youbooks.top
Book menu
  1. Bowden Mark
  2. Worm
  3. Bowden, Worm (eBook)-7.html
Prev Next

4

Ein Heer von Ahnungslosen

Dass wir über Mutantenfähigkeiten verfügen, gibt uns nicht das Recht, über andere zu herrschen.

– The X-Men Chronicles

Die Idee zu einem infektiösen Computerwurm ist direkt der Science-Fiction-Literatur entnommen. Über ein Jahrzehnt vor der Geburt des Internets entwarf der britische SF-Autor John Brunner in seinem 1975 erschienenen Roman Der Schockwellenreiter das Konzept eines viralen Softwarecodes, der in andere Rechner eindringen und sie sabotieren konnte.

Zu einer Zeit, als Bill Gates eine Auszeit von Harvard nahm und zusammen mit Paul Allen »Micro-Soft« gründete, entwarf Brunner mit erstaunlicher Voraussicht eine im 21. Jahrhundert angesiedelte dystopische Welt, die zu einem globalen »Daten-Netz« verdrahtet ist und von einem tyrannischen Staat kontrolliert wird. Brunners Held, ein begabter Hacker namens Nick Haflinger, schreibt ein Programm, das er als »Bandwurm« bezeichnet. Der Wurm kann in das Daten-Netz eindringen, sich dort verbreiten und am Ende die Regierung zu Fall bringen. »Meine neueste Schöpfung – mein Meisterwerk – pflanzt sich von alleine fort«, verkündet Haflinger, der wie die Schöpfer von WikiLeaks mit seinem Wurm darauf aus ist, über das Daten-Netz in die Regierungsarchive einzudringen und Staatsgeheimnisse öffentlich zu machen. Brunner gab seiner Techno-Waffe den Namen »Bandwurm«, weil der Code wie sein reales Gegenstück aus einem Kopf mit angehängten Segmenten besteht, von denen jedes einzelne sich aus sich selbst heraus zu einem neuen Wurm entwickeln kann.

»Was ich gestern im Netz freigesetzt habe, ist der Vater und die Mutter aller Bandwürmer … es kann nicht getötet werden«, sagt Haflinger. »Es kann sich unbegrenzt selbst erhalten, solange das Netz existiert … Dennoch wird es nicht zu unendlicher Größe expandieren und das Netz für andere Anwendungen verstopfen. Es verfügt über eingebaute Schranken … Aber wie ich selbst gerne sage, es ist ein gelungenes Stück Arbeit.«

Brunners Vorstellungen über das kommende digitale Zeitalter waren geistreich, seine Vision der Zukunft aber war genau genommen ein alter Hut. Sie stand in der Tradition der von George Orwell, Aldous Huxley, Philip K. Dick und anderen SF-Autoren entworfenen Zukunftsvisionen, die in den totalitären Bewegungen des 20. Jahrhunderts die Vorboten einer düsteren Zukunft sahen, in der alle Macht in den Händen eines unterdrückerischen Staates konzentriert lag. Jeder dieser Autoren hielt die Technologie der Zukunft für ein wichtiges Instrument staatlicher Unterdrückung – bei Orwell war es das Fernsehen, bei Huxley psychotrope Drogen, bei Dick beides zusammen in Kombination mit der Biotechnologie. Bei Brunner waren es Computer, genauer gesagt Computernetzwerke. Die in Der Schockwellenreiter verarbeiteten Ideen, vor allem jene über das Zeitalter der digitalen Vernetzung, basierten weitgehend auf dem 1970 erschienenen Buch Der Zukunftsschock des Futurologen Alvin Toffler. Sie waren ihrer Zeit so weit voraus, dass Computerprogrammierer sich an Brunners »Bandwurm« erinnerten, als sie etliche Jahre später in den Forschungslaboratorien erstmals die Entwicklung echter Computerwürmer in Angriff nahmen.

Wenngleich die von Orwell, Huxley, Dick und Brunner in ihren Romanen so lebhaft gezeichneten Ängste heute noch durchaus lebendig sind und gleich mehrere eindrucksvolle und erfolgreiche Hollywoodfilme inspiriert haben, haben sie sich bislang noch nicht bewahrheitet, zumindest nicht, was Computernetzwerke angeht. Die Struktur des Internets – vielmehr sein Mangel an Struktur – steht einer zentralisierten staatlichen Kontrolle entgegen. Das Ding hat eine Milliarde Köpfe und ist nicht von oben, sondern von unten her aufgebaut. In dem Maße, wie das Internet zu einem immer wichtigeren Faktor bei weltbewegenden Ereignissen wird, tun sich Regierungen überall auf der Welt zusehends schwerer damit, Geheimnisse zu wahren und sich dem Blick der Öffentlichkeit zu entziehen. Das Daten-Netz hat sich bislang weniger als ein Instrument der Unterdrückung, sondern vielmehr als eines der Befreiung erwiesen. Und die Architekten von Würmern und Viren sind keineswegs die von Brunner ersonnenen heroischen Rebellen, die gegen staatliche Tyrannei ankämpfen, sondern Nihilisten oder ganz gewöhnliche Kriminelle.

Mitte der 1970er Jahre wurden große Computernetzwerke nur von Universitäten, Großunternehmen oder Regierungsbehörden betrieben. Viele der jungen Computerfreaks, die später das Internetzeitalter aus der Taufe heben und in einigen Fällen gewaltige Reichtümer anhäufen sollten, wurden sich des Potenzials derartiger Netzwerke erstmals bewusst, als sie sich (ob mit oder ohne Erlaubnis) Rechenzeit auf den Großrechnern ausliehen, um Spiele zu spielen oder mit ihren Qualitäten als Hacker anzugeben. Gates und Allen nutzten den Computer, der den privilegierten Schülern an der Lakeside School zur Verfügung stand, und als sie mit dem an ihre Grenzen stießen, überredeten sie die Schulleitung, ihnen Rechenzeit auf einem externen Computer zu mieten. Zugangsbeschränkungen gab es so gut wie keine, denn Rechenleistung und Vernetztheit galten zu der Zeit noch als ausschließlich segensreich, und Offenheit war ausschlaggebend für die Anziehungskraft der Bewegung.

Für die ersten Missklänge in diesem Techno-Eden sorgten technikaffine Desperados, »Cyberpunks«, die ihr intimes Wissen um Betriebssysteme zum Verüben von Streichen missbrauchten und pubertäre Slogans über die Monitore befallener Rechner laufen ließen, nicht viel anders als Graffitikünstler, die ihre Initialen an Wände sprayen. Die Attacken hatten etwas Spielerisches an sich und dienten den Hackern meist nur dazu, mit ihren Fähigkeiten zu protzen. Auch der Begriff »Hacker« war noch nicht ausschließlich negativ belegt. Die meisten von ihnen waren durchaus stolz auf diese Bezeichnung, viele hatten eine regelrechte Fangemeinde, und was sie machten, war größtenteils harmlos. Bis heute hält sich in Hollywood das Bild, das Weizenbaum vor über dreißig Jahren zeichnete, das Klischee vom vergammelten, langhaarigen Computerfreak, der in einem Kellerzimmer des elterlichen Hauses vor dem Rechner hockt und sich von Junkfood und Cola ernährt, mit seinem antisozialen Genie die Mächtigen ärgert, verbrecherische Syndikate aushebt und die »amtlichen« Experten mit links in die Tasche steckt. Diese Hacker aus der Anfangszeit symbolisierten schließlich den anarchischen Geist der Internetbewegung, das einzelkämpferische Genie, das sich im Kriegszustand mit dem Establishment befindet.

