MÜNCHEN (CW) - Steht das "Trojanische Pferd" auf tönernen Füßen? Mit Andeutungen, die Zweifel am Hergang der jüngst von deutschen Hackern verübten Computereinbrüche aufkommen lassen, reagierte jetzt Digital Equipment (DEC) auf das vermeintliche Hacker-Husarenstück. Die jugendlichen DV-Freaks hatten sich nach eigenen Angaben über ein zufällig entdecktes "Software-Loch" im Betriebssystem VAX/VMS des Herstellers Zugang zu den Rechnernetzen europäischer und amerikanischer Raumfahrtunternehmen verschafft (siehe auch Kolumne, Seite 9).
Allein die Dokumentation für VMS umfaßt rund 500 000 Seiten; das entspricht etwa 20 Megabyte an reinem Code", erläutert Klaus Kemmler, Leiter Produkt-Marketing in der Münchner Zentrale des zweitgrößten Computerbauers der Welt. "Bei einem Betriebssystem mit diesem Umfang stößt man nicht durch Zufall auf solch einen Fehler - da waren VMS-Experten am Werk."
Offenbar spricht der DEC-Manager auch aus leidvollen Erfahrungen im eigenen Hause, die von den Münchnern bislang schamhaft verschwiegen wurden: "Wir betreiben derzeit DEC-intern ein Netz mit über 20 000 Knoten. Das ist sicherlich ein bevorzugtes Objekt für Hacker; auch für diejenigen, die das nicht aus Spaß machen, sondern die vielleicht Geld dafür bekommen, weil sie es im Auftrag von uns nicht wohlgesonnenen Institutionen durchführen." Bei den meisten signifikanten Hackereien, so Kemmler, habe jemand vorher was gewußt.
Nach Angaben des Hamburger Chaos Computer Clubs (CCC), den die Hacker nach ihrem illegalen Eindringen in die fremden Netze kontaktierten, sei der Einstieg in die Systeme jedoch verblüffend einfach gewesen. .Beim Spielen mit den Computern ohne böse Absicht", so formuliert es CCC-Sprecher Steffen Wernéry, "sind die Hacker in ein Software-Loch gefallen".
Sie meldeten sich als Gast mit einem gängigen Paßwort bei den VAX-Rechnern an und riefen dann die Datei mit den verschlüsselten Informationen für die weiteren Zugangskontrollen auf. Die erwartete Fehlermeldung wurde ignoriert und die bereits offene Datei geändert, um sich so die Zugriffsrechte des Systemmanagers anzueignen.
Nach diesem Verfahren und mit Hilfe selbstgestrickter Programme, die als "Trojanische Pferde" alle Hinweise auf die Eindringlinge unterliefen, knackten die Hacker mehr als 135 Programme aus neun westlichen Industrienationen. Darunter befindet sich unter anderen das von der amerikanischen National Aeronautic Space Administration (NASA) aufgebaute Space Physics Analysis Network (SPAN), das rund 1600 Großrechner aus den Bereichen Luft- und Raumfahrt, Kernphysik und Molekularbiologie miteinander verbindet.
Zu den betroffenen VAX-Anwendern zählen auch mehrere Max-Planck-Institute für Kernphysik, die Europäische Kernforschungsanlage (CERN) in Genf, das Europäische Laboratorium für Molekularbiologie in Genf sowie die deutsche Forschungs- und Versuchsanstalt für Luft- und Raumfahrt (DFVLR), Oberpfaffenhofen. Zudem suchten die Hacker rund 20 Computer der NASA nach den Paßwörtern "Shuttle", "Challenger"
"Secret" und "SDI" ab.
"Wer solche Paßwörter als Schutzmechanismus gegen unbefugtes Eindringen in das System für ausreichend hält und sie dann auch noch eine Ewigkeit nicht verändert, ist selbst schuld", beklagt Kemmler den laschen Umgang vieler Benutzer mit ihren Paßwörtern. Das beste Sicherheitsschloß nutzt wenig, wenn man es nicht richtig verschließt - hier bleibt viel in der Verantwortung der einzelnen Operateure."
Dennoch: Das eigentliche Sicherheitsloch - die trotz der ausgegebenen Fehlermeldung bereits geöffnete Datei - lag im Betriebssystem selbst. "Dies war ein uns bekannter Fehler in der VMS-Version 4.5, auf den wir unsere Kunden hingewiesen haben", erläutert Kemmler. Im Frühjahr diesen Jahres haben wir allen Benutzern dieser Version eine entsprechende Änderungsanweisung (patch) zugeschickt - der Rest ist leichtfertiger Umgang mit dem System."
In der jetzt aktuellen Version 4.6, mit deren Auslieferung die Münchner in diesen Tagen beginnen, wurde der Sicherheits-Lapsus wieder ausgemerzt; in den früheren Versionen des Betriebssystems, das vom National Computer Security Centre der USA die Klassifikation C2 (controlled access) und B2 (Trusted Path Requirements) erhielt, war der Fehler von vornherein nicht vorhanden.
Inzwischen tummeln sich Systemspezialisten von DEC in den Rechenzentren der betroffenen Kunden, um noch im System befindliche Hacker aufzuspüren und angerichtete Schäden zu lokalisieren. Kemmler: Da gehts jetzt Guru gegen Guru."