Hacker-Szene, Teil 1

Mut zur Lücke

Von Uli Ries

Längst nicht alle Hacker gehören zu den Guten wie der Amerikaner Jonny Long. Er wurde vor Jahren durch allerlei Tricks im Umgang mit Google bekannt, lässt seinen Beruf bei einer IT-Unternehmensberatung aber ebenso pausieren wie seine Berufung als Hacker. Denn Long gründete die Stiftung Hackers for Charity und unterstützt mit den Spenden unter anderem Waisenkinder in Uganda.

Johnny („I Hack Stuff“) gehörte nie zum zwielichtigen Teil der Szene, hat heute aber keinerlei Schwierigkeiten, seine Stiftung von ebensolchen Zeitgenossen unterstützen zu lassen: „Uns wurde schon öfter Geld als Spende angeboten, das Black Hats mit dem Verkauf von Sicherheitslücken an andere Cybergangster erlöst haben. Wir haben keine Berührungsängste und nehmen die Spende an. Den Hack können wir nicht mehr verhindern – und besser, das Geld finanziert das Überleben von Kindern als den Konsumrausch eines Black Hats“, sagt Long.

Schwarz und Weiß

Black Hats, das sind „die Bösen“, meist in Abgrenzung zu „den Guten“ auch kurz „Cracker“ genannt. Cracker gehen genau wie ihre wohlmeinenden Kollegen der White-Hat-Fraktion einem für Normalsterbliche merkwürdigen Zeitvertreib nach: Sie sind laufend auf der Suche nach Programmierfehlern und Schwachstellen in Software und Internet-Diensten. Damit enden die Gemeinsamkeiten aber auch schon. Denn nach der Entdeckung einer Lücke spaltet sich die Gemeinde in diverse Teile.

  • White Hats melden ihre Entdeckung dem betroffenen Hersteller im Vertrauen und halten mit ihrem Wissen hinter dem Berg, bis der Hersteller das Problem behoben hat.
  • Wieder andere, ebenfalls eher gutartige Hacker, verkaufen das Wissen um die Lücke an Organisationen wie die Zero Day Initaitive oder iDefense. Diese Organisationen reichen das Wissen wiederum an Hersteller weiter, deren Produkte betroffen sind.
  • Dann gibt es noch die Hacker, die ihren Fund sofort in den Foren des Cyberuntergrunds veröffentlichen. Wahrscheinliche Folge: Ein anderer schnappt das Wissen auf und setzt Angriffscode darauf an.
  • Einige wenige Cracker verkaufen die Sicherheitslücke meistbietend an wahre Cyberkriminelle.

Diese letzten beiden Gruppen riskieren mit ihrem Treiben die Sicherheit von Millionen von PC-Nutzern weltweit. Denn allzu oft entstehen aus ihren Aktivitäten Trojaner und Würmer, die eine zuvor in Windows entdeckte Sicherheitslücke missbrauchen.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Wer zuerst kommt …

Die IT-Sicherheitsszene ist demnach im permanenten Wettlauf um den ersten Zug. Machen die White Hats im Zusammenspiel mit den alarmierten Herstellern das Rennen, können Unternehmen wie Microsoft, Cisco oder Facebook die Löcher rechtzeitig stopfen. Schlägt der Untergrund zuerst zu, erwischt er den betroffenen Hersteller quasi mit heruntergelassenen Hosen.

Dem Unternehmen bleibt dann nur, im Eiltempo für Abhilfe zu sorgen. Angesichts der komplexen Testprozesse, die Softwareupdates erfordern, ist das kein leichtes Unterfangen. Große Hersteller wie Adobe oder Microsoft haben inzwischen feste Prozesse, nach denen sie in solchen Notfällen vorgehen. Gilt es, eine Lücke in Windeseile zu stopfen, verzichten die Softwareanbieter in der Regel darauf, in weiteren Produkten außer dem akut betroffenen nach Vorkommnissen der Schwachstelle zu suchen. Dies passiert normalerweise, bevor ein Update veröffentlicht wird. Brennt es bereits unterm Dach, wird diese Suche auf die Zeit nach Fertigstellung des Updates verlegt.

Serie: Hacker-Szene
Teil 1 unterscheidet nach Hut­farbe und sagt, wie die ein­zel­nen Frak­tio­nen mit ent­deck­ten Schwach­stellen umgehen. Teil 2 schildert, welche Reibe­reien es im Um­kreis von Def­con & Co. gibt und warum Cracker bei White Hats einbrechen.

