Eines schönen Abends schaltet Carl Cracker seinen Heimcomputer ein, um Zeit in einem der zahlreichen Chat-Rooms des Internets totzuschlagen. Dazu klinkt er sich in das Internet Relay Chat (IRC) ein, eine dem CB-Funk vergleichbare Einrichtung. Er wählt das Thema "Unix" und auf seinem Bildschirm erscheinen all die Diskussionsbeiträge, die andere Teilnehmer online zu diesem Betriebssystem eintippen. Manche suchen einfach nur Kontakt, andere möchten Wissen austauschen – es ist ein Stammtisch im Nirgendwo.

Doch Cracker ist weniger an Fachsimpeleien interessiert, sondern vielmehr an einem flamewar. Und schon ergibt sich eine Gelegenheit. Ein gewisser Hans Aufderhut stellt eine scheinbar triviale Frage: "Wie kann ich einen Treiber für meine Heimwetterstation schreiben."

Cracker wirft ein "RTFM" in die virtuelle Runde – das englische Akronym für "Lies doch das verdammte Handbuch" (read the fucking manual). Doch die Reaktion der Teilnehmer fällt anders aus als erwartet. Offenbar hatte die Frage einiges an Hintergrund, und dieser spöttische Kommentar war blamabel. Aufderhuts trockene Antwort lautet "Anfänger!". Carl Cracker schwört Rache.

Mit dem Kommando "finger" des IRC erfährt er die E-Mail-Adresse Aufderhut@bigfood.com. Hmmm, wenn dieser Mensch soviel über Computer weiß, könnte er ein Experte sein. Vielleicht Systemadministrator bei dem Unternehmen mit der Netzadresse – im Fachjargon Domain – bigfood.com. Kurzerhand wählt Cracker mit "telnet" den entsprechenden Mailserver an. Er gibt sodann "expn root@bigfood.com" ein und erfährt, daß Hans Aufderhut in der Tat Chefadministrator ist.

Seine Neugierde ist angestachelt. Carl Cracker startet Strobe, ein Programm, das nach und nach eine Verbindung mit jedem der tausenden von virtuellen Ports bei bigfood.com sucht, die Zugänge zum Firmennetz also wie bei einer Rasterfahndung abscannt. Strobe registriert jede Antwort der demons. Cracker weiß, daß jeder Port ein offenes Portal sein kann oder aber zumindest eines, das sich niederreißen läßt, wenn ein Fehler im entsprechenden demon es ihm gestattet.

Aber Strobe rennt gegen eine Mauer – gegen Hans Aufderhuts Firewall (englisch für "Brandmauer"), um genau zu sein (vergleiche auch Seite 90). Dieses machtvolle, defensive Programmsystem kontrolliert jedes ankommende Datenpaket, liest seinen TCP/IP-Kopf und stellt fest, für welchen Port es bestimmt ist. Die Firewall vergleicht diese Angaben mit ihren strikten Zugriffskriterien.

Sofort startet ein Programm auf bigfood.com und sendet eine Flut bedeutungsloser Zeichen, um Crackers PC lahmzulegen. Gleichzeitig sendet ein anderer demon seinem Internetanbieter (Internet Service Provider, ISP) eine E-Mail und unterrichtet ihn, daß jemand versucht, über seinen Server in bigfood.com einzubrechen. Binnen Minuten wird Cracker jeder weitere Zugriff auf das Netz wegen des Verdachts auf Computerkriminalität verwehrt.

Obwohl der Hacker damit nicht gerechnet hat – nur selten erfolgen solch strenge Maßnahmen so schnell – ist der Rückschlag doch tragbar. Er war ohnehin bei jenem ISP eingebrochen und hatte sich seine Nutzerkennung (englisch account) selbst eingerichtet. Als vorsichtiger Mensch hielt er sich auch bei anderen Providern ein solches Hintertürchen offen.

Ärgerlich war nur, daß er nun aus dem Chat verschwunden war. Für die anderen muß das so ausgesehen haben, als sei Carl Cracker wegen ungebührlichen Verhaltens entfernt worden oder, schlimmer noch, als habe er die Flucht ergriffen.

