Ich ein Computercrack? Bis vor einer Woche war ich noch ein
Astronom gewesen, der ganz zufrieden Teleskop-Optiken
konstruierte. Wenn ich darauf zurueckblickte, hatte ich in
einem akademischen Traumland gelebt. Und waehrend all dieser
Jahre hatte ich nie fuer die Zukunft geplant, bis zu dem
Tag, an dem mein Forschungsauftrag auslief.
Zu meinem Glueck recyclete mein Labor gebrauchte Astronomen
- Statt stempeln zu gehen, wurde ich vom Keck Observatorium
am Lawrence Berkeley Laboratory (LBL) runter ins
Rechenzentrum im Kellergeschoss desselben Gebaeudes
verfrachtet. Also, verdammt nochmal, ich konnte den
Computercrack so gut mimen, dass die Astronomen immer
beeindruckt waren, dann wuerde ich wohl auch hier bald so
gut mithalten koennen, dass meine Kollegen mir nicht auf die
Schliche kaemen. Denn - ich, ein Computercrack? Nein - ich
bin Astronom.
Und was jetzt? Als ich apathisch auf mein Computerterminal
starrte, dachte ich immer noch an Planetenumlaufbahnen und
Astrophysik. Fuer eine Weile schuf mein Miesepeter-Rueckzug
in mich selbst noch Distanz zu meiner neuen Welt.
Als Neuer in diesem Haufen hatte ich die Wahl zwischen
einer Besenkammer mit Fenster und Aussicht auf die Golden
Gate Bridge und einem Buero ohne Belueftung, aber mit einer
Wand voller Buecherregale. Ich schluckte meine Platzangst
runter und nahm das Buero, in der Hoffnung, es wuerde
niemandem auffallen, wenn ich unter dem Schreibtisch
schlief. In den Bueros nebenan sassen zwei Systemleute, Wayne
Graves und Dave Cleveland, alte Hasen auf ihrem Gebiet. Ich
sollte meine Nachbarn bald durch ihre Streiterei
kennenlernen.
Wayne hielt alle anderen fuer inkompetent oder faul und lag
daher mit der uebrigen Mannschaft ueber Kreuz. Trotzdem
kannte er das System durch und durch, vom Plattencontroller
bis zu den Mikrowellenantennen. Wayne war eingeschworen auf
VAX Computer von Digital Equipment Corporation (DEC), dem
nach IBM zweitgroessten Computerhersteller in der Welt, und
akzeptierte nichts anderes.
Dave, unser heiterer Unix-Buddha, lauschte geduldig Waynes
ununterbrochenem Strom von Computervergleichen. Kaum ein
Gespraech gipfelte nicht in Waynes Satz: << Die VAX ist bei
allen Wissenschaftlern der Computer Nummer 1, und man kann
mit ihm auf tausend Arten maechtige Programme entwickeln. >>
Dave erwiderte stets geduldig: << Okay, halte du deine VAX-
Suechtigen bei Laune, und ich kuemmere mich um den Rest der
Welt. >>
Dave gab ihm nie die Genugtuung, sich zu aergern, und Waynes
Beschwerden verebbten schliesslich in unverstaendlichem
Genoele.
Na, grossartig. Erster Arbeitstag, eingeklemmt zwischen zwei
Typen, die meine Tagtraeume mit ihren ewig gleichen Disputen
wie Seifenblasen platzen liessen.
Wenigstens wuerde sich niemand ueber mein Aeusseres beschweren.
Ich trug die Berkeley-Standarduniform: kariertes Hemd,
abgewetzte Jeans und billige Latschen. Gelegentlich trug
ein Systemverwalter (oder auch Systemmanager genannt), eine
Krawatte, aber an diesen Tagen sank gewoehnlich die
Produktivitaet. Wayne, Dave und ich sollten gemeinsam die
Computer als Dienstleistungsanlage fuer das gesamte Labor
betreuen. Wir verwalteten ein Dutzend Zentralrechner -
riesige Arbeitspferde zur Loesung physikalischer Probleme,
die zusammen rund sechs Millionen Dollar wert waren. Den
Wissenschaftlern, die diese Computer benutzten, sollte ein
einfaches, leistungsfaehiges Rechnersystem zur Verfuegung
stehen, das so zuverlaessig war wie die Elektrizitaetsgesell-
schaft. Das hiess, die Maschinen mussten die ganze Zeit
laufen, rund um die Uhr. Und wie jede andere Service-Firma
stellten wir jede Benutzung in Rechnung.
Von den viertausend Labormitarbeitern nutzte vielleicht ein
Viertel die Zentralrechner. Jedes dieser tausend Konten
wurde taeglich aufsummiert, und der Computer fuehrte ein
elektronisches Hauptbuch. Weil eine Stunde Rechenzeit
immerhin 300 Dollar kostete, musste unsere Buchhaltung genau
arbeiten, also verzeichneten wir jede ausgedruckte Seite,
jeden Block Plattenspeicherplatz und jede Minute Prozessor-
zeit. Ein eigener Computer sammelte diese Zahlen und sandte
monatliche Rechnungen an die Laborabteilungen.
Und so geschah es, dass Dave an meinem zweiten Arbeitstag in
mein Buero marschierte und etwas von einem Schluckauf im
Unix-Abrechnungssystem murmelte. Irgend jemand musste ein
paar Sekunden Rechenzeit verbraucht haben, ohne dafuer zu be
zahlen. Die Computerbuecher gingen nicht ganz auf: Die
letzte Monatsrechnung ueber 2387 Dollar wies ein Defizit von
75 Cents aus. Nun ist ein Fehler von ein paar Tausend
Dollar offensichtlich und nicht schwer zu finden. Aber
Fehler in der Cent-Spalte stammen von tiefverborgenen
Problemen; sie aufzudecken ist deshalb eine Herausforderung
fuer jeden sich mausernden Softwarecrack. Dave meinte, ich
solle mal darueber nachdenken.
<< Astreiner Raub, was ? >> fragte ich.
<< Krieg's raus, Cliff, und alle werden staunen >> , sagte
Dave.
Das sah ganz nach einer netten Spielerei aus, also vergrub
ich mich in das Abrechnungsprogramm.
Ich stellte sehr bald fest, dass unsere Abrechnungssoftware
ein Flickenteppich aus Programmen war, die laengst
entschwundene Werkstudenten geschrieben hatten. Jedenfalls
funktionierte der Eintopf gut genug, so dass sich niemand
darum kuemmerte. Dann sah ich mir die Programm-Mixtur
genauer an; sie war in Assembler, Fortran und Cobol
geschrieben, den aeltesten aller Computersprachen. Haette
auch klassisches Griechisch, Latein oder Sanskrit
sein koennen.
Wie bei der meisten Software >Marke Eigenbau< hatte sich
niemand die Muehe gemacht, unser Abrechnungssystem zu doku-
mentieren. Nur ein Irrer wuerde seine Nase ohne Karte in
solch ein Labyrinth stecken.
Aber es war ein Zeitvertreib fuer den Nachmittag und eine
Gelegenheit, das System kennenzulernen. Dave zeigte mir,
wie es, immer wenn sich jemand bei dem Computer anmeldete,
den Benutzernamen und das Terminal speicherte. Es versah
jede Verbindung mit der Uhrzeit und zeichnete auf, welche
Aufgaben er durchfuehren liess, wie viele Sekunden
Prozessorzeit er benoetigte und wann er sich abmeldete.
Dave erklaerte, dass wir zwei unabhaengige Abrechnungssysteme
haetten. Die normale Unix-Abrechnungssoftware speicherte nur
die datierten Aufzeichnungen in einer Datei. Um aber die
Beduerfnisse von ein paar Buerokraten zu befriedigen, die
wissen wollten, welche Abteilungen die Computer benutzten,
hatte Dave ein zweites Abrechnungssystem installiert, das
detailliertere Aufzeichnungen ueber die Computerbenutzer
machte.
Im Lauf der Jahre hatte eine lange Reihe gelangweilter
Werkstudenten Programme geschrieben, um diese ganzen
Abrechnungsinformationen zu analysieren. Ein Programm
sammelte die Daten und legte sie in einer Datei ab. Ein
zweites Programm las die Datei und berechnete die Kosten
fuer den jeweiligen Zeitraum.