Den Druck auf Hersteller erhöht und damit die Gangart verschärft hat kürzlich der IT-Unternehmer Evgeny Legerov. Wie der amerikanische Journalist Brian Krebs in seinem Blog Krebs on Security schreibt, will der Russe in seinem Firmenblog von nun an Exploits veröffentlichen. Er hat damit bereits Mitte Januar 2010 begonnen und seitdem eine ganze Reihe bislang unbekannter Sicherheitslücken beschrieben – inklusive des zum Missbrauch der Schwachstellen notwendigen Programmcodes.

Zu den betroffenen Anwendungen gehören prominente Namen wie Lotus Domino, Novell eDirectory Sun Webserver oder Tivoli Directory Server. Dem Blogeintrag von Krebs zufolge hat Legerov noch Bugs in den Datenbanken MySQL und DB2 auf Lager. Auch dem beliebten Browser Firefox will der russische Unternehmer bereits erfolgreich auf die Pelle gerückt sein.

Im Interview mit Krebs erklärt Legerov, warum er die Exploits so offen ins Netz stellt: Er habe in den letzten Jahren gelernt, dass die Zusammenarbeit mit Softwareherstellern in solchen Fällen verschwendete Zeit sei. Man habe es lange genug versucht, wende sich nun aber vom Weg der „responsible disclosure“ („verantwortungsvollen“ bzw. „verantwortungsbewussten Veröffentlichung“) ab. In den vorliegenden Fällen habe man die betroffenen Hersteller gar nicht erst vorab kontaktiert und sich gleich für „full disclosure“ entschieden. Das bedeutet: Die weltweite Gemeinde der bösartig gesinnten Hacker bekommt im selben Augenblick Zugriff auf sämtliche Informationen rund um die Schwachstelle wie der Hersteller. Das Rennen zwischen Angreifer und Hersteller-Update beginnt sofort mit dem Endspurt.

Gegen Geld und für die Sache

Zwar wird in der IT-Sicherheitsszene schon seit Langem diskutiert, ob responsible disclosure der richtige Weg ist. Denn wenn der Entdecker der Lücke niemanden über seinen Fund informiert, ist der Hersteller nicht gezwungen, die Schwachstelle umgehend zu beseitigen. So äußert der bekannte deutsche Hacker Halvar Flake die Ansicht, dass Bug-Finder selbst entscheiden dürfen, was sie mit ihrem Wissen anfangen – und es somit im Zweifel auch verkaufen können. Ein öffentliches Bloßstellen des Herstellers wird allerdings auch von Kritikern der uneingeschränkten responsible disclosure wie Halvar Flake abgelehnt.

Der IT-Sicherheitsexperte Paul Ducklin schlägt z.B. vor, dass die Bug-Finder mithilfe der Medien Druck auf die jeweiligen Hersteller ausüben können. Die Hacker sollten Journalisten die Lücke und deren Folgen demonstrieren, ohne jedoch alle Details preiszugeben. Auf diese Weise würde der Hersteller angetrieben, möglichst schnell ein Update zu produzieren. Anwender der betreffenden Software brächte man aber nicht unnötig in Gefahr.

Durchwegs nur mit White Hats arbeitet Microsoft zusammen. Der Softwarekonzern hat sich vom Lieblingsfeindbild zum Gesprächspartner gemausert, mit dem auch gestandene Hacker auf Augenhöhe diskutieren. Die Redmonder fremdeln nicht mehr beim Kontakt zu den weltweit verstreuten Technikfreaks: „Früher handelten wir nach dem Motto ,die gegen uns‘. Hacker waren für uns ausschließlich Gegner, die wir bestenfalls ignorierten“, bestätigt Sarah Blankinship. Sie leitet Microsofts Outreach Team: eine Hand voll Mitarbeiter, die den Kontakt mit den hellsten Köpfen der weltweiten Hackercommunity pflegt. Geld zahlt Microsoft den Tippgebern aber nicht. Zu groß sei die Furcht, erpressbar zu werden.

Welche Fronten der Umgang mit Lücken in der Szene zieht und wie erbittert dort die Grabenkämpfe ausgetragen werden, schildert Teil 2 dieser Serie.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links