youbooks.top
Book menu
  1. Bowden Mark
  2. Worm
  3. Bowden, Worm (eBook)-9.html
Prev Next

6

Digitale Detektive

Das mag keine besondere Welt sein  Vielleicht nicht einmal die Welt, die sie sein sollte … Aber trotzdem ist es unsere Welt. Und wir werden für sie kämpfen.

– The Amazing X-Men

Auf der Botnetz-Konferenz im Oktober 2008 in Arlington, Virginia, der Konferenz, auf der T. J. Campana den von Microsoft außer der Reihe veröffentlichten Notfall-Patch bekannt gemacht hatte, hatte er Andre DiMino ein Blatt Papier in die Hand gedrückt.

»Sagt dir das hier irgendetwas?«, fragte er.

Es war ein Ausdruck mit Informationen über Gimmiv, die erste Schadsoftware, die sich des chinesischen Bausatzes bedient und die Schwachstelle auf Port 445 ausgenutzt hatte. Obwohl Andre die Variante nicht auf Anhieb erkannte, war er der richtige Ansprechpartner.

An einem Montagmorgen zehn Jahre zuvor war Andre zum ersten Mal über ein Schadprogramm gestolpert, als er feststellte, dass über das Wochenende jemand in das Computersystem eingebrochen war, das er für ein kleines Unternehmen in New Jersey betreute. Andre hat einen College-Abschluss als Elektroingenieur mit Schwerpunkt Computerwissenschaften, das meiste aber, was er über Botnetze weiß, hat er sich selbst beigebracht. Mit seinen 45 Jahren ist er ein schlanker, groß gewachsener Mann, der sein dunkles Haar kurz geschnitten trägt. Er ist ein umgänglicher, von einem stillen Idealismus beseelter Mensch, den eine selbstlose Leidenschaft für seine Arbeit antreibt. Im Hauptberuf arbeitet er als Computerforensiker für die Staatsanwaltschaft in Bergen County. Was ihn aber wirklich motiviert, ist das, was er macht, wenn er vor der kleinen Rechner-Phalanx sitzt, die in einem Zimmer im oberen Stockwerk seines Hauses in einer Vorstadt in New Jersey steht.

In gewisser Hinsicht fühlt Andre sich berufen, von einem höheren Zweck erfüllt. Er jagt die bösen Jungs im Cyberspace, ohne dafür bezahlt zu werden. Seiner E-Mail hat er eine Ermahnung aus dem Neuen Testament vorangestellt, aus dem ersten Brief des Apostel Paulus an die Thessalonicher: »Sehet zu, dass keiner Böses mit Bösem jemand vergelte; sondern allezeit jaget dem Guten nach, untereinander und gegen jedermann.« Der sehr spezielle Ethikkodex, den er bei seiner Arbeit befolgt, macht ihn zu einer Art Negativabzug derjenigen, die er bekämpft, zu einer Ausnahmeerscheinung selbst unter denen, die für das Gute fechten. Eine ganze Industrie ist entstanden, die sich gegen Geld um den Schutz von Computernetzwerken kümmert. Andre dagegen will keinen Profit mit seiner Arbeit machen; hat er ein manipuliertes Netzwerk entdeckt, informiert er den Betreiber von dem Problem, ohne etwas dafür zu verlangen … weil sich das so gehört. Und dann schießt er das Botnetz ab.

Damals, als er den übers Wochenende erfolgten Einbruch in das Netzwerk seines früheren Arbeitgebers entdeckte, ging er zunächst davon aus, dass es sich um das Werk eines Hackers, eines Vandalen oder möglicherweise auch eines verärgerten ehemaligen Mitarbeiters handelte. Dann jedoch stellte er anhand einer Analyse der IP-Adressen der eingehenden Daten fest, dass der Eindringling aus der Türkei oder der Ukraine stammte. Was aber sollte jemand, der am anderen Ende der Welt saß, mit dem Computernetzwerk einer kleinen Unternehmensmanagementfirma in einem Büropark in New Jersey anfangen? Soweit er herausfinden konnte, verkaufte der Eindringling im Netz gestohlene Software, Filme und Musik. Wie schon T. J. Campana an der Florida State University bemerkt hatte, suchten die Netzpiraten nach großen digitalen Speicherräumen, in denen sie ihre Hehlerware verbergen konnten. Allem Anschein nach hatten sie mittels einer automatisierten Suche im Internet weltweit nach verwundbaren Systemen mit großen ungenutzten Speicherkapazitäten gesucht – laut Andre ist das so, als würde man durch die Gegend laufen und an Türen rütteln, bis man eine findet, die nicht verschlossen ist. Er löschte das Diebesgut und verschloss das Tor, durch das die Piraten eingedrungen waren. Für Andres Arbeitgeber war das Problem damit gelöst. Es war kein Schaden entstanden. Es bestand keine Notwendigkeit, die Polizei einzuschalten oder weiter in der Sache nachzuforschen.

Andre aber hatte Blut geleckt. Er ging die Serverlogs der vorangegangenen Wochen durch und stellte fest, dass neben den erfolgreichen Eindringlingen eine ganze Reihe weiterer Angreifer ihr Glück versucht, sprich, an den Türen seines Netzwerks gerüttelt und nach Schwachstellen gesucht hatten. Also suchten die bösen Jungs weltweit nach ungeschützten Computern, die sie für ihre Zwecke missbrauchen konnten, und entwarfen ausgeklügelte Programme, die gezielt Schwachstellen ausfindig machten und ausnutzten. Wie cool war das denn? Und vor allem: Wer versuchte sie daran zu hindern?

