Eine Kurzgeschichte von Sebastian Noll
Ich bin Hacker. Einer von der guten Sorte. Ich mache das nicht, weil ich damit verdammt viel Geld verdiene, sondern weil ich es kann. Der Ruhm ist meine Lebensenergie und das schon, solange ich denken kann. Meinen ersten Computer-Hack habe ich mit fünf Jahren vollbracht. Damals habe ich den Spielstand eines Videospiels manipuliert, um im Spiel mein virtuelles Bankkonto aufzubessern. War natürlich nichts Besonderes und manch einer würde heute sagen, dass es gar kein Hack war, aber für mich begann damit der Spaß am Hacken. Mit der Zeit wurde ich besser, schneller und geschickter. Der erste große Hack gelang mir dann mit 14, als ich in das Backend meiner Schulwebsite eingebrochen bin und den Vertretungsplan manipuliert habe, um meiner Klasse gelegentlich Freistunden zu verschaffen. Die Freizeit habe ich natürlich genutzt, um mehr Zeit Online zu verbringen. Online war damals mein zu Hause und ist es auch heute noch.
Ich lebe in einer kleinen Wohnung mitten in der Stadt, obwohl ich mir etwas viel Besseres leisten könnte. Aber viel mehr Platz brauche ich auch gar nicht. In der Realität esse und schlafe ich eigentlich nur, mein wahres Leben spielt im Internet. Dort habe ich einen riesigen Spielplatz, jede Menge Kontakte und meine größten Erfolge gefeiert. Dabei spielt das meiste davon nicht an den Orten, wo sich die normalen Internetnutzer tummeln. Facebook, Twitter, YouTube, Instagram meide ich weitestgehend. Es ist lediglich die Spitze dessen, was die meisten als Internet kennen. Weiter unten, in den Tiefen des Netzes, gibt es noch weitaus mehr zu entdecken. Aber ich würde niemanden raten, sich zu tief in das Netz vorzuwagen. Manches könnte verschrecken, gefährlich sein oder verstören. Ich habe schon alles gesehen, selbst die schmutzigsten und illegalsten Ecken, die das Internet zu bieten hat. Schön ist es dort nicht, aber irgendwie aufregend. Wirklich interessiert habe ich mich aber nur für Warez und Exploits. Das sind kleine Programme, mit denen man die Schutzmechanismen von Software aushebeln kann. Das ist das Kerngeschäft von echten Hackern. Ich sage deshalb echte Hacker, weil es auch falsche Hacker gibt. Das sind solche, die keine tiefen Kenntnisse von Hard- und Software haben, sondern sich lediglich einkaufen. Sie kaufen Passwörter, Kreditkartendaten oder Botnetzwerke auf dem Schwarzmarkt und versuchen damit Geld zu machen. Diese Scriptkiddies kann ich nicht ausstehen. Sie interessieren sich nicht für den Ruhm, ihnen geht es nur ums Geldverdienen. Geld, das sie den einfachen Leuten abknöpfen, die sich nicht wehren können. Aus diesem Grund habe ich eine kleine Hacker-Community gegründet, die es sich zur Aufgabe gemacht hat, diesen Kleinkriminellen das Leben schwer zu machen. Wir nennen uns ASK, die Anti-Skript-Kiddies. Jeden Donnerstag suchen wir uns ein Opfer aus und machen diesen Kriminellen fertig. Es ist jedes Mal ein Spaß, wenn diese Loser merken, dass sie es mit echten Hackern zu tun haben, und es dann mit der Angst zu tun bekommen. Zurecht, denn wir hacken die Mailkonten, spüren ihren Heimcomputer auf und verseuchen ihn mit Malware. Dann nehmen wir ihnen erbeutete Bitcoins oder andere Krypots ab und verschlüsseln sämtliche Daten auf ihrer Festplatte, sodass sie unbrauchbar wird. Das wird ihnen hoffentlich eine Lehre sein.
Unsere Beute behalten wir natürlich nicht. Die Bitcoins gehen an wohltätige Zwecke oder für die Entwicklung von freier Software. Ein wenig fühle ich mich bei diesen Operationen immer wie einer der Avengers, ein Superhelden-Rächer, der sich für die Armen und Schwachen einsetzt. Genau wie bei einem Superhelden kennt niemand meine wahre Identität, nicht einmal meine ASK-Freunde kennen meinen echten Namen oder wissen, wo ich wohne. Umgekehrt kenne ich ihre Identitäten auch nicht.