Er ist erbost, will das nicht auf sich sitzen lassen. Er wird einen stealth port scanner einsetzen, der Besonderheiten des Internet-Protokolls ausnutzt. Wenn nämlich ein Computer mit einem anderen kommunizieren soll, werden kurze Datenpakete hin- und hergesandt, um sich zu synchronisieren und wichtige Informationen auszutauschen; man spricht vom dreifachen Handshake (siehe Kasten auf der nächsten Seite). Das Ende der Übertragung wird durch ein Paket mit einem FIN-Flag (für finish, Endekennzeichen) angekündigt.

Carl Cracker weiß, daß sich dieser Mechanismus mißbrauchen läßt, indem man jedem Port ein vorzeitiges FIN-Paket sendet. Ist ein Zugang offen, wird der empfangende demon gewöhnlich nicht reagieren, ist es geschlossen, dann antwortet der Computer mit einem RST-Paket (für reset). Weil er aber eine Verbindung nicht als solche erkennt, bis der dreifache Handshake erfolgt ist, wird er diese Übertragung nicht protokollieren. Ein sogenannter FIN-Scanner vermag demnach einen Computer unbemerkt abzutasten, deshalb die englische Bezeichnung stealth port scanner – stealthy bedeutet heimlich. Und dennoch wird Carl Cracker bald erfahren, daß selbst ein einzelnes FIN-Paket genug Informationen über den Sender enthält, um ihn zu identifizieren.

Einstweilen surft er im Internet auf der Suche nach einem geeigneten Programm – er findet es auf einer obskuren Webseite. Der Scanner ist, wie die meisten Hacker-Werkzeuge, in der Programmiersprache C geschrieben und läuft unter dem Betriebssystem Unix. Cracker muß ihn noch modifizieren, denn es gibt zahlreiche Unix-Varianten. Das ist allerdings nicht weiter schwierig und erfordert keine sehr tiefgehenden Informatikkenntnisse. Wozu auch, gibt es doch fast jedes Programm für illegale Computeraktivitäten umsonst im Internet.

Im Gegensatz dazu startete Hans Aufderhuts Karriere konservativer. Mit einem Techniker eines lokalen Internetanbieters befreundet, lernte er, ein Computernetzwerk zu verwalten. Bald simulierten die beiden Hackereinbrüche und spielten deren Abwehr durch. So konnten sie die Sicherheit des ISP erhöhen. Aufderhut, der inzwischen ein Informatikstudium aufgenommen hatte, bekam dort außerdem einen Halbtagsjob. Es war wohl Crackers größter Fehler, sich mit einem erfahrenen Hacker anzulegen, der auf Seiten des Gesetzes steht.



Auf der Suche nach der Lücke: Ist die Brandmauer durchlässig?



Der Morgen graut bereits, als Cracker endlich den Scanner einsatzfähig hat. Binnen Minuten gibt er ihm einen Überblick über die Funktionen, die bigfood.com autorisierten Adressen anbietet. Die zwei, die sein besonderes Interesse wecken, sind ein demon für verschlüsselte Internetverbindungen und ein Webserver.

Plötzlich hält er den Atem an. Der Port mit der Nummer 31659 reagiert ungewöhnlich. Könnte das ein Hintertürchen sein, eingebaut von einem früheren Einbrecher?

Hans Aufderhut wird unsanft von alarmierenden "Bieps" aus dem Schlaf gerissen. EtherPeek, ein Schnüffelprogramm im bigfood.com-Netzwerk, ist auf die verdächtigen Aktivitäten an den Ports aufmerksam geworden und hat den Pager des Systemadministrators aktiviert. Er eilt ins Büro, denn seine besten Verteidigungsmittel laufen nur auf seinem Rechner dort. Sie können auch nur vor Ort gestartet werden; jede Bedienung von außen wäre eine Schwachstelle gegen Hacker-Angriffe.

Doch bei seiner Ankunft ist nichts Außergewöhnliches mehr zu entdecken – vielleicht durch einen Instinkt gewarnt hat Carl Cracker seine Attacke trotz des verheißungsvollen 31659-Ports abgebrochen. Freilich aufgeschoben ist nicht aufgehoben.

Da er nun schon mal im Büro ist, überprüft Aufderhut die Aufzeichnungen des Vorgangs auf seinem Computer. Es gelingt ihm, aus den FIN-Paketen die Herkunftsadresse zu ermitteln. Rasch meldet er per E-Mail an Crackers Provider, berichtet von dem versuchten Einbruch und möchte Details über den Account des Hackers wissen. Das Benutzen eines Scanners stellt aber noch keine Rechtsverletzung dar, und der Datenschutz verbietet die Weitergabe entsprechender Informationen.