Und ein drittes sammelte all diese Kosten und druckte
Rechnungen aus, die an jede Abteilung geschickt wurden. Das
letzte Programm addierte alle Benutzergebuehren auf und
verglich das Gesamtergebnis mit dem Ergebnis des
computerinternen Abrechnungsprogramms. Und zwei
Abrechnungsdateien, die von verschiedenen Programmen
parallel gefuehrt wurden, sollten eigentlich dasselbe
Ergebnis erbringen.
Ein Jahr lang hatte es keine Differenzen gegeben, diese
Woche aber war etwas nicht ganz in Ordnung. Die
naheliegende Erklaerung: ein Rundungsfehler. Wahrscheinlich
war jeder Abrechnungsposten korrekt; wurden sie aber
addiert, summierten sich Differenzen von Zehntel-Cents bis
zu einem Fehler von 75 Cents auf. Ich sollte in der Lage
sein, dies zu beweisen, indem ich entweder analysierte, wie
die Programme arbeiteten, oder indem ich sie mit
verschiedenen Daten testete.
Statt mir den Code jedes Programms muehsam zu entschluesseln
schrieb ich kurzerhand ein Programm zur Kontrolle der
Dateien.
In ein paar Minuten hatte ich das erste Programm geprueft:
Es sammelte die Abrechnungsdaten wirklich korrekt. Hier
gab's keine Probleme.
Zur Simulation des zweiten Schrittes brauchte ich laenger,
aber in einer Stunde hatte ich ein ausreichendes ad-hoc-
Programm zusammengeklopft, um zu beweisen, dass auch das
zweite Programm richtig funktionierte. Es addierte einfach
die Zeitintervalle auf und multiplizierte sie mit den
Kosten fuer die Rechenzeit. Also lag der 75-Cent-Feh1er
nicht an diesem Programm.
Auch das dritte Programm arbeitete perfekt. Es sah in der
Liste der autorisierten Benutzer nach, fand ihre
Laborkonten und druckte eine Rechnung aus. Rundungsfehler?
Nein, jedes der Programme verzeichnete das Geld bis auf den
Hundertstel Cent.
Kumulative Fehler wuerden bei den Zehntel-Cents auftreten.
Seltsam. Woher kam dann dieses 75-Cent-Defizit?
Ich hatte nun bereits einige Stunden in den Versuch
investiert, ein triviales Problem zu verstehen. Und ich
wurde stur: Verdammt, ich wuerde bis Mitternacht
hierbleiben, wenn's sein musste.
Nach einigen weiteren Testprogrammen fing ich an, dem
Mischmasch der hausgemachten Abrechnungsprogramme wirklich
zu vertrauen. Keine Frage, die Rechnungen gingen nicht auf,
aber es war sicher kein Rundungsfehler, und die Programme
waren zwar nicht kugelsicher, aber sie verschlampten keinen
Cent. Ich hatte auch die Listen der autorisierten Benutzer
gefunden und fand heraus, wie die Programme die
Datenstrukturen nutzten, um den verschiedenen Abteilungen
Rechnungen auszustellen. Gegen 19 Uhr fiel mir ein Benutzer
namens Hunter auf. Dieser Typ hatte keine gueltige
Rechnungsadresse.
Ha! Hunter hatte im letzten Monat fuer 75 Cents Rechenzeit
ver braucht, aber niemand hatte fuer ihn bezahlt. Er war die
Quelle unseres Defizits! Jemand hatte Mist gebaut, als er
unserem System diesen Benutzer anhaengte. Ein triviales
Problem, verursacht durch einen trivialen Fehler.
Ein Grund zum Feiern. Als ich diesen kleinen Triumph auf
die ersten Seiten meines Notizbuchs schrieb, kreuzte
Martha, meine Freundin, auf, und wir feierten die Sache mit
einem spaeten Cappuccino im CAFE ROMA.
Ein richtiger Computercrack haette das Problem in ein paar
Minuten geloest. Fuer mich war's unbekanntes Terrain, und ich
hatte einige Zeit gebraucht, um mich darin zurechtzufinden.
Ich konnte mich damit troesten, das Abrechnungssystem
kennengelernt und mich in ein paar obsoleten Sprachen geuebt
zu haben.
Am naechsten Tag schickte ich eine elektronische Nachricht
an Dave und erklaerte ihm das Problem, wobei ich mich
gehoerig aufplusterte.
Mittags kam Dave vorbei, um einen Berg Manuals abzuladen
und erwaehnte beilaeufig, er habe nie einen Benutzer namens
Hunter zugelassen. Es muesse einer der anderen
Systemverwalter gewesen sein.
Waynes trockener Kommentar: << Ich war's nicht. LDVM. >>
Die meisten seiner Saetze endeten mit Akronymen, dieses
bedeutete: << Lies das verdammte Manual. >>
Aber ich las die Manuals nicht. Die Operator durften keinen
neuen Benutzer ohne ein Konto zulassen. In anderen Rechen-
zentren loggt man sich einfach in ein privilegiertes Konto
ein und sagt dem System, es solle einen neuen Benutzer
hinzufuegen. Weil wir auch verschiedene Buchhaltungseintraege
vornehmen mussten konnten wir kein solches Larifari-System
betreiben. Unseres war so komplex dass wir spezielle
Programme besassen, die automatisch den Papierkram
erledigten und mit den Systemen jonglierten. Auf Nachfrage
meinten die Operator uebereinstimmend, das automatische
System sei so gut, dass niemand von Hand einen neuen
Benutzer einfuehren koenne. Und das automatische System wuerde
keinen solchen Fehler begehen. Offen gesagt, ich konnte mir
nicht vorstellen, wer sich diesen Witz erlaubt hatte.
Niemand kannte Hunter, und es gab kein Konto fuer ihn. Also
loeschte ich den Namen aus dem System - wenn er auftauchte,
um sich zu beschweren, konnten wir ihn ja richtig
installieren.
Einen Tag spaeter schickte uns ein obskurer Computer namens
Dockmaster eine elektronische Nachricht. Sein
Systemverwalter behauptete, jemand aus unserem Labor habe
am Wochenende versucht, in seinen Computer einzubrechen.
Die Antwortadresse von Dockmaster haette ueberall sein
koennen, die Anzeichen wiesen aber auf Maryland. Die
Nachricht war durch ein Dutzend anderer Computer gelaufen,
und jeder hatte einen >Eingangsvermerk< hinterlassen.
Dave beantwortete die Nachricht mit einem unverbindlichen
<< Wir sehen's uns mal an. >>
Sicher. Wir wuerden's uns ansehen, wenn wir unsere anderen
Probleme geloest hatten.
Unsere Laborcomputer stehen ueber ein Dutzend Netzwerke mit
Tausenden anderer Systeme in Verbindung. Jeder unserer Wis-
senschaftler kann sich in unseren Computer einloggen und
sich dann bei einem entfernten Computer anmelden. Steht die
Verbindung einmal, kann er sich in den entfernten Computer
einloggen, wenn er einen Kontennamen und ein Passwort
eingibt. Im Prinzip ist das einzige, was einen Computer im
Netzwerk schuetzt, das Passwort, weil man Kontennamen leicht
rausfinden kann. (Wie man sie findet? Man schaut einfach
ins Telefonbuch - die meisten Leute verwenden ihre Namen
fuer den Computer.) Die elektronische Nachricht von
Dockmaster war ungewoehnlich, und Dave uebermittelte sie mit
der Frage: << Wer ist Dockmaster? >> an Wayne, der sie an
mich weiterreichte; er vermutete, es handelte sich um << ein
Mitglied von FDIC >> - das musste irgendeine Bank sein. Aber
sind Banken das einzige, in das es sich lohnt,
einzubrechen?
Ich hielt Dockmaster eher fuer irgendeine Flottenbasis. Das
Ganze war nicht sonderlich wichtig, schien aber doch wert,
dass man sich ein paar Minuten damit beschaeftigte.
Die Nachricht enthielt Datum und Uhrzeit des Versuchs von
irgend jemandem an unserem Unix-Computer, sich in den
Dockmaster-Computer einzuloggen. Weil ich gerade am
Abrechnungssystem herumhantiert hatte, wusste ich, wo ich
nachforschen musste, um herauszubekommen, wer unsere LBL-
Computer am Samstagmorgen um 8.46 Uhr benutzt hatte. Wieder
stimmten die beiden Abrechnungssysteme nicht ueberein. Die
Unix-Hauptabrechnungsdatei wies einen Benutzer namens
Sventek auf, der sich um 8.25 Uhr eingeloggt, eine halbe
Stunde nichts getan und sich dann abgemeldet hatte.
