Ein Hacker a. D. als Trainer

Ende November 2008, Regen. Die A5 ist voll wie jeden Montag. Freiburg soll die Stadt mit den meisten Sonnenstunden in Deutschland sein, aber heute gießt es wie aus Kübeln. Im Schulungsraum sitzen Tobi, Ex-Hacker, jetzt Forensik-Experte und Trainer sowie etwa 20 Mitarbeiter diverser europäischer Strafverfolgungsbehörden. Auf dem Programm für die nächsten drei Tage stehen Rootkits, CSS-Skripting-Angriffe, die Übernahme von Windows-Rechnern per Browser, das Finden und Ausnutzen bekannter Exploits. Außerdem, wie Angreifer professionelle Software benutzen, um Botnetze, Trojaner und Viren automatisiert zu bauen, zu verteilen und zu verwalten.

An so einer Veranstaltung (Abbildung 1) teilzunehmen ist nur mehr Strafverfolgern vergönnt, seit der Hackerparagraph § 202 c StGB derartige Trainings für Normalsterbliche verbietet. Wie Deutschland trotz derartiger Gesetze sein IT-Security-Know-how wahren soll, fragt sich derzeit eine ganze Branche. Auch einige der Kursteilnehmer lästern in den Pausen über den Gesetzgeber. Es fallen Begriffe wie "Stumpfe Waffen", "Einfach lächerlich", "Völlig praxisfremd" oder "Wettbewerbsnachteil". Angeblich häufen sich neuerdings mehr und mehr Fälle, wo Security-Firmen ihre Mitbewerber bei Ausschreibungen wegen des Besitzes von Hackersoftware anschwärzen und so per Ellenbogentaktik aus dem Rennen stoßen möchten.

Professionell

Die kriminelle Szene dagegen kümmert sich ohnehin nicht um Paragraphen, sie ist gut organisiert, ihre Software durchaus einsteigertauglich und die Hemmschwelle scheint zu sinken. Ein Beamter stöhnt: "Mittlerweile beherrschen das auch Mausschubser und Scriptkiddies erschreckend schnell." Die finden sich aber in diesem Kurs (Abbildung 2) sicher nicht, die Ermittler schlagen längst mit mindestens dem gleichem Know-how zurück, das auch die Internetgangster an den Tag legen.

Abbildung 2: Zum Profi-Hacker in drei Tagen. Die Agenda ist voll, die Ermittler lernen, wie Angreifer Rootkits und Botnetze bauen.

Kein Wunder, dass die Agenda üppig ist, die sich die Profis für die drei Tage vorgenommen haben. Dem Reporter fliegen gleich die Namen einschlägiger Software wie Metasploit, Mpack oder Dreamdownloader um die Ohren.

Tobi, Ex-Hacker, Trainer und Security-Experte in Personalunion freut sich sichtlich über den Besuch vom Linux-Magazin. Die Chemie stimmt, nur wenige Minuten liegen zwischen der Begrüßung und der Diskussion über die Vorteile von Nvidias G-Force-Grafikkarten. Allerdings dreht sich das Gespräch nicht um die neusten Games, sondern um die Tatsache, dass sich die leistungsfähigen Grafikchips besonders gut zum Passwortcracken einspannen lassen.

Russische Software für Nvidias Grafikkarten

Die russische Firma Elcomsoft Ltd. [1] hat daraus sogar ein einträgliches Geschäft gemacht, das Produkt nennen sie Distributed Passwort Recovery. Ein Euphemismus? Russland ist auf jeden Fall ein interessanter Markt, zumindest was das Softwareangebot für Hacker angeht. Firmen aus dem Osten Europas, vor allem aus den Nachfolgestaaten der Sowjetunion sind in der Regel ganz vorne zu finden, auch bei der Software, die Tobi (Abbildung 3) in diesem Kurs vorstellt.

Der Kontakt zu den Strafverfolgern hat sich für ihn vor wenigen Jahren "eher unfreiwillig ergeben". Im Umfeld der Phatbot-Angriffswellen war er wohl mindestens "zur falschen Zeit am falschen Ort", sprich auf dem falschen Server. Zudem kam er ins Visier einer Sonderkommission der Kripo, weil er dann noch Kontakte zu den Urhebern von Malware unterhielt: "Einige von den Jungs haben sich echt blöd angestellt, haben im Web geprahlt! Klar haben sie die geschnappt." Schaden hat er nicht angerichtet, aber man merkt ihm doch manchmal an, dass die Zeit auf der Flucht Spuren hinterlassen hat (Abbildung 4).

Abbildung 3: Vorne Tobi, im Hintergrund sein Zweitvater, der Forensiker Hans-Peter M., der ihn in der Nähe eines PCs keine Sekunde aus den Augen lässt.

Abbildung 4: Ehemals selbst Gejagter, hilft er jetzt mit seinem Know-How der anderen Seite, Schaden zu verhindern. Die Kapuze ist eine Frage des Stils.