Interview mit einem kriminellen Hacker
"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Persönliche Lieblingsattacken
HANSEN: Ihr Lieblings-Exploit?
ADAM: Zero-Day. Direkt dahinter Cross-Site-Scripting (XSS). Beides wohlbekannt, aber niemand kümmert sich ums Patchen. Distributed Denial of Service (DDoS) lässt sich eher nicht als Exploit bezeichnen, stellt aber unser monatliches Grundeinkommen sicher.
HANSEN: Wie monetarisieren Sie DDoS?
ADAM: Die Leute kaufen Angriffs-Accounts - also beispielsweise 1000 Bots und 30 Minuten DDoS-Zeit. Da sind viele einmalige Aktionen dabei. Häufig geht es um Erpressung - wenn ein Unternehmen nicht 200 Dollar zahlt, bleibt seine Website down. Die Unternehmen zahlen für gewöhnlich - sie wollen keine Zeit zum Geschäftemachen verlieren.
HANSEN: Und wie suchen Sie sich die DDoS-Ziele aus?
ADAM: Kommt darauf an. Gibt es beispielsweise ein sportliches Großereignis wie den Super Bowl, werden zu der Zeit garantiert 95 Prozent aller Wettanbieter erpresst. Ich weiß aber auch von einer Gruppe, die eine Website über Krebsforschung abgeschossen haben, als deren Betreiber gerade einen Spendenmarathon gestartet hatte. Er hat gezahlt - schon irgendwie traurig das Ganze.
HANSEN: Was sind das für Leute, die sich in Ihr Botnetz einkaufen?
ADAM: Einige meinen, es seien Regierungen oder auch untereinander rivalisierende Unternehmen. Ehrlich gesagt ist mir das aber egal. Wer zahlt, schafft an. Ganz einfach.
- Spamhaus
Sie kämpft gegen unerwünschte E-Mails, doch jetzt ist die Organisation Spamhaus selbst Ziel eines Angriffs mit massenhaften Abfragen geworden. Die Attacke beeinträchtigte sogar den regulären Datenverkehr im Netz. - Pizza.de / Lieferando
UDP-Flooding und DDoS-Attacken sorgen für den Zusammenbruch der Websites von pizza.de und lieferando.de. Nach der Uplink-Ausfilterung beginnt eine zweite Angriffswelle. Es folgt eine Razzia beim Konkurrenten lieferheld.de - ohne Ergenis. Die Betroffenen loben 100.000 für die Ergreifung der Verantwortlichen aus. - Dispatch International
Die Website der Wochenzeitung "Dispatch International" wird massiv angegriffen. Aufgrund des Angriffs erscheint die Zeitung verspätet. - 50Hertz
Die Internet-Infrastruktur des Stromnetzbetreibers 50Hertz wird von Unbekannten angegriffen. Aus einem Botnetz heraus werden Websites und Mail-Infrastruktur des Hochspannungsstromnetz-Betreibers per DDoS-Attacke unter Beschuss genommen. Alle extern erreichbaren Services fallen vorübergehend aus.
Die Mythen der Security-Branche
HANSEN: Was machen Website-Betreiber reflexartig, um sich vor Kriminellen wie Ihnen zu schützen, obwohl es nie funktioniert?
ADAM: An dieser Stelle könnte ich einen Roman erzählen. Ich beschränke mich aber auf drei Dinge. Erstens dumme Admins einstellen, die die kriminelle Seite noch nie selbst kennengelernt haben. Die mit einem Silberlöffel im Hintern geboren worden sind und nur dank Mamis und Papis Kohle auf der Uni waren. Wenn ich CEO wäre, würde ich eher Leute mit einer kriminellen Vergangenheit beschäftigen - die wissen wirklich, wie der Laden läuft. Die haben nicht nur die Bücher gelesen. Zweitens unausgebildete, junge, dumme Samstagsarbeiter in der Telefonzentrale beschäftigen. Und drittens keinen DDoS-Schutz einkaufen. Cloudflare beispielsweise bietet für 200 Dollar im Monat einen unglaublich guten Sevice. Wenn ich Sie sonst an einem Tag um bis zu 1000 Dollar erleichtern kann, vielleicht keine so schlechte Investition.
HANSEN: Welche Sicherheitsprodukte und -technologien machen das Leben eines Blackhat schwierig? Welche sind Geldverschwendung?
ADAM: DDoS-Schutz allgemein ist ernstzunehmen, auch wenn viele Crews bei veralteten Lösungen auf diesem Gebiet das Gegenteil bewiesen haben. Was sich gar nicht lohnt, ist Antivirus, totale Geldverschwendung - ja, es schützt Sie vor Skript-Kiddies, die dumme Viren schreiben, aber das war es schon. Jedes Botnetz, das verkauft und benutzt wird, kann schon allein durch seine verteilte Architektur nicht entdeckt werden. Auch Anti-Spam-Software ist überflüssig, sieht man einmal von den Captchas ab, die aber von vielen Nutzern gehasst werden.