Dazwischen keine mit Uhrzeit versehene Aktivitaet. Unsere
hausgemachte Software zeichnete Sventeks Aktivitaet
ebenfalls auf, zeigte aber, dass er die Netzwerke
von 8.31 Uhr bis 9.01 Uhr benutzte. An diesem Samstagmorgen
war nichts los gewesen, niemand sonst hatte Rechenzeit
verbraucht.
Oje. Noch ein Abrechnungsproblem. Die Zeitmarkierungen
stimmten nicht ueberein; ein System verzeichnete Aktivitaet,
als das andere meldete, alles sei ruhig. Ich fing gerade
erst an, mich in diesem Gebiet zurechtzufinden, und andere
Dinge schienen dringender, also liess ich das Problem auf
sich beruhen. Nachdem ich bereits einen Nachmittag damit
vergeudet hatte, dem Fehler eines Operators nachzujagen,
wollte ich das Abrechnungssystem nicht noch einmal
anfassen.
Beim Mittagessen mit Dave erwaehnte ich, ein gewisser
Sventek sei der einzige gewesen, der eingeklinkt war, als
Dockmaster den Einbruch meldete.
Dave riss die Augen auf und sagte: << Sventek? Joe Sventek:
Der ist doch in Cambridge! Cambridge, England. Was macht
der denn wieder hier: >>
Er erklaerte mir, dass Joe Sventek der Unix-Guru des Labors
gewesen war und im Lauf der letzten zehn Jahre ein Dutzend
groessere Programme geschrieben hatte. Joe war vor einem Jahr
nach England gegangen und hatte ueber der ganzen
Computergemeinde Kaliforniens einen strahlenden
Heiligenschein zurueckgelassen. Dave konnte nicht glauben,
dass Sventek zurueck sei, weil keiner von seinen anderen
Freunden von ihm gehoert hatte.
<< Er muss von irgendeinem Netzwerk aus in unseren Computer
gekommen sein >>, mutmasste Dave.
<< Du glaubst also, Joe ist schuld an diesem Problem: >>
fragte ich.
<< Auf keinen Fall >> , gab Dave zurueck. << Joe ist ein Hacker
der alten Schule. Ein cleverer, schneller, faehiger
Programmierer. Keiner von diesen bekifften Punkern, die das
Wort >Hacker< in Verruf gebracht haben. Jedenfalls wuerde er
nicht versuchen, in irgendeinen Computer in Maryland
einzubrechen. Und haette er's doch versucht, dann haette er's
geschafft, ohne eine Spur zu hinterlassen. >>
Seltsam: Joe Sventek war seit einem Jahr in England.
Trotzdem tauchte er frueh am Samstagmorgen auf, versuchte in
einen Computer in Maryland einzubrechen, meldete sich ab
und hinterliess ein unausgeglichenes Abrechnungssystem. Im
Korridor erzaehlte ich das Wayne, der gehoert hatte, Joe sei
in England auf Urlaub und er haette sich irgendwo in
Dartmoor vergraben, weit weg von allen Computern.
<< Vergiss diese Nachricht von Dockmaster, Cliff. Sventek
soll JSB nach Berkeley kommen und kann dann alles
aufklaeren. >>
JSB? Jetzt sehr bald. Waynes Art zu sagen: << Ich bin nicht
sicher, wann. >>
Mein Interesse galt aber nicht Sventek. Es galt den
unausgeglichenen Konten. Warum hielten die beiden
Abrechnungssysteme verschiedene Zeiten? Und warum wurde
eine Aktivitaet in einer Datei vermerkt, ohne in der anderen
aufzutauchen?
Am Nachmittag kehrte ich zum Abrechnungssystem zurueck. Ich
fand heraus, dass die fuenfminuetige Zeitdifferenz zwischen
den Zeitmarkierungen sich daraus ergeben hatte, dass unsere
verschiedenen Computeruhren im Lauf der Monate voneinander
abgewichen waren. Eine unserer Computeruhren ging jeden Tag
ein paar Sekunden nach...
Aber es haetten doch alle Aktivitaeten von Sventek in beiden
Listen auftauchen muessen. Stand diese Unstimmigkeit in
Zusammenhang mit dem Abrechnungsproblem von letzter Woche?
Hatte ich etwas durcheinandergebracht, als ich darin
herumpfuschte? Oder gab es noch eine andere Erklaerung?
2.Kapitel
Ich sass in einer beeindruckend langweiligen Vorlesung ueber die
Struktur von Galaxien. Der hochgelehrte Herr Professor sprach
nicht nur monoton, er fuellte die Tafel auch noch mit mathemati-
schen Bandwurmformeln.
Ich versuchte wach zu bleiben und waelzte die Probleme, in die
ich hineingetappt war. Da hatte jemand Mist gebaut, als er ein
neues Konto anlegte - Eine Woche spaeter loggte sich Sventek ein
und versuchte, in einen Computer in Maryland einzubrechen.
Der Abrechnungssatz fuer diesen Vorgang schien frisiert. Sventek
war unerreichbar. Da ist was faul, sagte ich mir. Es scheint fast
so, als ob jemand das Abrechnungsprogramm umgehen wollte. Aber
was waere noetig, um unsere Computer umsonst zu benutzen?
Konnte jemand einen Weg um unser Abrechnungssystem herum
gefunden haben?
Grosse Computer haben zwei Softwarearten: Benutzerprogramme
und Systemprogramme. Programme, die man selbst schreibt oder
installiert, sind Benutzerprogramme - zum Beispiel meine astro-
nomischen Standardberechnungen, mit denen ich die Atmo-
sphaere eines Planeten analysiere.
Fuer sich allein koennen Benutzerprogramme nicht viel. Sie kom-
munizieren nicht direkt mit dem Computer, sie rufen vielmehr
das Betriebssystem auf, mit dem der Computer arbeitet. Wenn
mein Astronomieprogramm etwas schreiben will, knallt es mir
nicht einfach nur ein Wort auf meinen Bildschirm. Es leitet das
Wort vielmehr an das Betriebssystem weiter, das wiederum die
Hardware anweist, ein Wort zu schreiben.
Das Betriebssystem bildet zusammen mit den Editoren, den Soft-
warebibliotheken, den Interpretern und Compilern die System-
software. Diese Programme schreibt man nicht - sie sind entwe-
der beim Computer dabei oder man kauft sie. Wenn sie einmal
installiert sind, sollte niemand dran rumpfuschen.
Das Abrechnungsprogramm ist Systemsoftware. Um sie zu modi-
fizieren oder zu umgehen, muss man entweder Systemverwalter
sein oder auf irgendeine Weise eine privilegierte Position inner-
halb des Betriebssystems erlangt haben.
Okay. Wie wird man privilegiert? Der direkte Weg ist sich mit
dem Passwort des Systemverwalters in unseren Computer einzu-
loggen. Wir hatten unser Passwort (Fafnir) seit Monaten nicht ge-
wechselt, aber ich war mir sicher, dass es nicht durchgesickert
war. Und ein Aussenstehender haette es wohl nie erraten - wie
viele Leute wuerden wohl an einen mythologischen, gefluegelten
Drachen denken, wenn sie ein Passwort erraten wollen?
Aber selbst wenn man Systemverwalter waere, wuerde man nicht
an der Abrechnungssoftware rumspielen, dazu ist sie zu obskur,
zu schlecht dokumentiert. Wie auch immer, ich hatte gesehen,
dass sie funktionierte.
Moment mal - unsere hausgemachte Software arbeitete korrekt.
Jemand hatte ein neues Konto eingerichtet, ohne sie zu benutzen.
Vielleicht hatte er das gar nicht gemerkt. Wenn jemand von drau-
ssen gekommen waere, wuerde er unsere hiesigen Ecken und Win-
kel nicht kennen. Unsere Systemverwalter und Operator kannten
sie. Joe Sventek kannte sie sicher, auch noch in England. Aber
wie waer's bei jemandem von draussen - einem Hacker?