Mit der rasanten Evolution des Internets haben sich aber auch die Räuber weiterentwickelt. Die Neuartigkeit der Computernetzwerke und ihre globale Reichweite stellten und stellen die Strafverfolgungsbehörden vor völlig neuartige Probleme. In vielen Ländern stehen digitale Beutezüge im Cyberspace offiziell nicht unter Strafe, und wo das doch der Fall ist, wird ihre strafrechtliche Verfolgung oft überaus nachlässig betrieben. Cliff Stoll erzählte in Das Kuckucksei, seinem Bestseller von 1989, die Geschichte seiner hartnäckigen und praktisch im Alleingang betriebenen Suche nach einem kaum fassbaren deutschen Hacker, der sich Zugang zu Stolls Computernetzwerk am Lawrence Berkeley National Laboratory verschafft hatte und ihn als Hintertür zu den Computern des amerikanischen Verteidigungsministeriums missbrauchte. Der deutsche Hacker wurde gestellt, aber niemals angeklagt, unter anderem weil es keine eindeutigen Gesetze gegen ein solches Verhalten gab. Für viele Leute war Das Kuckucksei die Einführung in eine Welt, in der mit allen gerade noch erlaubten Mittel gekämpft wird und die auch heute noch die Computersicherheit definiert. Stolls Hacker drang nicht bis in die geheimsten Ecken des Pentagon-Computernetzwerks vor, und selbst vergleichsweise schwerwiegende Einbrüche wie der, den Stoll beschrieb, stellten weniger eine Bedrohung als vielmehr ein Ärgernis dar. In den 1990er Jahren hatte eine Gruppe von Hackern, die sich »Legion of Doom« nannte, einen guten Lauf und drang in zahlreiche Computernetzwerke ein, ohne dabei aber nennenswert Schaden anzurichten. Der Gruppe ging es vor allem darum, mit ihren Fertigkeiten zu protzen; sie gab sogar einen Newsletter heraus, in dem sie ihre Exploits öffentlich machte, und ihre Mitglieder schmückten sich mit phantasievollen, der Comicwelt entlehnten Spitznamen. Vergleichbare Hackergruppen gab es etliche, darunter die in New York beheimateten »Masters of Deception«. Einige Mitglieder dieser Gruppen wurden damals von den Bundesbehörden geschnappt und vor Gericht gestellt, was die mit derartigen digitalen Streichen einhergehenden Risiken beträchtlich erhöhte. Von dem alten Glanz ist wenig auf die heutigen Profihacker übergegangen; aus dem Spiel ist eine viel größere, auf höherem Niveau ausgetragene und vor allem bedrohlichere Sache geworden.

Die wirklichen Schwierigkeiten begannen mit den großen DDoS-Attacken in den 1990er Jahren, Angriffen, bei denen die ins Visier genommenen Websites mit einer Flut von Serviceanfragen bombardiert werden. DDoS-Attacken dienen nicht als Aushängeschild für die Kunstfertigkeit eines Hackers, ihre Ziele sind durch und durch bösartig, manchmal politischer Natur, aber häufiger von Rachelust getrieben. Solche Attacken machen sich die Offenheit des Internet zunutze, indem sie ganz einfach die Antwortkapazitäten der angegriffenen Server oder Websites überfordern. Die Organisatoren derartiger Angriffe benutzen Netzwerke gekaperter Computer, die viele Male pro Sekunde Anfrage um Anfrage verschicken, bis die betroffenen Server in die Knie gehen – angegriffen wird jede verwundbare Website, die als irgendwie anstößig wahrgenommen wird, egal, ob sie von Kreditkartengesellschaften, vom Weißen Haus, Regierungsbehörden, dem Holocaust-Museum in Washington, politischen Parteien oder Universitäten betrieben wird. Die bislang schlimmste DDoS-Attacke ereignete sich am 21. Oktober 2002, als alle dreizehn Rootserver des Internets gleichzeitig unter Beschuss genommen wurden. Das Ganze richtete sich eindeutig nicht bloß gegen einzelne Websites, sondern gegen das Internet an sich. Die Rootserver überstanden das stundenlange Bombardement, aber nur gerade eben so, und ihre Betreiber sahen sich gezwungen, umfangreiche Investitionen in redundante Speicherkapazitäten zu tätigen, die potenziell noch größere Attacken absorbieren konnten.

Der Vorfall war bedeutend – und eine ernüchternde Machtdemonstration für diejenigen, die ihm Beachtung schenkten, nämlich für die Mitglieder des Tribes, einer ebenso kleinen wie exklusiven Gruppe hochkarätiger Computerexperten. Die große Mehrheit der Internetnutzer dagegen nahm keine Notiz davon. Solange Google, YouTube und Facebook weiter funktionierten, waren alle glücklich. Zu Beginn des 21. Jahrhunderts war das Internet eine Selbstverständlichkeit. Man konnte vom Telefon darauf zugreifen, vom Auto, vom iPad. Es war allgegenwärtig, entweder durch ein WLAN oder eine Telefonverbindung. Um seine Unverwundbarkeit rankten sich Mythen. Man könne es, hieß es, nicht abschalten, weil es keinerlei zentralisierte Kontrolle und kein zentralisiertes Routing-System gebe. Und in der Tat hat diese Sichtweise einen wahren Kern. Die Art und Weise, wie im Internet Informationen weitergeleitet werden, ist völlig neuartig, ein Fortschritt gegenüber allen bisherigen Kommunikationssystemen und von seiner Struktur her deutlich stabiler.

Anders als zum Beispiel ein normaler Telefonanruf werden Informationen im Internet nicht direkt übermittelt. Telefonleitungen übertragen die elektrischen Impulse eines ausgehenden Anrufs über Drahtverbindungen auf dem kürzestmöglichen Weg zum angewählten Anschluss. Der entscheidende Unterschied zwischen dem Internet und Telefonnetzwerken oder, was das betrifft, dem Autobahnnetz, besteht darin, dass der Verkehr im Internet nicht klar definierten, vorhersagbaren Strecken folgt. Von Telefonnetzwerken und Autobahnen gibt es detaillierte Karten, und die Wege, die Anrufe oder Fahrzeuge nehmen, lassen sich immer eindeutig nachzeichnen. Eine der wichtigsten konzeptionellen Neuerungen, die den Aufbau des Internets ermöglichte, bestand in dem Verzicht auf diese Eindeutigkeit.