Immerhin: Als Cracker drei Tage später wieder in das Internet will, ist sein Paßwort nicht mehr gültig. Gekränkt ruft er beim Provider an und erfährt, daß sein Account wegen des FIN-Scans gelöscht wurde. Das kann ihn aber nicht entmutigen, vielmehr wächst seine Entschlossenheit.

Mit seiner Kreditkartennummer und einem Anruf bei einem anderen ISP ist er rasch wieder online. Doch zur Vorsicht gemahnt loggt er sich von dem neuen Account aus zunächst bei einem weiteren Provider ein, bei dem er schon vorher eingebrochen war. Nun erfragt er mit dem einfachen Kommando "whois bigfood.com" die Identität dieses Netzsegments: Es gehört zur Schnellimbißkette BigFood.

Daraufhin versucht Cracker, sich mit "telnet bigfood.com 31659" am verheißungsvollen Port einzuloggen. Doch, oh weh, er erhält die Antwort, "Du Trottel! Hast Du wirklich geglaubt, das ist eine Hintertür?!". Mehr noch, der 31659-demon attackiert sofort seinen PC mit einem Wust sinnloser Daten. Gleichtzeitig informiert das Programm per E-Mail Crackers Provider über den versuchten Computereinbruch. Binnen Minuten bricht dessen Internet-Verbindung ab.

Rache! Wie der Fuchs um den Hühnerstall versucht der Hacker nun zuerst, die Firewall von außen zu erkunden. Von einem weiteren seiner illegalen Accounts aus sucht er eine Liste aller Computer zu erstellen, die zu bigfood.com gehören. Dazu verwendet er "nslookup", das im gesamten Internet nach Datenbanken mit Adress-Verzeichnissen sucht. Doch Aufderhut hat sein Netzwerk so eingerichtet, daß alle von außen kommenden Datenpakete zunächst zu einem speziellen Server gesandt werden, der sie dann an die richtige Adresse im Netzwerk weiterleitet. Die Brandmauer verbirgt die innere Struktur der Domäne.

Immerhin erfährt Cracker die numerische Adresse von bigfood.com: 123.45.67.189. Er läßt nun einen anderen Scanner nach Adressen im Umfeld dieser Zahl suchen und findet tatsächlich um die 50 im Internet angemeldete Rechner. Ob sie zur Fastfood-Kette gehören, ist freilich unklar, doch die Wahrscheinlichkeit dafür ist groß.

Mit "whois" entdeckt Cracker zudem, daß auch der Bereich goodfood.com von BigFood registriert wurde. Dessen numerische IP-Adresse ist weiter von der von bigfood.com entfernt und hat fünf weitere Computer in unmittelbarer Nachbarschaft.

Um erneut FIN-Scans zu unternehmen, loggt sich Carl Cracker vorsichtshalber in zwei weitere seiner Piratenaccounts ein. Ein paar extra Hürden, falls ihm eine Behörde auf die Schliche käme – nun sind Durchsuchungsbefehle für drei Unternehmen zu beantragen.

Er beschließt außerdem, seine Spuren auf dem dritten Account mit einem rootkit zu verwischen. Derartige Software überlistet auch Antivirus-Programme, die illegale Änderungen an den Systemdateien verhindern sollten. Es könnte sogar seine eigene Anwesenheit und Aktivität verbergen.

So geschützt beginnt Carl Cracker mit dem Abtasten aller Internetrechner bei bigfood.com und goodfood.com. Das Schnüffelprogramm EtherPeek erkennt aber wieder den FIN-Scanner und alarmiert Hans Aufderhut über den Pager.

Frustriert eilt der ins Büro, stellt die Herkunft der FIN-Scans fest und alarmiert den Provider von Crackers drittem Account. Das rootkit hat aber seine Aufgabe erfüllt, und der verwunderte Administrator dort findet keine Spur des Hackers. Der hat inzwischen begonnen, mit Strobe die Ports anzuwählen – er sucht nach einem Loch in der Firewall.

Die sendet ihm nun einen Wust von Daten, was aber den Administrator von Crackers Internet-Account davon überzeugt, daß ein Hacker am Werk ist. Er entschließt sich zu einer drastischen Maßnahme und koppelt sein gesamtes System vom Internet ab. Als die Verbindung stirbt, realisiert der Dunkelmann, daß es keinen eleganten Weg um die Firewall herum gibt.

