Hallo an alle«, schrieb Dean Turner, Analyst bei Symantec, »wie einige von euch bereits wissen dürften, haben wir eine neue Variante identifiziert.«

Phil Porras, der durch einen Telefonanruf von der Neuigkeit erfuhr, erstellte sofort eine Zusammenfassung für sein Team und legte eine Marschordnung fest. Sie alle würden das Wochenende durcharbeiten:

Hi, Leute,

Neues vom Telefon:

SRI, Symantec, MS übernehmen Führung bei Reverse Engineering

– Mediensperre bis mindestens Montag, bis wir wissen, was wir sagen sollen

– Wie funktioniert das Ding?

– Was tun wir, um es zu blockieren?

– Haben wir Signaturen?

– Wir müssen uns Gedanken machen über:

– mögliche DNS/Netzwerk-Abwehrstrategien

– wie wir künftige Conficker-Telemetriedaten sammeln können

– die forensischen Details, wie das Ding funktioniert

– und jedes noch so kleine Detail, das uns bei seiner Bekämpfung helfen kann

Die wirklich schlechte Nachricht traf fast gleichzeitig ein. Jose Nazario, ein angesehener, bei Arbor Networks beschäftigter Computersicherheitsexperte, stellte die folgende Meldung auf die Mailingliste:

Ich erspar euch das Browsen. Highlights: 50 000 Domainnamen pro Runde statt 250.

Fünfzigtausend Domainnamen pro Tag? Die »Kabale« hatte gestritten, gekämpft und Leute beschwatzt, um 250 Domainnamen pro Tag vorab zu registrieren. Die Sache hatte ihre Beziehungen untereinander und Rick Wessons Kreditkartenkonto bis aufs Äußerste belastet. Eine beispiellose internationale Kooperation war erforderlich gewesen, koordiniert von der ICANN, die für so etwas eigentlich gar nicht eingerichtet war. Dass sie es geschafft hatten, täglich 250 Domains zu blockieren, war schon ein Triumph gewesen.

Aber 50 000? Das war einfach teuflisch! Conficker C war darauf programmiert, am 1. April loszulegen, und hatte die Latte so hoch gelegt, dass … Nun, wenn man wieder zu Atem kam, musste man fast loslachen. Alle infizierten Rechner sollten ab diesem Tag täglich um Anweisungen bei ihrem Kommandozentrum nachfragen. Um den Wurm von der Kontaktaufnahme mit dem Botmaster abzuhalten, müssten die Mitglieder der »Kabale« sämtliche 50 000 Domains identifizieren und registrieren – was auch hieß, dass sie alle Domains ausfindig machen müssten, die bereits irgendwo auf der Welt registriert waren, und ihre Besitzer überreden müssten, sie für ein paar Tage vom Netz zu nehmen. Und das ab dem 1. April 2009 an jedem verdammten Tag. Wie um alles in der Welt sollten sie das hinbekommen?

»F&*king Hell«, postete Rodney Joffe von seinem Büro in Phoenix aus.

Dave Dagon von der Georgia Tech stellte sich vor, was es hieße, sollten sie die Sache irgendwie hinbekommen:

Haben wir den Mumm, die Blockierung von 50 000 Domains pro Tag in Angriff zu nehmen? Wenn es klappt, würde das dem Botmaster signalisieren, dass diese Organisation das nicht mit Geld, sondern mit politischen Mitteln macht. Das könnte dieses Katz-und-Maus-Spiel beenden – oder die Sache weiter eskalieren lassen … Leute, wir leben in aufregenden Zeiten.

Gleich darauf stellte Rodney eine weitere Nachricht online, in der er alles ansprach, was ihm in dem Moment in den Sinn kam. Zumindest ein paar der betroffenen TLDs könnten beschließen, einfach einen Schlussstrich zu ziehen – denn selbst wenn es der »Kabale« gelang, Conficker C einzupferchen, was sollte den Botmaster davon abhalten, eine D-Variante nachzuschieben? Dann E? Und F?

Ich vermute, einige TLDs werden wohl sagen: »Da es völlig ausgeschlossen ist, dass wir D in den Griff bekommen [wie absurd viele Domains der Botmaster Conficker als Nächstes auch immer ausspucken lässt], sind wir nicht bereit, Zeit und Geld auf C zu verschwenden, solange es keine Exit-Strategie gibt.« Wir wussten, dass so etwas passieren kann. Nun ist es passiert. Was ist unser Plan C?

Von seinem Büro in Redmond aus berief T. J. Campana eine sofortige Telefonkonferenz ein und versuchte, den demoralisierten Truppen mit einer E-Mail wieder Hoffnung zu machen:

Entweder tragen wir jetzt den Kampf zu unseren Gegenspielern oder wir gehen nach Hause. Ich bin dafür, es zu versuchen … und wenn sie auf 100 000 erhöhen, versuchen wir eben das … Wir werden auf die Probe gestellt, Leute. Die DNS-Infrastruktur wird auf die Probe gestellt … Lasst uns den Spieß umdrehen und es wenigstens versuchen.

Als Einzelheiten über die neue Variante bekannt wurden – Phil und sein Team in Menlo Park arbeiteten das gesamte Wochenende hindurch und sezierten den neuen Wurm in Rekordzeit –, fielen die Reaktionen noch bestürzter aus.

Rodney zum Beispiel klagte:

Die hier eingesetzten Techniken repräsentieren den nächsten evolutionären Schritt und sollten uns deshalb eine Heidenangst einjagen. Uns war schon sehr früh klar, dass unsere Eindämmungsstrategie für A/B eine Ebene höher nicht mehr funktionieren würde, und genau das wird uns gerade demonstriert. (Ich habe wenig Hoffnung, dass uns die [TLD-] Betreiber zuhören werden, viel weniger noch, dass sie uns vertrauen und auch noch diese Zusatzbelastung schultern werden – und schon gar nicht, dass sie das auf fehlerfreie Weise machen können.)

Zum ersten Mal zweifelten die X-Men an sich selbst.

»So langsam stinkt das gewaltig nach einem Insiderjob«, schrieb ein Sicherheitsexperte von der kanadischen Telekommunikationsgesellschaft Bell Aliant.

»Ich wiederhole jetzt hier, was ich schon unter vier Augen gesagt habe«, blies Rodney ins selbe Horn. »Die Leute hinter dem Ding sind wir.«

Diese etwas kryptische Nachricht ließ einige der wortgetreuen Auslegung zugeneigte Mitglieder der »Kabale« vermuten, der Conficker-Autor könnte in der Tat einer von ihnen sein. Woraufhin Rodney klarstellte, wie er das gemeint hatte: dass die Leute, die hinter dem Wurm steckten, zum selben Schlag gehörten wie sie selbst. Dass sie gleichermaßen talentierte, erfahrene und hart arbeitende Mutanten waren – und mehr noch, dass der Vorteil in diesem Spiel auf ihrer Seite lag. Die anderen waren in der Offensive. Der Botmaster hatte einfach gewartet, bis die Gruppe ihren Zug machte. Als sie alle 250 Domains blockierten, die der Wurm Tag für Tag generierte, hatte er einfach den Algorithmus des Wurms potenziert und den Schwierigkeitsgrad des Spiels in die Stratosphäre gejagt.

»Wie können wir in diesem Spiel für Chancengleichheit sorgen?«, wollte Rodney wissen.

Worauf Paul Vixie, zuversichtlich wie immer, erwiderte:

Das können wir nicht. Wir verlieren. Nun, da wir VERLOREN haben bzw. wissen, dass WIR VERLIEREN WERDEN, sollten wir darüber nachdenken, wie wir ein paar sichere Viertel im Internet erschaffen. Den Rest überlassen wir den Drogenbaronen. Es wird wie in dem Film Escape from New York [Die Klapperschlange] sein, nur mit dem Unterschied, dass unsere geschützte Wohnanlage mittendrin und nicht außerhalb liegt.