Denken Sie immer daran, dass der Kriminelle dem, was es an Sicherheitstechnologie zu kaufen gibt, zehn Schritte voraus ist. Wenn eine Zero-Day-Schwachstelle öffentlich wird, ist sie bereits seit Monaten im Einsatz gewesen. Zwei-Schritt-Authentifizierung mag manchmal vor Social Engineering schützen, ist aber umgehbar - wie "Cosmo", ein 15-jähriges Mitglied von "UGNazi", gezeigt hat. Es ist wie beim Spielekauf: Nach dem Release folgen viele Patches und bevor es irgendeinen Einfluss auf irgendetwas anderes hat, dauert es eine lange Zeit.
HANSEN: Welche Browser sind am anfälligsten und warum?
ADAM: Vor ein paar Jahren hätte ich diese Frage mit "100 Prozent IE" beantwortet. Auch heute ist der Internet Explorer sehr verwundbar, wird aber nicht mehr so stark genutzt. Schnellere Browser wie Chrome oder Firefox sind aufgekommen. Der große Marktanteil des IE erklärt sich für mich eher aus der Bequemlichkeit vieler Anwender und der Gewöhnung daran - und dem Unwissen über dessen Gefahren. Gerade Chrome hat MicrosoftMicrosoft zudem förmlich zu neuen Sicherheitsstandards in der Entwicklung gezwungen. Auch dass Java bei vielen Anwendern wegen seiner ständigen Lücken nicht mehr so großen Kredit hat, erschwert das Botnetz-Geschäft. Alles zu Microsoft auf CIO.de
- Ist Java bereits auf meinem PC installiert?
Anbieter Oracle stellt die Möglichkeit zur Verfügung, dies direkt über die Web-Seite feststellen zu lassen. - Träge Nutzerschaft
Die Nutzer lassen sich Zeit mit dem Update: Nutzeranteil von neueren Java-Versionen (gepatcht), verglichen mit älteren und angreifbaren (betroffenen) Versionen im Wochenrhythmus. - Freigabe erforderlich
Die Sicherheitsmechanismen des Browsers (hier Google Chrome) greifen: Bevor Java – auch nur zur Überprüfung – freigegeben wird, muss dies vom Nutzer genehmigt werden. - Vorsicht, umfassende Rechte
Java läuft eben nicht nur im Browser ab: In diesen Fällen kommt eine Anwendung auf dem eigenen PC zum Einsatz, die teilweise mit einem uneingeschränkten Zugriff arbeitet. - Support für Windows 8
Alle Überprüfungen können natürlich auch unter Windows 8 ausgeführt werden: Hier bietet Microsoft zusätzliche Unterstützung durch eine eigene Infoseite an. - Ob's hilft?
Die Installation der Java-Software unter Windows 8: Oracle sieht natürlich eher die Vorteile in dieser Software und kehrt diese bei der Installation heraus. - Mehr Müll
Eine sehr schlechte Angewohnheit, die Java mit Adobes Flash teilt: Bei der Installation versucht die Software durch bereits angewählte Menüpunkte, dem Anwender zusätzliche "Crapware" auf das System zu bringen beziehungsweise Einstellungen wie dir für die Suchmaschine zu "verbiegen". - Java zwingend erforderlich
Anwendungen, die nur laufen, wenn Java installiert ist: Die Freeware JDownloader deutet schon in ihrem Namen an, dass sie nur bei Vorhandensein der Java Runtime zum Einsatz kommen kann. - Java zwingend erforderlich II
Auch das Anonymisierungs-Tool JAP (JonDo) ist darauf angewiesen, dass auf dem PC, auf dem es zum Einsatz kommt, die Java Runtime installiert ist. Ansonsten kann sie von der Software mit installiert werden. - Control Panel
Die Sicherheitseinstellungen auf einem Windows-8-System: Von vielen Nutzern unbemerkt, installiert Java auch einen Eintrag in der Systemsteuerung, von dem aus das sogenannte Control Panel aufgerufen werden kann. - Simple Deinstallation
Das Java Control Panel steht natürlich auch bei den Windows-7-Systemen zur Verfügung: Mit seiner Hilfe ist auch eine Deinstallation der Software leicht vorzunehmen. - Frequenz der Updates einstellen
Mit Hilfe des Control Panels können Nutzer sowohl die Frequenz als auch die Art und Weise festlegen, in der entsprechende Updates von Java heruntergeladen und installiert werden. - Plug-In deaktivieren
Deaktivierung des Java-Plug-Ins direkt im Betriebssystem: Auch das funktioniert über das Control Panel in der Systemsteuerung im das Kästchen für den Browser abgewählt wird. Der Browser muss danach neu gestartet werden. - The Java vanishes
So verschwindet Java wieder vom System: Die Software kann, wie jede andere Software unter Windows, direkt unter dem Eintrag Programme (beziehungsweise „Programme und Funktionen“ unter Windows 7) wieder deinstalliert werden. - Plug-In-Management
Die Einstellungen der Plug-Ins im Firefox-Browser: Hier können die Anwender festlegen, ob Java-Applets von ihrem Browser ausgeführt werden sollen – und sie können dieses Plug-In an dieser Stelle auch wieder entfernen. - Alles noch fit?
