Jim arbeitete als Sergeant in der U.S. Army in Fort Lewis (am Puget Sound im Staat Washington) in einer Computergruppe. Sein Top Sergeant war ein Tyrann, und Jim beschreibt ihn als jemanden, der „auf die ganze Welt sauer ist”, ein Mensch, der „seinen Rang dazu nutzt, allen Untergebenen das Leben zu vermiesen”. Schließlich hatten Jim und seine Kumpels aus der Gruppe die Nase voll und beschlossen, dass sie einen Weg finden müssten, um diesen Unmenschen dafür zu bestrafen, dass er anderen das Leben so unerträglich macht.

In Jims Einheit werden die Personalakten und die Gehaltsabrechnungen bearbeitet. Um eine korrekte Eintragung zu gewährleisten, wird jeder Eintrag von jeweils zwei Soldaten im Innendienst vorgenommen, und bevor die Daten in die Akte der jeweiligen Person gelangen, werden die Ergebnisse verglichen.

Was ihnen als Rache eingefallen war, sagt Jim, war eigentlich recht simpel. Zwei Leute machten identische Einträge, die dem Computer mitteilten, dass der Sergeant verstorben war.

Damit endeten natürlich seine Gehaltszahlungen.

Als die Gehälter angewiesen wurden und der Sergeant sich beschwerte, dass er kein Geld erhalten hatte, „machten es die Standardvorgaben erforderlich, dass seine Akte gezogen und seine Gehaltsanweisung manuell erstellt wurde.” Aber das hat auch nicht funktioniert. „Aus unbekannten Gründen”, schrieb Jim mit deutlicher Ironie, „war seine Personalakte nirgends zu finden. Ich habe Grund zu der Annahme, dass es bei der Akte zu einer spontanen Selbstentzündung gekommen ist.” Es ist nicht schwer sich vorzustellen, wie Jim zu diesem Schluss gelangt ist.

Weil der Computer ausgab, dieser Mann sei tot, und keine Ausdrucke der Akten zu bekommen waren, die beweisen konnten, dass er überhaupt jemals existiert hat, war der Sergeant der Angeschmierte. Es gab keine Arbeitsanweisung dafür, wie ein Scheck für eine nicht-existente Person auszustellen ist. So musste erst eine Anfrage an das Hauptquartier der Army gestellt werden mit der Bitte, dass Kopien der Personalakten dieses Mannes erstellt und weitergeleitet werden sollten, und dann waren auch noch Dienstanweisungen über die Befugnis nötig, ihm in der Zwischenzeit Geld anzuweisen. Die Anträge wurden ordnungsgemäß eingereicht, allerdings stand leider keine schnelle Bearbeitung in Aussicht.

Diese Geschichte hat ein Happy End. Jim berichtet, dass „sich sein Verhalten für den Rest der Zeit, in der ich ihn kannte, deutlich verändert hatte.”

Als damals der Film Jurassic Park 2 herauskam, beschloss ein junger Hacker, den wir hier Yuki nennen wollen, den Computer von MCA/Universal Studios zu „ownen” (d.h. dessen Kontrolle zu übernehmen). Auf diesem Rechner wurde lost-world.com gehostet, die Website für den Film Jurassic Park und die TV-Shows des Studios.

Nach seiner Aussage war das „ein ziemlich trivialer Hack”, weil die Site so schlecht geschützt war. Das hat er sich zunutze gemacht, indem er technisch gesprochen „ein CGI einsetzte, das einen Bouncer [einen hohen, nicht durch Firewalls geschützten Port] öffnet, damit ich mich also mit einem hohen Port verbinden und dann für den vollen Zugriff eine Rückverbindung auf localhost aufbauen konnte.”

MCA war damals in einem gerade erst errichteten Gebäude untergebracht. Yuki stellte ein paar Nachforschungen im Internet an, erfuhr den Namen der Architektenfirma, ging auf deren Website und fand es nicht schwer, in ihr Netzwerk einzubrechen. (Das ist so lange her, dass die offensichtlichen Schwachstellen wahrscheinlich mittlerweile gefixt worden sind.)

Von hinter der Firewall aus war es ein Leichtes, die mit AutoCAD erstellten schematischen Darstellungen des MCA-Gebäudes zu finden. Yuki war hocherfreut. Aber das war doch nur ein Nebeneffekt seines eigentlichen Zieles. Sein Freund hatte ein „süßes neues Logo” für die Webseiten von Jurassic Park designt, bei dem er den Namen Jurassic Park ausgetauscht und den Tyrannosaurus mit dem aufgerissenen Rachen durch ein Entchen ersetzt hatte. Sie brachen in die Website ein, posteten das Logo dort (siehe Abbildung) an Stelle des offiziellen und lehnten sich zurück, um abzuwarten, was passiert.