Das neue Konzept namens »Paketvermittlung« wurde Ende der 1960er Jahre offenbar gleichzeitig von zwei Wissenschaftlern des Kalten Kriegs ausgetüftelt: von Donald Davies am britischen National Physical Laboratory sowie dem aus Polen emigrierten Wissenschaftler Paul Baran bei der RAND Corporation in Kalifornien. Beide waren auf der Suche nach einem neuen, robusteren Kommunikationsnetzwerk. Baran hatte den Auftrag, ein System zu entwickeln, das einem Atomangriff widerstehen konnte; Davies wollte lediglich eine Verbesserung gegenüber dem bestehenden Telefonvermittlungsnetz erreichen, dürfte sich aber höchstwahrscheinlich mit den Erinnerungen an die deutschen Bombenangriffe während des Zweiten Weltkriegs irgendwo im Hinterkopf an die Aufgabe gemacht haben. Herkömmliche Telefonnetze sind auf Fernleitungen und zentrale Vermittlungsstellen angewiesen, deren Zerstörung das gesamte System lahmlegen könnte. Baran wie Davies suchten nach einem System, das derartige Schläge überleben, das nicht ausgeschaltet werden konnte. Und beiden erschien ein am Vorbild des menschlichen Gehirns orientiertes System am vielversprechendsten.

Wie die Neurologen wussten, aktivierte das Gehirn nach schweren Kopfverletzungen alternative neurale Verbindungen, die Bereiche mit beschädigten oder zerstörten Nervenzellen umgingen. In vielen Fällen erwarben Patienten Funktionen vollständig zurück, die zunächst unwiederbringlich verloren schienen. Offenkundig verfügte das Gehirn über ausreichend eingebaute Redundanz, mit der es selbst scheinbar katastrophale Schädigungen ausgleichen konnte; bei Telefonnetzen hätte es allerdings nichts gebracht, den direkten Verbindungsweg aufzugeben, da das Nachrichtensignal sich umso mehr verschlechtert, je länger es durch Leitungen und Vermittlungsstellen des Netzwerkes unterwegs ist und je häufiger es die Richtung wechselt. Bei digitalen Nachrichten dagegen, also Nachrichten, die sich aus den Nullen und Einsen des Objektcodes zusammensetzen, bleibt die Signalqualität unverändert erhalten. Egal, wie lange sie durch das Netzwerk mäandern, sie treffen beim Empfänger in sozusagen jungfräulichem Zustand ein. Der digitale Ansatz bot aber noch einen weiteren Vorteil: Wenn der Computer die Nachricht schon in lange Abfolgen von Nullen und Einsen aufteilte, warum sie dann nicht in noch kleinere Einheiten oder »Pakete« zerlegen und diese dann beim Empfänger wieder zusammensetzen? Auf diese Weise kann selbst eine so einfache Nachricht wie eine E-Mail auf Dutzenden unterschiedlichen Wegen an ihr Ziel gelangen. Statt von simpler Übertragung könnte man fast schon von Teleportation sprechen: Man zerlegt die Daten in eine Vielzahl eigenständiger Pakete, schickt diese hinaus ins Netzwerk, wo sich jedes seinen eigenen Weg sucht, und setzt sie am Endpunkt wieder in der richtigen Reihenfolge zusammen – und das alles in einer in Mikrosekunden gemessenen Zeitspanne, die vom Menschen als Echtzeit empfunden wird. Keine Verzögerung. Die Diagramme des auf dieser Basis vorgeschlagenen »paketvermittelten« Netzwerks ähnelten mehr Zeichnungen von miteinander vernetzten Gehirnzellen als einer Straßenkarte oder der graphischen Darstellung eines Telefonnetzes. Ein derartiges Netzwerk erforderte nur ein Mindestmaß an zentraler Planung, da jeder Computerknoten, der daran angeschlossen wurde, das Netz zugleich vergrößerte und stabiler machte. Vor allem aber ließ es sich nur schwer zerstören. Selbst wenn es jemandem gelingen sollte, einen großen Teil des Netzes auszuschalten, würde der Datenverkehr automatisch über die noch funktionierenden Knoten umgeleitet.

Das verlieh dem Internet eine besonders robuste Natur – ein Umstand, der die Techno-Utopisten in ihrer anarchischen Theologie noch bestärkte. Gleichwohl war es keineswegs unverwundbar, wie die massive DDoS-Attacke im Jahr 2002 demonstriert hatte. Da der gesamte Internetverkehr über mindestens einen der dreizehn Rootserver läuft, stellen sie neuralgische Punkte im System dar. Mit einem ausreichend großen Angriff wäre es zumindest theoretisch möglich, alle dreizehn Rootserver gleichzeitig zu überlasten und so das Internet gänzlich lahmzulegen. Allerdings bräuchte man für eine derartige Attacke schon einen gewaltigen Computer – oder ein sehr, sehr großes Botnetz. Bei Anbruch des neuen Jahrtausends waren Botnetze das kommende Ding …

und sie ließen sich immer einfacher aufbauen.

Zu Beginn des digitalen Zeitalters bestanden Netzwerke noch aus von Hand miteinander verdrahteten Computern, doch mit dem fortschreitenden Ausbau der Internetinfrastruktur wurde die Vernetzung zum Standard. Inzwischen sind so gut wie alle Computer an ein Netzwerk angeschlossen, und sei es nur das ihres lokalen Internetproviders. Wer sich darauf verstand, alle Computer in einem Netzwerk zur Zusammenarbeit zu bringen, konnte sich im Grunde also einen eigenen Supercomputer zusammenbasteln. Es gab sogar eine kaum geschützte Infrastruktur, über die sich das bewerkstelligen ließ. Techies nutzen seit langem IRC-Kanäle (Internet Relay Chat), um in Echtzeit mit Kollegen rund um die Welt zu kommunizieren. IRC bot eine Plattform für die globale Kommunikation, die von einem Punkt aus kontrolliert wurde, dem Manager des Chat-Kanals, und ermöglichte Open-End-Diskussionen über Fachthemen und Laborprojekte oder Telefonkonferenzen, lange bevor entsprechende Desktop-Anwendungen allgemein verfügbar wurden. Die Mitglieder einer Chat-Gruppe konnten über den Kanal direkt und privat miteinander kommunizieren, aber auch Nachrichten an alle Teilnehmer des Chat-Netzwerkes verschicken. Einige der ersten freundlichen »Bots« wurden von IRC-Betreibern eingerichtet, um Diskussionen automatisch zu überwachen und zu verwalten. Das Prinzip war nicht völlig neu. Schon seit langem schrieben Netzwerkbetreiber Programme, um Routineaufgaben in ihren Netzwerken zu automatisieren. Diese ersten Bots waren hilfreich und harmlos. Ende der 1970er Jahre programmierte in Massachusetts der ARPANET-Entwickler Bob Thomas einen Wurm, den er auf den Namen »Creeper« taufte und der auf den Monitoren der befallenen Rechner die Textzeile »I’m the Creeper, catch me if you can!« aufleuchten ließ. Dabei war Creeper mehr Frosch als Wurm. Er hüpfte sozusagen von Rechner zu Rechner und löschte sich selbst, sobald er zum nächsten gesprungen war. Thomas hatte ihn nur geschaffen, um ein bisschen anzugeben und die Leute zum Lachen zu bringen.