Erfahrungsgemäß hängen an jedem Internetrechner eine ganze Reihe von Arbeitsplatzcomputern. Einige Nächte später grübelt der Hacker darüber nach, daß doch sicherlich der eine oder andere Workoholic die Brandmauer der Firma umgeht, um abends von zu Hause aus weiterzuarbeiten. Dafür genügt ein handelsübliches Modem, das – kurz vor Feierabend eingeschaltet – den Bürocomputer ans Telephonnetz anschließt. In fast jedem größeren Unternehmen hängt mindestens ein solches nicht genehmigtes Modem am Netz und wartet nur darauf, als Hintertür zu dienen.

Cracker setzt ShokDial darauf an, ein Programm, daß sowohl jede Nummer im BigFood-Telephonnetz als auch alle anderen Nummern, die zu dieser Vermittlungsstelle gehören, automatisch anwählt. Man sollte meinen, daß eine solche Aktion auffällt. Zwar hört der Nachtwächter einen Apparat nach dem anderen klingeln, denkt sich aber nichts dabei.

Dann endlich, morgens um 2 Uhr 57, antwortet ein Modem, und der Hacker wird von dem Login-Bildschirm eines Silicon Graphics-Computers begrüßt: "BigFood Marketingabteilung. Irix 6.3." Carl Cracker ist entzückt: Irix ist eine Unix-Variante, und das heißt, daß er jetzt schon einen Schlüssel zu Hans Aufderhuts so wohl behüteter Welt in der Hand halten könnte.

Er startet ein Programm, das wieder und wieder die Irix-Maschine anwählt und Paßwörter testet. Sein Ziel ist der root account dieses Rechners, also die Zugangskennung eines Systemadministrators. Dann hätte er Zugriff auf alle Funktionen und Bereiche der Maschine. Es wäre doch gelacht, wenn sich der Besitzer der Irix-Maschine nicht einen externen Zugang zum Rootaccount eingebaut hätte.

Ein Paßwortrater beginnt mit gebräuchlichen Worten und Namen und geht danach zu exotischeren Varianten über. Es kann Monate oder sogar Jahre dauern, während das Programm jeden Eintrag im Wörterbuch, in einem Lexikon und im örtlichen Telefonbuch durchgeht. Aber Cracker hat Glück. Gegen 5 Uhr am Morgen erfährt er, daß der Schlüssel einfach "onion" heißt.

Mit einem Schrei der Begeisterung meldet er sich als Adminstrator an. Zunächst installiert er mit FTP, einem Programm zum Fernkopieren von Dateien, ein rootkit. Das erzeugt zunächst die sinnige Nutzerkennung "rache" mit dem Paßwort "aetschibaetsch" – und sichert so den Brückenkopf auf der Irix. Mit FTP gelangt des weiteren ein Trojanisches Pferd auf den Rechner. Das richtet Cracker so ein, daß es jeden Tastendruck an der Konsole, aber auch jede Anmeldung vom Netzwerk aus in einer harmlos aussehenden Datei aufzeichnet.

Carl Cracker benötigt nun noch die Internetadresse des überlisteten Computers. Dazu gibt er einfach das Kommando "who" ein und erfährt, daß der Nutzer "rache" zur Zeit an cheese.goodfood.com arbeitet. Irgendwann gegen später an diesem Morgen, wenn der Hacker eine Mütze voll Schlaf nimmt, wird sich der Mitarbeiter des Unternehmens mit "onion" anmelden, ohne etwas von den nächtlichen Aktivitäten zu bemerken. Und zuverlässig schreibt das Trojanische Pferd dann mit. Aufderhut wird in seinen Logdateien lediglich einen frühmorgendlichen Zugriffsversuch auf goodfood.com entdecken. Auch wenn ihn der kürzliche FIN-Scan sorgt – es fehlen Informationen, um etwas zu unternehmen.

Zwei Tage später loggt sich Cracker in cheese.goodfood.com ein, um seine heimlichen Aufzeichnungen zu begutachten. Enttäuscht muß er aber feststellen, daß der gesamte interne Netzwerkverkehr verschlüsselt wird. Das Trojanische Pferd, das alle Tastatureingaben aufzeichnete, hat jedoch vermerkt, daß sich ein Nutzer von Cheese auf einen anderen Computer namens Beef eingeloggt hatte. Der Hacker kennt nun einen legalen Nutzernamen und ein Paßwort für diesen neuen Rechner – Sesam öffne dich!