Abb. 11.1: Der Ersatz für das Logo von Jurassic Park

Das Ergebnis war nicht ganz so wie erwartet. Die Medien hielten das Logo für witzig, aber verdächtig. CNet News.com brachte eine Story^[1], die in der Überschrift hinterfragte, ob es sich hier um einen Hack oder einen Hoax (Scherz) handele, und den Verdacht äußerte, dass jemand von Universal mit diesem Trick bei dem Film für Publicity sorgen wolle.

Yuki sagt, dass er kurz danach mit Universal Kontakt aufgenommen und sie über die Lücke aufgeklärt hat, über die er und sein Freund in die Site eingedrungen waren, und ihnen auch eine von ihnen installierte Backdoor verraten hat. Die Leute von Universal haben im Gegensatz zu vielen Organisationen, die die Identität von Einbrechern in ihr Netzwerk oder ihre Website erfahren, diese Information begrüßt.

Und obendrein, sagt Yuki, haben sie ihm einen Job angeboten – zweifellos, weil sie dachten, dass er noch mehr Schwachstellen finden und beseitigen könnte. Yuki war von diesem Angebot begeistert.

Es klappte dann allerdings doch nicht. „Als sie erfuhren, dass ich erst 16 bin, haben sie versucht, ihr Angebot an mich zu drücken.” Er hat schließlich abgelehnt.

Zwei Jahre später hat CNet News.com eine Liste der zehn besten Hacks aller Zeiten veröffentlicht.^[2] Yuki war hocherfreut, als er auch seinen Jurassic Pond-Hack dort weit oben aufgeführt fand.

Aber seine Hackertage seien vorbei, sagt Yuki. Er sei schon „seit fünf Jahren aus der Szene raus”. Nach seiner Absage für das Angebot von MCA hatte er dann später eine Karriere als Consultant begonnen, die er seitdem verfolgt.

Vor einiger Zeit haben Xerox und andere Firmen mit Geräten experimentiert, die so wie ET „nach Hause telefonieren” sollten. Beispielsweise könnte ein Kopiergerät den eigenen Status überwachen. Wenn dann der Toner zur Neige geht oder die Einzugsrollen sich abzunutzen beginnen oder andere Probleme entdeckt werden, könnte eine Stelle an einem anderen Ort oder der Kundendienst durch ein Signal über die Situation informiert werden. Ein Kundendienstmitarbeiter könnte dann einen entsprechenden Auftrag erhalten und gleich die benötigten Ersatzteile mitbringen.

Eine dieser Firmen, die laut unseres Informanten David diese Möglichkeiten ausgelotet haben, war Coca-Cola. Im Rahmen eines Experiments wurden Coca-Cola-Verkaufsautomaten nach Davids Aussage mit einem Unixsystem verbunden und konnten remote über ihren Betriebszustand abgefragt werden.

Als sie sich mal gelangweilt haben, beschlossen David und ein paar Freunde, in diesem System etwas herumzuforschen, um zu schauen, was sich da entdecken ließe. Sie fanden heraus, dass wie von ihnen erwartet über telnet auf diese Maschine zugegriffen werden konnte. „Sie war über einen seriellen Port angeschlossen, und da gab es einen laufenden Prozess, der ihren Status abgefragt und schön formatiert ausgegeben hat.” Über das finger-Programm haben sie erfahren, dass „es einen Login für diesen Account gab – wir brauchten nur noch das Passwort herauszufinden”.

Sie haben nach nur drei Versuchen das Passwort herausbekommen, obwohl ein Programmierer der Firma absichtlich eines genommen hatte, das sehr unwahrscheinlich war. Als ihnen der Zugang möglich war, entdeckten sie, dass der Quellcode für das Programm auf der Maschine gespeichert war, und „wir konnten es uns nicht verkneifen, eine kleine Änderung vorzunehmen!”

Sie haben Code eingefügt, der etwa alle fünf Mal eine Zeile am Ende der ausgegebenen Nachricht einfügte: „Hilfe! Da tritt mich einer!”

„Aber den größten Lacher hatten wir”, sagt David, „als wir das Passwort geraten haben.” Wollen Sie mal probieren, selbst das Passwort zu raten, bei dem die Leute von Coca-Cola so sicher waren, dass darauf bestimmt niemand kommen könnte?