Aber selbst die, die wohlmeinende Absichten verfolgen, spielen nicht immer fair. Es kam vor, dass Chatroom-Mitglieder diese Kanäle übernahmen und sich quasi als alternative Betreiber installierten. Ein sehr wirksames Mittel zur feindlichen Übernahme eines IRC-Kanals (was im Endeffekt auf den Aufbau eines Botnetzes hinauslief) bestand darin, die einzelnen Computernutzer mit einem Wurm zu umgehen, der alle angeschlossenen Rechner infizierte. Der Autor streute seinen Code im Netzwerk aus und verlinkte die Rechner mit seinem eigenen. Der offizielle Betreiber des Kanals bekam noch nicht einmal mit, dass sein Netzwerk gekapert worden war. Der Usurpator konnte mit der geballten Kraft des Netzwerks nun zum Beispiel DDoS-Attacken auf beliebige ihm missfällige Websites inszenieren. Oder er konnte sich frei innerhalb des Netzwerks bewegen, auf alle möglichen Informationen auf den angeschlossenen Rechnern zugreifen, die Nutzer ausspionieren oder eigene Befehle erteilen. Mit anderen Worten, es war ein Instrument wie geschaffen für ruchlose Zwecke.

Am 4. November 1988, vier Tage bevor die amerikanischen Bürger den amtierenden Vizepräsidenten George H. W. Bush vor seinem Herausforderer Michael Dukakis aus Massachusetts ins Weiße Haus wählten, stand in der New York Times folgende Schlagzeile zu lesen:

»Virus« legt landesweit Militärcomputer lahm

Der Autor des Artikels, John Markoff, schrieb:

Bei einem Einbruch, der Fragen hinsichtlich der Anfälligkeit der Computer im Land aufwirft, hat ein offenbar von einem Informatikstudenten eingeschleustes »Virus«-Programm am Mittwoch ein Computernetzwerk des Verteidigungsministeriums lahmgelegt …

Am gestrigen Spätnachmittag bezeichneten Computerexperten das Virus als die bislang schwerste Attacke auf die Computer des Landes.

»Der entscheidende Punkt ist, dass ein vergleichsweise gutartiges Softwareprogramm unsere Computergemeinde in die Knie zwingen und sie eine ganze Zeit lang in der Position halten kann«, erklärte Chuck Cole, stellvertretender Leiter der Abteilung für Computersicherheit am Lawrence Livermore Laboratory im kalifornischen Livermore, die mit zu den von dem Einbruch betroffenen Einrichtungen gehört. »Die Kosten dürften immens ausfallen.«

Wer zu Verschwörungstheorien neigte, dürfte mit besonderem Interesse vernommen haben, dass der Schöpfer des »Virus«, ein 23 Jahre alter Informatikdoktorand der Cornell University namens Robert Tappan Morris, der Sohn des leitenden Wissenschaftlers am National Computer Security Center war, einer Abteilung der National Security Agency. Morris junior war mit Computern aufgewachsen und wie die meisten Mitglieder der Hackergemeinde bestens vertraut mit Netzwerken und den Vorkehrungen zu ihrem Schutz (wie sie zu der Zeit üblich waren, was in den meisten Fällen bedeutete, dass es gar keine gab). Nach allem, was man weiß, tüftelte er den Wurm im Alleingang aus. Laut Markoffs Bericht hatte Morris’ Wurm landesweit Computernetzwerke zum Absturz gebracht – Netzwerke, die zu der Zeit noch hauptsächlich vom Militär, großen Konzernen und Universitäten betrieben wurden. Cliff Stoll, der Autor von Das Kuckucksei, der damals als Experte für Computersicherheit an der Harvard University tätig war, sagte gegenüber der Zeitung: »Im Moment gibt es nicht einen Systemmanager, der sich nicht die Haare raufen würde. Das Virus bereitet uns enorme Kopfschmerzen.«

Die Systemmanager waren natürlich stinksauer, aber sie waren auch beeindruckt. Mehr als nur ein Programmierer beschrieb Morris’ Wurm als »elegant«. Er bestand aus lediglich 99 Codezeilen und beherrschte mehrere clevere Methoden, sich in Computer einzuschleichen, unter anderem, indem er einen Pufferüberlauf (Sie erinnern sich, oder?) in einer File-Sharing-Anwendung des ARPANET verursachte. Morris, der seinen Wurm über eine IP-Adresse der Harvard University ins Netz schickte, um seine Spuren in Cornell zu verwischen, ging davon aus, dass der Wurm in den von ihm befallenen Rechnern nicht würde aufgespürt werden können. So clever der Wurm aber auch war, er wies einen fatalen Fehler auf. Um zu verhindern, dass er von einem befallenen Netzwerk gelöscht werden konnte, war der Code darauf ausgelegt, sich permanent zu vervielfältigen, was zu Morris’ Entsetzen dazu führte, dass die Sache völlig außer Kontrolle geriet. Als er erkannte, dass der Wurm sozusagen Amok lief, versuchte er nach eigenem Bekunden Instruktionen zu seiner Löschung zu versenden. Dummerweise aber waren die Netzwerke so sehr mit dem vom Wurm verursachten Datenverkehr verstopft, dass er die Instruktionen nicht verschicken konnte.

Nachdem der Wurm außer Kontrolle geraten war, versuchte Morris erst gar nicht, die Verantwortung dafür abzustreiten. Später wurde er unter dem erst 1986 verabschiedeten Computer Fraud and Abuse Act zu drei Jahren Gefängnis auf Bewährung, einem Bußgeld von 10 000 US-Dollar und 400 Stunden gemeinnützigem Arbeitsdienst verurteilt. Eine vielleicht länger nachwirkende Strafe ist der Ruf, der ihm ein Leben lang anhaften dürfte, sein Quasi-Heldenstatus in den Reihen derer, die Cybervandalismus bewundern. Morris, der heute Professor am MIT ist, beharrt darauf, dass er lediglich insgeheim Computer infizieren wollte, um sie zu zählen. Das Gericht vertrat damals allerdings die Auffassung, dass er den Wurm darauf programmiert hatte, gezielt Computer zu »attackieren«, die von Sun Microsystems und Digital Equipment Corporation betrieben wurden, zweien der am härtesten getroffenen Unternehmen.

Bis zu Morris’ Coup hatten manche in der Computertechnikgemeinde Viren generell als bösartig, Würmer dagegen als gutartig klassifiziert. Morris hatte nun, absichtlich oder nicht, das destruktive Potenzial von Würmern demonstriert. »Der Vorfall war überfällig und geschah uns ganz recht«, meinte Geoffrey Goodfellow, Präsident von Anterior Technology Inc., gegenüber Markoff. »Wir haben das gebraucht, um wieder zur Vernunft zu kommen. Wir haben viel zu wenig Wert auf unsere Absicherung gelegt.« Eine Klage, die zusehends häufiger angestimmt wurde … und die wir immer wieder zu hören bekommen sollten.