Das Wort Hacker hat zwei sehr verschiedene Bedeutungen. Die
Leute, die ich kannte und die sich Hacker nannten, waren Soft-
warespezialisten, die es fertigbrachten, sich auf kreative Weise
aus engen Ecken herauszuprogrammieren. Keine stumpfsinnigen
Software-Ingenieure, die ihre 40 Wochenstunden runterrissen,
sondern kreative Programmierer, die den Computer nicht verlas-
sen konnten, bis die Maschine zufrieden war.
Ein Hacker identifiziert sich mit dem Computer und kennt ihn
wie einen Freund. Die Astronomen hielten mich fuer so einen.
<< Cliff ist zwar kein guter Astronom, aber was fuer ein Computer-
hacker? >> (Die Computerleute sahen das genau umgekehrt: << Cliff
ist zwar kein guter Programmierer, aber was fuer ein Astronom! >>
Wenigstens lernte ich in meiner Doktorandenzeit beide Seiten
zum Narren zu halten.)
Im allgemeinen Sprachgebrauch jedoch ist ein Hacker jemand,
der in Computer einbricht.
(Mit welchem Wort soll man jemanden bezeichnen, der in Computer
einbricht? Softwarespezialisten alten Stils sind stolz auf den
Namen Hacker und empoert ueber die Kerle, die sich diesen Namen
angeeignet haben. In den Medien bezeichnen die Spezialisten diese
Wegelagerer unseres elektronischen Zeitalters als Cracker oder
Kyberpunker. In den Niederlanden gibt es den Ausdruck
computervredebreuk - << Computerfriedensbrecher >> . Und ich? Die
Vorstellung, ein Datenstrolch bricht in meinen Computer ein, macht
mich fuerchterlich wuetend. Ich wuerde sagen: << Mistkerl! Vandale! <)
1983, als eine Gruppe aus Milwaukee mit Hilfe von Terminals,
Modems und Telefonfernverbindungen in ueber 60 Computersysteme
einbrach, unter anderem in das Atomwaffenlabor in Los Alamos und
ins Columbia Medical Center, wurde die Computergemeinschaft
erstmals auf die Verwundbarkeit ihrer Netzwerksysteme aufmerksam.
Alle paar Monate hoere ich Geruechte, in das System von irgend
jemand anderem sei eingebrochen worden; gewoehnlich geschah das an
Universitaeten und wurde meist Studenten oder Teenagern zur Last
gelegt.
Gewoehnlich ist so etwas harmlos, einfach nur ein runtergeschrie-
bener Hackerstreich.
Koennte der Film WAR GAMES Wirklichkeit werden - koennte ein
Teenagerhacker in einen Computer des Pentagon einbrechen und
einen Krieg ausloesen? Ich bezweifelte das. Natuerlich ist es ein-
fach, in Universitaetscomputern herumzuhantieren, wo es keine
Sicherheitsvorkehrungen gibt. Schliesslich schliessen Universitae-
ten kaum einmal die Eingangstueren der Gebaeude ab. Ich stellte
mir aber vor, dass das bei Militaer-Computern eine voellig andere
Geschichte sein musste - sie waren bestimmt so stark gesichert
wie ein Militaerstuetzpunkt. Und selbst wenn man in einen Militaer-
computer hineinkaeme, waere es absurd zu glauben, man koenne
einen Krieg ausloesen. So etwas wird nicht von Computern ent-
schieden - dachte ich.
Unsere Computer im Lawrence Berkeley-Labor waren nicht be-
sonders sicher, wir hatten aber die Anweisung, Aussenstehende
von ihnen fernzuhalten und Missbraeuche moeglichst zu verhin-
dern. Wir machten uns keine Sorgen, jemand koenne unsere Com-
puter knacken; wir wollten uns nur unseren Geldgeber, das Energie-
ministerium, vom Leib halten. Wenn diese hehre Institution
unsere Computer gruen gestrichen haben wollte, wir haetten Farbe
und Pinsel bestellt.
Um aber Gastwissenschaftlern eine Freude zu machen, hatten wir
mehrere Computerkonten fuer Gaeste eingerichtet. Mit dem Kon-
tennamen guest und dem Passwort guest konnte jeder das System
zur Loesung seiner Probleme benutzen, solange er nicht fuer mehr
als ein paar Dollar Rechenzeit verbrauchte. Ein Hacker koennte
leicht in dieses Konto einbrechen - es stand weit offen. Das waere
aber kaum ein Einbruch zu nennen, bei einer auf Minuten be-
grenzten Rechenzeit. Von einem solchen Konto aus koennte man
sich allerdings im System umschauen, jede offene Datei lesen
und sehen, wer eingeloggt war. Wir fanden, die Bequemlichkeit
sei das geringe Sicherheitsrisiko wohl wert.
Ich ueberschlug die Situation und bezweifelte weiter, dass ein Hak-
ker in unserem System herumturnte. Niemand interessierte sich
fuer Teilchenphysik. Zum Teufel, die meisten unserer Wissen-
schaftler waeren froh, wenn jemand ihre Artikel laese. Es gab hier
nichts, was einen Hacker reizen koennte - keine topmodernen Su-
percomputer, keine hochkaraetigen Wirtschaftsgeheimnisse, keine
vertraulichen Daten. Der beste Teil der Arbeit in den Lawrence
Berkeley-Labors war saubere, offene Wissenschaft.
Fuenfzig Meilen weiter weg fuehrten die Lawrence Livermore La-
boratories geheime Forschungen durch, entwickelten Atombom-
ben und SDl-Projekte. Das waere ein Ziel fuer einen Hacker. Da aber
die Livermore-Computer keine Verbindung nach draussen hatten,
konnten sie auch nicht uebers Telefonnetz angezapft werden. Ihre
Daten wurden mit roher Gewalt geschuetzt: durch Isolation.
Wenn wirklich jemand in unser System eingedrungen war, was
koennte er erreichen? Er koennte jede allgemein zugaengliche Datei
lesen. Die meisten unserer Wissenschaftler zeichneten ihre Daten
in dieser Weise auf, damit ihre Mitarbeiter sie lesen koennen
Einiges von der Systemsoftware war ebenfalls frei zugaenglich Ob-
wohl jeder, der eingeloggt war, diese Dateien lesen konnte war es
nur dem Autor dieser Dateien gestattet, sie zu loeschen oder zu
modifizieren.
Aber obwohl wir diese Daten allgemein zugaenglich nennen, sollte
ein Aussenseiter nicht unbeschraenkt Zugang zu ihnen haben. Man-
che davon sind eigentums- oder urheberrechtlich geschuetzt - wie
unsere Softwarebibliotheken und Textverarbeitungsprogramme.
Andere Datenbanken sind nicht fuer jedermanns Gebrauch be-
stimmt - Adressenlisten unserer Mitarbeiter und unvollstaendige
Berichte ueber laufende Arbeiten. Dennoch ist das alles kaum sen-
sibles Material und weit entfernt vom Status >geheim<.
Nein, ich machte mir keine Sorgen, jemand koennte als Gast in
unseren Computer eingedrungen und mit irgend jemandes Tele-
fonnummer wieder davongezogen sein. Meine wirklichen Be-
fuerchtungen kreisten um ein viel groesseres Problem: Koennte ein
Fremder in unserem Computer privilegierte Zugangsberechtigun-
gen erhalten?
Um ein paar Hundert Benutzer gleichzeitig bedienen zu koennen
teilt das Betriebssystem die Hardwareressourcen genauso auf
wie ein Wohnhaus in verschiedene Wohnungen aufgeteilt wird
Jede Wohnung funktioniert unabhaengig von den anderen- Waeh-
rend ein Bewohner fernsieht, telefoniert ein anderer, und ein
dritter spuelt Geschirr. Die haustechnischen Einrichtungen -
Strom, Telefon und Wasser - werden von der Hausanlage ver-
sorgt. Jeder Bewohner beschwert sich ueber den langsamen Ser-
vice und die ueberhoehten Mieten. - Innerhalb des Computers
kann ein Benutzer ein mathematisches Problem loesen, ein ande-
rer elektronische Post nach Toronto schicken und ein dritter wie-
derum einen Brief schreiben. Die Dienstprogramme des Compu-
ters werden von der Systemsoftware und dem Betriebssystem
versorgt; jeder Benutzer laestert ueber die unzuverlaessige Software,
die obskure Dokumentation und die zu hohen Kosten.