Das Passwort bei diesem Cola-Automaten lautete David zufolge „pepsi”!

Im Vorfeld der Operation „Desert Storm” machten sich die Geheimdienste der U.S. Army bei den Kommunikationssystemen der irakischen Armee an die Arbeit und schickten Helikopter, die mit Abtastgeräten für Radiofrequenzen ausgerüstet waren, auf „der sicheren Seite der irakischen Grenze” an strategisch wichtige Punkte. So formuliert es Mike, der dabei war.

Die Helikopter wurden in Dreiergruppen ausgesandt. Vor der Entwicklung des Global Positioning Systems (GPS) zur genauen Bestimmung von Einsatzorten konnten über drei Hubschrauber Kreuzpeilungen vorgenommen werden, mit denen die Geheimdienstleute den Standort aller irakischen Armeeeinheiten feststellen konnten, zusammen mit den von ihnen benutzten Radiofrequenzen.

Als die Operation begann, konnten die United States die irakische Kommunikation abhören. Mike berichtet: „US-Soldaten, die Farsi sprachen, hörten den irakischen Befehlshabern dabei zu, wie sie mit den Kommandanten der Bodentruppen redeten.” Und sie hörten nicht nur zu. Wenn ein Kommandeur alle seine Einheiten zur gleichzeitigen Aufnahme der Kommunikation aufforderte, dann meldeten sich die Einheiten zurück: „Hier ist Camel 1.” „Hier ist Camel 3.” „Hier ist Camel 5.” Danach meldete sich einer der amerikanischen Lauscher auf Farsi zu Wort: „Hier ist Camel 1” und wiederholte damit den Meldenamen.

Der irakische Kommandant hat dann verwirrt zu Camel 1 gesagt, sie hätten sich doch bereits zurückgemeldet und sollten das nicht zweimal machen. Camel 1 gab dann ganz unschuldig zurück, er habe sich nur einmal gemeldet. „Dann folgte eine aufgeregte Diskussion mit Anschuldigungen und Zurückweisungen, wer nun was gesagt hat”, erinnert sich Mike.

Die Lauscher von der Armee führten dieses Verhaltensmuster an verschiedenen Stellen entlang der Grenze bei anderen irakischen Kommandanten fort. Dann beschlossen sie, mit ihrer List in die nächste Runde zu gehen. Anstatt einen Rückmeldenamen anzugeben, rief eine amerikanische Stimme auf Englisch: „Hier ist Bravo Force 5 – wie läuft’s denn so bei euch?” Nach Mikes Worten führte das „zu einem totalen Aufruhr!”

Diese Störungen versetzten die Befehlshaber in Rage, weil sie sich vor ihren Bodentruppen gedemütigt sahen, die diese Unterbrechungen durch die ungläubigen Invasoren mit anhörten. Gleichzeitig entdeckten sie völlig erschüttert, dass sie sich nicht mit Befehlen per Funk an ihre Einheiten wenden konnten, ohne dass die amerikanischen Streitkräfte jedes Wort mithörten. Sie begannen, routinemäßig auf verschiedene Alternativfrequenzen zu schalten.

Mit der Ausrüstung zum Abtasten der Radiofrequenzen an Bord der amerikanischen Helikopter konnte diese Strategie ausgehebelt werden. Die Geräte scannten einfach das gesamte Frequenzband und konnten so schnell die Frequenz lokalisieren, auf die die Iraker umgeschaltet hatten. Bald hatten die Lauscher der Army also wieder Anschluss gefunden. Dabei konnte der Armeegeheimdienst nach jedem Wechsel seine wachsende Liste der von den Irakern benutzten Frequenzen erweitern. Und sie konnten fortlaufend die „Schlachtordnung” der irakischen Verteidigungskräfte ergänzen und aktualisieren – deren Größe, Standort und Bestimmungsort der Einheiten und sogar deren Schlachtpläne.

Schließlich waren die irakischen Befehlshaber so verzweifelt, dass sie die Funkkommunikation mit ihren Truppen aufgaben, und stattdessen auf unterirdische Telefonleitungen setzten. Aber wieder blieben ihnen die United States buchstäblich auf den Fersen. Die irakische Armee verließ sich auf einfache alte serielle Telefonleitungen, und es war ein Leichtes, sie mit einem verschlüsselten Übertragungsgerät anzuzapfen und den gesamten Telefonverkehr an den Geheimdienst der Army weiterzuleiten.