In den 1990er Jahren, in denen das Internet mehr und mehr Gestalt annahm und PCs zu einem ebenso alltäglichen Einrichtungsgegenstand wie Fernseher wurden, schlug Schadsoftware vor allem aus dem boomenden E-Mail-Verkehr Kapital. Nachdem die Malware-Programmierer gelernt hatten, Computer zu knacken und Programme über Netzwerke zu verbreiten, suchten sie nach neuen Herausforderungen, an denen sie ihr Können demonstrieren konnten; nun ging es darum, Schadprogramme zu schreiben, die tatsächlich etwas bewirkten. Die Tatsache, dass Computer immer einfacher zu bedienen und immer stärker vernetzt waren, ermöglichte zwar viele wunderbare neue Dinge, schuf aber auch ein ganzes Heer von Ahnungslosen. Würmer und Viren nutzten die Naivität der neuen Computernutzer aus, die scharenweise auf »trojanische Pferde« hereinfielen, in der Regel ungefragt zugeschickte E-Mails, die sie dazu verleiteten, angehängte Dateien zu öffnen. Eines der schlimmsten davon war das Melissa-Virus, so benannt nach einer von seinem Schöpfer David L. Smith angehimmelten Stripteasetänzerin gleichen Namens. Das Virus wurde unabsichtlich von einer pornographischen Website aus freigesetzt und sollte eigentlich einschlägige Bilder versenden. Das Virus kam angehängt an ein Microsoft-Word-Dokument und machte sich, sobald es heruntergeladen war, daran, die E-Mail-Adressen des Opfers nach neuen Kontakten zu durchsuchen und sich selbstständig an sie zu versenden. Binnen kürzester Zeit verstopfte Melissa weltweit Netzwerke. Smith wurde verhaftet und zu 20 Monaten Gefängnis und einer Geldbuße von 5000 US-Dollar verurteilt.

Der Trick mit dem E-Mail-Anhang wird auch heute noch benutzt, hatte seinen Höhepunkt aber nach der Jahrtausendwende mit dem »I Love You«-Virus, das sich in einer E-Mail mit dem verlockenden Betreff »I Love You« verschickte, in der der Empfänger aufgefordert wurde, die angehängte Botschaft von einem unbekannten Bewunderer zu öffnen. Das Virus machte sich die Neugier, Einsamkeit und Eitelkeit der Leute zunutze, und einmal auf einen Computer heruntergeladen, machte es sich wie Melissa daran, E-Mail-Dateien nach neuen Zielen zu durchforsten. Eigentlich sollte der von zwei philippinischen Informatikstudenten geschriebene Virus die persönlichen Ordner der Opfer nach Passwörtern ausspähen. Da ihm das nicht gelang, muss man es eher unter der Kategorie mutwillige Sachbeschädigung als unter Diebstahl verbuchen. Dennoch, das Virus infizierte an einem einzigen Tag bis zu 50 Millionen Computer und richtete weltweit einen geschätzten Gesamtschaden von 5,5 Milliarden US-Dollar an. Wie die Schadsoftware der kommenden Jahre nutzte das »I Love You«-Virus eine bekannte Sicherheitsanfälligkeit im Microsoft-Betriebssystem aus. Dieser Angriff war es, der den Softwareriesen dazu brachte, endlich Ernst mit dem Schutz seiner Programme zu machen, und wie der Zufall es wollte, erfolgte er genau zu dem Zeitpunkt, als Microsoft T. J. Campana einstellte. Der Erfolg der E-Mail-Viren veranlasste auch viele Computeranwender zu mehr Vorsicht im Umgang mit ungefragt zugeschickten E-Mail-Anhängen und legte den Grundstein für die lukrative Antivirenindustrie.

Melissa und I Love You bereiteten die Bühne für die, wie Phil Porras dazu sagt, »Ära der massiven Würmer«. Natürlich gab es auch weiterhin sehr erfolgreiche E-Mail-Viren, nicht zuletzt das nach der Tennisspielerin Anna Kournikova benannte Virus, welches Computernutzer mit der Aussicht auf ein Bild der hübschen Russin dazu verleitete, die angehängte Datei zu öffnen, aber schärfere Sicherheitsmaßnahmen und vorsichtigere User erforderten immer aufwändigere Täuschungsmanöver.

Würmer sind, anders als Viren, nicht auf menschliche Mithilfe angewiesen. Einer der ersten großen Würmer war Code Red, der am 13. Juli 2001 auftauchte und so genannt wurde, weil die IT-Experten, die ihn entdeckten, eine Limonade mit diesem Namen bevorzugten. Indem Code Red lange Abfolgen des Buchstabens N in den Puffer schrieb, verursachte er einen Pufferüberlauf im Windows-Betriebssystem und konnte auf diese Weise das Speicherprogramm übernehmen. Auf infizierten Websites erschien die triumphierende Botschaft »HELLO! Welcome to http://www.WORM.com! Hacked by Chinese!«. Binnen kurzer Zeit breitete sich der Wurm so weit aus, dass der Ausdruck »Hacked by Chinese!« Eingang in den Computerslang fand und von siegreichen Online-Gamern zur Schmähung unterlegener Gegner übernommen wurde. Der Autor von Code Red wurde nie gefasst, aber die meisten Spuren deuteten erneut auf die Philippinen. Insgesamt soll der Wurm 359 000 Computer befallen haben.

Auf Code Red folgte eine ganze Phalanx neuer Würmer – Slammer, Blaster, Nimda, Sasser und weitere –, die zunehmend von Microsoft bereits per Sicherheitsupdate geflickte Schwachstellen ins Visier nahmen. Die Ära der massiven Würmer ging allerdings zu Ende, als der Softwarekonzern 2004 das Windows Service Pack 2 veröffentlichte und damit sein Betriebssystem sicherer als je zuvor machte. Das Service Pack 2 markierte das Ende der naiven Frühzeit des Internets, die geprägt war von dem unbeschwerten Glauben daran, der freie Austausch von Informationen würde die Welt retten. Dieser Glaube hat zwar nach wie vor glühende Anhänger – man denke nur an WikiLeaks –, aber spätestens 2004 hatte der durchschnittliche Computernutzer seine Lektion gelernt, und Microsoft hatte endlich die Schlangen in seinem Garten bemerkt. War Windows anfangs strikt auf Gastfreundlichkeit ausgerichtet und hatte freudig jedes Datenpaket geöffnet, das an seine Tür klopfte, galt ab Service Pack 2 alles, was von außen kam, potenziell als Gefahr.