Andre arbeitete sich in die Feinheiten dieses im Verborgenen ausgetragenen Kampfs ein. Später gründete er mit einem gleich gesinnten Botnetz-Jäger namens Nicholas Albright die Shadowserver Foundation, eine gemeinnützige Partnerschaft von Geeks, die der Schadsoftware den Krieg erklärt hatten. Andre mutierte zu einer Art digitaler Sam Spade – nicht zufällig zeigt das Logo auf der Homepage shadowserver.org einen aus dem Schatten tretenden Detektiv im Dashiell-Hammett-Stil. Heute koordiniert die Organisation die Arbeit von Cyberwächtern rund um die Welt, die in ihrer Freizeit Jagd auf Botnetze machen und diese, wenn möglich, ausschalten. Mit Hilfe zahlloser Freiwilliger und automatisierter Software wie des Programms, mit dem Phil Porras sein Netz am SRI überwacht, fangen und katalogisieren sie jede neue Schadsoftwarespezies, die im digitalen Dschungel auftaucht. Dann sezieren sie den Schädling und verfolgen ihn zu seinem Ursprung zurück, während sie ihn dabei unablässig überwachen, um seine Aktivitäten und Ausbreitung nachzuvollziehen. Das ist eine zeitaufwändige und gelegentlich sehr mühselige Arbeit, die abgesehen von der Befriedigung, mal wieder einen bösen Internetdrachen erlegt zu haben, wenig Lohn bereithält.

In der ersten Zeit erhielt Andre oft noch nicht einmal ein Dankeschön. Anfangs stießen die Entdeckungen und Hinweise von Shadowserver in der Regel eher auf Unglauben und Misstrauen. Spürten die Leute von Shadowserver ein neues, im Entstehen begriffenes Botnetz auf und konnten sie den Datenfluss auf ein bestimmtes Netzwerk und dann auf eine konkrete IP-Adresse in diesem Netzwerk zurückverfolgen, informierten sie den Service Provider. Wenn Andre dem Sicherheitschef des Providers, dem die Zunahme des Verkehrs auf seinem Netzwerk aufgefallen sein mochte oder nicht, mitteilte, dass sein Netzwerk nicht von außen angegriffen wurde, sondern dass die Ursache innerhalb des Netzwerks lag, stieß er damit in der Mehrzahl der Fälle auf Misstrauen und Ungläubigkeit. Da rief irgendein Unbekannter an – »Wahrscheinlich hielten sie uns für einen Haufen Garagenhacker«, sagt Andre – und wollte dem Profi erklären, dass sein Netzwerk manipuliert wurde. Kein Wunder, dass die Leute zumeist ablehnend reagierten. Auch die Tatsache, dass irgendwelche Amateur-Ninjas in ihren Netzwerken herumgeschnüffelt hatten, sorgte nicht gerade für Begeisterungsstürme. Die meisten Sicherheitsmanager waren darauf konditioniert, solche Leute als Bedrohung zu behandeln, und hatten noch nicht verstanden, dass das Problem das Hackerstadium längst hinter sich gelassen hatte. Entweder das, oder die IT-Sicherheitsleute hielten Andre für irgendeinen Klugscheißer, der sie bloßstellen wollte. Die Vorstellung, dass es selbstlose Hacker gab, die den IT-Profis hilfreiche Informationen über ihr Netzwerk umsonst anboten, erschien allzu absurd.

Brian Krebs, der zu der Zeit für die Washington Post arbeitete und zu der Handvoll Zeitungsjournalisten gehörte, die sich mit dem Thema Computersicherheit befassten, war so beeindruckt, dass er für das Sonntagsmagazin der Zeitung eine Titelstory über Shadowserver schrieb.

Botnetze wurden zunehmend zu einem echten Problem, und Krebs hielt das, was Andre und Nick da taten, für immens wichtig. Er war überrascht, dass diese Jungs eben das taten, von dem er hoffte, dass irgendjemand es tun würde. Die Branche war voller Leute, die auf das schnelle Geld aus waren; wenn jemand eine gute Idee hatte, trug er sie zu einem der großen Unternehmen und kassierte ab. Hier dagegen gab es diese Gruppe von Leuten, die eine Arbeit erledigten, von der nur wenige überhaupt wussten, wie man sie machte, die Botnetze infiltrierten und katalogisierten und die das für das Allgemeinwohl taten. Selbst Krebs fiel es schwer, das zu glauben.

In dem im März 2006 unter der Überschrift »Bringing Botnets Out of the Shadow« veröffentlichten Artikel schrieb Krebs: »Botnetze sind heutzutage die Arbeitspferde der meisten Online-Kriminellen und erlauben es Hackern, völlig anonym ihren Fischzügen nachzugehen – Spam-E-Mails verschicken, auf infizierte PCs Adware von Unternehmen aufspielen, die eine Prämie für jede Installation bezahlen, oder betrügerische E-Commerce- und Banking-Websites hosten … Die pausenlosen Angriffe und Rückschläge fordern mitunter einen emotionalen Preis von den Freiwilligen, die nicht nur unzählige Stunden auf die Jagd nach den Botmastern verwenden, sondern in vielen Fällen auch die Einzelpersonen und Institutionen benachrichtigen, deren Netzwerke und Rechner von den Hackern gekapert worden sind. Es ist eine weitgehend undankbare Arbeit, weil die Opfer in den meisten Fällen nicht einmal antworten.«

Das änderte sich, nachdem Krebs Shadowserver mit seinem Artikel größere Aufmerksamkeit verschafft hatte. Die Nachricht von den uneigennützigen Botnetz-Jägern lockte gleich gesinnte Geeks aus dem digitalen Unterholz. Die Organisation wuchs, und sogar das FBI und der Secret Service kamen und baten um Informationen. An diesem Punkt gab es Überlegungen, Shadowserver auf eine kommerzielle Basis zu stellen. Die von der Stiftung gesammelten Daten waren unbestreitbar wertvoll: Sie wiesen große Server- und Netzwerkbetreiber auf drohende Gefahren hin und katalogisierten verwundbare Systeme. Würde man dafür Geld verlangen, könnte Shadowserver seine Leute wenigstens für ihre Zeit, ihren Aufwand und ihr Können bezahlen. Am Ende beschloss die Gruppe aber, die Arbeit weiterhin ehrenamtlich zu machen. Andre sah die Sache so: Angenommen, du wüsstest, dass das Haus von jemandem in Gefahr ist, Feuer zu fangen. Würdest du ihn dann einfach warnen oder versuchen, ihm diese Information zu verkaufen? Anfang 2009 bestand die Gruppe aus einem harten Kern von zehn Leuten und einer Vielzahl sorgfältig ausgesuchter Freiwilliger. Andre wollte sich Vollzeit für die Sache einsetzen und träumte von einer großen Spende oder einem Sponsor, der ihm und den anderen Kernmitgliedern das ermöglichen würde, aber noch waren sie alle auf ihre normalen Jobs angewiesen. Sie sammelten Abertausende Schadsoftwarevarianten und schnappten in ihren Honeypots jeden Tag bis zu 10 000 Exemplare davon. Shadowserver spielte nun eine zentrale Rolle bei der Bekämpfung von Botnetzen und erhielt täglich Tausende Anfragen von Netzwerkmanagern, die um technische Berichte baten.

