Interview mit einem kriminellen Hacker

"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"

13.07.2013
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Persönliche Lieblingsattacken

HANSEN: Ihr Lieblings-Exploit?

ADAM: Zero-Day. Direkt dahinter Cross-Site-Scripting (XSS). Beides wohlbekannt, aber niemand kümmert sich ums Patchen. Distributed Denial of Service (DDoS) lässt sich eher nicht als Exploit bezeichnen, stellt aber unser monatliches Grundeinkommen sicher.

HANSEN: Wie monetarisieren Sie DDoS?

ADAM: Die Leute kaufen Angriffs-Accounts - also beispielsweise 1000 Bots und 30 Minuten DDoS-Zeit. Da sind viele einmalige Aktionen dabei. Häufig geht es um Erpressung - wenn ein Unternehmen nicht 200 Dollar zahlt, bleibt seine Website down. Die Unternehmen zahlen für gewöhnlich - sie wollen keine Zeit zum Geschäftemachen verlieren.

HANSEN: Und wie suchen Sie sich die DDoS-Ziele aus?

ADAM: Kommt darauf an. Gibt es beispielsweise ein sportliches Großereignis wie den Super Bowl, werden zu der Zeit garantiert 95 Prozent aller Wettanbieter erpresst. Ich weiß aber auch von einer Gruppe, die eine Website über Krebsforschung abgeschossen haben, als deren Betreiber gerade einen Spendenmarathon gestartet hatte. Er hat gezahlt - schon irgendwie traurig das Ganze.

HANSEN: Was sind das für Leute, die sich in Ihr Botnetz einkaufen?

ADAM: Einige meinen, es seien Regierungen oder auch untereinander rivalisierende Unternehmen. Ehrlich gesagt ist mir das aber egal. Wer zahlt, schafft an. Ganz einfach.

Die Mythen der Security-Branche

HANSEN: Was machen Website-Betreiber reflexartig, um sich vor Kriminellen wie Ihnen zu schützen, obwohl es nie funktioniert?

ADAM: An dieser Stelle könnte ich einen Roman erzählen. Ich beschränke mich aber auf drei Dinge. Erstens dumme Admins einstellen, die die kriminelle Seite noch nie selbst kennengelernt haben. Die mit einem Silberlöffel im Hintern geboren worden sind und nur dank Mamis und Papis Kohle auf der Uni waren. Wenn ich CEO wäre, würde ich eher Leute mit einer kriminellen Vergangenheit beschäftigen - die wissen wirklich, wie der Laden läuft. Die haben nicht nur die Bücher gelesen. Zweitens unausgebildete, junge, dumme Samstagsarbeiter in der Telefonzentrale beschäftigen. Und drittens keinen DDoS-Schutz einkaufen. Cloudflare beispielsweise bietet für 200 Dollar im Monat einen unglaublich guten Sevice. Wenn ich Sie sonst an einem Tag um bis zu 1000 Dollar erleichtern kann, vielleicht keine so schlechte Investition.

HANSEN: Welche Sicherheitsprodukte und -technologien machen das Leben eines Blackhat schwierig? Welche sind Geldverschwendung?

ADAM: DDoS-Schutz allgemein ist ernstzunehmen, auch wenn viele Crews bei veralteten Lösungen auf diesem Gebiet das Gegenteil bewiesen haben. Was sich gar nicht lohnt, ist Antivirus, totale Geldverschwendung - ja, es schützt Sie vor Skript-Kiddies, die dumme Viren schreiben, aber das war es schon. Jedes Botnetz, das verkauft und benutzt wird, kann schon allein durch seine verteilte Architektur nicht entdeckt werden. Auch Anti-Spam-Software ist überflüssig, sieht man einmal von den Captchas ab, die aber von vielen Nutzern gehasst werden.

Denken Sie immer daran, dass der Kriminelle dem, was es an Sicherheitstechnologie zu kaufen gibt, zehn Schritte voraus ist. Wenn eine Zero-Day-Schwachstelle öffentlich wird, ist sie bereits seit Monaten im Einsatz gewesen. Zwei-Schritt-Authentifizierung mag manchmal vor Social Engineering schützen, ist aber umgehbar - wie "Cosmo", ein 15-jähriges Mitglied von "UGNazi", gezeigt hat. Es ist wie beim Spielekauf: Nach dem Release folgen viele Patches und bevor es irgendeinen Einfluss auf irgendetwas anderes hat, dauert es eine lange Zeit.

HANSEN: Welche Browser sind am anfälligsten und warum?