Der private Bereich im Wohnhaus wird durch Schloesser und
Schluessel geregelt. Ein Bewohner kann die Wohnung eines ande-
ren ohne Schluessel nicht betreten, und die Bewohner stoeren ein-
ander nicht (sofern die Waende dick genug sind). Im Computer ist
es das Betriebssystem, das den Privatbereich des Benutzers si-
chert. Man kommt nicht ohne das richtige Passwort in fremden
Speicherplatz, und das Programm eines Benutzers stoert die der
anderen nicht (wenn das Betriebssystem die Ressourcen fair ver-
teilt).
Aber die Waende einer Wohnung sind nie dick genug, und die Par-
ties meines Nachbarn droehnen in mein Schlafzimmer. Und mein
Computer wird stets langsamer, wenn ihn mehr als 100 Leute
gleichzeitig benutzen. Also brauchen wir einen Hausverwalter im
Wohnhaus, und beim Computer haben wir Systemverwalter und
privilegierte Benutzer.
Mit einem Universalschluessel kann der Hausverwalter jedes Zim-
mer betreten. Mit einem privilegierten Konto kann der System-
verwalter alle Programme und Daten im Computer lesen oder
modifizieren. Privilegierte Benutzer setzen sich ueber die Schutz-
vorrichtungen des Betriebssystems hinweg und koennen die volle
Leistung des Computers beanspruchen. Sie brauchen diese
Macht, um die Systemsoftware zu pflegen (<< Richte mal den Edi-
tor ein! >> ), die Leistung des Betriebssystems zu beschleunigen
( << Heute laeuft alles zu langsam! >> ) und neuen Benutzern Zugang
zum Computer zu verschaffen (<< He, gib mal Barbara ein Konto! >> ).
Privilegierte Benutzer lernen, mit leichter Hand vorzugehen. Sie
koennen nicht viel Schaden anrichten, solange sie nur berechtigt
sind, Dateien zu lesen. Geht ihre Berechtigung aber darueber hin-
aus, koennen sie jeden Systemteil veraendern - und es gibt keinen
Schutz vor ihren Fehlern.
Der privilegierte Benutzer ist wirklich allmaechtig: Er
kontrolliert die Vertikalsteuerung; er kontrolliert die
Horizontalsteuerung.
Wenn die Sommerzeit kommt, stellt er die Systemuhr neu. Ein
neuer Plattenspeicher? Er ist der einzige, der die noetige Software
ins System einpassen kann. Verschiedene Betriebssysteme haben
verschiedene Namen fuer privilegierte Konten - privilegierter Be-
nutzer, root, Systemverwalter und andere -, aber diese Konten
muessen immer eifersuechtig vor Aussenseitern behuetet werden.
Was wuerde passieren, wenn ein Hacker fuer unser System privile-
giert wuerde? Zumindest konnte er neue Benutzerkonten einrich-
ten.
Ein Hacker mit Systemverwalterprivilegien haette den Computer
als Geisel. Mit dem Universalschluessel zum System koennte er es
herunterfahren wann immer er wollte, und es so unzuverlaessig
machen, wie er wollte. Er koennte jede Information im Computer
lesen, schreiben oder modifizieren. Keine Benutzerdatei waere vor
ihm geschuetzt, wenn er von seiner privilegierten Position aus
operierte. Auch die Systemdateien stuenden zu seiner Verfuegung -
er koennte elektronische Post lesen, bevor sie ausgeliefert wird.
Er koennte selbst die Abrechnungsdateien manipulieren, um seine
eigenen Spuren zu verwischen. Er konnte >Super-User< werden...
Der Professor redete weiter ueber galaktische Strukturen und Gra-
vitationswellen. Ich war ploetzlich hellwach; mir war klar, was
sich in unserem Computer abspielte. Ich wartete noch, bis Fragen
gestellt werden konnten, fragte etwas Belangloses, griff mir dann
mein Rad und dueste den Huegel hinauf zu den Lawrence Berkeley-
Labors.
Ein Hacker mit privilegierter Zugangsberechtigung.
Jemand bricht in unser System ein, findet die Universalschluessel,
erteilt sich selbst Privilegien und wird so zum Superhacker.
Wer? Von wo aus?
Und vor allem, warum?
3. Kapitel
Von der Universitaet bis zu den Lawrence Berkeley-Labors ist's
nur eine Viertelmeile, aber die Cyclotron Street ist so steil, dass
man mit dem Fahrrad etwa 15 Minuten braucht. Das alte Zehn-
Gang-Rad hatte keinen so niedrigen Gang, weshalb meine Knie
die letzten paar hundert Meter ganz gewaltig spuerten.
Unser Rechenzentrum sitzt zwischen drei Teilchenbeschleuni-
gern - dem 184-Zoll-Zyklotron, wo Ernest Lawrence zum ersten
Mal ein Milligramm spaltbaren Urans rein herstellte, dem Beva-
tron wo das Antiproton entdeckt wurde, und dem Hilac, dem Ge-
burtsort eines halben Dutzends neuer Elemente.
Heute sind diese Beschleuniger ueberholt (ihre Energien von eini-
gen Megaelektronenvolt werden laengst von Zyklotronen im Giga-
elektronenvoltbereich in den Schatten gestellt); mit ihnen kann
man keine Nobelpreise mehr holen, aber Physiker und Doktoran-
den warten immer noch sechs Monate auf die Zuteilung von
Strahlzeit. Schliesslich eignen sich unsere Beschleuniger ganz gut
dazu, exotische Kernteilchen zu studieren und neue Materiefor-
men mit so esoterischen Namen wie Quark-Gluon-Plasma oder
Pionen ausfindig zu machen. Und wenn die Physiker sie nicht
benutzen, werden die Strahlen fuer biomedizinische Forschung,
unter anderem Krebstherapie, eingesetzt.
Im Zweiten Weltkrieg, zur Bluete des Manhattan-Projekts, war das
Lawrence-Zyklotron die einzige Moeglichkeit, den Durchmesser
von Kernteilchen zu messen. Natuerlich war das Labor streng ab-
geschirmt; es diente als Modell fuer den Bau von Atombomben-
fabriken.
In den 50er Jahren blieb die Forschung in den Lawrence Berke-
ley-Laboratorien geheim, bis Edward Teller nur eine Autostunde
entfernt das Lawrence Livermore-Laboratory gruendete. Die ge-
samte nichtoeffentliche Arbeit ging nach Livermore, waehrend die
nichtgeheime Wissenschaft in Berkeley blieb.
Vielleicht, um Verwirrung zu stiften, sind beide Laboratorien
nach dem ersten Nobelpreistraeger Kaliforniens benannt, beide
sind Zentren der atomphysikalischen Forschung, und beide wer-
den vom Nachfolger der Atomenergiekommission, dem Energie-
ministerium, finanziert. Damit endet aber auch schon die Aehn-
lichkeit.
Ich brauchte keine Sicherheitsueberpruefung, um im Berkeley-
Labor arbeiten zu koennen - es gibt keine Geheimnisse, kein Mili-
taerauftrag ist in Sicht. Livermore dagegen ist ein Zentrum zum
Bau von Kernwaffen und SDl-Laserwaffen - wohl kaum ein Ort
fuer einen langhaarigen Ex-Hippie. Waehrend mein Berkeley-Labor
mit mageren wissenschaftlichen Forschungsauftraegen und unsi-
cheren Universitaetsmitteln ueberlebte, expandierte Livermore kon-
stant. Seit Edward Teller die H-Bombe konstruierte, hatte die Ge-
heimforschung in Livermore nie unter Geldmangel zu leiden.
Aber auch die Offenheit in Berkeley hat ihre Vorteile. Als reine
Wissenschaftler duerfen wir jedes merkwuerdige Phaenomen erfor-
schen und koennen unsere Ergebnisse immer publizieren. Unsere
Beschleuniger sind vielleicht Erbsenknaller im Vergleich zu den
Behemoths des Europaeischen Kernforschungszentrums (CERN)
in Genf oder der Hochenergie-Forschungsanlage Fermilab bei
Chicago; trotzdem erbringen sie riesige Datenmengen, und wir
haben einige respektable Computer laufen, um sie zu analysieren.
Und wir sind recht stolz darauf, dass Physiker, die ihre Daten mit
anderen Beschleunigern generiert haben, zum LBL kommen und
ihre Laeufe auf unseren Computern analysieren.