Angesichts so vieler Schädlinge, denen es auf der Spur zu bleiben galt, erkannte Andre Gimmiv nicht sofort, als T. J. ihn auf der Konferenz in Arlington ansprach. Andre sah in seinen Aufzeichnungen nach. An sich stellte der chinesische Exploit keine große Sache dar, dennoch konnte er die Besorgnis von Microsoft nachvollziehen. Mit einem im Internet gegen Gebühr vertriebenen Exploit-Bausatz und der Werbung, die der MS08-067-Patch für die Sicherheitsanfälligkeit machte, sah er ebenso wie Microsoft, dass aller Wahrscheinlichkeit nach noch weit mehr Ungemach drohte.

Zwischen den verschiedenen im Bereich der Computersicherheit tätigen Firmen, Forschungseinrichtungen und Organisationen bestehen keine formellen Beziehungen, und als Ende 2008 der neue Wurm auftauchte, machte sich jede mit ihren eigenen Methoden daran, ihn zuanalysieren. Am Ende sollte der Reverse-Engineering-Ansatz, den Hassen Saidi draußen in Menlo Park anwandte, die besten Ergebnisse liefern, aber parallel zu ihm machten sich Dutzende weitere Experten an die Arbeit. Conficker war einfach zu groß, als dass man ihn ignorieren konnte. Auch Andre fiel der neue Wurm sofort auf, allerdings nicht, weil er ihn unmittelbar mit Gimmiv in Verbindung brachte, sondern wegen seiner ungewöhnlich raschen Verbreitung. Binnen weniger Tage nach dem ersten Auftreten wurden die Shadowserver-Honeypots überall auf der Welt mit dem neuen Wurm ebenso überschwemmt wie Phil Porras’ Honeypot am SRI. Andre war alarmiert, und von einem Kollegen, der in Finnland für F-Secure arbeitete, erfuhr er, dass der Wurm eine Domainnamen-erzeugende Taktik verwendete, die mit der von Srizbi vergleichbar war.

Also heftete er sich an seine Spuren. Andre war es gewohnt, Botnetze mit ein paar Hunderttausend Drohnen zu sehen, aber als das neue Botnetz auf eine Million, dann zwei und drei und schließlich vier Millionen Rechner anwuchs, wurde ihm die Sache langsam unheimlich. Je größer das Netz war, umso größer war auch sein Potenzial, Schaden anzurichten. Niemand kannte sich im Umgang mit Botnetzen besser aus als Andre, aber dieses Ding war so groß, dass es selbst ihm einen Schrecken einjagte. Das war eindeutig mehr als ein ordinäres Spam-Botnetz. Was, wenn dahinter eine Regierung steckte? Welchem Zweck diente es? Und wie sollte man den Kampf dagegen aufnehmen?

Bislang hatte sich niemand ausführlicher mit diesen Fragen befasst als Phil. Er und sein Team hatten bereits erkannt, dass die erste Betrugsmasche, der Versuch, die Nutzer zum Herunterladen betrügerischer Antivirensoftware von der inzwischen geschlossenen Website TrafficConverter.biz zu verleiten, nicht der eigentliche Zweck des Botnetzes war. In ihren Augen war Conficker anders als alles, was sie bisher zu Gesicht bekommen hatten. Hier ging es offenkundig weder darum, schnelles Geld mit dem Botnetz zu scheffeln, noch wollte jemand einfach bloß mit seinen Fähigkeiten protzen. Der Wurm selbst schleuste keine Schadsoftware ein. Er war für etwas Größeres gedacht. Er baute heimlich und höchst effektiv eine Infrastruktur auf, eine stabile Plattform für verbrecherische Machenschaften. Er war ein Werkzeug, und zwar eines, mit dem derjenige, der es kontrollierte, alles anstellen konnte, wonach ihm der Sinn stand, von einer simplen Spam-Aktion bis hin zu einem Großangriff auf die digitalen Lebensnerven der Welt. Und dass jemand, der in der Lage war, ein solches Werkzeug zu erschaffen, damit keine großen Ziele verfolgte, war nur schwer vorstellbar.

Im Grunde genommen ist das Internet ein Protokoll, eine sorgfältig orchestrierte Methode, Daten von einem Computer auf einen anderen zu übertragen. Das spezifische Protokoll, das es definiert, das es möglich macht, ist das Transmission Control Protocol/Internet Protocol (TCP/IP), eine Reihe von Programmen zum Datenaustausch, die vom US-Verteidigungsministerium entwickelt wurden, als Richard Nixon noch Präsident der Vereinigten Staaten war. Um Daten von einem Rechner zu einem anderen zu übertragen, muss man wissen, was übertragen wird und wie es am anderen Ende der Übertragung aussehen wird. Ein Protokoll, ein aus der Diplomatie entlehntes Wort, definiert, wie man Daten verpacken und verschicken muss, damit sie von unterschiedlichen Computern angenommen und verarbeitet werden können. Heimanwender sind üblicherweise Kunden eines Internetdienstanbieters, der ihnen die Verbindung mit dem Internet ermöglicht. Der Provider weist jedem an sein Netzwerk angeschlossenen Computer eine IP-Adresse zu und verfügt im Normalfall über eine eindeutige Gruppe von IP-Adressen, mit denen er diese Rechner gegenüber der Welt identifiziert. Jedes von einem Computer verschickte Datenpaket erhält einen Header, einen Kopf, der im Prinzip dieselben Informationen enthält, wie sie auch auf einem normalen Briefumschlag stehen – die Adresse des Absenders und die des Empfängers. Der Internetprovider schickt dieses Paket an einen Router, einen großen Computer, der den Datenverkehr regelt.