Angesichts des allgemeinen Schockzustands, der die Gruppe erfasst hatte, hielt Dave Dagon die Zeit für gekommen, um Hilfe zu bitten:

Falls wir diesen Weg beschreiten [versuchen, Conficker C einzudämmen], werden wir meiner Meinung nach Hilfe von ganz oben benötigen. Vom Außenministerium – um die Frage zu beantworten: »Warum sollte unser Land Ihrer ›Kabale‹ helfen?« Vom Justizministerium – damit der Conficker-Ermittlung höchste Priorität eingeräumt wird. Vom Ministerium für Heimatschutz und US-CERT – bei der ganzen SIGINT [kurz für Signals Intelligence, also nachrichtendienstliche Signalaufklärung], die sie betreiben, hoffe ich doch schwer, dass man dort irgendetwas über die Botmaster weiß und etwas unternimmt, bevor irgendwelche lebenswichtigen Infrastrukturen in Mitleidenschaft gezogen werden … Rufen wir dieses Wochenende unsere Freunde an und warnen sie.

Es war definitiv an der Zeit, die Feds, also die Bundesbehörden in Washington, wachzurütteln, sie endlich zum Eingreifen zu bewegen. Die »Kabale« hatte den für Cybersicherheit und Strafverfolgung zuständigen Bundesbehörden von Anfang an artig Daten und Erkenntnisse zukommen lassen. Aber so, wie es die X-Men sahen, hatte es sich dabei bislang ausschließlich um eine Einbahnstraße gehandelt. Was auch immer sie in das riesige Maul des Behördenapparats stopften, verschwand dort einfach sang- und klanglos. Nichts kam je zurück. Die X-Men rissen sich die Ärsche auf, machten Überstunden und ganze Wochenenden durch, zermarterten sich die Köpfe, zapften jeden Kontakt und jede Quelle an, die sie irgendwo auf der Welt hatten, kämpften verbissen darum, das Internet zu retten … Aber wo waren eigentlich die Leute, die dafür bezahlt wurden, das zu tun?

Rodney packte die Koffer für Washington.

Als Phil und sein Team am Dienstag ihren Bericht zu Conficker C vorlegten, waren die Aussichten so düster wie nie zuvor. Bis zum »C-Day«, dem Tag, an dem die neue Variante aufwachen und nach Anweisungen fragen sollte, waren es nur noch drei Wochen.

Der Algorithmus zur Domainerzeugung der ursprünglichen Variante des Wurms hatte täglich 250 auf fünf TLDs verteilte potenzielle Kommando-und-Kontroll-Stellen erzeugt. Conficker B hatte drei zusätzliche TLDs genutzt, was die Sache deutlich komplizierter gemacht hatte, weil Rick Wesson, John Crain von der ICANN und die anderen sich nun mit insgesamt acht TLDs herumschlagen mussten. Conficker C ging richtig in die Vollen. Er war nicht nur darauf programmiert, täglich 50 000 potenzielle Domains auszuspucken, er verteilte diese Domains auch auf sämtliche Länder-TLDs, die es gab, 110 an der Zahl, und dazu noch sechs weitere, insgesamt also auf 116 TLDs!

Es kam sogar noch schlimmer. Als Hassen Saidi die neue Variante auseinandernahm, fiel ihm im Code für den neuen Algorithmus ein nicht lesbarer Abschnitt auf. Was immer sich auch dahinter verbarg, es brachte den infizierten Rechner dazu, mehrere der Kommunikationskontrolle dienende Ports zu öffnen. Darüber, was das zu bedeuten hatte, wurden alle möglichen Spekulationen angestellt, aber das Rätsel knacken konnte keiner.

Hassen nahm auch diese Herausforderung persönlich. Der Botmaster hatte ihm ein weiteres Rätsel gestellt. Da er das fragliche Codesegment mit keiner der ihm bekannten Computersprachen lesen konnte, machte er sich an die mühevolle Aufgabe, den Quellcode in Objektcode zu zerlegen, in die Nullen und Einsen der Maschinensprache. Die Sache kostete ihn drei volle Wochen, und was er dann vor sich sah, war ebenso simpel wie elegant. Der Schöpfer des Wurms hatte ein originäres Peer-to-Peer-Protokoll entwickelt.

Bei den beiden ersten Varianten musste jeder einzelne infizierte Rechner des Botnetzes die richtige Domain kontaktieren, um Anweisungen zu erhalten. Hinter einer der zahllosen Türen saß der Botmaster und verschickte an jeden Bot einzeln Anweisungen. Anders gesagt, er musste jeden Rechner »berühren«, was eine vergleichsweise ineffiziente Methode der Befehlserteilung darstellte. Das Peer-to-Peer-Prinzip vereinfachte den Vorgang ungemein. Die Bots konnten nun unmittelbar miteinander kommunizieren. Der Botmaster musste nur noch einen einzigen Bot berühren. Wenn auch nur ein Rechner den Befehl erhielt, konnte er von sich aus die Nachricht an alle anderen weiterleiten. Die mit Conficker C infizierten Rechner stupsten sich gleichsam gegenseitig an und fragten: »Hey, hast du eine Kopie? Hast du eine Datei für mich?«

Die »Kabale« erkannte sofort, dass ihnen diese Peer-to-Peer-Verbindung eine mögliche Einbruchstelle in das Netzwerk bot. In ihren Honeypots hatten sie jede Menge Conficker-Bots laufen. Warum also nicht das Botnetz von einem ihrer Rechner aus vergiften, indem sie über diesen direkten Kommunikationskanal ein kleines Programm verbreiteten, das dem Wurm den Garaus machte? Das wäre weitaus weniger invasiv, als über das Internet Reparatursoftware in die infizierten Rechner einzuschleusen, und außerdem würden nicht die Weißhüte, sondern der Wurm selbst in die Bots hineingreifen. Als sich aber Hassen noch tiefer in den Wurm vorarbeitete, stellte er fest, dass die Schöpfer des Wurms ihnen wieder einmal einen Schritt voraus waren. Sie hatten die gerade geschilderte Taktik vorhergesehen und eine Schutzmauer um ihr Peer-to-Peer-Protokoll gezogen. Die miteinander verbundenen Computer verglichen Listen mit 25 Conficker-Bots – Übrigens, das sind die Leute, die ich kenne. Damit hatten beide Computer zusammen fünfzig potenzielle Domains, aus denen sie sich bedienen konnten, und jeder wählte nur eine aus. Jeder Bot war darauf programmiert, seine eigene Liste gegenüber denen, die er von anderen erhielt, vorzuziehen. Das bedeutete, was auch immer die »Kabale« an vergifteter Saat in das Botnetz einschleuste, würde sich bestenfalls mit der Geschwindigkeit eines Gletschers ausbreiten. Hassen war, einmal mehr, beeindruckt.

Gut möglich, dass die 50 000 Domainnamen pro Tag, die die neue Variante generierte und die für so entsetzte Gesichter gesorgt hatten, nichts weiter als ein Ablenkungsmanöver waren. Das eigentlich Neue war das Peer-to-Peer-Protokoll. Hassen konnte sich nun in den Kopf des Schöpfers von Conficker C hineinversetzen: Warum die »Kabale« nicht in den Wahnsinn treiben und ihr eine unmögliche Aufgabe vor die Füße werfen? Man schickt sie auf eine Jagd rund um die Welt, um 50 000 Domains am Tag zu registrieren. Und dann jubelt man ihnen insgeheim den eigentlichen Clou unter, das Peer-to-Peer-Protokoll, das noch viel, viel schlimmer war. Die »Kabale« hatte zwar ihr Bestes gegeben, um die 250 von Conficker B täglich erzeugten Domains zu registrieren, aber auch das hatte schon nicht ausgereicht. Die neue Variante hatte ihren Ausgang nämlich von einer der Domains genommen, die Rick, John und ihre Helfer übersehen hatten. 99 Prozent, so hatte Rick stets gewarnt, seien nicht genug, und er hatte recht behalten. Auf der Liste der von dem Wurm täglich generierten Domainnamen, bei denen es sich genau genommen um zufällig erzeugte Buchstabenfolgen handelte, fanden sich immer wieder echte Domains, sprich Domains, die bereits registriert waren. Die Vermutung lag nahe, dass der Botmaster kaum so kühn sein würde, vorab eine Domain zu registrieren, die so gut wie jeder Weißhut auf der Welt auf dem Radar hatte. Doch genau das hatte er getan, direkt vor ihrer Nase. Der Botmaster hatte das Spiel gewonnen. Die Frage war nur: Wenn er das mit 250 Domainnamen am Tag hinbekam, wozu brauchte er dann 50 000?

