Interview mit einem anonymen Hacker
Vielen von Ihnen haben sicherlich bereits von russischen Hackern und ihren „Leistungen“ gehört. Wir könnten eine ganze Reihe von Beispielen dafür geben, vom riesigen Cyber-Banküberfall auf die Citibank im Jahr 1994, der federführend vom russischen Programmierer Vladimir Levin geplant wurde, bis hin zum kürzlichen Diebstahl der PIN-Nummern der schwedischen Nordea-Bank. Diese Kosten, die durch solche Cyberverbrechen verursacht werden, können in die Millionen gehen.
Als russischer Hersteller von Sicherheitssoftware möchten wir sicherlich nicht mit unseren Landsleuten prahlen. Wie hochintelligent und talentiert die Übeltäter auch sein mögen, ein Verbrechen bleibt ein Verbrechen. Wir nehmen diese Aktivitäten auch nicht in Schutz - Russland ist schließlich wohl kaum das einzige Land in der Welt mit einer Bevölkerung mit hohem technischem Wissensstand und einer finanziell instabilen Situation. Stattdessen haben wir beschlossen, uns einmal die Motive anzusehen, die all diese internationalen Cyberverbrecher – einschließlich der russischen – gemeinsam haben.
Wir leben in unmittelbarer Nachbarschaft von Hackern und wir kennen ihre Gewohnheiten ganz gut. Also haben wir einige Nachforschungen in der örtlichen Hacker-Szene angestellt und es geschafft, ein Interview mit einem ehemaligen Cyberverbrecher zu arrangieren, der laut eigener Aussage inzwischen zu den „White Hats“ – Crackern, die ihr Wissen für legale Zwecke benutzen – übergewechselt ist und bereit war, anonym über seine Erfahrungen zu sprechen.
Sein Vorname ist Victor, sein Nachname soll jedoch geheim bleiben. Er ist 30 Jahre alt und lebt in
St. Petersburg, Russland. Nachdem er seine Hackertätigkeit aufgegeben hat, hat er einen legitimen Job in einer örtlichen Softwareentwicklungsfirma gefunden und es scheint im Spaß zu machen. Er wollte nicht viel zu seiner Verwandlung in einen von den „guten Jungs“ sagen, aber er sprach äußerst bereitwillig über seine Fähigkeiten und Kenntnisse. Als Victor hörte, dass Agnitum nach Erfahrungen mit Cyber-Sicherheitsproblemen aus erster Hand suchte, meldete er sich bei uns, um mit uns über die sogenannte „maßgeschneiderte“ Malware“ und die Tools zu ihrer Kompilierung zu sprechen.
Frage. Wie lange waren Sie als Hacker und Malware-Autor aktiv?
Antwort. Als Hacker, hm, da bin ich mir nicht sicher. Das waren ungefähr zehn Jahre oder so. Es fing alles an, als ich noch studiert habe. Ich weiß noch, dass ich eines Tages auf den Server zugreifen musste, also habe ich meinen PC von einer Linux-Diskette aus hochgefahren und habe damit alle Windows-Passwörter zurückgesetzt. Ich weiß noch, wie frustriert der Systemadministrator war. So war das, komisch, schätze ich.
Damals habe ich auch andere schlechte Sachen gemacht, wie bestimmte Viren geschrieben und Phishing-E-Mails verschickt, um mal zu sehen, wie schnell ich Leute dazu bringen konnte, Informationen und Geld herauszurücken.
Frage. Wenn das so einträglich war, warum haben Sie beschlossen aufzuhören?
Antwort. Nun, vielleicht war ich ein bisschen erwachsener geworden und habe festgestellt, dass die langfristigen Berufsaussichten bei der Suche nach Softwarefehlern für ein legales Gehalt doch etwas besser sind als bei Hackertätigkeiten. Vielleicht ist mir auch endlich bewusst geworden, dass es keinen Spaß mehr gemacht hat, Programme zum Ausnutzen von Sicherheitslücken zu schreiben. Es macht mir aber wirklich Spaß, ganz legal zur Open-Source-Bewegung beizutragen.
Frage. Wie schwer ist es, eigene Malware zu programmieren?
Antwort. Es sind im Untergrund Tools online erhältlich (wenn man weiß, wo man suchen muss), die ganz einfach eine neue Version zum Beispiel eines Trojaners aus der Original-Binärdatei erzeugen können. Obwohl das nur eine primitive Abwandlung ist, besteht trotzdem die Chance, damit an Sicherheitsprodukten vorbeizukommen, die nicht so oft aktualisiert werden wie nötig. Alles, was man braucht, ist etwas Erfahrung in der C++-Programmierung – ich habe das früher in ein paar Minuten geschafft.