Konzeptionell gesehen weist das Internet drei Ebenen auf. Ebene eins besteht aus den Netzwerkinterfacekarten (NICs), den Anschlüssen innerhalb eines Computers, die seine Anbindung an ein Netzwerk ermöglichen, und den Kabeln. Ebene zwei besteht aus den Routern und Weichen, dem Subnetz von Computern, die den Verkehr steuern, und der Software, die Internet-Nachrichten in Pakete aufteilt. Die Zuständigkeit für diese Ebene liegt primär in den Händen der Internet Assigned Numbers Authority (IANA). Die American Registry for Internet Numbers (ARIN) ist zuständig für die Registrierung von IP-Adressen in den Vereinigten Staaten, Kanada und Teilen der Karibik. Ebene drei besteht aus »Anwendungen«, den von Organisationen oder Einzelpersonen als ihre öffentliche Repräsentanz in der Cyberworld eingerichteten Domains. Diese Ebene steht unter der Aufsicht der ICANN, die in erster Linie für die Domain-Name-Registries verantwortlich ist, welche die Registrare autorisieren, bei denen wiederum die Endkunden (die Registranten) ihre Domainnamen erwerben. Die meiste Schadsoftware griff auf dieser obersten Ebene an, Ebene drei. Conficker machte sich Ebene zwei zunutze und verwendete das IP-Adressierungssystem, um ein Kommandozentrum zu errichten, das permanent seinen Standort wechselt.

Die unmittelbare Aufgabe lautete, den Zugang zu diesem Kommandozentrum zu blockieren. Hassen Saidi hatte den die Domains erzeugenden Algorithmus des Wurms auf die Uhr in seinem Labor justiert. Stellte er die Uhr vor, spuckte der Wurm wie vorgesehen die Liste der 250 Domainnamen für diesen betreffenden Tag in der Zukunft aus. Um dem Wurm eine Nasenlänge voraus zu sein, mussten die X-Men alle diese Domains im Voraus auf sich registrieren. Gelang ihnen das, blieb dem Schöpfer des Wurms keine Möglichkeit mehr, mit dem Botnetz zu kommunizieren. Schachmatt.

Die Sache hatte einen willkommenen Nebeneffekt: Kontrollierte man erst einmal alle Adressen, die das Botnetz tagein, tagaus kontaktierte, bekam man eine laufend aktualisierte Liste der infizierten Rechner frei Haus geliefert. Und je länger diese Liste wurde, umso wertvoller war sie. Wer auch immer diese Liste hatte, besaß das wertvollste Element des Botnetzes. Wollte man die Kontrolle über das Netz übernehmen, müsste man zwar den Code des Wurms knacken, aber schon die Liste an sich konnte man an Web-Scammer, Diebe oder sogar Regierungen verkaufen. Und ein Botnetz, das so groß war wie das von Conficker, würde unweigerlich einige besonders wertvolle, von Konzernen, Banken oder Regierungsbehörden betriebene Netzwerke enthalten.

Was Phil brauchte, war jemand, der sich mit dem Domainnamen-System besser auskannte als er – und dem er vertrauen konnte. Er kontaktierte Rick Wesson, der schon einmal mit ihm zusammengearbeitet hatte und ebenfalls in der Bay Area von San Fransisco lebte. Rick gehörte unter anderem ein kleiner Domain-Name-Registrar, ja, er war im Grunde weltweit einer der Ersten gewesen, die überhaupt wussten, was das ist.

Er zählte zur ersten Welle der großspurigen jungen Internetunternehmer, war einer der vielen jungen Geeks gewesen, die vor gut zwei Jahrzehnten in Scharen nach Kalifornien gezogen waren, um auf den gerade anfahrenden digitalen Zug aufzuspringen. Klein gewachsen, zwanglos gekleidet und das rötlichbraune Haar kurz geschnitten, hatte er sich trotz seiner gut vierzig Jahre das Aussehen und die Art eines College-Studenten bewahrt. Er bevorzugte T-Shirts und Jeans und pflegte ungeachtet seiner Errungenschaften und Erfolge den Habitus eines Jungstudenten – so zum Beispiel, als er 2007 auf einem Symposium, bei dem er einen Vortrag halten sollte, dem Publikum eröffnete, dass er einen »Hangover« habe und deshalb eine Präsentation »light« zu geben plane. Seine hohe, weiche Stimme täuschte mit ihrem Singsang über die ihm eigene Derbheit und Respektlosigkeit hinweg und machte sie umso verblüffender. Seinen schriftlichen Nachrichten ging dieser besänftigende Ton ab, denn sie fielen mitunter ziemlich schrill aus – »Ich werde es auf keinen Fall bleiben lassen, dir zu sagen, was ich denke«, schrieb er einmal einem Kollegen, der sich auf den Schlips getreten fühlte. »Gewöhn dich dran.« Rick hatte sich das meiste selbst beigebracht, und da Personalcomputer noch ziemlich neu waren, als er in die Materie einstieg, gab es nur wenige, die sich von der Erfahrung her mit ihm messen konnten. Zu Schulzeiten hatte er seine Hackerfähigkeiten dazu benutzt, sich und ein paar Freunden gefälschte Zeugnisse auszudrucken, woraufhin er von der Schule flog. Er fand einen Job im Bereich Computersicherheit, holte die für die College-Zulassung fehlenden Kurse nach und schrieb sich Ende der 1980er Jahre an der Auburn University ein – wo er sich gleich im ersten Studienjahr erstmals unternehmerisch betätigte und T-Shirts mit aufgedruckten Fraktalbildern verkaufte, die er heimlich auf den Computern der Fakultät für Ingenieurwissenschaft generiert hatte.