Aber nicht nur die legale Computerwelt lernte dazu, auch der digitale Untergrund rüstete auf. Im ersten Jahrzehnt des 21. Jahrhunderts durchlief die Welt der Schadsoftware eine Art Kambrischer Explosion, eine Zeit in der evolutionären Geschichte, die vom massenhaften Auftreten neuer Arten geprägt war. Entscheidend dafür war die Neuausrichtung der Schadsoftware vom Vandalismus hin zur Profiterzeugung. Bis zu diesem Zeitpunkt waren die Übeltäter, die aus eigenem Unvermögen oder schlichtem Pech heraus geschnappt wurden, ausnahmslos das, was Sicherheitsexperten heutzutage als »Skriptkiddies« bezeichnen, Amateure, die sich von anderen geschriebene Software ausliehen und versuchten, sie für ihre eigenen Zwecke einzusetzen. Sie hatten sich Schadprogramme angeeignet, die sich ausbreiten und irgendwelche albernen Dinge anstellen konnten. Aber der Verwendung dieser Schnellvermehrer für »nützliche« Zwecke, insbesondere dafür, Geld zu machen, standen noch hohe Hürden entgegen.

Der nächste Schritt war vorhersehbar. Profitstreben ist ein universeller Innovationstreiber. Auf einer Schadsoftwarekonferenz in Washington D. C. im Oktober 2003 warnten Stuart E. Schecter und Michael D. Smith, Professoren an der Harvard School of Engineering and Applied Sciences, die Zeit sei reif für eine »neue Klasse« von Schadprogrammen, eine, die sie als »Access-for-sale-Wurm« bezeichneten.

»Ein Access-for-sale-Wurm … [erlaubt] einem Einzelnen, eine große Anzahl von Systemen zu kontrollieren und den Zugang zu den einzelnen Systemen an den jeweils Höchstbietenden zu verkaufen«, schrieben sie. »[Er] ermöglicht den Schwarzhüten, ihre Fähigkeiten zu vereinen, die Risiken zu verteilen und die von ihnen abgegriffene Beute zu maximieren«, wobei sich Beute auf Kreditkarteninformationen oder das Geld bezieht, das potenziell von Bankkonten abgezogen werden kann. Darüber hinaus, so prophezeiten Schecter und Smith, würden diese Würmer die Tür, durch die sie in ein System eindringen, hinter sich schließen und die Schwachstelle reparieren, »um so Nachahmern den Zugang zum System zu verwehren«. Sie würden eine »Hintertür« im System öffnen, die dem Botnetz-Betreiber privilegierten Zugang zu dem infizierten System gewährt, und Angaben über die Art, den Wert und die spezifischen Schwachstellen des gekaperten Systems an ihn versenden. Stünde ein solches Botnetz erst einmal, ließe es sich mit Hilfe allgemein bekannter öffentlicher Verschlüsselungsverfahren kontrollieren. Solange der Autor des Wurms die direkte Kommunikation auf gelegentliche Updates beschränkte, könnte er als Mittelsmann agieren und dem eigentlichen Dieb ein Werkzeug für seine Raubzüge zur Verfügung stellen, ohne selbst ein Risiko einzugehen. Die »Kunden« könnten infizierte Netzwerke nach Anfälligkeit für ihre speziellen kriminellen Absichten auswählen und vor der Anmietung der Plattform sogar Testläufe durchspielen. Ein solcher Ansatz würde die Reichweite einer massiven Wurminfektion mit den Kontrollmöglichkeiten eines kleinen, gezielten Hackerangriffs kombinieren.

»Kaum einer der heute veröffentlichten Würmer wird mit dem Ziel verfasst, seinem Autor finanzielle Vorteile zu erschließen«, schrieben Schecter und Smith. »Für Angreifer, die ein bestimmtes System im Visier haben, ist es weitaus effektiver, es direkt oder mit Hilfe eines trojanischen Pferds zu attackieren, als darauf zu warten, bis es von einem Virus oder Wurm infiziert wird. Versucht der Autor eines Wurms, die Ausbreitung seiner Schöpfung in einem Netzwerk nachzuverfolgen, läuft er Gefahr, durch eine Analyse des Datenverkehrs aufgespürt zu werden. Selbst wenn es ihm gelingt, die Ausbreitung des Wurms nachzuverfolgen, weiß er noch nichts über den Wert der Systeme, zu denen er nun Zugang hat. Diese Probleme kümmern den Autor eines Access-for-Sale-Wurms nicht, da er weder die infizierten Systeme analysieren noch wissen muss, wie man aus einem gezielten Angriff auf sie am besten Kapital schlägt. Stattdessen stellt er anderen die Fähigkeit zur Verfügung, heimlich herauszufinden, ob Rechner infiziert sind, und bietet ihnen dann an, den Zugang zu diesen Systemen von ihm zu erwerben. Mit dem Verkauf dieser Zugangsmöglichkeit überträgt der Verkäufer zugleich die mit derartigen Einbrüchen einhergehenden Risiken an den Käufer.«

Und genau so kam es. Das organisierte Verbrechen und Nationalstaaten nahmen sich nun der Sache an. Eine neue Industrie entstand, hauptsächlich in Asien und Osteuropa, sozusagen eine Nemesis der im Entstehen begriffenen IT-Sicherheitsindustrie – eine Entwicklung, die die Techno-Utopisten völlig kalt erwischte. Für jeden AV-Anbieter wie Symantec gab es nun ein dunkles Pendant, ein auf Ausbeutung geeichtes »Anti-Symantec« in der Bizarro-Welt, besetzt mit ebenbürtigen Experten und so profitabel, dass es selbst Forschung und Entwicklung betreiben konnte. Heute kann jeder das große Geld machen, der sich darauf versteht, heimlich in Computernetzwerke einzudringen oder ein sicheres Botnetz aufzubauen, und kein modernes Militärarsenal wäre ohne Schadsoftware auf dem neusten Entwicklungsstand komplett.

Der Wurm, dem zugeschrieben – oder vorgeworfen – wird, das Spiel aus dem Bereich des groben Unfugs in den der Profiterzielung katapultiert zu haben, heißt Bagle, tauchte erstmals 2004 als E-Mail-Anhang auf und ist auch heute noch überaus vital. Bagle zimmerte aus rund 200 000 Computern ein Botnetz zusammen, das nach wie vor Tag für Tag rund 5,7 Milliarden Spam-Mails verschickt. Das Innovative an Bagle war, dass er eine Hintertür im Microsoft Transmission Control Protocol öffnete, dem Übertragungssteuerungsprotokoll von Microsoft, das eine der grundlegendsten Funktionen des Betriebssystems darstellt und den Datenaustausch reguliert. Eine Hintertür ist eine Methode zur Datenübertragung, die die Firewall des Computers umgeht, indem der infizierte Computer dazu gebracht wird, den Eindringling quasi einzuladen. Darüber hinaus kann der Botnetz-Betreiber durch eine solche Hintertür sämtliche auf dem Host-Computer gespeicherten Daten abziehen. Bagle blockierte zudem die Kommunikation mit Antivirenseiten, wodurch infizierte Rechner weder gesäubert werden noch Sicherheitsupdates empfangen konnten, und servierte seinen Feinden im Text des Codes ein großspuriges Gedicht: »Seid gegrüßt, ihr Antivirenhersteller«.