Beef ist anscheinend eine SPARC-Workstation, die zur Erzeugung von Animationen, wahrscheinlich für Werbespots, benutzt wird. Die Chancen sind groß, daß Beef selbst ein Server ist, also einige untergeordnete Computer, sogenannte Clients, bedient. Cracker beginnt deshalb eifrig nach einer Paßwortdatei zu suchen. Er hofft, daß einige der Schlüssel auch auf anderen Rechnern im Netzwerk gelten.

Er findet die Datei, sie enthält aber nur eine Menge von "x". Ganz offensichtlich sind die wirklichen Paßwörter irgendwo anders versteckt – in einer unsichtbaren Datei (shadowed file). Grinsend läßt Cracker sein FTP-Programm abstürzen, und voila! Weil es Unix so vorsieht, schreibt die SPARC-Station den momentanen Inhalt ihres Arbeitsspeichers zumindest teilweise in eine Datei (man spricht vom core dump).

Der core dump hat eigentlich einen guten Zweck: Durch Analyse des Speicherinhalts läßt sich mitunter der Grund für einen Programmabsturz ermitteln. Doch können auch andere Schätze darin verborgen sein: Oftmals legt der Rechner eine Kopie der in der Schattendatei chiffrierten Kennworte im Arbeitsspeicher ab, um eingegebene Paßwörter – die das System wieder nach seinen Vorgaben verschlüsselt – mit den Einträgen zu vergleichen. Diese Liste läßt sich aber aus dem Speicherauszug herausfiltern und einem Programm übergeben, das tage- oder wochenlang versucht, durch Probieren die Kennwörter zu knacken.

Ungeduldig arbeitet Carl Cracker aber derweil schon an seinem nächsten Zug. Er plant, eine allgemein bekannte Schwäche von Unix auszunutzen. Wenn ein Programm unter diesem Betriebssystem zu viele Daten in einen Puffer schreibt, läuft der über und Bits und Bytes gelangen auch in andere Gebiete des Speichers. Auf diese Weise schmuggelt der Hacker eigenen Programmcode auf die SPARC-Station. Damit richtet er sich Superuser-Privilegien ein und vermag von nun an jedes andere Programm oder Kommando zu starten. Sehr zufrieden mit seinen Erfolgen installiert Cracker ein rootkit und einen Schnüffler. Da das rootkit nur Aktivitäten verbirgt, nachdem es installiert wurde, muß er allerdings alle Spuren dieser geschäftigen Nacht sozusagen von Hand verwischen.

Eine Frage bleibt noch zu klären. Gibt es jemanden, der sich auf Beef vom Internet aus einloggen darf? Cracker ruft mit dem "last"-Kommando eine Liste der letzten Verbindungen ab. Als er liest, daß die Nutzer "onion" und "ketchup" vor kurzem Verbindung mit Beef hatten, ist seine Müdigkeit wie weggeblasen: Sie kamen nämlich von der anderen Seite der Firewall, von einer Domain namens macdo.com.

Als er schließlich zu Bett geht, fällt das Einschlafen schwer. Bald würde BigFood ihm gehören.

Quasi mit links bricht Cracker am nächsten Abend bei macdo.com ein. Er täuscht den Server über seinen wahren Standort, indem er seine Internet-Adresse fälscht: Mit einer Folge von SYN-Paketen veranlaßt er ihn, seinerseits mit ACK/SYN-Paketen und den dazugehörigen Seriennummern zu antworten (siehe Kasten nächste Seite). Indem er dann das Bildungsgesetz dieser Seriennummern ermittelt, kann er die nächste autorisierte Nummer erraten und gibt sich nun als ein dem System bekannter Rechner aus. Geschwind installiert Cracker einen Schnüffler und ein Programm aus Systembefehlen (eine sogenannte shell), das ihm eine verschlüsselte Verbindung zu Beef öffnet.

Von dort aus verschafft er sich erst einmal einen Überblick über derzeit aktive Netzverbindungen mit dem "netstat"-Kommando (Akronym für "Netzstatus"). Er entdeckt einen Computer, der ihm noch unbekannt ist. Sein Name, admin.bigfood.com, klingt erfolgversprechend. Könnte das des Administrators Aufderhuts Schaltzentrale sein?

Derweil knackt Crackers Spezialprogramm ein verschlüsseltes Paßwort der Geheimdatei nach dem anderen. Er probiert sie dann auf mehreren Computern von bigfood.com, doch mit keinem von ihnen hat er außerhalb von Beef Erfolg – aber dort ist er ja schon der "Boß".