Rick neigte zum Hippietum, war damit aber leider gut zwei Jahrzehnte zu spät dran. 1992 machte er seinen Abschluss und nahm einen Job als Lehrer an der Summit Highschool in Breckenridge, Colorado, an. Der Direktor der Schule plante die Ausgabe einer Anleihe, mit der er ein Computernetzwerk finanzieren wollte, über das alle Schulen und Bibliotheken des Schulbezirks miteinander verbunden werden sollten. Rick, der noch als Student an der Auburn University ein Buch über Computernetzwerke geschrieben hatte, war natürlich Feuer und Flamme für das Projekt. Der Schulleiter hatte einen Freund, der für IBM arbeitete, und den beiden schwebte ein geschlossenes, von dem Computerriesen installiertes und verwaltetes Computernetzwerk vor. Rick hielt das für pure Zeit- und Geldverschwendung. Schließlich gab es doch dieses wunderbare neue Ding namens Internet, das dieselbe Konnektivität ermöglichte  und zwar umsonst. Der Aufbau des Netzwerks würde zwar immer noch Kosten verursachen, aber nur einen Bruchteil dessen, was IBM verlangte. Eine klare Angelegenheit also. Nur dass der Schulleiter, als Rick ihm das zu erklären versuchte, natürlich nein sagte. Was Rick wiederum für ein wenig zu voreilig hielt. Kurz, es gab eine Szene, und möglicherweise warf Rick auch einige Ordner durch das Büro des Schulleiters. Jedenfalls endete die Sache mit seiner Kündigung.

Statt den Schulbezirk Breckenridge, Colorado, ins Internetzeitalter zu lenken, jobbte Rick ein paar Monate als Tellerwäscher in einem Skigebiet, bevor er sich mit seiner Freundin Pilar einen Bus kaufte, den sie auf den Namen »Green Tortoise« tauften und – wer würde nicht an Ken Kesey und die Merry Pranksters denken? – mit Marihuana und ein paar Dutzend Freunden beluden, um dann gen Süden aufzubrechen und den ganzen Weg bis hinunter nach Guatemala zu kiffen, zu trinken und zu feiern. Rick selbst stand eher auf Bier, kam aber bestens mit den Kiffern aus. Als Nächstes führten ihn seine Streifzüge nach Europa, von Spanien über Paris bis in die Türkei, wo er einen Deutschen kennenlernte, der wild entschlossen war, die erste Domain-Name-Registry in Deutschland auf die Beine zu stellen. Das Internet legte gerade so richtig los, und es war klar, dass das Domain-Name-System der zentrale Sortiermechanismus für die Cyberworld sein würde. Rick folgte dem Mann nach Düsseldorf, und nachdem sie die Registry aufgebaut hatten, beschloss Rick, dass die Vereinigten Staaten reif für dasselbe Projekt waren.

Zu einer Zeit, als die meisten Leute noch nicht einmal vom Internet gehörten hatten, hatte Rick darin schon eine Geschäftsmöglichkeit erkannt. Die Welt würde effizienter werden, eine Welt, die einem detailliertes Expertenwissen zu jedem nur denkbaren Thema per Tastendruck zur Verfügung stellte! Antworten auf noch so schwierige Fragen, die nur darauf warteten, kostenlos heruntergeladen zu werden! In seinem letzten Jahr an der Auburn University hatte ihn ein Professor zusammen mit anderen Studenten zu einem örtlichen Büromateriallieferanten geschickt, wo sie im Rahmen einer Übung eine computerbasierte Lösung für ein Problem aus der realen Arbeitswelt entwerfen sollten. Die Aufgabe für Ricks Gruppe betraf die Materialflussverfolgung. Die anderen Gruppenmitglieder sprachen das Problem mit den Mitarbeitern des Unternehmens durch und schrieben ein Programm, das am Ende aber nicht funktionierte. Rick war von Natur aus kein Teamplayer und hatte außerdem eine viel bessere Idee. Warum ein schlechtes Programm schreiben, wenn man sich eines borgen konnte, das gut funktionierte? Er wählte sich in das noch junge Internet ein und fand eine kostenlose Software zur Materialflussverfolgung, die tadellos funktionierte. Das Unternehmen war glücklich, das Problem gelöst! Der Professor freilich erklärte Rick, die Aufgabe habe gelautet, im Team eine eigene Lösung zu erarbeiten, und ließ ihn durchfallen. Rick konnte seiner Argumentation folgen, aber die Sache ärgerte ihn trotzdem. Also wirklich! Warum Zeit darauf verschwenden, etwas erfinden zu wollen, das bereits erfunden war? So, wie Rick das sah, bestand das eigentliche Problem (dasselbe, das ihn später auch seinen Lehrerjob in Breckenridge kosten sollte) darin, dass diese Leute noch nie vom Internet gehört hatten. Der versiebte Kurs kostete ihn mehrere Credit-Punkte und zwang ihn, nochmals ein ganzes Semester dranzuhängen, um seinen Abschluss zu bekommen.

Bei seiner Rückkehr aus Düsseldorf Mitte der 1990er Jahre brachte er ein klares Geschäftsmodell mit in die Staaten. Er bekam einen Job bei einer IT-Firma im Silicon Valley, deren Besitzer ihm bei Gründung eines eigenen Beratungsunternehmens unter die Arme griffen und gleich zu seinen ersten Kunden wurden. In den folgenden Jahren baute er eine Reihe von Unternehmen auf und verkaufte sie wieder. Pilar stieg in den boomenden Biolebensmittelmarkt ein, und zusammen zogen sie hinaus auf eine Farm. Durch seine Arbeit beschäftigte Rick sich mit einigen frühen Aufgaben im Bereich der Internetregulierung und -technologie. Unter anderem war er an der Abfassung einiger der frühen Protokolle für ICANN beteiligt und kannte daher die Funktionsweise des Systems so gut wie seine Westentasche.