Was die Verarbeitungsgeschwindigkeit von numerischen Daten
angeht, lassen die Livermore-Computer unsere zu Zwergen
schrumpfen. Die kaufen normalerweise die groessten, schnellsten
und teuersten Crays. Sie brauchen sie, um berechnen zu' koennen,
was in den ersten paar Nanosekunden einer thermonuklearen Ex-
plosion geschieht. Wegen ihrer geheimen Forschung sind ihre
Computer isoliert. Natuerlich haben sie auch ein paar
nichtgeheime Systeme fuer normale Wissenschaft. Aber fuer ihre
geheime Arbeit - nun, die ist eben nicht fuer gewoehnliche
Sterbliche bestimmt... Diese geheimen Computer haben keine
Verbindung zur Aussenwelt. Genauso unmoeglich ist es, Daten von
aussen nach Livermore zu importieren. Wer mit Hilfe der geheimen
Computer von Livermore Atombombenzuender konstruieren will, muss
sich persoenlich in das Labor begeben und seine Daten auf
Magnetband mitbringen. Er kann die Dutzende Netzwerke, die das
Land ueberziehen, nicht benutzen und sich nicht von zu Hause
einloggen, um zu sehen, wie sein Programm laeuft.
Da die Livermore-Computer haeufig die ersten einer Produktions-
reihe sind, muessen die Betriebssysteme meist in Livermore selbst
geschrieben werden; so entsteht eine bizarre Software-Oekologie,
die man ausserhalb des Labors nicht sieht. Diesen Preis zahlt man,
wenn man in einer Geheimwelt lebt.
Wenn wir auch nicht die Verarbeitungskapazitaet von Livermore
hatten, so waren unsere Computer doch keine Schlaffis. Unsere
VAX-Rechner waren schnell, benutzerfreundlich und bei Physi-
kern beliebt. Wir mussten unser Betriebssystem nicht erfinden,
weil wir das VMS-Betriebssystem von Digital kauften und uns
Unix von der Uni schnappten. Als offenes Labor konnten wir un-
sere Computer an jedes Netzwerk haengen, und wir unterstuetzten
Wissenschaftler ueberall auf der Welt. Wenn mitten in der Nacht
Probleme auftauchten, waehlte ich den LBL-Computer einfach
von r.u Hause an - warum mit dem Rad zur Arbeit fahren, wenn
ein Telefonanruf genuegt?
Aber jetzt fuhr ich mit dem Rad hinauf zum Labor und fragte
mich, ob in unserem System ein Hacker war. Das wuerde einige
meiner Abrechnungsprobleme erklaeren. Wenn ein Aussenstehen-
der die >Schloesser< unseres Unix-Betriebssystems aufgebrochen
und die Privilegien eines Systemverwalters erlangt hatte, haette er
die Macht, die Abrechnungsaufzeichnungen zu loeschen. Und,
was noch schlimmer war, er konnte unsere Netzwerkverbin-
dungen benutzen, um andere Computer anzugreifen...
Ich schob mein Rad in eine Ecke und rannte hinueber zu dem
Labyrinth aus Wuerfeln, in dem mein Buero untergebracht war. Es
war jetzt lange nach 17Uhr, und die meisten Leute waren zu
Hause. Wie konnte ich feststellen, ob wirklich jemand unser Sy-
stem hackte? Nun, ich haette einfach eine elektronische Nachricht
an das verdaechtige Konto schicken koennen, etwa >He, bist du
wirklich Joe Sventek?<, oder Joes Konto sperren und abwarten, ob
sich unsere Probleme damit erledigten.
Meine Gedanken ueber den Hacker wurden abgelenkt, als ich eine
Notiz in meinem Buero fand: Die Astronomiegruppe wollte wis-
sen, wie sich die Qualitaet der Teleskopbilder verringert, wenn
man die Anforderungen an die Spiegel heruntersetzt. Das hiess
einen Abend lang Modellbauen, alles am Computer. Ich arbeitete
zwar nicht mehr offiziell fuer sie, aber Blut ist dicker als
Wasser...
Gegen Mitternacht liefen die Graphiken aus dem Plotter.
Am naechsten Morgen brannte ich darauf, Dave Cleveland meinen
Hacker-Verdacht mitzuteilen.
<< Ich wette Gold gegen sauer Bier, dass es ein Hacker ist. >>
Dave lehnte sich zurueck, schloss die Augen und fluesterte: << Klar,
sauer Bier. >>
Seine geistige Akrobatik war fast mit Haenden zu greifen. Dave
verwaltete das Unix-System wie aus der Haengematte. Seit er sich
mit den VMS-Systemen um Wissenschaftler bemuehte, hatte er
nicht ein einziges Mal die Sicherheitsschrauben an seinem Sy-
stem angezogen, weil er fuerchtete, die Physiker koennten etwas
dagegen haben und ihre Arbeit anderswo erledigen. Er vertraute
seinen Benutzern, liess ein offenes System laufen und widmete
seine Zeit lieber der Verbesserung der Software, statt >Schloesser<
zu installieren.
Missbrauchte jemand sein Vertrauen?
Marv Atchley war mein neuer Chef. Er war ruhig, sensibel und
schlagfertig und leitete eine lockere Gruppe, die es irgendwie
fertigbrachte, die Computer am Laufen zu halten. Marv war das ge-
naue Gegenteil unseres Abteilungsleiters, Roy Kerth. Mit seinen
55 sah Roy aus wie Rodney Dangerfield (Etwa das amerikanische
Gegenstueck von Harald Juhnke. A.d.Ue.) als Professor. Mit den
am Lawrence-Labor ueblichen grossen Gesten schoss Roy Protonen
und Antiprotonen aufeinander und sah sich das Strandgut aus
diesen Kollisionen an.
Roy behandelte seine Studenten und Mitarbeiter genauso wie
seine subatomaren Teilchen: Er richtete sie aus, lud sie auf und
schoss sie dann gegen unbewegliche Objekte. Seine Forschungen
erforderten eine mordsmaessige Zahlenfresserei, da sein Labor je-
desmal Millionen Ereignisse generierte, wenn der Beschleuniger
lief. Da Jahre von Verzoegerungen und Entschuldigungen ihn
sauer auf die Computerprofis gemacht hatten, sorgte ich dafuer,
dass wir ueber relativistische Physik sprachen, als wir bei ihm ein-
traten, und die Rechnerei beiseite liessen.
Nun konnten Dave und ich uns Roys Reaktion auf unser Problem
lebhaft vorstellen: << Warum, zum Teufel, habt ihr auch unsere Tue-
ren sperrangelweit offenstehen lassen? >>
Die Reaktion unseres Chefs mochte zwar vorhersehbar sein, aber
wie sollten wir darauf reagieren? Daves erster Gedanke war, das
verdaechtige Konto zu sperren und es zu vergessen. Wir hatten das
Gefuehl, wir sollten dem, der da einbrach, einen >Drohbrief< schik-
ken und ihm raten, die Finger davon zu lassen oder wir wuerden's
seinen Eltern sagen. Wenn wirklich jemand eingebrochen war,
dann bestimmt irgendein Student von der Uni unten.
Aber wir waren nicht sicher, ob wirklich jemand in unser System
eingedrungen war. Es wuerde einige unserer Abrechnungspro-
bleme erklaeren - jemand erfuhr das Passwort des Systemverwal-
ters klinkte sich in unsere Maschine ein, richtete ein
neues Konto ein und fummelte am Abrechnungssystem herum. Aber
warum sollte jemand ein neues Konto benutzen, wenn er doch
schon Zugang zum Systemverwalterkonto hatte?
Unser Chef wollte schlechte Nachrichten absolut nicht hoeren,
aber wir atmeten tief durch und berichteten von unserem Ver-
dacht Natuerlich besassen wir keinen klaren Beweis fuer einen
Hacker, nur zufaellige Hinweise, die wir aus trivialen
Abrechnungsproblemen ableiteten. Wenn es einen Einbruch gab,
wussten wir weder, wie umfangreich er war, noch, wer ihn beging.
Roy Kerth machte uns zur Schnecke. << Warum vergeudet ihr
meine Zeit? Ihr wisst nichts, und ihr habt nicht den Funken eines
Beweises. Macht, dass ihr an eure Kaesten kommt, und findet's
raus. Bringt mir Beweise. >>
Okay. Wie findet man einen Hacker?
Ich stellte mir das einfach vor: warten, bis jemand wieder Sven-
teks Konto benutzte, und dann versuchen, die Verbindung zu-
rueckzuverfolgen.