Conficker C hatte noch einen weiteren höchst erstaunlichen Kniff auf Lager. Sie alle waren schwer beeindruckt gewesen von der höchst fortschrittlichen Verschlüsselungsmethode, die bei Conficker B zum Einsatz kam. Die Schöpfer des Wurms hatten den sicheren Hash-Algorithmus von MIT-Professor Ron Rivest benutzt, den dieser im laufenden Wettbewerb um einen neuen, besseren Verschlüsselungsstandard – SHA-3 – eingereicht hatte. Genau genommen waren sie weltweit die Ersten, die das getan hatten, und sie wollten damit sicherstellen, dass niemand das Botnetz kapern konnte; nur der Autor des Wurms besaß den Schlüssel zu diesem Code. In den Monaten, seit Rivest seinen Vorschlag ausgearbeitet und eingereicht hatte, war jedoch ein kleiner Fehler darin entdeckt worden. Also hatte Rivest den Vorschlag insgeheim zurückgezogen, den Fehler behoben und die überarbeitete Version nachgereicht. Conficker B enthielt die Version mit dem Fehler. Conficker C dagegen benutzte die revidierte Version. Das belegte einmal mehr das außergewöhnlich große Wissen der Verfasser des Wurms und die extreme Sorgfalt, die sie ihrer Schöpfung angedeihen ließen.

Hassens Sektion erbrachte aber auch eine gute Nachricht. Obwohl der Wurm jeden Tag 50 000 neue Domainnamen erzeugte, versuchte jeder Bot nur 500 davon zu kontaktieren. Der Grund dafür lag auf der Hand: Würde jeder einzelne der Abermillionen infizierten Rechner jeden Tag 50 000 Domains zu erreichen versuchen, würde der Datenverkehr ein Volumen erreichen, das die DNS-Infrastruktur des Internets zum Kollaps bringen könnte. Einige Mitglieder der »Kabale« hatten schon versucht zu berechnen, wie viel Datenverkehr genau erforderlich wäre, um zum Beispiel das nordamerikanische Telekommunikationsnetz zum Absturz zu bringen oder Google oder Amazon lahmzulegen. Aber diese neue Erkenntnis nahm viel von der anfänglich großen Besorgnis weg.

Rick schrieb:

Bislang ist es nicht ganz so übel, wie man vielleicht annehmen könnte. Er erzeugt eine Zufallsliste mit 50K Domains, versucht dann aber nur alle 30 bis 90 Minuten, 500 davon zu erreichen. Seine Autoren scheinen zu wissen, dass bei 50K Anfragen Probleme mit internen DDoS der DNS-Infrastruktur drohen. Ich gehe davon aus, dass es weltweit zu einem Anstieg der DNS-Lasten kommen wird, aber die lokalen Auswirkungen dürften nicht so dramatisch ausfallen, wie es im schlimmsten Fall zu befürchten wäre. Ich bin sicher, sobald wir mehr Informationen über die Arbeitsweise der Bots haben, können wir die zusätzliche Belastung genauer abschätzen.

Natürlich verfügte das Botnetz noch immer über das Potenzial, die entscheidenden Internetknoten jederzeit zu überlasten. Gleichzeitig aber nahm in der »Kabale« ein bestimmtes Bild von ihren Gegenspielern Kontur an: Die Leute hinter Conficker waren ebenso wenig darauf aus, das Internet zum Absturz zu bringen, wie der Wurm darauf programmiert war, die normalen Funktionen der von ihm befallenen Computer zu stören. Conficker baute etwas auf, das von Dauer sein sollte. Er brauchte das Internet.

Andererseits, wann, wenn nicht jetzt war der Moment gekommen, die großen Geschütze aufzufahren? Schließlich stand auf der Liste der von dem Wurm ins Visier genommenen TLDs auch .us, die von vielen amerikanischen Regierungsbehörden benutzte Länder-Domain. Das musste doch das Interesse der Bundesbehörden wecken. Rodney war Sicherheitschef von Neustar, das unter anderem die .us-TDL verwaltete und zu dessen Großkunden deshalb auch die Feds gehörten. Abgesehen von dem allgemeinen öffentlichen Interesse war Neustar allein schon aus Gründen der unternehmerischen Sorgfalt verpflichtet, das offizielle Washington zu informieren. An demselben Wochenende, an dem Phil und sein Team in Menlo Park Conficker C zu Leibe rückten, flog Rodney nach Washington.

Rodney war das älteste und wohl mit den besten Referenzen ausgestattete Mitglied der »Kabale« und somit der, dem die Feds möglicherweise tatsächlich Gehör schenken würden. Er ist ein charmanter Mann, voll ungebändigter Energie, ausgerüstet mit einem sarkastischen Humor und einem Intellekt, den man ihm nicht unbedingt ansieht. Würde man ihn in einer Bar treffen, könnte man ihn für einen Trucker halten – was er neben seinen vielen anderen Qualifikationen und Fähigkeiten tatsächlich auch war. Rodney war im Besitz eines Führerscheins für gewerbliche Schwerlaster. So, wie er ein hochintelligenter Mann war, sich aber nicht wie einer verhielt, war er auch ein reicher Mann, der sich nicht wie ein solcher verhielt – auch wenn er ein für reiche Männer typisches Hobby pflegte: Er sammelte klassische Sportwagen und fuhr Autorennen. Rodney hatte sich aus eigener Kraft aus dem Nichts zu einer wichtigen Figur in der Welt des Internets hochgearbeitet. Als junger Mann hatte er in Südafrika den obligatorischen Wehrdienst abgeleistet und es danach gerade einmal drei Monate auf dem College ausgehalten. Anschließend nahm er eine Stelle bei einer Versicherungsgesellschaft an und belegte einen Fortbildungskurs in Versicherungsmathematik. Im zweiten Kurshalbjahr bekam er es erstmals mit Computern zu tun – und war sofort Feuer und Flamme. Er wechselte zu Radio Shack, weil ein Job bei der Elektronikkette einen Weg aus Südafrika anbot. Das Land wurde noch von einem Apartheidregime regiert, was Rodney nicht mit seinem Gewissen vereinbaren konnte. An den Wochenenden erteilte er im Rahmen eines von der Regierung nicht autorisierten Freiwilligenprogramms Mathe- und Englischunterricht für schwarze Erwachsene. Als das Regime den Druck verschärfte und anfing, Schüler aus den Kursen zu verhaften, hatte Rodney mit seinen 22 Jahren die Nase voll. Er war inzwischen verheiratet und Vater, und der alljährliche Pflichtdienst in der Armee wurde immer mehr zu einer Belastung. Der schwelende Rassenkrieg schien näher und näher zu rücken und mit jedem Jahr unausweichlicher zu werden, und hier stand er, ausgebildet und eingezogen, um auf der falschen Seite zu kämpfen. Also zog er mit seiner Familie zuerst nach London und von dort weiter nach Los Angeles, und in jeder neuen Stelle lernte er mehr über die im Entstehen begriffenen weltweiten Computernetzwerke.