Anders als ein Straßen-, Telefon- oder Stromnetz ist das Internet nicht entlang physischer Pfade organisiert. Wegen der bei der Datenübertragung eingesetzten Paketvermittlung – mehr Teleportation als direkte Übertragung – kennt das Internet keine klar definierten Übertragungspfade, über die der pausenlose Datenverkehr verlaufen würde. Das Internet ist weniger wie eine Straßenkarte als vielmehr wie ein Telefonbuch organisiert. Die Schlüssel zum Routing der Datenpakete, also ihrer Weiterleitung durch die verschiedenen Netze bis zum Bestimmungsort, sind die »Identifikatoren«, die spezifischen Zielpunkten zugewiesenen Domainnamen. Gegenwärtig sind weltweit rund 200 Millionen Domainnamen registriert. Diese Namen werden von kommerziellen Registraren verkauft, katalogisiert und verwaltet, die wiederum regionalen (und lokalen) Registries unterstellt sind. Die Registries ihrerseits werden von der ICANN überwacht, die sozusagen das Telefonhauptbuch darstellt und diese Aufgabe 1998 vom SRI übernahm. Am unteren Ende dieses Systems sitzen die lokalen Internet Service Provider (ISP), die Routing-Dienstleistungen für die an ihr Netzwerk angeschlossenen Computer bereitstellen, ob es sich nun um private Nutzer handelt, die über einen kommerziellen Anbieter ins Internet gehen, oder um einen Bürocomputer, der an ein Intranet mit eigenem Server angeschlossen ist. Diese Abermillionen Computer und kleineren Server sind auf rund 300 Top-Level-Domains unterteilt, gekennzeichnet durch die auf den Punkt in einer E-Mail- oder Webadresse folgenden Buchstaben – .com, .biz, .edu, .de und so weiter. Wenn Ihre E-Mail-Adresse auf Loyola.edu endet, dann ist Loyola (genauer: die Loyola University) Ihre lokale Domain und .edu, die für Universitäten reservierte Kennzeichnung, Ihre Top-Level-Domain.

Die Domainnamen sind also gleichsam die Postanschriften des Cyberspace. Jeder einzelne Computer hat eine eigene Adresse, die ihm von seinem Internetprovider zugewiesen wird. Um eine Website im Internet zu kontaktieren, schickt Ihr Rechner die Adresse an seinen beziehungsweise Ihren Provider. Um die Sache für Menschen einfacher zu machen, wird diese in der Computersprache aus einer langen Abfolge von Zahlen und Symbolen bestehende Adresse in einen verständlichen Begriff übersetzt, zum Beispiel google.com oder harvard.edu. Verwaltet und gemanagt werden diese vielen Millionen Namen von einer Industrie, die aus Tausenden kleiner Registrare besteht. Jeder Registrar betreibt einen Server, der sicherstellt, dass keine Namen doppelt vergeben werden, und der die Weiterleitung von Nachrichten an die bei ihm registrierten Domains übernimmt.

Zu einer Zeit, als außerhalb des Silicon Valley noch kaum jemand von solchen Dingen gehört hatte, nutzte Rick seine Erfahrung aus der Zeit in Düsseldorf und gründete seinen eigenen Registrar. Er gab ihm den Namen ar.com, kurz für »Alice’s Registry« und eine Anspielung auf den berühmten Blues-Sprechsong von Arlo Guthrie, und erhielt eine Lizenz von der ICANN zum Verkauf von Domainnamen. Zehn Jahre später galt Rick als Pionier, und 2002 wurde er in den ICANN-Sicherheitsausschuss berufen.

An dem Thema Internetsicherheit hatte ihn zunächst vor allem die intellektuelle Herausforderung gereizt. Er sah die von Botnetzen ausgehende Gefahr und dass selbst in der IT-Branche nur wenige wussten, wie man sie aufhalten konnte. Nicht nur aufhalten, sondern auch aufspüren und überwachen. Nach seiner Berufung in den Sicherheitsausschuss der ICANN stellte er fest, dass die Organisation noch nicht einmal wusste, wie viele Botnetze es gab. Niemand schenkte der Sache Beachtung. Also gründete er ein neues Unternehmen namens Support Intelligence und ging daran, die Lücke zu stopfen. Mit Hilfe des großen Internet-Interfaces, über das ar.com verfügte, richtete er Honeynets ein und fing an, Daten zu sammeln. Wenn es ihm gelang, den von Botnetzen erzeugten Verkehr zu messen und abzufangen, konnte er herausfinden, welche Computernetzwerke – von Universitäten, Unternehmen und Regierungsbehörden – gepwned waren. Und diese Informationen konnte er dann an sie verkaufen. Andres Gewissenbisse bezüglich Profit waren ihm fremd. Rick hatte sich, zum Teil geplant, größtenteils aber durch Zufall, mit an die Spitze der Bemühungen um mehr Internetsicherheit manövriert.

Als Phil sich nun fragte, wer ihm sagen könnte, wie man die 250 Domainnamen im Voraus blockierte, die Conficker Tag für Tag erzeugte, dachte er sofort an Rick, der sich in den Kreisen der Internetregulierer einen Namen gemacht hatte. Rick wusste natürlich bereits alles über den neuen Wurm. Als Phil ihn am 15. Dezember kontaktierte, breitete sich Conficker bereits seit drei Wochen aus, und man wusste von Infektionen in 106 Ländern. Die Epidemie war das Gesprächthema unter den Experten für Computersicherheit.

»Wir haben die Struktur von Conficker vollständig analysiert und sind sie im Detail durchgegangen«, mailte Phil an Rick. »Wir haben den Algorithmus zur Domainerzeugung geknackt und eine vollständige Liste aller Domains erstellt, die der Wurm in den nächsten 200 Tagen erzeugen wird.«

Phil schickte Rick die täglichen Listen der Domains, und Rick kaufte sie über seine Kontakte in der Internetregulierungsgemeinde auf. Dann mietete er bei Amazon S3-Speicherplatz, um dort die Domains zu parken und die vielen Millionen Anfragen, die jeden Tag an sie eingingen, zu »sinkholen«, also abzufangen. Mit anderen Worten, die Anfragen von infizierten Rechnern wurden schlicht in eine Sackgasse umgeleitet.