Ich verbrachte den Donnerstag damit zu beobachten, wie sich die
Leute in den Computer einloggten. Ich schrieb ein Programm,
damit mein Terminal piepste, sobald sich jemand bei dem Unix-
Computer anmeldete. Ich konnte nicht verfolgen, was die Benut-
zer taten, aber ich konnte ihre Namen sehen. Alle paar Minuten
piepste mein Terminal, und ich schaute, wer sich
eingeloggt hatte. Ein paar waren Bekannte, Astronomen, die an
wissenschaftlichen Artikeln arbeiteten, oder Doktoranden, die sich
mit ihren Dissertationen abrackerten. Die meisten Konten gehoerten
aber Fremden, und ich fragte mich, wie ich rausfinden sollte hin-
ter welcher Verbindung ein Hacker stecken koennte.
Um 12.33 Uhr am Donnerstagnachmittag loggte sich Sventek ein
Ich fuehlte einen Adrenalinstoss und dann eine Riesenenttaeu-
schung, als er innerhalb einer Minute verschwand Wo war er?
Der einzige Hinweis, der mir blieb, war die Kennzeichnung sei-
nes Terminals: Er hatte Anschluss >tt23< benutzt.
Da sass jemand vor einem Computerterminal, seine Finger spiel-
ten auf der Tastatur, und er meldete sich bei unserem Labor an.
Der Unix-Computer gab ihm die Adresse von Anschluss >tt23<. Das
war doch schon ein Anfang. Mein Problem bestand nun darin,
herauszufinden, welche physikalischen Draehte dem logischen
Namen >tt23< entsprachen.
Terminals in unserem Labor und Modems von Waehltelefonen
werden alle mit >tt< markiert, waehrend Netzwerkverbindungen als
>nt< erscheinen. Ich vermutete, dass der Benutzer entweder aus
unserem Labor gekommen war oder sich auf einer Telefonleitung
ueber ein Modem eingewaehlt hatte.
Einige Sekunden hatte ich gespuert, wie sich zoegernd ein Fuehler
in unseren Computer ausstreckte. Theoretisch musste es moeglich
sein, den Weg vom Computer zum Menschen zurueckzuverfolgen.
Jemand musste am anderen Ende der Leitung sitzen.
Mein erster Schritt bestand darin, die Verbindung aus dem Ge-
baeude hinaus zu verfolgen. Ich vermutete ein Modem einer Tele-
fonleitung; es war aber auch jemand im Labor denkbar. Im Laut
der Jahre waren mehr als 500 Terminals verdrahtet worden, und
nur Paul Murray hatte den Ueberblick. Mit etwas Glueck waren un-
sere hausgemachten Hardwareverbindungen besser dokumen-
tiert als unsere hausgemachte Abrechnungssoftware.
Paul ist ein verschlossener Hardwaretechniker, der sich meist in
Dickichten aus Telefondraht verbirgt. Ich fand ihn hinter einer
elektronischen Schaltplatte, wo er einen Partikeldetektor an das
laborumspannende Ethernetsystem anschloss. Er fluchte, weil ich
ihn beim Verloeten eines Drahtes stoerte, und weigerte sich, mir
auch nur ein bisschen zu helfen, bevor ich bewiesen hatte, dass ich
einen legitimen Grund besass, das zu wissen, was ich wissen wollte.
Ach, zum Teufel, Hardwaretechniker verstehen Softwarepro-
bleme nicht, und Softwarecracks wissen nichts ueber Hardware.
In jahrelanger Radiobastelei hatte ich loeten gelernt; so besassen
Paul und ich wenigstens einen gemeinsamen Nenner. Ich nahm
seinen Ersatzloetkolben zur Hand, und er zollte mir knurrend sei-
nen Respekt, nachdem ich ihm ein paar Minuten auf die Finger
geschielt und mir die meinigen verbrannt hatte.
Schliesslich wickelte er sich aus den Ethernetkabeln und fuehrte
mich im LBL-Schaltraum herum, in dem die Leitungen fuer die Da-
tenuebertragung zusammenliefen. In diesem Raum voller Draehte
sind die Telefone, Intercoms, Radios und Computer wechselseitig
durch einen Wust von Kabeln, Draehten, Glasfaserleitungen und
Schalttafeln verbunden. Der verdaechtige Anschluss >tt23< muendete
in diesen Raum, und ein Hilfscomputer vermittelte ihn an eines
von tausend moeglichen Terminals. Jeder, der sich ins Labor ein-
waehlte, wurde zufaellig einem Unix-Anschluss zugewiesen. Wenn
ich das naechste Mal ein verdaechtiges Zeichen sah, musste ich hin-
ueber in den Schaltraum rennen und die Verbindung herausfinden,
indem ich den Vermittlungscomputer untersuchte. Wenn der Be-
nutzer verschwand, bevor ich die Verbindung herausgefieselt
hatte, war's eben schiefgegangen. Und sogar wenn's klappte,
konnte ich nur auf ein paar Draehte zeigen, die ins Labor
hineinliefen. Ich waere immer noch weit entfernt von dem Hacker.
Die Verbindung am Mittag hatte jedoch durch einen gluecklichen
Zufall Spuren hinterlassen. Paul hatte eine Statistik darueber an-
gelegt, wie viele Leute den Schaltraum benutzten. Zufaellig hatte
er in diesem Monat die Anschlussnummern jeder Verbindung auf-
gezeichnet. Da ich den Zeitpunkt kannte, zu dem Sventek ueber
Anschluss >tt23< aktiv war, konnten wir feststellen, woher er kam.
Der Ausdruck der Statistik zeigte, dass um 12.33 Uhr eine einmi-
nuetige Verbindung mit 1200 Baud bestanden hatte.
1200 Baud? Das sagte doch schon etwas. Die Baudrate bezeichnet
die Geschwindigkeit, mit der Daten durch eine Leitung fliessen.
1200 Baud bedeutet 120 Zeichen pro Sekunde - jede Minute ein
paar Seiten Text.
Modems fuer Telefonleitungen laufen mit 1200 Baud. Jeder Mitar-
beiter des LBL haette mit hoeherer Geschwindigkeit arbeiten lassen:
9600 oder 19 200 Baud. Nur wer durch ein Modem anrief, war ge-
zwungen, seine Daten aus einem 1200-Baud-Strohhalm troepfeln
zu lassen. Dafuer sind die Anonymitaet und Bequemlichkeit solcher
Telefonwaehlleitungen fuer Fremde ueberaus einladend.
Die Teile des Puzzles fingen an, sich zusammenzufuegen.
Es hatte sich jemand in unser Labor hineingewaehlt und Sventeks
Konto benutzt. Trotzdem war die 1200-Baud-Verbindung kaum
ein Beweis, dass ein Hacker in unser System eingedrungen war.
Eine unvollstaendige Spur, besonders eine, die nicht weiter als bis
zum Schaltraum fuehrte, wuerde meinen Chef nie davon ueberzeu-
gen, dass etwas Ungewoehnliches vorging. Ich musste unwiderleg-
bare Indizien fuer einen Hacker finden. Aber wie?
Roy Kerth hatte mir von Detektoren fuer hochenergetische Teil-
chen berichtet, die an das Bevatron gekoppelt waren: Sie stellen
zig-Millionen subatomarer Wechselwirkungen fest, und 99,9 Pro-
zent davon lassen sich mit den Gesetzen der Physik erklaeren.
Wenn man seine Zeit damit verbringt, jede Teilchenspur zu erfor-
schen, muss man schliessen, dass alle Partikel der bekannten Phy-
sik gehorchen und dass es nichts mehr zu entdecken gibt. Statt
dessen koennte man allerdings auch alle erklaerbaren Wechselwir-
kungen beiseite lassen und sich nur um diejenigen kuemmern, die
den kanonischen Regeln nicht ganz entsprechen.
Astronomen, entfernte Vettern der Hochenergiephysiker, arbei-
ten nach aehnlichen Prinzipien. Die meisten Sterne sind langwei-
lig. Fortschritte macht man durch das Studium der seltsamen Ge-
sellen - der Quasare, Pulsare, der Schwarzen Loecher -, die nicht
in die Modelle zu passen scheinen, mit denen man aufgewachsen
ist. Wenn man die Statistik der Kraterverteilung auf dem Planeten
Merkur kennt, weiss man auch, wie oft der Planet im jungen Son-
nensystem bombardiert wurde. Aber untersucht man die weni-
gen Krater, die von Boeschungen und Graten geschnitten werden,
erfaehrt man, wie der Planet in seinen ersten paar Milliarden Jah-
ren waehrend des Abkuehlens geschrumpft ist.