Anonymität ist unter Hackern oberstes Gebot. Ich muss stets darauf achten, dass ich so wenig Spuren wie möglich hinterlasse, oder zumindest nur solche, die sich nicht nachverfolgen lassen. Um meine Identität zu schützen, verbinde ich mich nie direkt mit dem Internet. Meine Verbindung läuft grundsätzlich über mehrere Mittelsmänner, die meine Identität verschleiern. Solche Anonymisierungsverfahren sind Pflicht, wenn man sich in meiner virtuellen Welt bewegen möchte. Gefunden wurde ich deshalb auch noch nie, naja außer diesem einen Mal, als … nein, halt. Lass mich ganz von vorne beginnen.
Es war ein ganz normaler Donnerstag. Ich wachte morgens gegen zehn Uhr auf, wusch mich ein wenig und machte mich anschließend an die Arbeit. Für meinen Job muss ich glücklicherweise nicht in irgendein Büro, wo mich ständig Kollegen mit persönlichem Kontakt nerven. Meinen Job kann ich vollständig von zu Hause aus erledigen, ich bin nämlich Berater für IT-Sicherheit. Man kann mich buchen und anschließend prüfe ich IT-Systeme auf Sicherheitslücken. Bisher gab es noch keinen Auftrag, den ich ohne Befund abschließen musste. Und lukrativ ist der Job obendrein. Nebenher verdiene ich mir noch bei Bug-Bounty-Programmen ein kleines Taschengeld dazu. Ein Bug-Bounty-Programm wird meist von großen IT-Unternehmen geführt, das Kopfgeld für gefundene Fehler oder Sicherheitslücken in ihrer Software zahlt. Dabei kann man schon mal zehntausend Dollar oder mehr kassieren, wenn man etwas richtig Gutes findet. Alles in allem verdiene ich mit damit ausreichend Geld, ohne dass ich vierzig Stunde pro Woche arbeiten muss.
Jedenfalls machte ich mich gerade daran, das Extranet eines Kunden auf Sicherheitslücken zu testen. Dafür nutzte ich einige Standardwerkzeuge, die man sich einfach so herunterladen kann. In den meisten Fällen findet man damit schon ausreichend, um dem Kunden einen aussagekräftigen Bericht vorzulegen. Und auch dieses Mal wurde ich fündig: In der Passwort-vergessen-Funktion ließ sich mittels SQL-Injection auf das System zugreifen. SQL-Injections gehören zu den ältesten und auch zu den am einfachsten auszunutzenden Lücken im Web. Dabei manipuliert man die Eingabe, die man an das System übergeben kann so, dass die dahinterstehende Datenbank Befehle ausführt, die mir Zugriff auf das ganze System verschaffen. Auch Skriptkiddies nutzen solche Lücken gerne aus.
Und so legte ich mittels SQL-Injection ein Konto mit Administratorrechten im Extranet an und verschaffte mir so Zugriff auf sämtliche Funktionen des Systems. Damit hätte ich sogar Malware auf dem Server installieren können, wenn ich gewollt hätte. Als beauftragter IT-Sicherheitsberater habe ich das natürlich sein gelassen. Dafür habe ich mich aber ein wenig auf der Maschine umgesehen und bin dabei auf eine seltsame Datei gestoßen. Sie enthielt ein kurzes Skript, das Informationen sammelte und diese an eine IP-Adresse auf den Cayman Inseln übermittelte. Ob ich nicht der Erste war, der sich Zugriff auf das System verschafft hatte? Ausschließen konnte ich das jedenfalls nicht. Immerhin stand dank SQL-Injection jedem halbwegs talentierten Skriptkiddie Tür und Tor offen.
Ich untersuchte das seltsame Skript. Formatierung, Ablauf und Benennung des Codes waren äußerst ungewöhnlich. Sofort war mein Ehrgeiz geweckt: Ich wollte unbedingt wissen, von wem dieses Skript stammt und ihn oder sie aufspüren. Ein Ergebnis wäre zudem ein genialer Zusatz für den Abschlussbericht des Kunden geworden.