In einer schwierigen Welt

In einer namenlosen Zeit

Will ich überleben

Und so werdet ihr mein!!

Das Gedicht war sogar signiert:

Bagle-Autor

29.04.04

Deutschland

Wie eine Übergangsspezies auf dem Baum der Evolution war Bagle einerseits noch von einem gewissen traditionellen Hackergeist geprägt, schuf andererseits aber eine robuste Plattform, die vor allem einem Zweck diente: dem Geldverdienen. Weil Bagle auf jedem Bot die Kontaktlisten plünderte und eine Art Spam-Schneeballsystem aufbaute, konnten mit ihm sehr schnell massenhaft Werbeangebote für betrügerische Dienstleistungen oder Produkte in Umlauf gebracht werden. Die Anzeigen, die sich auf den Bildschirmen der angeschriebenen Computernutzer öffneten oder die in ihren Posteingängen landeten, kamen zwar unaufgefordert, stammten aber von bekannten Absendern. Obwohl nur ein kleiner Teil der immer vorsichtigeren User naiv genug war, tatsächlich Geld zu überweisen, summiert sich bei 5,7 Milliarden Botschaften selbst ein minimaler Anteil zu einem ganz beträchtlichen Gewinn. Im Jahr 2007 baute ein E-Mail-Trojaner namens Storm ein Botnetz auf, das leicht drei Mal größer war als das von Bagle, womöglich aber auch noch weit größer. Die Betreffzeile der eingehenden E-Mail lockte europäische Computernutzer mit Informationen über einen gewaltigen Sturm, der auf den Kontinent zusteuerte, daher der Name. Der oder die Verfasser, die bis heute nicht identifiziert sind, haben zur Abwehr der Weißhüte im Laufe der Jahre mit mehreren Anpassungen den Selbstschutz ihres Botnetzes verbessert und es geschafft, ein stabiles, Spam-Mails erzeugendes Monster am Leben zu erhalten. Im Jahr nach Storm betrat auch Torpig die Szene, ein höchst raffinierter Trojaner, der von schätzungsweise einer halben Million Computer Bankkonto- und Kreditkarteninformationen stahl.

Botnetze waren nun ein Geschäftsmodell.

Mit der Aussicht auf richtig viel Geld tauchten immer mehr neue Schadsoftwarevarianten auf. Heute tummeln sich in der Taxonomie digitaler Räuber unzählige Spezies. In manchen Ländern Osteuropas und Asiens werden Schadsoftwarebausätze, aus denen Skriptkiddies Exploits (wie denjenigen, der Conficker vorwegnahm) zusammenbasteln, ebenso offen kommerziell vertrieben wie Antivirensoftware im Westen, inklusive Kundendienst und regelmäßigen Updates, die den Kunden helfen, mit den Zügen der Weißhüte Schritt zu halten. Die heutigen digitalen Viren bedienen sich aus einer Kiste voller Tricks, die in den letzten zehn Jahren laufend perfektioniert worden sind, und bauen auf diesem Fundament auf. Jede neue Linie, die auftaucht, hat ihre ganz eigenen Vorläufer. Conficker vereint in sich Elemente aus zwei evolutionären Entwicklungspfaden: dem der Würmer und dem der Botnetze.

Seine Wurmeigenschaften stammen von zwei der berühmtesten frühen Vertretern der Art: Sircam (2001) und Blaster (2003). Sircam kam auf konventionelle Weise ins Haus, angehängt an eine E-Mail mit der Begrüßung »Hi, how are you?« in der Betreffzeile. Aber dann tat er etwas Neuartiges. Er kam als trojanisches Pferd, doch kaum hatte er sich im Betriebssystem eingenistet, mutierte er zum Wurm und missbrauchte die Datenübertragungsanwendungen seines Wirts zur Weiterverbreitung. Sircam holte sich ein Dokument aus den Ordnern des Host-Computers und verschickte es an andere Computer in dem Netzwerk. Die dort eingehende E-Mail kam also von einem bekannten Absender und lockte den Empfänger mit Sätzen wie »I send you this file in order to have your advice«, »I hope you like the file I send you« oder anderen, ähnlich unbeholfen formulierten Ködern – Englisch war eindeutig nicht die Muttersprache des Sircam-Autors. Die weitergeleiteten Dateien wurden nach dem Zufallsprinzip aus auf dem Computer gespeicherten Dateien ausgewählt, was gelegentlich zu peinlichen Situationen führte, wenn vertrauliche Dateien an Leute verschickt wurden, die diese nie hätten sehen sollen. Auch wenn das für den Großteil des Ungemachs verantwortlich war, das Sircam verursachte, sein innovativster Beitrag war etwas anderes.

Der Wurm kannte sich mit Windows gut genug aus, um in den Kern des Betriebssystems einzudringen. Dort übernahm er die Kontrolle über die Filesharing-Anwendungen des Rechners, aktivierte sein E-Mail-Programm und vervielfältigte sich, indem er sich direkt in andere Computer in dem Netzwerk übertrug. Genau das war später auch ein zentrales Charakteristikum von Conficker.

Blaster oder, wie er auch genannt wurde, LOVESAN, war ein reinrassigerer Wurm. Wie Conficker wurde er durch Reverse Engineering, also durch die Nachkonstruktion eines von Microsoft veröffentlichten Sicherheitsupdates erzeugt und nutzte einen Pufferüberlauf aus. Im Gegensatz zu seinem listigeren Abkömmling jedoch kündigte Blaster sich an. Eingebettet in seinen Code waren zwei Botschaften. Die eine lautete »LOVE YOU SAN!!«. Die andere richtete sich an Bill Gates und war ein Ausdruck des weit verbreiteten Widerwillens in der Programmiererszene gegen die zunehmende Beherrschung des Softwaremarkts durch Microsoft. Sie lautete: »billy gates why do you make this possible? Stop making money and fix your software.« (Billy Gates, warum lässt du so etwas zu? Hör auf, Geld zu scheffeln, und bring deine Software in Ordnung.) Außerdem war er darauf programmiert, eine große DDoS-Attacke auf den Konzern auszuführen, was unter anderem aber deswegen fehlschlug, weil die Attacke auf die falsche Website zielte und umgeleitet werden musste, was Microsoft die Möglichkeit gab, das Ziel abzuschalten. Trotzdem summierten sich die Schäden, die Blaster weltweit an Computernetzwerken verursachte, auf schätzungsweise 500 Millionen US-Dollar. Die kreativste Neuerung des Wurms war seine Fähigkeit, andere an das Netzwerk des Host-Rechners angeschlossene Computer auf ihre Verwundbarkeit hin zu scannen. Dieser Trick, mit dem sich Blaster weitaus effizienter als andere Würmer weiterverbreiten konnte, fand ebenfalls Eingang in das Waffenarsenal von Conficker.

