Hacker gegen Hacker

Von Uli Ries

Seit Bill Gates das Thema Trustworthy Computing ausgerufen hat, beginnt Microsoft Kontakte zu Hackern zu knüpfen, die z.T. ganz offiziell für Redmond Einbrecher spielen. Das zuständige Outreach Team ist auch auf einschlägigen Hackertreffs wie der in Las Vegas stattfindenden Konferenz Defcon vertreten. Sie ist die älteste Hackerkonferenz weltweit, findet seit 17 Jahren statt und wurde wie ihre kommerzieller angehauchte Schwester Black Hat von Jeff Moss gegründet.

Er fordert die Hacker auf, den betroffenen Herstellern eine angemessene Zeit zum Beheben des Problems einzuräumen, bevor sie die Lücke auf den viel beachteten Bühnen der Konferenzen öffentlich machen. Moss sagt aber auch: „Wenn ein Unternehmen nicht reagiert – Pech gehabt, dann gibt es eben bei uns alle Details zur Lücke. In den letzten Jahren sind die IT-Unternehmen aber aufgewacht und nehmen die Hinweise aus der Hackerszene weit gehend ernst.“

E-Book am Online-Kiosk
	Dieser Beitrag erschien zuerst in unserer Magazinreihe. Das regelmäßige PDF-Magazin können Sie kostenlos abonnieren. Einzelhefte bekommen Sie online im Zeitschriftenkiosk des MittelstandsWiki.

Rache an Verrätern

Natürlich halten sich die Cracker nicht an solche Verordnungen – sie sprechen auch nicht auf den von Moss organisierten Konferenzen. So machte die ominöse, den White Hats feindlich gesinnte Gruppe ZF0 (Zero for Owned) just am Vorabend der Black Hat 2009 durch digitale Einbrüche bei prominenten Hackern von sich reden. ZF0 gehört zu einem losen Zusammenschluss namens Anti-Sec. Laut Jeff Moss gehören zu Anti-Sec „nur zehn bis 20 weltweit versprengte, bösartige Hacker. Sie sind Ewiggestrige, die nicht erkennen wollen, dass es ohne Zusammenarbeit zwischen Industrie und Hackern nicht geht.“ ZF0-Opfer waren unter anderem die Promihacker Kevin Mitnick und Dan Kaminsky.

Die Einbrecher veröffentlichten u.a. intime E-Mail- und Chat-Konversationen sowie Kaminskys – erkennbar zu simpel gehaltene – Passworte in einem Szenemagazin. Sie protestieren durch die Aktion gegen das Veröffentlichen der gefundenen Lücken und die kommerziellen Einlassungen von Hackern wie Kaminsky. Denn hierdurch, so findet ZF0, bereichern sich Hacker am Versagen der Industrie, die ihre Verfehlungen dann mundgerecht serviert bekommt – ohne allerdings mit irgendwelchen negativen Konsequenzen konfrontiert zu werden. Kaminsky wirft die Gruppe vor, dass er nichts zur allgemeinen Sicherheit beitrage, da er stets nur nach medial verwertbaren Bugs fahnde und Kleinigkeiten zum Riesenproblem aufblase.

Außerdem wollte ZF0 durch den Hack demonstrieren, dass Kaminsky & Co. als Berater der Industrie nicht taugen, da sie ihre eigene Infrastruktur nicht hinreichend absichern können. Kaminsky zweifelt diese Erklärungen mit Verweis auf die Bandbreite des veröffentlichten Materials jedoch an: „Um die Demonstration ihrer technischen Fähigkeiten kann es denen nicht gegangen sein. Andernfalls hätten sie sich kaum über meine Dating-Gewohnheiten hergemacht“, wundert sich der US-Hacker.

Kaminsky arbeitet schon seit Jahren als Berater, unter anderem für Microsoft. Dort gehört er zum erlesenen Kreis der White-Hat-Hacker, die weit vor Marktstart neuer Windows-Versionen Zugang zum wertvollen Sourcecode der Betriebssysteme bekommen. Microsoft heuert Hacker wie Kaminsky an, um durch Penetrationstests mögliche Sicherheitslücken in der Software zu entdecken – bevor es der Cyber-Untergrund tut, wenn das Produkt auf dem Markt ist.

Seiner Beratertätigkeit entsprechend ist Kaminsky ein wortstarker Verfechter der Zusammenarbeit zwischen Hackergemeinde und Industrie. „Wenn wir Hacker die Unternehmen ein ums andere Mal ins offene Messer laufen lassen und die entdeckten Lücken für uns behalten, dann hat davon niemand etwas. Verursachen IT-Produkte ständig finanzielle Schäden, tritt über kurz oder lang der Gesetzgeber auf den Plan.“ Der Hacker rechnet also mit einer staatlichen Regulierung des Internets und damit mit dem Ende der Anonymität.

Durch historische Einfallstore

Ein Fürsprecher des verantwortungsvollen Offenlegens ist auch der deutsche Hacker Felix „FX“ Lindner. Lindner ist Spezialist für Cisco-Router und deren hochkomplexes Betriebssystem. Der Berliner Hacker meldet alle gefundenen Lücken an Cisco und spricht erst öffentlich über seine Entdeckung, wenn das Unternehmen den Fehler ausgebügelt hat. Lindner weiß, dass die Zusammenarbeit nicht immer flüssig verläuft: „Es ist nicht ganz leicht, aber irgendwann gewöhnt man sich aneinander. Wobei Firmen wie Cisco oder Microsoft eine erfreuliche Ausnahme sind hinsichtlich der Professionalität, mit der sie die Zusammenarbeit mit der Hackergemeinde betreiben.“

Alle Professionalität und Vorsicht nutzte Microsoft im Jahr 2005 aber nichts. Damals lieferte der Konzern den Crackern ungewollt eine Steilvorlage. Microsoft-Manager Mike Reavy erinnert sich: „Cybergauner nahmen eines unserer gerade veröffentlichen Sicherheitsupdates auseinander und entdeckten so die Schwachstelle in Windows. Die Folge war der Zotob-Virus. Er verbreitete sich, weil längst nicht alle Windows-Nutzer das Update installiert hatten.“

Und mit genau diesem Problem kämpfen viele Softwarehersteller heute auch noch, allen Softwareupdate-Automatismen zum Trotz: Die Anwender installieren die Sicherheitsupdates nicht. Seit Monaten oder gar Jahren bekannte Lücken werden nach wie vor erfolgreich missbraucht. Der Unwille bzw. das Unwissen der Anwender spielt damit den Crackern in die Hände. Denn die effizienteste Zusammenarbeit mit den White Hats nutzt ebenso wenig wie die schnellste Update-Verfügbarkeit, wenn die Patches anschließend nicht installiert werden.

Nützliche Links

In den Journalen

• Cybercrime as a Service
• Security Development Lifecycle
• Sicheres Internet: Möglich, aber unmachbar
• Software Security Assurance