Die Farsi-sprechenden Armeeangehörigen gingen erneut an die Arbeit und setzten dieses Mal wieder die gleichen Methoden ein, die sie schon zur Störung der Funkkommunikation benutzt hatten. Man möge sich den Gesichtsausdruck eines irakischen Majors oder Obersts oder Generals vorstellen, dem aus der Leitung eine fröhliche Stimme ein „Hi, hier ist wieder Bravo Force 5! Wie läuft’s denn so bei euch?” entgegentönt.

Und die vielleicht noch etwas ergänzt wie „Ihr habt uns schon gefehlt, schön, dass wir euch wieder gefunden haben”.

An diesem Punkt hatten die irakischen Befehlshaber keine Möglichkeiten der modernen Kommunikation mehr übrig. Sie griffen darauf zurück, ihre Befehle schriftlich festzuhalten und die Papiernachrichten dann über LKWs an die Offiziere im Feld zu übermitteln. Dort wurden die Antworten ebenfalls aufgeschrieben und dann mit dem LKW durch die staubige Sandwüste ans Hauptquartier zurückgeschickt. Eine einfache Anfrage mit Antwort brauchte Stunden für den Hin- und Rückweg. Befehle, bei denen mehrere Einheiten koordiniert werden mussten, wurden beinahe unmöglich, denn es war schwer zu schaffen, alle Befehle rechtzeitig an jede beteiligte Einheit auf dem Feld zu übermitteln, damit das Zusammenspiel klappte.

Nicht gerade eine effektive Weise, sich gegen die schnell operierenden amerikanischen Streitkräfte zu verteidigen.

Nach Beginn der Luftangriffe bekam eine Gruppe von US-Piloten die Aufgabe, nach diesen LKWs Ausschau zu halten, die mit ihren Botschaften zwischen den bekannten Standorten der irakischen Militäreinheiten hin und her fuhren. Die Air Force nahm sich diese Kommunikationsfahrzeuge vor und schaltete sie aus. Innerhalb weniger Tage weigerten sich die irakischen Fahrer, die Nachrichten zwischen den Befehlshabern auf dem Schlachtfeld zu überbringen, weil es den sicheren Tod bedeutete.

Damit waren die Möglichkeiten des irakischen Befehls- und Steuerungssystems praktisch zusammengebrochen. Auch wenn es dem irakischen Oberkommando gelang, per Funk Befehle auf das Schlachtfeld zu übermitteln, graute nach Mikes Worten den Befehlshabern im Feld „vor dieser Art der Kommunikation, weil sie wussten, dass die Botschaften von der U.S. Army abgehört und dazu genutzt wurden, Angriffe auf irakische Standorte zu starten.” – Obendrein verriet der Feldbefehlshaber durch seine Antwort auf die Befehle, dass er immer noch am Leben war, und er konnte sich ausrechnen, dass die Amerikaner durch seine Antwort seinen Standort lokalisieren konnten. Als Versuch, ihr eigenes Leben zu retten, deaktivierten einige irakische Feldeinheiten ihre verbleibenden Kommunikationsgeräte, damit sie keine eingehende Kommunikation mehr hören mussten.

„In kürzester Zeit”, erinnert sich Mike mit offensichtlicher Schadenfreude, „kollabierte die irakische Armee und versank an vielen Orten in Chaos und Inaktivität, weil niemand in der Lage – oder willens – war zu kommunizieren.”

Das Folgende stammt zum größten Teil direkt aus unserem Gespräch mit diesem früheren Hacker, der jetzt ein etablierter und respektierter Security Consultant ist.

Es ist alles da, Mann, alles da. „Warum berauben Sie Banken, Mr. Horton?” „Weil’s da Geld gibt.”

Ich will Ihnen eine lustige Story erzählen. Also ich und dieser Typ namens Frank von der National Security Agency – seinen Namen sag ich nicht, er arbeitet jetzt für Microsoft. Wir hatten also einen Auftrag für einen [Penetrationstest] bei einer Firma, die digitale Geschenkgutscheine ausstellt. Die gibt’s nicht mehr, ich nenne ihren Namen trotzdem nicht.

Also, was werden wir hacken? Werden wir den Kryptoschlüssel im Geschenkgutschein hacken? Nein, [die Verschlüsselung] war total klasse, sehr gut gemacht. Ist kryptographisch gesichert, das wäre reine Zeitverschwendung gewesen. Was greifen wir also an?