ADAM: Vor ein paar Jahren hätte ich diese Frage mit "100 Prozent IE" beantwortet. Auch heute ist der Internet Explorer sehr verwundbar, wird aber nicht mehr so stark genutzt. Schnellere Browser wie Chrome oder Firefox sind aufgekommen. Der große Marktanteil des IE erklärt sich für mich eher aus der Bequemlichkeit vieler Anwender und der Gewöhnung daran - und dem Unwissen über dessen Gefahren. Gerade Chrome hat Microsoft zudem förmlich zu neuen Sicherheitsstandards in der Entwicklung gezwungen. Auch dass Java bei vielen Anwendern wegen seiner ständigen Lücken nicht mehr so großen Kredit hat, erschwert das Botnetz-Geschäft.

Multiple Identitäten und ethische Grundsätze

HANSEN: Sie haben viel Kundenkontakt. Wie bewahren Sie sich Ihre Anonymität?

ADAM: Ich lasse die Bots für mich sprechen. Nicht, dass ich meinen Datenverkehr über sie umleite und sie als "Proxys" einsetze, sondern indem ich einen PC programmiere, der Bestellungen entgegen nimmt. Der Käufer holt sich den Botcode aus dem Markt, installiert ihn und tippt ein, was er braucht. Ohne dass er es mitbekommt, verbindet sich sein Rechner dann mit meinem IRC-Kanal und gibt Bestellungs- und Zahlungsdaten durch. Natürlich bekomme auch ich von dem ganzen Vorgang nichts mit (grinst).

HANSEN: Was könnte den Untergrundforen an sich gefährlich werden?

ADAM: Nichts. Kein Markt bleibt länger als eine Woche über eine Domain erreichbar. Wenn doch, ist es eine Polizeiaktion.

HANSEN: Welche Linie überqueren Sie nicht? Womit wollen Sie nichts zu tun haben?

ADAM: Ich verbiete meinen Kunden, mit meinem Botnetz Wohlfahrtsorganisationen oder Gedenkseiten für gefallene Soldaten anzugreifen. Alles andere ist erlaubt. Ich werde oft gefragt, ob ich zulassen würde, dass mein Botnetz von Pädophilengruppen benutzt wird. Das muss es aber gar nicht, weil Pädos ihre eigenen Botnetze betreiben. Aber wenn jemand eine Pädoseite angreifen möchte, mache ich das sogar kostenlos. Auch Attacken auf "Revenge porn" (intime Fotos, die Ex-FreundInnen aus Rache an ihre Verflossenen ins Internet stellen, Anm. d. Red.) kosten nichts. Ganz so böse sind wir dann also doch nicht.

HANSEN: Welche Leute im Untergrund sind die gefährlichsten?

ADAM: Die Drogenbosse. Jeder Hacker, der etwas auf sich hält, wird sich weigern, denen zu helfen. Sie sind brutal. Ein bekannter Typ, der "Anti-Drogen"-Attacken gefahren hatte, ist verfolgt und schließlich getötet worden. Wahrscheinlich haben sie seine ganze Familie gleich mit umgebracht - aber ich möchte hier keine Gerüchte verbreiten.

HANSEN: Wie beeinflussen beispielsweise diese Drogenkartelle den Rest des Untergrunds? Machen Sie die Arbeit des Normalo-Blackhats einfacher oder schwerer?

ADAM: Die versuchen, dich unter Todesdrohungen zu erpressen - also am besten direkt ihre persönlichen Daten veröffentlichen, und gut ist. Jeder hasst sie, aber es handelt sich nun einmal um den Untergrund und da muss das wohl so sein. Ich kann mich ja schlecht bei den Behörden beschweren.

HANSEN: Wie gewinnen Szene-Einsteiger das Vertrauen der Forenbetreiber, um Zutritt zu bekommen?

ADAM: Mach dir einen Namen in einem der einschlägigen IRC-Kanäle. Erstelle Botnetze, die nichts oder kaum etwas kosten und man wird über dich reden. Vorher hast du keine Chance.

HANSEN: Was würden Sie als Ihre eigenen Moralvorstellungen beschreiben? Was empfinden Sie für die Betreiber der Websites, die Sie angreifen und die Besitzer der Rechner, die Sie per Botnetz infizieren?

Heute schon geangelt?
Heute schon geangelt?
Foto: Alan Stockdale - Fotolia.com

ADAM: Menschen, die Opfer von Kreditkartenbetrug werden, tun mir leid - obwohl viele es einfach verdient haben, wenn sie so blöd waren, auf einen falschen Link zu klicken. Die Admins, die ihre Systeme nicht gegen SQLi oder XSS schützen, hasse ich. Das ist gefährlich, dumm und lächerlich.