Neben seinem eigentlichen Job diente Rodney – vielleicht auch wegen des regelmäßigen Militärdiensts, den er in Südafrika hatte leisten müssen – als freiwilliger Hilfspolizist im Los Angeles Police Department. Als 1983 eine Polizeieinheit zu einem Einsatz um die Ecke von Rodneys Haus im Viertel Sherman Oaks gerufen wurde, kam er mit den Polizisten ins Gespräch und stellte fest, dass es unter den Reservisten der Einheit mehrere Amateurfunker gab; Rodney selbst war seit 1971 im Besitz einer Amateurfunklizenz. Sie hatten sich auf elektronisches Schnüffeln spezialisiert, was Rodney so sehr faszinierte, dass er sich zu der Reserveeinheit meldete. Er arbeitete zwei oder drei Nächte im Monat, üblicherweise bei Überwachungen in sicheren Gegenden, was regulären Polizisten die Zeit gab, Türen einzutreten und Leute festzunehmen. Rodney sah eine Fülle von Möglichkeiten, Computernetzwerke zur Verbrechensbekämpfung einzusetzen, und schwatzte dem stellvertretenden Polizeichef seines Gebiets die Erlaubnis ab, eine Datenbank lokaler Straftaten zu erstellen, was er zunächst auf seinem Apple IIe und später auf seinem IBM PC machte. Er druckte täglich aktualisierte Listen der kriminellen Aktivitäten vor Ort aus, die den Streifenpolizisten zu Beginn jeder Schicht in die Hand gedrückt wurden. Die Methode war so erfolgreich, dass sie im gesamten Police Department übernommen wurde. Nach einiger Zeit wurde Rodney zur Fortbildung zum Betäubungsmittelexperten ausgewählt und schließlich selbst Instrukteur. Später erwarb er den Lkw-Führerschein und steuerte einen der 9-achsigen Noteinsatz-Sattelschlepper des Departments. 1992 saß er während der Ausschreitungen nach dem Rodney-King-Urteil hinter dem Steuer der mobilen Kommandozentrale.

Es war die Zeit, in der das Internet allmählich aufblühte, und nach und nach eignete Rodney sich ein umfangreiches Wissen im Umgang mit Computernetzwerken an. Als er so weit war, ein eigenes Unternehmen zu gründen, machten er und seine Frau sich auf die Suche nach einem Ort, an dem sie Wurzeln schlagen konnten. Gab es irgendwo eine Stadt, die nicht von Rassenkriegen und Unruhen bedroht war, eine Stadt, die nicht jederzeit von einem gigantischen Erdbeben heimgesucht werden konnte? Was Rodney und seine Frau wollten, war ein wenig Ruhe und Frieden, ein Ort, an dem keine Wald- oder Buschbrände drohten, keine Überschwemmungen, kein Schnee, kein Eis, keine Tornados. Die einzigen beiden Städte im Land, die alle Bedingungen erfüllten, waren Phoenix und Las Vegas. Da seine Frau ein Veto gegen die Hauptstadt des Glückspiels einlegte, fiel die Wahl auf Phoenix. Eines der Unternehmen, das Rodney dort aufzog, wickelte die Onlineverkäufe für Robert Redfords Sundance-Katalog ab, aus einem anderen entstand Genuity, heute weltweit einer der größten Betreiber von ISP-Datenzentren. Rodney hatte sich aus dem Unternehmen zurückgezogen, als es noch unter GTE Internetworking firmierte, aber bei seinem langen und erfolgreichen Aufstieg in der Welt des Internets und vielleicht auch wegen seines Faibles für Polizeiarbeit hatten ihn Sicherheitsthemen immer mehr in den Bann gezogen. Inzwischen war er Sicherheitschef bei Neustar und wusste, dass ein Botnetz von Conficker-Größe neben vielen anderen Dingen die Netzwerke von Neustar lahmlegen und damit Nordamerika eine Zeitlang komplett von der Telekommunikationslandkarte streichen konnte. Für Rodney war die Bedrohung daher umfassend und unmittelbar.

In Washington angekommen, setzte er sich zunächst mit einem Bekannten im Handelsministerium in Verbindung, der bei der National Telecommunications and Information Administration (NTIA), die den Präsidenten der Vereinigten Staaten in Internetfragen beriet, mit für den Schutz zentral wichtiger Infrastrukturen zuständig war. Rodney rief den Mann am Sonntag, den 8. März, abends an, skizzierte in groben Zügen, was los war, und bat um Rat, wie er das Handelsministerium am besten über die neue Bedrohung informierte.

Das hier war Rodneys beste Chance, einen Fuß in die Tür der gewaltigen Bundesbürokratie zu bekommen; schließlich hatte er ganz offiziell die Pflicht, das Ministerium zu informieren. Neustar hatte seinen Vertrag zur Verwaltung der .us-Domain mit dem Handelsministerium abgeschlossen. Er bat seinen Bekannten um eine Gelegenheit, das Problem, vor dem sein Arbeitgeber stand, erläutern zu dürfen, und erzählte ihm anschließend alles über den Wurm und insbesondere über die neueste Variante. Es war das erste Mal, dass der Mann, immerhin ein hochrangiger Beamter, überhaupt von Conficker hörte, was Rodney ziemlich beunruhigend fand. Wenigstens aber erfasste er sofort die Bedeutung dessen, was Rodney ihm da erzählte. Er versprach, ihn umgehend zurückzurufen, und nicht einmal eine Stunde später klingelte Rodneys Telefon.

»Kannst du morgen früh um acht Uhr zu einem Briefing ins Büro des Chief Information Officer im Handelsministerium kommen?«, fragte sein Bekannter. Er hatte eine Reihe wichtiger Beamten zusammengetrommelt und wollte, dass Rodney sie nicht nur über die Gefahr für die .us-TDL in Kenntnis setzte, sondern über Conficker generell.

Die Nacht hindurch stellte Rodney in seinem Hotelzimmer eine PowerPoint-Präsentation zusammen. Er hatte für die Reise ein weißes Hemd eingepackt, für ein Meeting am Dienstag, bei dem er sich zu seinem Verdruss genötigt fühlen würde, einen Anzug zu tragen. Nun holte er das Hemd schon am Montagmorgen heraus und meldete sich pünktlich an der Pforte des monumentalen, sechs Stockwerke hohen und mit dorischen Säulen gesäumten Herbert-C.-Hoover-Gebäudes, das mit seiner grauen Steinfassade seit über siebzig Jahren den gesamten 1400er Block der Constitution Avenue dominiert, ein Stein gewordenes Symbol des Wohlstands, die granitene Festung des amerikanischen Handelsimperiums.

Kurz nach acht Uhr stand Rodney vor einem Raum voller Ministeriumsbeamter. Zu den Anwesenden gehörte ein auf Internetthemen spezialisierter Anwalt, der an einer zweimonatigen Überprüfung von Cyberthemen für den neu ins Amt gekommenen Präsidenten Barack Obama mitgearbeitet hatte. Als Rodney mit seiner Präsentation begann und das erste PowerPoint-Dia erschien, wurde er unterbrochen. »Haben wir dieses Briefing nicht schon einmal gehört?«, wollte einer der Beamten wissen.

Die Frage provozierte eine kurzzeitige Verwirrung und Bestürzung. Man ruft nicht die überaus wichtigen und extrem viel beschäftigten Hüter und Bewahrer des amerikanischen Wohlstands zu einem Briefing zusammen, das sie bereits erhalten haben, und Rodneys Bekannter fühlte sich für einige Momente ganz und gar nicht wohl in seiner Haut. Offensichtlich hatte jemand vom U. S. Computer Emergency Readiness Team (US-CERT), der mit dem Schutz der bundesbehördlichen Computersysteme beauftragten Einrichtung, in der Woche zuvor die meisten der in diesem Raum versammelten Ministeriumsmitarbeiter zu einem »dringenden Briefing« zusammengerufen. Die Unterlagen von diesem Meeting wurden eilig herbeigeschafft und Rodney vorgelegt, der zu seiner Überraschung sah, dass das dringende Briefing von vergangener Woche Conficker B betraf, die Version des Wurms, die schon vor mehr als zwei Monaten aufgetaucht war. Offenkundig wurde der Alarm, den Rick Wesson Anfang Januar mit seinen »Nachrichten von der Front« geschlagen hatte, immer noch in klassischer bürokratischer Zeitlupenmanier von Abteilung zu Abteilung weitergereicht. Einmal mehr sah Rodney sich in seiner sowieso schon wenig positiven Meinung von US-CERT bestätigt.