Wir schauen uns an, wie ein Händler einen Gutschein einlöst. Dies ist ein Insiderangriff, weil uns ein Händlerkonto zur Verfügung gestellt wurde. Tja, wir finden einen Fehler im Einlösungssystem, einen Fehler in der Applikation, über den wir auf der Box beliebige Befehle ausführen können. Es war dumm, kindisch, dafür waren keine besonderen Skills nötig – man musste nur wissen, wonach man suchen muss. Ich bin weder Kryptoanalytiker noch Mathematiker. Ich weiß bloß, was Leute in Anwendungen für Fehler machen, und die machen sie immer wieder und wieder.

Auf dem gleichen Subnetz wie dem Einlösungscenter haben sie [eine Verbindung zu] ihrer Prägemaschine laufen – also der Maschine, die die Geschenkgutscheine erstellt. Wir haben eine Trust Relationship, also eine Vertrauensstellung benutzt und sind in diese Maschine eingebrochen. Statt einfach einen root-Prompt haben zu wollen, haben wir ein Geschenkgutschein erzeugt – wir prägten einen Geschenkgutschein, bei dem wir alle 32 Bits auf 1 gestellt haben, und setzten als Währung US-Dollars ein.

Ich habe jetzt einen Geschenkgutschein, der $ 1.900.000.000 wert ist. Und der Gutschein ist absolut gültig. Jemand meinte, wir hätten das mal auf englische Pfund einstellen sollen, dann hätten wir noch besser abgeräumt.

Also gingen wir auf die Website von Gap und haben ein Paar Socken gekauft. Theoretisch hätten wir von diesem Sockenkauf ein Wechselgeld von einer Milliarde neunhundert Millionen bekommen müssen. Es war phantastisch.

Ich hatte noch vor, die Socken an den Pen-Test-Bericht dran zu heften.

Aber er war noch nicht fertig. Ihm gefiel scheinbar nicht, wie sich die Story seiner Meinung nach für uns angehört haben muss, also fuhr er fort in der Hoffnung, den Eindruck korrigieren zu können.

Vielleicht höre ich mich für euch wie ein Rockstar an, aber ihr seht bloß den Weg, den ich genommen habe, und dann meint ihr: „Oh mein Gott, wie clever er doch ist. So hat er es also bis in die Box geschafft, und nachdem er erst mal drin war, hat er eine Vertrauensstellung ausgenutzt, und als er die dann hatte, ist er auf die Prägemaschine gegangen und hat sich einen Geschenkgutschein fabriziert.”

Ja klar, aber wisst ihr auch, wie schwer das wirklich war? Das war so ähnlich wie „Versuch jetzt das mal, funktioniert das?” Kein Treffer. „Versuch dies mal, geht das so?” Kein Treffer. Versuch und Irrtum. Da geht’s um Neugier, Beharrlichkeit und blindes Glück. Und auch um eine Portion Skills.

Diese Socken hab ich immer noch.

Pokerspieler sind davon überzeugt, wenn sie sich in einem großen Casino an einen Tisch setzen (egal ob dort die heutzutage beliebteste Version Texas Hold ’Em oder eine andere Variante gespielt wird), dass sie sich unter den aufmerksamen Augen des Kartengebers, der Pit-Bosse^[3] und der alles sehenden Videokameras nur auf eigenes Geschick und Glück verlassen können. Sie brauchen sich also wenig Sorgen darum zu machen, ob einer der anderen falsch spielt.

Heutzutage ist es dank des Internets möglich, sich an einen elektronischen Pokertisch zu setzen und bequem vom eigenen Computer aus live gegen andre Spieler um Geld zu spielen, die anderenorts in der ganzen Welt verteilt sitzen.

Und dann spaziert ein Hacker daher, der einen Weg entdeckt, um sich selbst einen nicht gerade geringen Vorteil zu verschaffen, indem er einen selbst gemachten Bot (Roboter) benutzt, in diesem Fall einen elektronischen. Der Hacker Ron sagt, dazu gehöre das „Schreiben eines Bots, der online 'mathematisch perfektes' Poker spielt, während er gleichzeitig den Gegnern vormachen kann, dass sie es mit einem menschlichen Spieler zu tun haben.” In gewöhnlichen Spielen machte er einiges Geld und ließ seinen Bot dann mit beachtlichem Erfolg an einer Reihe von Turnieren teilnehmen. „In einem vierstündigen 'free-roll'-Turnier (eines ohne Startgeld), das mit dreihundert Spielern begann, landete mein Bot auf dem zweiten Platz.”