Einige der Innovationen, auf die Hassen Saidi bei Conficker stieß, verwiesen zurück auf drei frühe Botnetze. Der Sinit-Trojaner von 2003 war zwar keine besonders effektive Schadsoftware, aber er war der Erste, der zur Kommunikation mit dem Botmaster Verschlüsselungsverfahren einsetzte. Das war bezeichnend. Es verriet nicht nur, wie konkurrenzorientiert es im Bereich der Cyberkriminalität inzwischen zuging, es bestätigte auch Schecters und Smiths Vorhersagen. Seine Entwickler wollten Sinit nicht nur vor den Weißhüten schützen – zu der Zeit gab es nicht so viele IT-Sicherheitsexperten, die Jagd auf Schadprogramme machten –, sondern auch vor rivalisierenden Kriminellen. Der Code des Trojaners enthielt eine IP-Adresse, von der sich der infizierte Rechner Instruktionen holen sollte. Mit dieser IP-Adresse könnte jeder Schwarzhut das Botnetz kontrollieren – und jeder Weißhut könnte es zerschlagen oder zur weiteren Analyse übernehmen. Die infizierten Rechner in einem Botnetz zu zählen war inzwischen erheblich schwieriger geworden. Aber wenn die Weißhüte es unter ihre Kontrolle bringen konnten, waren sie in der Lage, das Netzwerk auszuforschen und dafür zu sorgen, dass alle infizierten Rechner vom Netz genommen wurden. Die bei Sinit eingesetzte Verschlüsselung war der erste Versuch, ein Botnetz quasi mit einem Schloss zu versehen. Und wie wir gesehen haben, spielte die Verschlüsselung auch bei Conficker eine zentrale Rolle.

Der 2005 aufgetauchte Trojaner StartPage stellte zwar nur eine geringe Bedrohung dar, war aber der Erste, der nachprüfte, auf welche Sprache die Tastatur des Computers eingestellt war.

Die letzte und wichtigste Innovation, die Conficker übernahm (und verbesserte), fand erstmals bei einem Botnetz namens Bobax im Jahr 2004 Verwendung und markierte einen taktischen Fortschritt gegenüber Sinit und anderen Botnetzen: Bobax versuchte, den Standort seiner Kommandozentrale zu verbergen. Inzwischen konnten Sicherheitsexperten Botnetze relativ problemlos ausschalten, wenn diese über einen IRC-Kanal kommunizierten. Solche Botnetze hatten nur ein Kommandozentrum, und machte man dieses ausfindig, konnte man das Netz gleichsam enthaupten, eine Kunst, die die Weißhüte immer besser beherrschten. Also verfielen die Schwarzhüte auf eine Reihe neuer Strategien – unter anderem bedienten sie sich statt eines IRC-Kanals eines Domainnamens im Internet. Webverkehr lässt sich nur sehr schwer abschalten. Die Leitstellen der Botnetze verwandelten sich in bewegliche Ziele, wanderten in Windeseile von einer Domain zur nächsten und versteckten sich in der immensen Datenflut des Internetverkehrs. Bobax erzeugte in regelmäßigen Abständen eine Zufallsliste mit Domainnamen, ein Kniff, der sich, wie wir noch sehen werden, als die heimtückischste Eigenart von Conficker erweisen sollte.

Diese Taktik, den Botnetz-Betreiber hinter einer laufend wechselnden Liste von Domainnamen zu verstecken, kam auch bei einem sehr erfolgreichen trojanischen Pferd namens Srizbi zum Einsatz, das im Juni 2007 auftauchte. Der Trojaner, dessen Ursprung in Estland vermutet wird, befiel Computer, indem er sich als Antivirensoftware ausgab. Srizbi breitete sich bis 2008 rasch aus und baute eines der größten Botnetze aller Zeiten auf, eines, das an manchen Tagen für bis zu drei Viertel der weltweit verschickten Spam-Mails verantwortlich war. Mitarbeiter der IT-Sicherheitsfirma Fire-Eye konnten in Zusammenarbeit mit anderen Experten, die später auch eine zentrale Rolle beim Kampf gegen Conficker spielen sollten, das Botnetz kurzzeitig unter ihre Kontrolle bekommen, als sie mit Hilfe seines Algorithmus zur Erzeugung von Domainnamen eine Liste aller künftigen Kontaktpunkte erstellten, diese aufkauften und aus dem Verkehr zogen. 2008 hatten sie das Botnetz praktisch schon eingedämmt, doch dann übersahen sie einen der möglichen Domainnamen, und das genügte dem Schöpfer von Srizbi, um die Kontrolle wieder an sich zu reißen. Allerdings erlitt Srizbi noch im selben Jahr, kurz bevor Conficker auf der Bildfläche erschien, einen schweren Rückschlag, als die amerikanische Bundespolizei eine Razzia bei einem berüchtigten kalifornischen Internetprovider durchführte, der als sein Host fungiert hatte.

Bei seinem Debüt am 20. November 2008 stand Conficker also auf den Schultern von zwei Jahrzehnten Forschung und Entwicklung, Versuch und Irrtum. Der Wurm war wie alles in der Natur ein Produkt der Evolution – mit dem Unterschied, dass er nicht durch Gene aufgebaut wurde, sondern durch »Meme«, ein Konzept, das der britische Wissenschaftler und Polemiker Richard Dawkins in seinem im Original 1976 erschienenen Buch Das egoistische Gen eingeführt hatte. Meme sind Gedankeneinheiten, eigenständige Ideen, die laut Dawkins in der kulturellen Evolution dieselbe Rolle spielen wie Gene in der Biologie, indem sie von Mensch zu Mensch weitergegeben werden, überleben und sich an veränderte Umweltbedingungen anpassen.

Hier jedoch vollzogen sich zwei parallele Evolutionen. Einerseits die der Schurken, die ihr überlegenes Wissen dazu missbrauchten, Kapital aus der Ignoranz anderer zu schlagen, und andererseits die der Helden, der Geeks, die für die Integrität des Internets fochten und ihre Fähigkeiten dazu verwendeten, Gutes zu tun, nicht Böses.

Die Weißhüte und die Schwarzhüte, die hier gegeneinander antraten, trugen den uralten und ewigen Kampf zwischen Gut und Böse, zwischen Gott und Teufel aus.

Game on.

Prev Next
Worm
Bowden, Worm (eBook).html
Bowden, Worm (eBook)-1.html
Bowden, Worm (eBook)-2.html
Bowden, Worm (eBook)-3.html
Bowden, Worm (eBook)-4.html
Bowden, Worm (eBook)-5.html
Bowden, Worm (eBook)-6.html
Bowden, Worm (eBook)-7.html
Bowden, Worm (eBook)-8.html
Bowden, Worm (eBook)-9.html
Bowden, Worm (eBook)-10.html
Bowden, Worm (eBook)-11.html
Bowden, Worm (eBook)-12.html
Bowden, Worm (eBook)-13.html
Bowden, Worm (eBook)-14.html
Bowden, Worm (eBook)-15.html
Bowden, Worm (eBook)-16.html
Bowden, Worm (eBook)-17.html
Bowden, Worm (eBook)-18.html
Bowden, Worm (eBook)-19.html