Nun, Leute, wenn euch dieses Briefing letzte Woche einen Schrecken eingejagt hat, und das sollte es getan haben, dann solltet ihr eure Sicherheitsgurte jetzt enger schnallen …

Rodney fuhr also mit seiner Präsentation über Conficker C fort und betonte die scheinbar übermächtige Herausforderung, mit der sich die »Kabale« in ihren Bemühungen zum Schutz des Internets nun konfrontiert sah. Als er fertig war, herrschte in dem Raum Schweigen. Einer der Beamten fragte Rodney, ob er Zeit habe, seine Präsentation um 13 Uhr im FBI-Hauptquartier zu wiederholen, wo das reguläre zweiwöchige Meeting von US-CERT zur aktuellen Bedrohungslage stattfand. Rodney meinte, er müsse ein paar Termine schieben, aber dies sei ja wohl eine Gelegenheit, die so etwas rechtfertige. Der Beamte verließ den Raum und kehrte kurz darauf wieder zurück. Er hatte mit einem der stellvertretenden Direktoren von US-CERT gesprochen und von ihm die Erlaubnis erhalten, Rodney zu dem Meeting einzuladen.

Bei dem fraglichen Meeting handelte es sich um ein regelmäßiges vertrauliches Briefing über Cybergefahren unter der Leitung von US-CERT-Direktorin Mischel Kwon, an dem üblicherweise die Computersicherheitschefs mehrerer zentraler Regierungsbehörden teilnahmen. Nach dem Meeting im Hoover Building fuhr Rodney in sein Büro bei Neustar. Er kannte Kwon; er hatte sie schon mehrmals persönlich getroffen und verspürte keine Lust, sie wegen der Tatsache bloßzustellen, dass ihre Organisation so schlecht über das wahre Ausmaß der Bedrohung informiert war. In den vorangegangenen Monaten hatte er mehrmals versucht, sie zu kontaktieren, war aber stets ignoriert worden. Dennoch schickte er ihr nun erneut eine E-Mail, erklärte ihr, dass er sie in ein paar Stunden bei dem Meeting treffen würde, und fasste seine Präsentation kurz zusammen. Er schloss mit dem Angebot, sich vor dem Meeting mit ihr zu unterhalten, sollte sie das wünschen.

Kwons Antwort kam sechs Minuten später.

»Rodney, ich weiß Ihr Update zu schätzen. Ich muss Ihnen mitteilen, dass das Meeting um 13 Uhr ausschließlich Regierungsbeamten vorbehalten ist. Die einzige Ausnahme sind Vertragsnehmer, die direkt der Regierung zuarbeiten. Gehe ich recht in der Annahme, dass Sie Ihre Präsentation vor Beginn des eigentlichen Meetings halten werden? Bitte nehmen Sie zur Kenntnis, dass hier ein Missverständnis vorliegen muss.«

Kwon schickte die E-Mail in Kopie an mehrere andere Adressaten, darunter auch den Stellvertreter, der Rodneys Teilnahme autorisiert hatte.

Rodney antwortete, dass es sich keineswegs um ein Missverständnis handle und er explizit gebeten worden sei, Leute bei dem Meeting um 13 Uhr zu briefen. Abgesehen davon sei er sehr wohl ein Vertragsnehmer, der direkt der Regierung zuarbeite, aber er wolle Kwon gegenüber keine Haarspaltereien betreiben.

»Bitte geben Sie mir Bescheid, wenn ich meine Präsentation canceln soll«, schloss er seine E-Mail.

Sekunden später erschien auf Rodneys Bildschirm eine E-Mail von dem Stellvertreter, der Rodney zu der Präsentation zugelassen hatte, die an Rodney selbst und zahlreiche andere Empfänger gerichtet war, darunter auch Kwon. Sie lautete ganz schlicht: »Er kann bei dem Meeting briefen.«

Rodney war verblüfft. Schließlich handelte es sich nur um Kwons Stellvertreter. Offenbar hatte der Beamte aus dem Handelsministerium, der am Morgen mit dem Mann vom US-CERT gesprochen hatte, sich darüber beschwert, dass er von Rodney von der neuen Conficker-Variante erfahren hatte, einem Zivilisten und noch dazu einem Einwanderer mit ausländischem Akzent, und nicht von der Behörde, die für derlei Dinge zuständig war. Rodney konnte sich vorstellen, wie dieses Gespräch verlaufen war: Wollen Sie mir damit etwa sagen, dass Ihr verdammter Haufen keinen blassen Schimmer von diesem Ding hat? Rodney hatte den Eindruck, dass es in Kwons Reich gewaltig rumorte – und tatsächlich sollte sie fünf Monate später zurücktreten.

Rodney schickte ihr eine weitere E-Mail.

»Hey, ich wollte Ihnen wirklich keine Probleme bereiten. Wirklich, ich möchte mich entschuldigen, sollte das der Fall sein. Ich wollte Sie nur vorab informieren. Falls Sie nicht wollen, dass ich komme, geben Sie Bescheid.«

Kwon zog den Kopf ein. Weder antwortete sie, noch erschien sie zu dem Treffen um 13 Uhr. Schließlich betrat Rodney einen riesigen Konferenzraum in der FBI-Zentrale und wurde an ein Lesepult geführt. Vor ihm saßen zahlreiche hochrangige Beamte, von denen er keinen je gesehen hatte, ausgenommen der Anwalt, der sich für Obama um diese Dinge kümmerte und an dem morgendlichen Meeting im Handelsministerium teilgenommen hatte. Ausnahmslos alle trugen prominent an Schlüsselbändern befestigte Plastikausweise um den Hals, ein Totem im sicherheitsbesessenen Washington und Symbol für privilegierten Zugang und höchste Sicherheitsfreigabe. Auf den um die Hälse baumelnden Plastikarten standen allerdings keine Namen. Stattdessen sah Rodney dort jedes Behördenkürzel, das ihm je untergekommen war – FBI, SS, DOD, FAA, FCC, DOJ, NSA, CIA –, und etliche, die er noch nie gesehen hatte. Dazu passte, dass sich keiner der Anwesenden in dem Raum vorstellte. Was für den Umgang der »Kabale« mit den Feds seit Beginn der Sache galt, galt auch hier: Für diese Leute flossen Informationen nur in eine Richtung, nämlich in ihre. Sie bekommen deinen Namen, du ihren aber nicht. Rodney hatte einen USB-Stick mit seiner Präsentation und einen eigenen Laptop mitgebracht, weil er wusste, dass die Regierung im Jahr zuvor die Verwendung von USB-Sticks verboten hatte – eine Vorschrift, die auf das Fiasko mit den USB-Sticks auf dem Pentagon-Parkplatz zurückging. Aber dann kam einer der Männer nach vorn, schnappte sich den Stick und stöpselte ihn in den Laptop am Lesepult ein.

Rodney lachte.

»Was ist?«, fragte der Mann.

»Ich werde gleich darauf zu sprechen kommen«, erwiderte Rodney.

Er gab eine komprimierte Version der Präsentation, die er am Morgen gehalten hatte. Während er sprach, tauschten die Beamten in dem Raum erstaunte Blicke aus, die mit Achselzucken beantwortet wurden – Haben Sie davon gewusst? Nein, ich habe noch nie davon gehört! Er erzählte ihnen, wie der Botmaster den Einsatz immer weiter erhöhte und die »Kabale« seit Monaten ausmanövrierte. Wie schon Rick knapp zwei Monate zuvor, bemühte sich auch Rodney nach Kräften, das ganze Ausmaß der Bedrohung zu schildern. Er erwähnte die Sache mit dem USB-Stick, ein Übertragungsweg, den der Wurm seit Conficker B benutzte, und erklärte, warum er vorher gelacht hatte – weil offensichtlich selbst das Heimatschutzministerium das überall verkündete Verbot ignorierte. Man hatte ihm eine Viertelstunde für seine Präsentation eingeräumt, aber eine Stunde später stand er noch immer an dem Pult, beantwortete Fragen und erklärte. Die Verblüffung und die Besorgnis der versammelten Beamten waren offenkundig. Rodney tat sein Bestes, US-CERT nicht völlig zu blamieren, aber er konnte nachvollziehen, warum Kwon dieses Briefing hatte verhindern wollen und es nun schwänzte. Die Angelegenheit war höchst peinlich. Als Rodney fertig war und den Raum verließ, folgte ihm eine kleine Gruppe.