Ich nahm das Protokoll des Servers unter die Lupe, durchforstete hunderttausende von Log-Einträgen nach Hinweisen. Es reichte eine Zeile, die mir eine entscheidende Spur hätte liefern können. Doch fündig wurde ich dabei nicht. Entweder das Skript befand sich schon länger auf dem System oder aber der Angreifer hatte seine Spuren verwischt und die Log-Einträge dazu gelöscht. Letzteres würde auf einen professionellen Hacker hindeuten.
Da mir das Protokoll nicht weiterhalf, wandte ich mich nun der IP-Adresse von den Cayman Inseln zu. Natürlich gehörte diese IP-Adresse nicht zum Hacker selbst, sondern vermutlich irgendeiner Firma, dessen Server der Hacker ebenfalls unter Kontrolle hatte.
Der Server, der sich hinter der IP-Adresse verbarg, war glücklicherweise offen wie ein Scheunentor. Das Passwort für den Root-Zugang des Servers lautete welcome – eines der gängigsten Passwörter, die es überhaupt gibt. Entweder hatte der Hacker das Passwort auf diese leicht merkbare Kombination geändert oder er hat es genau wie ich erraten und sich auf dieselbe Weise Zugriff verschafft.
Ich sah mich auf dem Server um. Das ganze System war verseucht mit Schadsoftware. Ein Programm sendete ununterbrochen sinnlose Anfragen an eine IP-Adresse aus Spanien. Vermutlich war der Server Teil eines Botnetzwerks, das gerade einen verteilten Angriff auf eine spanische Website ausübte – ich beendete den Prozess. Ein anderes Programm schürfte derweil munter eine Kryptowährung, die ich nicht kannte. Und da der E-Mail-Dienst des Servers für jedermann offen war, sendete das System abertausende von Spam-Mails in die ganze Welt. Kurzum: Der Hacker hatte sämtliche Ressourcen, die dem Server zur Verfügung standen, ausgenutzt, um Schaden anzurichten.
Ich beendete noch den E-Mail-Dienst, damit die Flut an Spam-Mails ein jähes Ende fand, und änderte das Passwort des Root-Benutzers, sodass dem Hacker der zukünftige Zugang verwehrt blieb. Nachdem ich auch dem Schürfen der Kryptowährung ein Ende bereitet hatte, blieb nur noch ein letztes Programm übrig, das sich ungewöhnlich verhielt. Es war jenes Programm, das die Anfragen vom System meines Kunden entgegennahm und irgendwie weiterverarbeitete. Was es genau mit den Daten anstellte, konnte ich dummerweise nicht nachvollziehen. Aber anhand des Netzwerkverkehrs konnte ich erkennen, dass das Programm mit einem Server in Ägypten kommunizierte. Der Datenverkehr war allerdings verschlüsselt, sodass mir ein Einblick in die Kommunikation verwehrt blieb.
Mir blieb also nichts anderes übrig, als der Spur weiter zu folgen und eine virtuelle Reise nach Ägypten anzutreten. Der dortige Server war nicht so leicht zu knacken. Um mich auf der Maschine als Root-Benutzer anmelden zu können, brauchte es kein Passwort, sondern einen kryptografischen Schlüssel. Diesen zu erraten, war vollkommen unmöglich.
Jetzt wurde es richtig kompliziert. Der Server war ausgezeichnet geschützt und bot quasi keine Angriffsfläche, über die ich mir hätte Zugriff verschaffen können. Aber ich hatte eine Idee: Da IP-Adressen häufig in Blöcken an den gleichen Betreiber vergeben werden, untersuchte ich sämtliche Adressen des Netzbereiches nach Servern ab, die denselben Administrator ausgewiesen hatten. Und siehe da: Ich wurde fündig. Ein Server, der nur wenigen IP-Adressen weiter angesiedelt war, gehörte zweifelsohne zum selben Betreiber. Und das Beste war: Der installierte Webserver-Dienst hatte eine Schwachstelle, die ich ausnutzen konnte, um mir eingeschränkten Zugriff zu verschaffen. Das war zwar kein Root-Zugang, aber es reichte aus, um mich ein wenig auf der Maschine umzusehen.
Nach etwa zwei Stunden Recherche dann der Durchbruch: Ein weiterer Benutzer hatte sich soeben auf der Maschine angemeldet – mit Root-Rechten. Jetzt hatte ich die IP-Adresse eines Administrators, den ich vielleicht zurückverfolgen konnte, sofern dieser nicht über einen Anonymisierungsdienst verbunden war.