Frage. Können Sie uns Beispiele für solche Malware erzeugenden Tools nennen?
Antwort. Klar, obwohl ich niemanden dazu ermutigen möchte, danach zu suchen. Die meisten von ihnen sind sowieso frei zugänglich.
Pinch Builder ist ein "beliebter" Trojaner in Assembler-Sprache. Jeder kann sich das Muster (ungefähr 20 Kb groß) herunterladen und nach eigenem Geschmack verändern. Die Original-Binärdatei greift auf einen Bereich zu, der als Windows Geschützter Speicher - der Speicherort der "sicheren" Anwender-Passwörter - bekannt ist, und zieht die Informationen heraus. Das Resultat ist ziemlich eindeutig – eine Gefährdung der Benutzerdaten. Man kann es sogar erweitern, dass es als Keylogger oder Spam-Roboter oder sogar als Host für zusätzliche Malware funktioniert. Die Originalversion von Pinch wurde so entwickelt, dass sie sich vervielfältigt, während der Computer das Herunterfahren einleitet. Zu diesem Zeitpunkt werden auch die Sicherheitssysteme beendet, so dass sie leicht umgangen werden können.
Frage. Sieht nach einer großen Hilfe für die bösen Jungs aus. Kostet es irgendetwas?
Antwort. Nun, ich interessiere mich seit geraumer Zeit nicht mehr dafür und habe keine genauen Angaben parat, aber ich glaube, es sind so um die 30 Dollar - für so ein Experiment ziemlich erschwinglich. Es ist wahrscheinlich ganz einfach, ein paar ähnliche Tools auch kostenlos im Internet zu finden.
Frage. Stellt die durchschnittliche Sicherheitssoftware eine ernste Herausforderung für Pinch und Konsorten dar?
Antwort. Wenn Sie signatur-basierte Produkte meint, ist die Antwort: Es ist gar nicht so einfach, eine dauerhafte, absolut sichere Lösung zu finden. Diese chamäleonartigen Gefahren sind schwer zu entdecken – manchmal sind sie sichtbar, in anderen Fällen und mit verschiedenen Pinch-Varianten (ganz zu schweigen von anderen Malware-Arten) sind sie völlig versteckt. Pinch ist manchmal nicht so leicht zu erwischen. Vielleicht bieten einige proaktive Verteidigungstools, die das System und die Programminteraktionen überwachen, eine bessere Erkennungsquote, aber nichts ist 100-prozentig sicher.
Frage. Es gibt also kein Allheilmittel?
Antwort. Tja, System Safety Monitor – das Programm, das die Windows-Aktivitäten in Echtzeit verfolgt – ist kein schlechter Ausgangspunkt, um Pinch-ähnliche Malware zu bekämpfen. Und ja, Sie freuen sich wahrscheinlich zu hören, dass Outpost vermutlich auch ganze Arbeit leisten wird.
Frage. Zur nächsten Frage. Was halten Sie von maßgeschneiderter Malware, die auf bestimmte Aktivitäten oder bestimmte Anwendertypen abzielt?
Antwort. Es existiert bereits ein klar umrissener Markt für auf Wunsch gefertigte Viren, Programme zur Ausnutzung von Sicherheitslücken und noch nicht bekanntgegebene Sicherheitslücken. Aber wer weiß bei der Schnelligkeit und der technischen Raffinesse der heutigen Malware-Entwickler schon, ob es die Programmhersteller oder die Hacker sind, die das Spiel schließlich gewinnen werden. Nachdem ich auf beiden Seiten gearbeitet habe, würde ich sagen, dass die Hacker einen gesunden Vorsprung haben. Das Entstehen von Technologien wie Rootkits und Internet-basierten Diensten bietet ein riesiges Potenzial für Sicherheitslücken.
Frage. Wer wird am Ende gewinnen?
Antwort. Das weiß keiner ganz genau. Aber eins kann ich mit Sicherheit sagen: Die Hersteller von Sicherheitslösungen werden immer hinterherhinken, solange sie nur reagieren - entweder bei ihren strategischen Entscheidungen oder bei den Produktmethoden. Und der Durchschnittsanwender wird immer Probleme mit infizierten Computern haben, während er grundlegende Sicherheitsmaßnahmen auch weiterhin ignoriert. Der Gewinner wird am Ende derjenige sein, der am cleversten vorgeht – egal, ob das beim Angriff oder bei der Verteidigung ist. Man könnte vermutlich sagen, dass ich auf die Seite der „White Hats“ gewechselt, weil ich im Großen und Ganzen das Gute gewinnen sehen will.
|