Er fragte sie, wer sie seien.

»Ich bin von der FAA«, antwortete einer.

»Ich hoffe, ich habe Sie nicht gelangweilt«, sagte Rodney.

»Nein. Ich bin auf dem Weg zurück nach Kansas City. Wir haben hier ein Problem.«

Als Rodney in sein Büro bei Neustar zurückkehrte, fand er dort Nachrichten von den Büros mehrerer Kongressabgeordneter vor, in denen er gebeten wurde, zum Kapitol zu kommen und diesen Senator oder jenen Repräsentanten zu informieren. Er ging sofort los und kaufte sich ein zweites weißes Hemd. Diese Woche würde er gewiss noch ein paar Mal mehr gezwungen sein, sich in Schale zu werfen.

Am nächsten Tag erhielt er zwischen zwei Meetings im Congressional Office Building eine Nachricht von einem der Teilnehmer des Briefings in der FBI-Zentrale, der Nachfragen zu ein paar Details der PowerPoint-Präsentation hatte. Rodney mailte ihm einfach die gesamte Präsentation von seinem USB-Stick. Später an diesem Tag kam einer seiner Assistenten zu ihm und berichtete ihm, jemand von US-CERT habe angerufen und Fragen über Conficker gestellt. Offenbar war die Behörde aufgefordert worden, noch am selben Tag im Weißen Haus ein Briefing zu dem Wurm zu geben. Der Assistent hatte den Anrufer an Rodney verwiesen, bekam aber zur Antwort: »Es ist uns nicht gestattet, mit Mr Joffe zu sprechen.« Offenkundig hatte Rodney mit seinem großen Auftritt Kwons Unmut auf sich gezogen. Aber wenigstens hatte er nun eindeutig die Aufmerksamkeit der Feds.

»Diese Leute scheinen endlich zu kapieren, dass das hier kein Witz ist«, meinte Rodney zu seinem Assistenten.

Tags darauf wurde er gebeten, seine Präsentation vor dem Stab des Senate Select Committee on Intelligence zu halten. Da zu den Büros des Geheimdienstausschusses nur Personen mit hoher Sicherheitsfreigabe Zutritt hatten, wurde das Treffen mit Rodney in die Cafeteria des Besucherzentrums im Capital Building verlegt. Mitten am Nachmittag erwartete ihn dort ein Dutzend Ausschussmitarbeiter. Die Cafeteria war fast menschenleer. Sie sperrten einen Teil des großen Saals mit tragbaren Raumteilern ab und nahmen an einem langen Tisch Platz. Gerade als Rodney anfangen wollte, ergriff eine junge Frau das Wort.

»Nur damit Sie das wissen«, sagte sie. »Wahrscheinlich wissen wir viel mehr über Conficker als Sie. Wir haben gestern ein als geheim eingestuftes Briefing über den Wurm erhalten, und ich nehme an, dass Sie uns nicht sehr viel mehr darüber werden erzählen können.«

»Nun, das ist eine wirklich schöne Nachricht«, erwiderte Rodney mit vor Sarkasmus triefender Stimme. Inzwischen wusste er nur zu gut, wie ahnungslos das Establishment war, und die Arroganz der jungen Frau ging ihm gewaltig gegen den Strich. Er fing an, seine Unterlagen einzusammeln.

»Da Sie die Sache offenbar völlig im Griff haben«, sagte er, »sehe ich keinen Grund, warum ich hier noch mehr Ihrer kostbaren Zeit verschwenden sollte.«

Als er aufstand, erhob sich ein Chor von Protestrufen.

»Bleiben Sie«, rief jemand.

»Wir wollen hören, was Sie zu sagen haben«, sagte ein anderer.

Rodney setzte sich wieder hin. Er holte Kopien seiner Präsentation heraus, die er auf Papier von Neustar ausgedruckt hatte, und teilte sie aus. Die Frau, die den Tumult ausgelöst hatte, blätterte durch ihre Kopie und sagte: »Ja, das ist genau dieselbe Präsentation, die wir gestern bei dem geheimen Briefing im Weißen Haus gesehen haben.«

Die versammelte Runde brach in Gelächter aus, als ihnen klar wurde, dass US-CERT kurzerhand Rodneys Präsentation genommen und im Weißen Haus als eigene Arbeit ausgegeben – und obendrein noch als geheim eingestuft – hatte! Rodney konnte das später durch seine Kontaktperson im Weißen Haus bestätigen, die bei allen drei Treffen anwesend gewesen war. »Sie haben sie einfach als ihre eigene Arbeit ausgegeben«, sagte die Kontaktperson. So viel zur viel gerühmten Cyberabwehr der amerikanischen Bundesbehörden.

Was Rodney da machte, war harte Arbeit, der Versuch, die Regierung der Vereinigten Staaten, diesen gigantischen schlummernden Riesen, zu wecken und ihre immensen Ressourcen für diesen Kampf zu aktivieren. Rodney hatte Erfolg, wenigstens bis zu einem bestimmten Punkt. Am Donnerstag jener Woche leitete T. J. die Anfrage weiter, acht Mitarbeiter von US-CERT in die Mailingliste aufzunehmen.

Rodney, der gerade eine ganze Woche mühsam um Anerkennung und Aufmerksamkeit gekämpft hatte, war daher ziemlich überrascht, als ihm Kritik aus den eigenen Reihen entgegenschlug. Nicht aus der »Kabale« selbst, zumindest nicht direkt, aber die Nachricht von Rodneys Präsentationen in Washington hatte im Stamm der Geeks die Runde gemacht, nachdem jeder Agent, Beamte und Mitarbeiter seine eigenen Quellen und seine eigenen Sicherheitsleute kontaktiert und gefragt hatte: Wer ist dieser Kerl? Stimmt das, was er da erzählt? Ist dieser Conficker-Wurm wirklich so gefährlich, wie er behauptet? Und wenn ja, warum habt ihr uns nicht darüber informiert? Einige erhielten auch Antworten – ohne Zweifel auch von Leuten, die versuchten, ihren eigenen Arsch zu retten, und meinten, dieser Rodney Joffe könnte die Gefahr … unter Umständen … doch auch … ein bisschen … übertrieben haben. Immerhin hatte der Wurm bisher ja noch gar nichts gemacht. Ein paar waren so sehr hintendran, dass sie immer noch an der Theorie von einem Studentenstreich à la Morris-Wurm festhielten, die spätestens seit Conficker B überholt war. Von denen, die wirklich mit dem Wurm vertraut waren, stellte keiner diese Behauptung auf, dafür aber Leute, die nur am Rand mit der Sache befasst waren, Leute, die fürchteten, der Kerl, der da in Washington Alarm schlug, könnte den Tribe an sich in ein schlechtes Licht rücken, die Angst hatten, ihre eigene Glaubwürdigkeit könnte Schaden nehmen. Hier und da wurde kolportiert, so laut, wie Rodney die Trommel geschlagen habe, könnte er womöglich darauf aus gewesen sein, seinen Marktwert in die Höhe zu treiben.

Das war – man kann es nicht anders sagen – unverschämt. Rodney war ein Internetpionier von echtem Schrot und Korn. Im Grunde war er es gewesen, der die Verfahren entwickelt hatte, auf denen E-Marketing und E-Commerce basierten, sowie später die Technologie zur Content- und Lastverteilung, die von ISPs überall auf der Welt verwendet wurde. Ebenso wenig war er irgendein Visionär aus dem Elfenbeinturm der Wissenschaften; er war ein erfolgreicher Unternehmer. Was die Frage anging, wohin sich diese wunderbare Technologie entwickeln würde und worin ihre Stärken und Schwächen bestanden, gab es weltweit nur wenige Leute, die es mit seiner Erfahrung aufnehmen konnten, die das ganze Ding so klar sehen konnten. Wer wäre besser geeignet, den Alarm auszulösen? Wer, die Risiken abzuschätzen?