Jetzt wurde es ernst: Anders als es bei einem professionellen Hacker der Fall gewesen wäre, gehörte die IP-Adresse des Administrators nicht zu einem Anonymisierungsdienst. Mit einem Skript-Kiddie hatte ich es aber ebenso wenig zu tun. Viel schlimmer: Die IP-Adresse ließ sich eindeutig einer fremden Regierungsbehörde zuordnen. Zu welcher Behörde genau, konnte ich nicht feststellen, sicher war aber, dass die Behörde aus Israel stammt. Der Verdacht lag nahe, dass ich es hier mit dem Mossad zu tun hatte, dem israelischen Nachrichtendienst. Wenn dem so wäre, hatte ich ein großes Problem. Mit einem Nachrichtendienst sollte man sich besser nicht anlegen, erst recht nicht, wenn es sich um einen der besten Nachrichtendienste überhaupt handelt. Der Mossad ist in Bezug auf Cyberabwehr bestens ausgestattet und unterhält die besten ITler, die es in ganz Israel zu finden gibt.
Bisher bin ich Nachrichtendiensten immer aus dem Weg gegangen. Ihre Ressourcen sind nahezu unendlich und ich war nicht größenwahnsinnig. Ich kannte schon den ein oder anderen Hacker, der es sich mit der NSA verscherzt hatte und nun im Knast sitzt. Darauf wollte ich gerne verzichten.
Dennoch packte mich die Neugier. Was suchte der Mossad auf dem Extranet meines Kunden? Der Mossad ist nicht dafür bekannt, im Ausland Massenüberwachung zu praktizieren. Normalerweise geht der israelische Nachrichtendienst sehr gezielt vor und nimmt sich nur solche Ziele zur Brust, bei denen er einen konkreten Verdacht hegt. Irgendein Grund musste also vorliegen, dass sich der Mossad sich für das Extranet meines Kunden interessierte.
Gerade wollte ich mich noch weiter auf dem ägyptischen Server umsehen, als ich feststelle, dass meine Sitzung einfach beendet wurde. Meine Verbindung zum Server ist abgebrochen worden und die Schwachstelle, über die ich mir zuvor noch Zugriff verschafft hatte, ließ sich nicht mehr ausnutzen. Jemand musste mich entdeckt und ausgesperrt haben. Das ging schnell. So schnell, dass dieser Jemand ein verdammt viel Ahnung haben musste.
Beunruhigt hatte mich das aber zunächst nicht. Zwar hatte man nun meine IP-Adresse, die war aber Dank Anonymisierungsdienste vollkommen unbrauchbar. Zurückverfolgen konnte man mich darüber definitiv nicht, auch nicht, wenn mein Gegner der beste Hacker der Welt wäre und zum Mossad gehörte. Wie ich mich doch täuschen konnte…
Einige Tage später bekam ich eine seltsame Mail mit einem verdächtigen Anhang. Für manch einen mag das vielleicht nichts Besonderes sein, für mich dagegen schon. Ich achte penibel darauf, wem ich meine Mail-Adresse gebe und dass sie nicht in die Hände von Spammern gelangt. Zudem ist auf meinem Mail-Server etliche Software installiert, die Viren und andere, verdächtigen Nachrichten sofort herausfiltert. Und selbst wenn es einmal eine E-Mail schaffte, durch den Filter zu rutschen, würde meine Antivirensoftware sofort Alarm schlagen. Es ist also absolut unmöglich, mir eine E-Mail mit einem gewöhnlichen Virus oder Trojaner zukommen zulassen.
Diese E-Mail hingegen war anders. Ihr Aufbau hochprofessionell, der unbekannte Absender kannte meinen echten Namen und wusste, was ich beruflich machte. Und der Virus, der sich im E-Mail-Anhang versteckte, war extrem gut getarnt. Statt einer ausführbaren Datei nutzte der Angreifer eine Videodatei, die Malware enthielt. Dumm nur, dass die Malware für ein Windows-Betriebssystem ausgelegt war, das ich schon aus Prinzip nicht im Alltag verwende.