Dann zieht er zweimal den Super-Hauptgewinn.

Auf Beef belauscht er den Nutzer "ketchup", als dieser auf dem Webserver der Firma arbeitet. Genauer gesagt nimmt er dessen Tastatureingaben auf. Unter anderem erfährt er so das erforderliche Paßwort: "bigpizza". Sein Schnüffler auf Cheese hat außerdem "onion" dabei beobachtet, wie er oder sie sich in diesen Computer einwählte, und dann durch eine Hintertür in einen Rootaccount von admin.bigfood.com einloggte. Pfui, pfui, ein Hacker innerhalb von BigFood. Wie war er Aufderhuts Aufmerksamkeit entgangen? Aha, "onion" hat ein eigenes rootkit, um nicht ertappt zu werden.

Sofort folgt Cracker dem ahnungslosen Möchtegern-Hacker und testet von Admins Rootaccount aus einen Computer der BigFood-Domain nach dem anderen. Er hatte aber nicht mit Hans Aufderhuts Übervorsicht gerechnet. Der gestattete nicht einmal Superusern, sich auf anderen Computern ohne ein weiteres Paßwort einzuloggen.

Das kann Carl Cracker aber nur kurz irritieren, dann richtet er sein Augenmerk wieder auf den Webserver. Mit "bigpizza" verschafft er sich auf dem Webserver Zutritt und installiert eine neue, von ihm in Erwartung dieses Tages bereits erstellte Version der BigFood-Homepage.

Hans Aufderhut schiebt inzwischen Überstunden. Die Aufzeichnungen des Systems, welcher Benutzer sich wann und wo eingeloggt hat, sagen ihm, daß die Marketingabteilung ungewöhnlich viele Zugriffe von macdo.com aus erhielt. Morgen wird er sie wohl fragen müssen, was da vor sich geht. Außerdem würde er sich mit dem Systemadministrator von macdo.com in Verbindung zu setzen.

Gerade als er Feierabend machen will, klingelt das Telephon. Ein erboster Kunde beschwert sich, daß die Webseite der Firma eine äußerst unappetitliche Animation eines von Übelkeit geplagten Hamburgers zeigt. Aufderhut vergewissert sich selbst und koppelt sofort das Firmennetzwerk vom Internet ab – er zieht den Stecker des entsprechenden Ethernetkabels.

Cracker bekommt zunächst einen Wutanfall, als sein kreatives Werk so schnell von der Bildfläche verschwindet. Dann macht er sich aber Sorgen, ob er vielleicht Spuren hinterlassen haben könnte. Über die noch nicht entdeckte Modem-Verbindung kehrt er unbemerkt zurück und formatiert die Festplatte des Hauptcomputers, was BigFoods Netzwerk in die Knie zwingt und Einzelheiten des Angriffes löscht.

Zwar versucht Hans Aufderhut den Rechner von der Konsole aus wieder zu starten. Aber es ist zu spät, und er muß nun die gesamte Software von Grund auf neu installieren. Doch was der Hacker nicht wußte: Ein EtherPeek-Schnüffler auf einem benachbarten Macintosh-Rechner hatte die Vorgänge protokolliert.

Cracker, noch immer erbost über den Verlust seiner Webseite, hat noch eine letzte Bosheit geplant. Er überschüttet bigfood.com mit einer Datenflut, und bald bekommt der Systemadministrator einen hysterischen Anruf von einer Mitarbeiterin, die vergeblich versucht, mit Laptop und Modem ihre geschäftlichen E-Mails vom Hotelzimmer aus zu lesen.

Erschöpft bittet Hans Aufderhut am nächsten Morgen die Unternehmensleitung um Erlaubnis, jeden Computer im Netzwerk zu säubern, jedes Programm von Neuem zu installieren und alle Paßwörter zu ändern. Diese drastische, wenn auch besonnene Maßnahme würde jedoch das Netzwerk tagelang außer Betrieb setzen – der Antrag wird abgelehnt.

Zu diesem Zeitpunkt hat Crackers destruktives Treiben die Grenzen der Legalität bereits weit überschritten. Doch die Polizei leidet unter Personalmangel und ist damit beschäftigt, Computereinbrüche in Regierungssysteme zu untersuchen. Aufderhut wird wohl fürs Erste allein weitere Beweise finden müssen.