Alles lief ganz ausgezeichnet, bis Ron etwas falsch einschätzte: Er beschloss, den Bot zum Verkauf anzubieten, und wollte dafür von jedem Käufer jährlich $ 99 haben. Die Nachricht über dieses Produkt machte die Runde, und Leute, die auf der Site online Poker spielten, begannen sich zu fragen, ob sie es vielleicht mit Robotern als Gegenspieler zu tun haben. „Das führte zu großer Unruhe, und das Management des Casinos war besorgt, dass ihnen die Kunden wegbleiben, so dass auf der Site Code eingefügt wurde, damit der Einsatz meines Bots auffällt, und sie drohten allen einen permanenten Ausschluss an, die ihn benutzen.”

Zeit für eine Änderung der Strategie.

Nachdem ich erfolglos versucht hatte, aus der Technologie für den Bot selbst ein Geschäft zu machen, beschloss ich, das ganze Projekt aus dem Untergrund weiter zu machen. Ich habe den Bot abgeändert, damit er auf einer der größten Poker-Onlinesites läuft, und die Technologie so erweitert, dass er im „Teammodus” spielen kann. Dabei bekommen zwei oder mehr Bots am gleichen Tisch einen unfairen Vorteil, indem sie sich gegenseitig ihre versteckten Karten zeigen.

In seiner ursprünglichen E-Mail über dieses Abenteuer deutete Ron an, dass seine Bots immer noch im Einsatz sind. Später schrieb er noch einmal und bat uns, Folgendes zu sagen:

Nachdem er den finanziellen Schaden abgeschätzt hatte, den Tausende von Online-Pokerspielern erleiden könnten, beschloss Ron letztendlich, seine Technologie nie wieder gegen andere einzusetzen.

Aber alle Online-Zocker sollten das selber beurteilen. Wenn Ron das fertig bringt, können andere das auch schaffen. Wahrscheinlich sind Sie besser damit bedient, sich in ein Flugzeug nach Las Vegas zu setzen.

Mein Mitautor und ich fanden diese Story sehr überzeugend. Auch wenn sie nur teilweise wahr oder womöglich komplett erfunden ist, haben wir beschlossen, sie im Wesentlichen so zu veröffentlichen, wie sie uns mitgeteilt wurde:

Es fing alles an, als ich 15 Jahre alt war. Mein Freund Adam hat mir gezeigt, wie man aus der Schultelefonzelle vor unserem Pavillon, in dem wir zu Mittag aßen, umsonst telefonieren konnte. Das war das erste Mal, dass ich etwas gemacht habe, was auch nur im Entferntesten illegal war. Adam benutzte eine Büroklammer als eine Art kostenlose Telefonkarte, indem er mit ihr die Hörmuschel des Telefons durchstach. Dann wählte er die Nummer, die er anrufen wollte, und hielt die Taste für die letzte Zahl gedrückt, während er gleichzeitig mit der Büroklammer die Sprechmuschel berührte. Darauf folgte eine Serie von Klicks und dann läutete es am anderen Ende. Ich erstarrte in Ehrfurcht. Das war das erste Mal in meinem Leben, dass ich erkannte, wie mächtig Wissen sein konnte.

Ich begann sofort damit, alles zu lesen, was ich in die Finger kriegen konnte. Wenn es dubiose Informationen waren, musste ich sie haben. Den Trick mit der Büroklammer habe ich während meiner gesamten Highschool-Zeit benutzt, bis ich mehr von diesen dunklen Wegen wissen wollte. Vielleicht ging es darum zu sehen, wie weit diese neu gefundenen Wege führten. Verbunden mit dem Kitzel, etwas „Böses” zu tun, reicht das, um jeden fünfzehnjährigen Punk in den Untergrund zu treiben.

Anschließend erkannte ich, dass es mehr als nur Wissen braucht, um ein Hacker zu sein. Man muss auch sozial auf Zack sein, um die Falle aufstellen zu können.

Ich erfuhr von diesen so genannten Trojaner-Programmen durch einen Freund aus dem Internet, der mich dazu brachte, mir eins auf meinen Rechner zu laden. Er konnte erstaunliche Sachen machen, zum Beispiel sehen, was ich eingetippt habe, er konnte den Stream von meiner Videocam aufzeichnen und noch eine Menge anderer witziger Sachen. Ich war im siebten Himmel. Ich brachte über diesen Trojaner alles in Erfahrung, was ich konnte, und packte ihn in ein Paar weit verbreitete ausführbare Dateien. Dann ging ich in Chatrooms und versuchte, jemanden dazu zu bringen, einen herunterzuladen, aber so ein Vertrauen aufzubauen war schwer. Niemand traute mir, und das aus gutem Grund.