Phil schickte auch eine E-Mail an das US-CERT (das United States Computer Emergency Readiness Team), jene Behörde, die für den Schutz der staatlichen Computernetzwerke zuständig war, und schlug ihr vor, dasselbe zu tun. Auf diese Weise könnte US-CERT alle infizierten IP-Adressen prüfen und herausfinden, ob irgendwelche Regierungsrechner, insbesondere vom Verteidigungsministerium betriebene Netzwerke, befallen waren. Phil erhielt eine Antwort-E-Mail, in der man sich bei ihm für die Anregung bedankte.

250 Domainnamen pro Tag zu registrieren bedeutete zwar viel Arbeit, aber auch nicht so viel, als dass Rick nicht noch nebenher die Sinkholing-Daten aus seinem Amazon-Account hätte auswerten können. Gleichzeitig holte er andere Leute mit an Bord, setzte sich mit Leuten in Verbindung, die bereits an der Sache arbeiteten, und richtete eine Mailingliste ein, um ihre Aktivitäten zu koordinieren. Schließlich bot Chris Lee, Doktorand an der Georgia Tech, sein dortiges Labornetzwerk für die wachsende Sinkholing-Operation an, und so lief ein Teil des eingehenden Botnetz-Verkehrs auf dieses Netzwerk. Darüber hinaus hatte Andre bei Shadowserver weitere Sinkholing-Kapazitäten und überwachte dort ebenfalls das Wachstum des Botnetzes.

Ende Dezember 2008 hatte Conficker 1,8 Millionen Computer in 195 Ländern infiziert. Das Land mit der höchsten Infektionszahl – und den meisten raubkopierten Windows-Betriebssystemen – war China mit über 400 000 Bots. Das waren mehr als doppelt so viele wie im zweitplatzierten Land, Argentinien. Die sich daran anschließenden Top Twenty waren, in absteigender Ordnung, Indien, Taiwan, Brasilien, Chile, Großbritannien, Russland, die Vereinigten Staaten, Kolumbien, Malaysia, Mexiko, Spanien, Italien, die Netzwerke der Europäischen Union, Indonesien, Venezuela, Deutschland, Japan und (mit nur 12 292 Bots) Korea.

Über den Wurm selbst gab es eine Reihe von Theorien. Die meisten, die sich mit ihm befassten, hielten ihn für das Werk einer »Schatten-Symantec«, sprich eines vom organisierten Verbrechen finanzierten osteuropäischen Schwarzhut-»Unternehmens«, wobei sie wegen der Kiew-Verbindungen auf die Ukraine tippten. Genauso gut aber konnte Conficker eine Waffe sein, das Werk eines Nationalstaats.

Und hier war China der Hauptverdächtige.

»Mehreren Schätzungen zufolge gibt es in China 250 Hackergruppen, die von der Regierung geduldet und möglicherweise sogar darin unterstützt werden, in Computernetzwerke einzudringen und diese zu stören«, hieß es in dem im Herbst 2008 dem US-Kongress vorgelegten Sicherheitsbericht zu China. »Die chinesische Regierung überwacht die nationalen Internetaktivitäten sehr genau und ist sich aller Wahrscheinlichkeit nach der Aktivitäten der Hacker bewusst. Auch wenn die genaue Anzahl niemals bekannt werden dürfte, legen diese Schätzungen nahe, dass die chinesische Regierung erhebliche Humanressourcen für Cyberaktivitäten im Dienste des Staates bereitstellt. Die Tatsache, dass an den Militärakademien des Landes zahlreiche Personen in Cyberoperationen ausgebildet werden, fügt sich in die übergreifende Strategie des chinesischen Militärs ein.«

Es gab bereits mehrere Beispiele für erfolgreiche Cyberattacken aus China. Im Jahr 2005 hatten chinesische Hacker Daten aus dem U. S. Army Aviation and Missile Command in Huntsville, Alabama, sowie vom Mars Reconnaissance Orbiter der NASA gestohlen, darunter, wie es in dem Bericht hieß, »Informationen über Antriebssysteme, Solarpaneele und Treibstofftanks«. Weitere Angriffe richteten sich gegen das Non-secure Internet Protocol Router Network (NI-PRNet), ein nichtgeheimes Netzwerk des US-Militärs, über das Zeitpläne für Generäle und Admiräle, Truppen- und Frachtbewegungen, Standorte und Bewegungen von Flugzeugen, Luftbetankungsoperationen und andere logistische Informationen verwaltet werden, aus denen ein fähiger Analytiker durchaus Rückschlüsse über die militärischen Absichten und Taktiken der USA ziehen kann. Egal, welches Kriegsszenario man nimmt, ein Lahmlegen dieses Systems vor Beginn der tatsächlichen Kampfhandlungen würde das amerikanische Militär vor ernste Probleme stellen.

Die Anhänger dieser Theorie hielten die Sache mit den ukrainischen Tastaturen und den Versuch, betrügerische Antivirensoftware von TrafficConverter.biz herunterzuladen, für bewusst gelegte falsche Fährten. Der Umstand, dass Conficker ansonsten nichts tat, sprach ebenfalls für die Waffentheorie. Kriminelle waren darauf aus, Profit aus ihren Einbrüchen zu schlagen. Ein Land dagegen konnte sich durchaus damit begnügen, ein riesiges und robustes Botnetz als Plattform für spätere digitale Attacken aufzubauen und zu pflegen.