Ich untersuchte die infizierte Videodatei auf einer isolierten Windows-Maschine und war beeindruckt. Wer auch immer dafür verantwortlich war, musste äußerst clever gewesen sein und sein Handwerk verstehen. Die Videodatei nutzte eine bisher noch unentdeckte Schwachstelle in der Playersoftware von Windows, mit der sich Schadcode ausführen ließ. Dieser Schadcode hätte dann einen echten Virus aus dem Internet geladen und so den PC unter die Kontrolle des Angreifers gebracht. Kein Zweifel: Diese Videodatei wurde extra entwickelt, um mich anzugreifen. Aber wer wäre gut genug gewesen, um mich aufzuspüren? Wer konnte meine Identität zurückverfolgen und Malware so gut getarnt an meinen Filtern vorbeischmuggeln?
Natürlich dachte ich zunächst an einen Nachrichtendienst. Aber ich konnte mir weder BND noch NSA oder MI6 vorstellen, denn um Nachrichtendiensten machte ich grundsätzlich einen großen Bogen. Mit einer Ausnahme: Dem Mossad. Nur wie haben sie mich gefunden? Über die IP-Adresse konnte das jedenfalls nicht passiert sein. Ich musste irgendetwas übersehen haben, irgendeine Spur hinterlassen haben, die den Mossad bis zu mir meiner Identität geführt hat.
Dann fiel es mir ein: Der Kunde, für den ich sein System auf Sicherheitslücken hin testen sollte, kannte natürlich meinen Namen und auch meine Kontaktdaten – wie sonst hätte er mich für den Auftrag bezahlen sollen. Vermutlich konnte der Mossad den Weg, über den ich ihren Server entdeckt hatte, zurückverfolgen. Sie kannten den Server auf den Cayman Inseln und wussten natürlich auch, dass dieser die Daten von meinem Kunden entgegengenommen hatte. Dann mussten sie nur noch in das interne Netz meines Kunden eindringen und konnten dort sehen, dass es einen Auftrag an einen IT-Berater gab. Jetzt kannten sie meine Kontaktdaten und meinen Namen. Clever waren sie, das musste man ihnen lassen.
Zunächst ignorierte ich die Mail. Was hätte ich auch tun sollen? Mit dem Mossad legte man sich besser nicht an. Doch etwa eine Woche später landete eine neue Mail in meinem Postfach, wieder sehr professionell aufgebaut und mit einem weiteren Trojaner. Ganz offensichtlich meinte es der Mossad ernst mit mir. Daher überlegte ich mir eine Falle: Ich öffnete den Inhalt der zweiten Mail und ließ meinen PC mit dem Trojaner infizieren. Ich verwendete allerdings nicht meinen üblichen PC, sondern ein extra von mir vorbereitetes System, über das ich dem Mossad vorgaukeln wollte, dass ich nichts weiter als ein schlechtes Skriptkiddie war. Und so tat ich drei Wochen lang so, als wäre ich ein richtig mieser Hacker und ließ den vom Trojaner eingeschleusten Virus gewähren. Ich konnte sogar dabei zusehen, wie mein PC aus der Ferne von den Fachleuten des Mossad nach verdächtigen Dateien durchsucht wurde. Aber auch die Daten auf dem PC wurden sorgfältig von mir ausgesucht, damit es so aussieht, als wäre ich nur ein unbedeutender Kleinkrimineller, der ab und zu einen Sicherheitscheck für Unternehmen durchführte.
Nach nur zwei Wochen war der Spuk dann vorbei. Der Mossad verlor ganz offensichtlich das Interesse an mir und hob die Verbindung zu meinem PC auf. Ein Glück, dass sie meine Falle nicht durchschaut hatten.
Dieses Mal bin ich noch mit einem blauen Auge davongekommen. Wenn ich die Mails weiter ignoriert hätte, wären vielleicht noch ganz andere Geschütze aufgefahren worden, vor denen ich mich nicht mehr hätte schützen können. Das war das erste und hoffentlich auch das letzte Mal, dass ich mit einem Nachrichtendienst zu tun hatte.
Eine letzte Frage blieb allerdings noch unbeantwortet: Was hatte der Mossad mit meinem Kunden zu schaffen? Warum wurde das Extranet von einem Nachrichtendienst überwacht? Ich war mir unsicher, ob ich in diese Richtung weiter recherchieren und erneut das Risiko eingehen sollte, die Aufmerksamkeit des Mossad zu erregen. Aber wie sooft ließ mich meine Neugier einfach nicht los. Das ist nunmal der Fluch eines Hackers.