Sollte regelmäßig vorgenommen werden: Mozillas Firefox erlaubt die Überprüfung der Plug-Ins darauf, ob sie noch dem aktuellen Stand entsprechen. - Meister bei den Exploits:
Java auch im Jahr 2013 "führend", wie diese Übersicht über die von SourceFire gefundenen Indicators of compromise zeigt. (Quelle: SourceFire/FireAMP soluntion, Cisco)
Multiple Identitäten und ethische Grundsätze
HANSEN: Sie haben viel Kundenkontakt. Wie bewahren Sie sich Ihre Anonymität?
ADAM: Ich lasse die Bots für mich sprechen. Nicht, dass ich meinen Datenverkehr über sie umleite und sie als "Proxys" einsetze, sondern indem ich einen PC programmiere, der Bestellungen entgegen nimmt. Der Käufer holt sich den Botcode aus dem Markt, installiert ihn und tippt ein, was er braucht. Ohne dass er es mitbekommt, verbindet sich sein Rechner dann mit meinem IRC-Kanal und gibt Bestellungs- und Zahlungsdaten durch. Natürlich bekomme auch ich von dem ganzen Vorgang nichts mit (grinst).
HANSEN: Was könnte den Untergrundforen an sich gefährlich werden?
ADAM: Nichts. Kein Markt bleibt länger als eine Woche über eine Domain erreichbar. Wenn doch, ist es eine Polizeiaktion.
HANSEN: Welche Linie überqueren Sie nicht? Womit wollen Sie nichts zu tun haben?
ADAM: Ich verbiete meinen Kunden, mit meinem Botnetz Wohlfahrtsorganisationen oder Gedenkseiten für gefallene Soldaten anzugreifen. Alles andere ist erlaubt. Ich werde oft gefragt, ob ich zulassen würde, dass mein Botnetz von Pädophilengruppen benutzt wird. Das muss es aber gar nicht, weil Pädos ihre eigenen Botnetze betreiben. Aber wenn jemand eine Pädoseite angreifen möchte, mache ich das sogar kostenlos. Auch Attacken auf "Revenge porn" (intime Fotos, die Ex-FreundInnen aus Rache an ihre Verflossenen ins Internet stellen, Anm. d. Red.) kosten nichts. Ganz so böse sind wir dann also doch nicht.
HANSEN: Welche Leute im Untergrund sind die gefährlichsten?
ADAM: Die Drogenbosse. Jeder Hacker, der etwas auf sich hält, wird sich weigern, denen zu helfen. Sie sind brutal. Ein bekannter Typ, der "Anti-Drogen"-Attacken gefahren hatte, ist verfolgt und schließlich getötet worden. Wahrscheinlich haben sie seine ganze Familie gleich mit umgebracht - aber ich möchte hier keine Gerüchte verbreiten.
HANSEN: Wie beeinflussen beispielsweise diese Drogenkartelle den Rest des Untergrunds? Machen Sie die Arbeit des Normalo-Blackhats einfacher oder schwerer?
ADAM: Die versuchen, dich unter Todesdrohungen zu erpressen - also am besten direkt ihre persönlichen Daten veröffentlichen, und gut ist. Jeder hasst sie, aber es handelt sich nun einmal um den Untergrund und da muss das wohl so sein. Ich kann mich ja schlecht bei den Behörden beschweren.
HANSEN: Wie gewinnen Szene-Einsteiger das Vertrauen der Forenbetreiber, um Zutritt zu bekommen?
ADAM: Mach dir einen Namen in einem der einschlägigen IRC-Kanäle. Erstelle Botnetze, die nichts oder kaum etwas kosten und man wird über dich reden. Vorher hast du keine Chance.
HANSEN: Was würden Sie als Ihre eigenen Moralvorstellungen beschreiben? Was empfinden Sie für die Betreiber der Websites, die Sie angreifen und die Besitzer der Rechner, die Sie per Botnetz infizieren?
ADAM: Menschen, die Opfer von Kreditkartenbetrug werden, tun mir leid - obwohl viele es einfach verdient haben, wenn sie so blöd waren, auf einen falschen Link zu klicken. Die Admins, die ihre Systeme nicht gegen SQLi oder XSS schützen, hasse ich. Das ist gefährlich, dumm und lächerlich.