Es gab noch eine dritte, optimistischere Theorie. Was, wenn Conficker doch bloß ein Forschungsprojekt war? Für diese Sichtweise sprachen zum einen ein Blick in die bisherige Geschichte von Schadsoftware sowie erneut der Umstand, dass das Botnetz bislang untätig geblieben war. Tatsächlich hatte es schon Würmer wie zum Beispiel Morris und andere gegeben, welche von Informatikstudenten geschrieben worden waren, die angeben oder ihre Programmierfähigkeiten testen wollten. Sollten ein paar Studenten zum Beispiel am MIT herumgespielt und Conficker freigesetzt haben, wären sie zu diesem Zeitpunkt wohl kaum mehr scharf darauf, sich zu ihrer Schöpfung zu bekennen. Falls diese Theorie zutraf, war von dem Wurm nichts weiter zu befürchten. Wer weiß, vielleicht war seine Freisetzung ja auch als Weckruf gedacht, als warnender Fingerzeig auf die extreme Verwundbarkeit des Internets?

Weil Conficker selbst wenig konkrete Hinweise lieferte, gab es so viele Theorien wie Experten. Die Bemühungen, das Phänomen zu verfolgen und zu untersuchen, waren anfangs so unkoordiniert, dass die Wurmjäger teils zufällig übereinander stolperten. So waren Rick und Phil nicht wenig überrascht, als sie herausfanden, dass Chris Lee an der Georgia Tech schon seit Anfang des Monats eine Sinkholing-Operation betrieb und mit dem Wurm herumexperimentierte. Sie beschlossen, ihr weiteres Vorgehen abzustimmen.

Unterdessen setzten Phil und Rick ihre Detektivarbeit fort. Bislang bestand Phils Arbeit darin, die Uhr des Wurms vorzustellen und die Domainnamen zu erzeugen, die dieser in der Zukunft ausspucken würde. Nun beschloss er, die Uhr zurückzudrehen und herauszufinden, welche IP-Adressen der Algorithmus in den Wochen und Monaten vor der Freisetzung des Wurms generiert hätte. Wer etwas in der Art von Conficker freizusetzen gedachte, so Phils Überlegung, würde den Wurm zuerst einmal einem Testlauf unterziehen. Falls sein Autor einen Trockendurchlauf mit dem Domain-Name-Algorithmus vorgenommen und die Kontaktaufnahme mit dem Kommandozentrum getestet hatte, dann dürfte er das aller Wahrscheinlichkeit nach vor nicht allzu langer Zeit getan haben. Der Exploit auf Port 445 (der chinesische Bausatz) war erst im Sommer 2008 aufgetaucht, also war es höchst unwahrscheinlich, dass Conficker vor diesem Zeitpunkt getestet worden war. Phil ließ den Algorithmus in seinem Labor sämtliche Domainnamen generieren, die der Wurm in den vergangenen sechs oder sieben Monaten erzeugt hätte. Da die Namen nur aus zufälligen Abfolgen von Buchstaben und Ziffern bestanden – der Algorithmus spuckte keine bekannten Domains wie espn.com oder nytimes.com aus –, konnte man fest davon ausgehen, dass derjenige, der eine dieser Domains gekauft hatte, ihr Verdächtiger und somit der Autor des Wurms war. Dazu brauchte Phil Ricks Hilfe, der über eine »Whois«-Software verfügte, die identifizierende Details zu den Registranten einer Domain lieferte.

Er schrieb an Rick:

Wir wollen in der Zeit zurückgehen und herausfinden, ob irgendwelche Conficker-Domains vor der Freisetzung zu Testzwecken reserviert wurden. Vielleicht können wir den Autor identifizieren, wenn wir überprüfen, ob er Testläufe mit direkt registrierten Internet-Domains durchgeführt hat. Kurz gesagt, wir brauchen Hilfe bei der »Whois«-Recherche [bei der Suche nach der Identität hinter den IP-Adressen derjenigen, die die Domains testen]. Dabei gehen wir davon aus, dass die Hacker die Domains wirklich nur testen [sprich, sie reservieren die Domains, was fünf Tage lang kostenlos ist, kaufen sie dann aber doch nicht]. Da sie pro Tag nur eine Domain benötigen, können sie kostenlos eine Vielzahl von Domains durchlaufen lassen. Wie auch immer, wir haben jede Menge Domains und wollten wissen, ob du uns mit deinen »Whois«-Kapazitäten aushelfen kannst.

Rick brauchte nur eine Woche, bis er eine heiße Spur hatte. Die meisten Treffer – 391 Domainnamen, die mit der Zufallsliste von Conficker korrespondierten – waren »eindeutig zufällig«, wie Phil begeistert in einem Memo an seine Mitarbeiter schrieb: »Allerdings haben wir neun HOCH RELEVANTE Treffer gefunden, verteilt auf den Zeitraum vom 27. Nov. bis zum 19. Dez. 2008.«

Alle neun stammten von demselben Ort, einer Website, die einer Computerfirma gehörte.

»Das sind eindeutig die Kerle, die Conficker betreiben«, schrieb Phil.

Nur dass er damit eindeutig falschlag. Als er nämlich genauer nachschaute, stieß er auf eine in Atlanta, Georgia, ansässige Computersicherheitsfirma namens Damballa, die exakt dasselbe getan hatte wie er und Rick, nämlich die Uhr von Conficker zurückgedreht. Die Idee dazu hatte Dave Dagon gehabt, der bald darauf in die Mailingliste aufgenommen wurde.

Die X-Men stolperten einander über die Füße.

Prev Next
Worm
Bowden, Worm (eBook).html
Bowden, Worm (eBook)-1.html
Bowden, Worm (eBook)-2.html
Bowden, Worm (eBook)-3.html
Bowden, Worm (eBook)-4.html
Bowden, Worm (eBook)-5.html
Bowden, Worm (eBook)-6.html
Bowden, Worm (eBook)-7.html
Bowden, Worm (eBook)-8.html
Bowden, Worm (eBook)-9.html
Bowden, Worm (eBook)-10.html
Bowden, Worm (eBook)-11.html
Bowden, Worm (eBook)-12.html
Bowden, Worm (eBook)-13.html
Bowden, Worm (eBook)-14.html
Bowden, Worm (eBook)-15.html
Bowden, Worm (eBook)-16.html
Bowden, Worm (eBook)-17.html
Bowden, Worm (eBook)-18.html
Bowden, Worm (eBook)-19.html