Sehr früh am Samstagmorgen und immer noch in Washington, setzte sich Rodney an den Schreibtisch und antwortete seinen Kritikern mit einer langen und leidenschaftlichen E-Mail, die er an alle Mitglieder der Mailingliste verschickte. Der Brief war eine mächtige Breitseite, ein Fanal für die Bedeutung ihrer Arbeit, eine Verteidigung seiner Bemühungen in Washington, eine Herausforderung und ein Ruf zu den Waffen. Wenn sie dieses Ding besiegen wollten, mussten sie aufhören, sich gegenseitig in den Rücken zu fallen.

Rodneys E-Mail war der Beginn eines bemerkenswerten Meinungsaustauschs:

Gentlemen,

nach dem, was ich offline an Diskussionen und Kommentaren mitbekommen habe, angesichts des Unbehagens, das einige auf dieser Liste bezüglich meiner Aktivitäten in dieser Woche bekundet haben, sehe ich mich gezwungen, das Kind beim Namen zu benennen … Das Problem mit Conficker ist nicht Conficker.

Von Anfang an haben wir in der »Kabale« uns auf die taktischen Fragen im Vorgehen gegen den Wurm konzentriert. Jeder auf seine Weise und auf Grundlage seiner eigenen Agenda. MS [Microsoft], weil das anfängliche Loch im OS [Betriebssystem] klaffte und weil die weiteren Infektionen und die Ausbreitung über Windows-Anwender erfolgten. Symantec und Kaspersky, weil der Wurm ein Bastard von einem Problem darstellt und sie Software herstellen, die solche Probleme behebt. Ich und die anderen Registry-Betreiber weil er unsere Ressourcen für C&C [Kommando und Kontrolle] missbraucht. Die Registrare, weil die C&C-Domains durch sie registriert werden. Die ISPs, weil sie für die Weiterleitung sorgen und ihre Kunden betroffen sind. Die Wissenschaftler, weil sie den Wurm sehen und analysieren. Einige von uns (euch) spielen mehrere Rollen gleichzeitig.

Aber keiner von uns hat sich je wirklich gefragt, warum die Sache so gefährlich ist. Soweit wir das wissen, ist Conficker bisher relativ harmlos. Und wie ich immer wieder auf Nachfrage zugab, als ich in Washington Klingeln putzen ging: Wir haben keine Beweise, dass er für böswillige Zwecke verwendet worden [ist] oder werden wird. Einige auf dieser Liste haben postuliert, es könnte sich nur um ein außer Kontrolle geratenes Experiment handeln oder um ein paar Codeschreiber, die beweisen wollten, dass sie gute Programmierer sind.

Ich habe in Los Angeles 20 Jahre lang als Hilfspolizist gearbeitet. Ich habe gesehen, dass es echte Verbrechen in der Welt da draußen gibt. Und dass manche Menschen schlicht böse sind (o. k., das wusste ich vorher schon, aber nur aus dem Geschichtsunterricht – auf den Straßen von LA dagegen habe ich aus erster Hand miterlebt, wie weit verbreitet das ist). Die Arbeit an einem Mordtatort zeigt einem, dass selbst ein billiger Gang Banger wirklich bösartig sein kann, wenn man ihm eine halbe Chance gibt.

Also sage ich: Verda**te Sche**e! Das hier ist kein Spiel. Ein Blick auf diese Liste sagt mir, dass jeder hier schon einmal Opfer eines DDoS geworden ist. Dass jeder schon mit Spam zu tun gehabt hat. Ich weiß, dass die meisten hier schon einmal gepwned worden sind und erlebt haben, dass ihre Tastatureingaben von einem Keylogger aufgezeichnet oder ihr Datenverkehr von einem Sniffer ausgespäht wurden. Und mindestens einer von euch ist schon einmal das Opfer einer Erpressung geworden. Also wisst ihr es besser. Ihr wisst, was ein Botnetz anstellen kann. Ein kleines Botnetz … Wir alle wissen, dass ein Botnetz in der Größe von Conficker in den falschen Händen eine verflucht tödliche Waffe ist.

Also, was glaubt ihr, wer das ist, die falschen Hände?

Man hat mir vorgeworfen, ich würde in Washington Unsinn verzapfen. Oder die Sache größer machen, als sie das tatsächlich ist. Also will ich, dass wir hier und jetzt darüber diskutieren und es ein für alle Mal klären. Wer das nicht will, kann mir gestohlen bleiben – und nimmt das Geld von seinem Arbeitgeber oder dem Steuerzahler unter Vorspielung falscher Tatsachen.

Es geht hier auch nicht um PR. Ich habe nicht ein einziges Gespräch geführt, das nicht in irgendeiner Form der Vertraulichkeit unterlag. Die Einzigen, mit denen ich mich unterhalten habe, waren Leute von der Liste, ein Regierungsbeamter, der auf die eine oder andere Weise ein Sicherheitsspezialist ist, und Abgeordnete oder Mitarbeiter mit höchster Sicherheitsfreigabe eines Kongressausschusses, in dessen Zuständigkeitsbereich die Cybersicherheit fällt. Und ich habe nicht eine einzige Information weitergegeben, ohne vorher die Quelle oder den Autor dieser Information um Erlaubnis gebeten zu haben. Punkt.

Ich habe allen Mitarbeitern [von Neustar] untersagt, Anrufe von der Presse auch nur entgegenzunehmen. Und ich habe keine Absicht, daran etwas zu ändern, bis wir als Gruppe zu dem Konsens gelangen, dass wir es tun müssen.

Zurück zur Diskussion.

Conficker hat bisher keine Schäden verursacht. Er bremst seine Hosts nicht aus. Er frisst keine Bandbreite. Und er hat bei mir ganz gewiss noch keine Lastprobleme verursacht.

Aber was, wenn er das tut?

Was passiert mit dem Netz insgesamt, wenn jeder infizierte Host an jeden anderen infizierten Host 20 KB Daten pro Sekunde verschickt, und zwar alle zur gleichen Zeit? Oder wenn er nur ein 50-KB-Webposting alle paar Sekunden an eine Mischung aus Yahoo, CNN, Google, Hotmail und andere stark vernetzte Websites schickt. Nimmt man diese netten Karten, die ihr habt, würden weltweit die meisten Netzwerke zusammenbrechen. Einige davon nur, weil sie im Weg stehen. Es ist mir egal, wer ihr seid … Auf jeden Fall aber würden alle Tier-2-Netzwerke kippen …

Was würde das der Welt antun? Nicht dem Internet. Der modernen, vernetzten Welt? … Wie viele infizierte Hosts stehen in Fortune-500-Unternehmen? Was würde es für die Volkswirtschaft bedeuten, wenn die internen Netzwerke der Fortune 500 alle eine Stunde lang ausfallen würden? Einen Tag? Eine Woche?

Jetzt frage ich euch: Angenommen, ihr wärt der Botmaster und hättet ein Botnetz mit zwei Millionen Rechnern, wie schwer würde es euch fallen, das Netz weltweit zum Stillstand zu bringen?

Seht ihr? Klar, ihr seid in euren Jobs die Besten auf der Welt. Aber ihr gehört zu den guten Jungs. Natürlich würdet ihr so etwas nie tun. Nun, was zum Teufel glaubt ihr denn, wer die sind? Glaubt ihr, dass alle Schurken dumm sind? Dass sie alle Kapitalisten sind, die das Netz brauchen, damit sie weiter Passwörter abgreifen, E-Mails lesen und auf Pornoseiten herumsurfen können?

Und wenn ihr so verdammt schlau seid, warum habt ihr dann nicht schon längst A/B ausgeschaltet? Oder C? Oder Waledac? Oder Torpig? Könnte es daran liegen, dass diese Bastarde auf der anderen Seite genauso clever sind wie ihr? Oder sogar noch cleverer? Während wir hier herumsitzen, haben die es hingekriegt, eine Million ihrer A/B-Opfer zu aktualisieren, und ihr habt noch immer keine Ahnung, wie sie das angestellt haben. Direkt vor eurer Nase! Offenbar habt ihr zwei Tage gebraucht, um es auch nur zu bemerken. Und eine Woche später hechelt ihr ihnen immer noch hinterher.

UND DABEI SEID IHR DIE BESTEN, DIE WIR HABEN!