Ich ging in irgendeinen IRC-Chatroom für Teenager und da stieß ich auf ihn: Ein Pädophiler kam rein und suchte nach Bildern von Kindern und Jugendlichen. Zuerst hielt ich das für einen Witz, aber ich beschloss, auf das Spiel einzusteigen, um zu sehen, ob ich diese Person zur Strecke bringen konnte.

Ich begann, mit ihm privat zu chatten, und gab mich als junges Mädchen aus, die ihn absolut irgendwann mal treffen wolle – aber nicht so, wie er dachte. Dieser Herr war krank, um es mal vorsichtig zu sagen. Ich hatte das Gefühl, dass ich hier als 15-Jähriger in der Welt für Gerechtigkeit sorgen könnte. Ich wollte, dass dieser Typ sich dermaßen verbrennt, dass er es sich zweimal überlegt, ob er jemals wieder Kinder ködert. Ich habe ganz oft versucht, ihm den Trojaner unterzujubeln, aber er war schlauer als ich. Er hatte Antivirensoftware installiert, die jeden meiner Versuche blockierte. Das Lustige an der Sache war, dass er nie Verdacht schöpfte, dass ich ihm etwas Böses wollte. Er hielt meinen Rechner für infiziert und dass sich da was an die Bilder ranhängt, die ich ihm zu schicken versuchte. Und ich hab mich einfach blöd gestellt.

Nach ein paar Tagen mit Chatten fing er an, mehr Druck zu machen. Er wollte schmutzige Bilder von mir haben und meinte, er liebe mich und wolle mich treffen. Er war ein Mistkerl erster Klasse und einfach ein perfektes Ziel, dem ich ohne Skrupel die Finger verbrennen wollte, wenn ich nur auf seinen Rechner gekommen wäre. Ich hatte genug Informationen über ihn gesammelt, um in einige seiner E-Mail-Konten reinzukommen. Sie kennen diese Geheimfragen, die man so stellt? „Was ist Ihre Lieblingsfarbe?” „Wie lautet der Mädchenname Ihrer Mutter?” Ich brauchte ihm nur diese Infos aus den Rippen zu leiern und zack, war ich drin.

Er war hinter Sachen her, die absolut illegal waren. Ich sag’ nur, das war Pornographie mit Kindern aller Altersklassen. Ich hätte kotzen können.

Dann dämmerte es mir. Wenn er den Trojaner von mir nicht akzeptiert, dann vielleicht von einem seiner Pornokumpels. Ich spoofte eine E-Mail-Adresse und schrieb eine kurze Nachricht.

kuck dir mal dieses heiße video an. schalt deinen virenscanner aus, wenn du das runterlädst, sonst leidet die qualität. P.S. das kostet einen.

Ich dachte, darauf würde er bestimmt anbeißen, und wartete geduldig den ganzen Nachmittag darauf, dass er seine E-Mails checkt. Dann gab ich auf. Dieser [Social Engineering-]Kram war einfach nichts für mich.

Dann, etwa gegen elf Uhr nachts, passierte es. Ich bekam die Nachricht, ausgelöst von meinem Trojaner, dass er sich auf seinem Rechner installieren konnte. Ich hatte es geschafft!

Ich hatte den Zugang und begann sofort damit, Beweise in einen Ordner namens „Frischfleisch” zu legen [den ich auf seinem Rechner eingerichtet hatte]. Ich erfuhr alles Mögliche über diesen Typ – seinen Namen, seine Adresse, wo er beschäftigt war und auch, an welchen Dokumenten er gerade arbeitete.

Ich konnte nicht einfach das FBI oder die Polizei vor Ort anrufen [weil ich befürchtete, da ich von dem Material auf dem Rechner von diesem Kerl wusste], im Knast zu landen, und ich hatte einfach Angst. Nach einigem Herumstöbern fand ich heraus, dass er verheiratet war und Kinder hatte. Das war der Horror.

Ich habe das Einzige gemacht, was mir einfiel. Ich schickte seiner Frau eine E-Mail mit allen Infos, die sie brauchte, um in den Frischfleisch-Ordner zu kommen. Dann habe ich meine Spuren verwischt und den Trojaner gelöscht.