Dazu dreht er den Spieß um. Da der Angreifer selbst nach dem Ziehen des Netzsteckers noch Zugriff auf das System gehabt hatte, vermutet der Administrator ein nicht genehmigtes Modem irgendwo im Gebäude. Er startet sein eigenes Wählprogramm und entdeckt bald den Schuldigen. Es scheint, als habe er ein Hühnchen mit der Marketingabteilung zu rupfen!

Aufderhut installiert danach eine frische Version seines Hauptcomputers. Von einem WindowsNT-Server, von dem er weiß, daß er unbeschadet geblieben war, startet er T-sight, ein mächtiges Antihackerprogramm, das ein ständiges Auge auf alle Computer im Netz hat.

Schließlich stellt er eine Falle auf. Wenn T-sight eine neuerliche Attacke erkennt, wird es sie zu einem eigens vorbereiteten Rechner leiten. Von dort aus läßt sich der Übeltäter beobachten und zurückverfolgen. Damit er aber auch dort lange genug bleibt und keinen Verdacht schöpft, beauftragt Aufderhut seine Programmierer, die Attrappe eines Buchführungssystems einzurichten – komplett mit frei erfundenen Finanzdaten.

Zwei Tage später, 20:17 Uhr. Der Systemadministrator schiebt Wache, als jemand versucht, in admin.bigfood.com einzudringen. Es ist Cracker. Warum ist er so bald zurückgekehrt. Nun, die Antwort lautet: Hybris. Seine abstoßende Webseite war Tagesgespräch in der Hackerszene und wurde sogar im Fernsehen erwähnt.

Mit dem Gefühl, geradezu unbesiegbar zu sein, hatte Carl Cracker seine bisherige Vorsicht außer Acht gelassen, war über einen Gastaccount bei einem Internetprovider und dann über "telnet" direkt nach macdo.com eingedrungen, um Beefs Hintertür schneller zu erreichen. Kaum in admin.bigfood.com steckt er auch schon in dem eigens für ihn eingerichteten "Gefängnis". Wow, sind das nicht sensitive Finanzdaten?

Nun schlägt Aufderhuts Stunde. Aus den Daten von T-sight erhält er Crackers Paßwort – "aetschibaetsch" – und kann den Eindringling zu macdo.com zurückverfolgen. Er alarmiert die dortige Systemadminstratorin über ihren Pager. Sie hat zwar ihren Arbeitsplatz schon verlassen, ruft aber von einem Restaurant aus zurück und gibt weitere Anweisungen, wie sich die Spur des Hackers verfolgen läßt.

Während der nun eine Menge vorgeblicher Kreditkartennummern auf seinen Rechner lädt, installiert Aufderhut ein Schnüffelprogramm auf macdo.com. Er kann sich sogar auf dem Account einschleichen, den der Hacker dort eingerichtet hatte: Unvorsichtigerweise gilt nämlich auf jedem seiner rootkit "aetschibaetsch". Nur Minuten bevor Cracker seinen Download beendet und die Verbindung abbricht, kann Aufderhut die Spur der geplünderten Kreditkartennummer-Datei bis zum Gastzugang des Providers zurückverfolgen.



Vom virtuellen Gefängnis vor den realen Kadi



Das reicht endlich aus, um die Polizei mit genügend Informationen zu versorgen. Am nächsten Tag kontaktiert sie den ISP, um aus den Aufzeichnungen der Telephonverbindungen Crackers Indentität zu erfahren. Die Aufzeichnungen jenes Macintosh-Programms reichen aus, um einen Durchsuchungsbefehl für die Wohnung des Hackers zu beantragen.

Dort wird die Polizei den PC beschlagnahmen. Obwohl Cracker nach jeder nächtlichen Aktion verräterische Dateien gelöscht und die Speicherbereiche mehrfach überschrieben hat, finden Experten noch genügend Informationen, um die erforderlichen Daten zu rekonstruieren.

Dabei mag auch so manch andere Attacke ans Tageslicht kommen. Vermutlich wird er sich darauf herausreden wollen, daß alles doch nur ein harmloses Spiel gewesen sei. Doch bekanntlich hört der Spaß des einen dort auf, wo der Schaden des anderen anfängt. Cracker könnte wohl in einem ganz realen Gefängnis landen.


Aus: Spektrum der Wissenschaft 3 / 1999, Seite 82
© Spektrum der Wissenschaft Verlagsgesellschaft mbH