Was passiert, wenn einer von denen morgen früh mit dem linken Fuß aufsteht? Oder nach einer Nacht, die er durchgesoffen oder -gekifft hat oder in der er bei irgendeinem Online-Game geschlagen worden ist, zu dem Schluss kommt, dass die Welt böse ist und zerstört werden muss? So wie in dem Spiel?

Wie ich bei meinem ersten hitzigen Briefing am Montagmorgen gesagt habe: Es geht nicht um Conficker. A, B oder C. Oder Storm. Oder Slammer. Oder Torpig. Es geht um alle zusammen. Um die in der Vergangenheit und die in der Zukunft. Es geht um den einen bösen Bastard, der beschließt, mit seinem Botnetz oder einem Teil davon jemanden anderen zu bestrafen. Es geht um die Tatsache, dass die Möglichkeit existiert, es für böswillige Zwecke einzusetzen. Und wir haben daneben gestanden und haben es geschehen lassen. Wir haben es versäumt, alle unsere Ressourcen zu seiner Bekämpfung zu mobilisieren. Die Leute, mit denen ich in Washington gesprochen habe, die, die unsere Gesetze und Regeln machen und über unser Leben bestimmen und die wir gewählt haben, die schwören, uns – »wir, das Volk« – zu dienen, hatten KEINE BESCHI**ENE AHNUNG, dass dieses Ding da draußen ist. Jetzt haben das wenigstens ein paar von ihnen. Wir sind darauf angewiesen, dass »die« verstehen, was los ist, weil wir darauf angewiesen sind, dass »die« uns helfen und Ressourcen zur Verfügung stellen.

Nur, dass ein paar von euch (oder eure Arbeitgeber) denen erzählen, dass es gar nicht so furchtbar ist oder so schlimm, wie ich das behaupte.

Sagt mir, dass zwischen uns und der Katastrophe nicht nur ein einziger Befehl steht. Los, wer traut sich?

Ein paar Stunden später war es der stets dickköpfige Paul Vixie in San Fransisco, der den Fehdehandschuh aufnahm. Zunächst antwortete er auf Rodneys Provokation und schloss daran eine breit gefasste und wohl überlegte Abhandlung über die Fragilität unserer im Entstehen begriffenen digitalen Welt an:

Ich nicht. Aber ich möchte ein paar Erfahrungen beisteuern, Erfahrungen, die wahrscheinlich einige andere in dieser Gemeinschaft mit mir teilen.

Diese Probleme plagen uns schon so lange, dass ich nur funktionieren kann, weil ich gelernt habe, sie zu ignorieren. Andernfalls befände ich mich in einem andauernden Zustand der Panik, unfähig, konstruktiv zu denken oder zu handeln. Wir sind schon seit so langer Zeit nur einen Befehl von der Katastrophe entfernt … Auf tausenderlei Weise bin ich mir bewusst (und auf wahrscheinlich millionenfach andere Weise nicht), dass die Welt gefährlich, zerbrechlich und interdependent geworden ist. Und dazu müssen wir gar nicht erst über Stromnetze reden oder die Nahrungsmittelversorgung in dicht bevölkerten Gebieten, wenn der Eisenbahn- und Lkw-Verkehr eine Woche lang ausfällt. UND ich bin mir auf hundertfache Weise bewusst (und auf wahrscheinlich tausendfach andere Weise nicht), dass es da draußen in der Welt moralisch inkompatible Menschen gibt, die sich Fähigkeiten und Ressourcen angeeignet haben und aneignen werden, die potenziell tödlich sind für den Way of Life der industrialisierten Welt. Dass Kriminelle und Terroristen das Internet als Instrument für die asymmetrische Kriegführung missbrauchen, ist die große Angst unserer Zeit, oder zumindest ist es meine große Angst. Aber ich lebe mit dieser Angst nun schon so lange, dass ich die Fähigkeit verloren habe, darüber in Panik zu geraten. Einen Tag nach dem anderen mache ich, was ich kann.

Ich möchte NICHT, dass IRGENDJEMAND das so interpretiert, als würde ich rjoffes grundlegenden Feststellungen und Prognosen widersprechen. Im Gegenteil, ich halte das Problem für weitaus schlimmer, als er es zeichnet. Denn ich bin nicht der Einzige, der lernen musste, wie man diese konstante Bedrohung ausblenden und sein Leben weiterleben kann. Alle von uns haben das. Eine vollständige Liste der Probleme, über die wir kollektiv ganz bewusst nicht nachdenken, um bei Verstand zu bleiben, würde wohl jedem von uns, der einen Blick darauf wirft, einen ziemlichen SCHOCK versetzen.

Wenn jetzt Leute in DC anderen Leuten in DC erzählen, dass im Internetland kein Notstand herrsche und sie alles unter Kontrolle hätten, dann liegen sie damit eindeutig falsch, aber ob sie nun ignorant und verwirrt sind oder Lügner, die nur an ihr eigenes Interesse denken, kann ich mit dem wenigen, was ich weiß, nicht beurteilen.

Wenn aber Leute in DC anderen Leuten in DC erzählen, dass die Bedrohungslage nicht dieselbe wie bei 9/11 sei, dann haben sie damit wahrscheinlich recht. Das Internet KÖNNTE morgen für mehrere Tage abstürzen, wenn irgendein Botmaster von seiner Freundin sitzen gelassen wird oder was auch immer. Und ja, es WÜRDE Leben kosten und einen ganzen Haufen Geld. Aber es gäbe keine Möglichkeit, die Sache auf dieselbe Weise zu politisieren, wie 9/11 politisiert wurde, weil nicht alle Feuerlöschzüge und Rettungswagen an ein und derselben Stelle auffahren oder im selben abendlichen Nachrichtenprogramm zu sehen wären. Von der Warte der DC-Leute aus betrachtet, steckt das Internet deshalb nicht in Schwierigkeiten, zumindest nicht gemäß der eigentümlichen Definition von »Schwierigkeiten«, die die meisten Leute dort zu verwenden haben. Und wir alle sollten sehr besorgt sein über eine Welt, die so kaputt ist.

Ich sage nicht, dass wir lernen sollten, mit dieser neuen Klasse von Bedrohung zu leben, aber ich weiß auch nicht, welche anderen Optionen wir haben. In einer freien Welt werden solche Dinge immer passieren können. Wir müssen wachsamer sein und brauchen objektivere Maßstäbe; wir müssen ein paar grundsätzliche Dinge ändern, damit die Justiz diese Kerle in jedem Land, in dem sie operieren, aufspüren, ihre Türen aufbrechen, sie in Ketten legen und ihre Computer auf Lastwagen davonkarren kann. Wir brauchen JEDE MENGE Unterstützung von der Regierung, und wir dürfen den Leuten in der Regierung AUF KEINEN FALL sagen, dass wir die Sache unter Kontrolle haben, weil wir sie absolut NICHT UNTER KONTROLLE HABEN. Wir haben sie bestenfalls unter leichter Beobachtung in der Zeit, in der jemand von uns gerade einmal nicht unterwegs ist, um sich einen Donut zu holen.

Es war eine düstere Sicht darauf, in welche Richtung die Dinge sich entwickelten, aber eine legitime. Bis zum C-Day blieben ihnen nur noch acht Tage.

Prev Next
Worm
Bowden, Worm (eBook).html
Bowden, Worm (eBook)-1.html
Bowden, Worm (eBook)-2.html
Bowden, Worm (eBook)-3.html
Bowden, Worm (eBook)-4.html
Bowden, Worm (eBook)-5.html
Bowden, Worm (eBook)-6.html
Bowden, Worm (eBook)-7.html
Bowden, Worm (eBook)-8.html
Bowden, Worm (eBook)-9.html
Bowden, Worm (eBook)-10.html
Bowden, Worm (eBook)-11.html
Bowden, Worm (eBook)-12.html
Bowden, Worm (eBook)-13.html
Bowden, Worm (eBook)-14.html
Bowden, Worm (eBook)-15.html
Bowden, Worm (eBook)-16.html
Bowden, Worm (eBook)-17.html
Bowden, Worm (eBook)-18.html
Bowden, Worm (eBook)-19.html