Das war das erste Mal, dass ich Geschmack an Exploits gefunden habe, nicht nur bei den Codes, sondern auch beim Gefühl, etwas hinzukriegen. Nachdem ich erst einmal den Zugang hatte, erkannte ich, dass das nicht das Einzige war. Da ging es nicht nur um Wissen, sondern um Gerissenheit, Lügen, Manipulieren und harte Arbeit. Aber es war jeden Funken Energie wert gewesen, diesem Arschloch eins auszuwischen. Ich fühlte mich wie King – und ich war erst fünfzehn. Aber ich konnte es niemandem erzählen.

Doch ich wünschte, ich hätte all diese Sachen da nicht gesehen.

Aus vielen der Stories in diesem Buch wird deutlich, dass die meisten Hacker jahrelang daran arbeiten, ihr Wissen aufzubauen. Somit erscheint es mir immer bemerkenswert, wenn ich einem Exploit begegne, dem die Denkweise eines Hackers inne wohnt, der aber von jemandem völlig ohne Background im Hacking ausgeführt wird. Der folgende ist so einer.

Zum Zeitpunkt dieses Vorfalls studierte John im Hauptfach Informatik und machte ein Praktikum bei einem Strom- und Gasversorger vor Ort, damit er nach seinem Abschluss nicht nur einen akademischen Grad hatte, sondern auch Berufserfahrung vorweisen konnte. Die Firma gab ihm die Aufgabe, für die Angestellten die Aktualisierungen für Lotus Notes vorzunehmen. Jedes Mal, wenn er jemanden zur Terminabsprache anrief, hat er für die Aktualisierung nach dem Passwort für Lotus Notes gefragt. Niemand hat irgendwie gezögert, diese Information herauszugeben.

Manchmal passierte es, dass man sich nur gegenseitig auf die Voicemails gesprochen hat, und dann hatte John zwar einen Termin für eine Verabredung, aber keine Gelegenheit, vorher nach dem Passwort zu fragen. Sie wissen sicher, was jetzt kommt, und er kam von alleine drauf: „Ich fand heraus, dass 80 % der Leute ihr Passwort noch nie geändert hatten, seitdem Notes auf ihrem System installiert war, also probierte ich es zuerst mit 'pass'.”

Wenn das nicht klappte, suchte John anschließend auf dem Schreibtisch dieser Person und den Stellwänden daneben nach einem gelben Klebezettel mit allen Passwörtern drauf. Normalerweise waren die gleich sichtbar auf den Monitor geklebt oder sonst unter der Tastatur oder der obersten Schublade „versteckt” (wenn das ein angemessenes Wort dafür ist).

Und wenn er so immer noch keinen Treffer gelandet hatte, konnte er noch eine Karte ausspielen. „Meine letzte Stoßrichtung war, mir genau die persönlichen Dinge anzuschauen, alles, was auf die Namen von Kindern, Haustieren, Hobbys und so weiter hinweist.” Dann brauchte er meist nur noch ein paar Mal zu raten.

Einmal war es allerdings schwerer als gewöhnlich. „Ich erinnere mich noch, wie ich bei dieser einen Frau das Passwort einfach nicht rauskriegte und dass auf jedem ihrer Bilder ein Motorrad zu sehen war.” Aus einer Ahnung heraus probierte er es mit „harley” ... und war drin.

Angespornt von seinem Erfolg ging er dieser Spur weiter nach. „Ich machte mir ein Spiel daraus und kam bei mehr als 90 % hinein, wobei ich für jeden weniger als zehn Minuten brauchte. Wo ich es nicht geschafft habe, hat sich später ergeben, dass es einfache Informationen waren, die ich mit intensiveren Nachforschungen auch herausbekommen hätte – meistens waren das die Geburtstage der Kinder.”

Es stellte sich als ein profitables Praktikum heraus, eines, „bei dem ich nicht nur Material für meinen Bericht bekam, sondern auch lernte, dass unsere erste Verteidigungslinie gegen Hacker auch gleichzeitig unsere schwächste ist: die Benutzer selbst und die Wahl ihrer Passwörter.”

Und das erscheint uns als ein guter, aussagekräftiger Schlusssatz. Wenn alle Computerbenutzer ihre Passwörter heute noch ändern würden und die neuen Passwörter auch nicht an einer leicht zu findenden Stelle hinterlassen, dann befänden wir uns morgen in einer viel sichereren Welt.

Wir hoffen, dass sich alle Leserinnen und Leser von dieser Handlungsaufforderung dieses Buches angesprochen fühlen.

•••