Sammle Rohdaten, und schmeiss das Erwartete weg! Mit dem,
was uebrigbleibt, pruef deine Theorien?
Nun uebertragen wir diese Denkweise darauf, jemanden zu beob-
achten, der meinen Computer besucht. Ich habe ein Terminal auf
meinem Schreibtisch und koennte mir ein paar andere borgen.
Nehmen wir an, ich beobachtete nur den Datenverkehr ins Re-
chenzentrum hinein. Ungefaehr 500 Leitungen fuehren ins System.
Die meisten davon laufen mit 9600 Baud (oder etwa 150 Woertern
pro Sekunde). Wenn nur die Haelfte der Leitungen gleichzeitig be-
nutzt wird, muesste ich mehr als 10000 Seiten pro Minute lesen.
Stimmt: Unmoeglich koennte ich diesen Datenverkehr auf meinem
Terminal ueberwachen!
Aber die Leitungen mit hoher Geschwindigkeit kamen von Mitar-
beitern des LBL. Wir hatten schon eine verdaechtige Verbindung
zu einer 12OO-Baud-Leitung festgestellt. Davon gab's wenige (wir
koenne es uns nicht leisten, zu viele Telefonleitungen reinzulas-
sen), und sie waren langsam. Etwa 50 Leitungen mit 1200 Baud
gaben vielleicht hundert Seiten pro Minute - immer noch zuviel,
um es auf dem Bildschirm meines Terminals zu beobachten. Ich
konnte aber vielleicht alle ihre interaktiven Sitzungen ausdruk-
ken lassen und die Stoesse Papier in meiner Freizeit lesen. Ein
Ausdruck auf Papier wuerde harte Beweise liefern, dass da jemand
herumsaute; und wenn wir nichts Verdaechtiges fanden, konnten
wir das ganze Projekt ruhig sterben lassen.
Ich wollte alles aufzeichnen, was sich in jeder 1200-Baud-Verbin-
dung abspielte. Das war eine technische Herausforderung - weil
ich nicht wusste, auf welcher Leitung der Hacker aufrief, musste
ich vier Dutzend ueberwachen. Noch bedenklicher war das juristi-
sche Problem bei der Aufzeichnung unserer Kommunikation.
Hatte ich ueberhaupt das Recht, den Datenverkehr zu beobachten,
der durch unsere Leitungen lief?
Meine Freundin Martha beendete gerade ihr Jurastudium. Bei ei-
ner grossen Pizza sprachen wir ueber die rechtlichen Aspekte eines
Computereinbruchs. Ich fragte sie, ob ich Aerger kriegen wuerde,
wenn ich den einlaufenden Datenverkehr belauschte.
<< Sieh mal >>, murmelte sie und verbrannte sich ihren Gaumen an
dem vulkanisierten Mozzarella, << du bist nicht die Regierung, also
brauchst du keine Abhoergenehmigung. Das Schlimmste, was man
dir vorwerfen wuerde, ist eine Verletzung der Privatsphaere. Und
Leute, die einen Computer anwaehlen, haben wahrscheinlich kein
Recht, darauf zu bestehen, dass der Systemeigner ihnen nicht ueber
die Schulter guckt. Ich sehe also nicht ein, wieso du das nicht
machen solltest. >>
Also fing ich mit ruhigem Gewissen an, ein Ueberwachungssystem
einzurichten. Wir hatten 50 1200-Baud-Leitungen, und ein Hak-
ker konnte jede davon benutzen. Ich dagegen besass keine geeig-
nete Ausstattung, um den Datenverkehr aufzuzeichnen.
es gab jedoch einen einfachen Weg, die Aktivitaet eines Hackers
zu dokumentieren: Man modifiziert das Unix-Betriebssystem so,
dass es jedesmal, wenn sich eine verdaechtige Person einloggt, alle
Tasten, die sie drueckt, aufzeichnet. Das war verfuehrerisch, weil
ich nur der Unix-Daemonen-Software einige Codezeilen zufuegen
musste.
Daemonen sind einfach Programme, die Daten von der Aussen-
welt in das Betriebssystem kopieren - die >Augen< und >Ohren<
von Unix. (Die antiken Daemonen waren rangniedrige Gottheiten
auf halbem Wege zwischen Goettern und Menschen In diesem
Sinn sind meine Daemonen auf halbem Weg zwischen dem gott-
aehnlichen Betriebssystem und der Welt der Terminals
und Platten.)
Ich konnte den Output des Daemons wie ein T-Stueck in der Lei
tung teilen, damit die Anschlaege des Hackers simultan ans Be-
triebssystem und an meinen Drucker gingen Loesungen ueber die
Software sind einfach und elegant
<< Mach ruhig an den Daemonen rum >> , sagte Dave << aber auf eige-
nes Risiko. Und beachte ihren Verbrauch an Rechenzeit. >>
Wayne warnte mich: << Wenn du's versaust, sprengst du bestimmt
das System. Es verwandelt sich in Brei, und du wirst ueberhaupt
nicht mehr mitkriegen, was passiert. Warte nur, bis die System-
konsole >panic kernel mode interrupt< ausdruckt - und komm
dann bloss nicht, um dich auszuweinen! >>
<< Pass bloss auf >> , warf Dave ein, << wenn dein Hacker Unix-Erfah-
rung hat, dann merkt er eine Aenderung an den Daemonen. >>
Das ueberzeugte mich. Einem gewieften Systemmenschen wuerde
auffallen, dass ich das Betriebssystem geaendert hatte. In dem Mo-
ment, in dem der Hacker wusste, dass ihn jemand beobachtete,
wuerde er unsere Datenbanken zu Muell machen und abhauen.
Meine Lauscheinrichtungen durften deshalb auf keinen Fall zu
entdecken sein, nicht einmal fuer einen allmaechtigen privilegier-
ten Benutzer. Vielleicht wuerde es funktionieren, einfach die Tele-
fonleitungen abzuhoeren? Aber Tonbandgeraete schienen mir
irgendwie nicht das Richtige, einfach zu umstaendlich. Wir haetten
die Baender abhoeren muessen und die Anschlaege erst lange, nach-
dem sich der Hacker wieder ausgeklinkt hatte, feststellen
koennen. Und woher sollte ich auch 50 Tonbandgeraete neh-
men?
Der einzig geeignete Ort zur Ueberwachung unseres Datenverkehrs
war wohl mitten zwischen den Modems und den Computern. Die
Modems wandeln Telefontoene in elektronische Impulse um, die
unseren Computern und den Daemonen in ihren Betriebssystemen
genehm sind. Diese Modemleitungen schlaengeln sich als flache,
25polige Kabel im Boden des Schaltraums entlang. Ein Drucker
oder ein PC kann mit jeder dieser Leitungen parallel geschaltet
werden und jeden Anschlag aufzeichnen, der durchkommt.
Umstaendlich? Ja.
Machbar? Vielleicht.
Alles, was wir brauchten, waren 50 Fernschreiber, Drucker und
tragbare Computer. Die ersten paar waren leicht zu bekommen -
man musste nur bei der Materialausgabe nachfragen. Dave, Wayne
und der Rest der Systemgruppe liehen mir zaehneknirschend ihre
tragbaren Terminals. Am spaeten Freitagabend hatten wir ein Dut-
zend Monitore unten im Schaltraum installiert. Die knapp 40 an-
deren organisierte ich, als das Labor in die Wochenendruhe ver-
sunken war. Ich ging von Buero zu Buero und befreite die PC von
den Schreibtischen der Sekretaere. Am Montag wuerde es einen
Riesenwirbel geben, aber es war leichter, sich zu entschuldigen,
als etwas erlaubt zu kriegen.
Der mit 5 0 Fernschreibern und tragbaren Terminals uebersaete
Boden des Schaltraums sah aus wie der Alptraum eines Inge-
nieurs. Ich schlief mittendrin und huetete die Drucker und Com-
puter. Jeder griff sich Daten von einer anderen Leitung,
und jedesmal, wenn sich jemand in unser System einwaehlte, wachte
ich von dem Druckergeschnatter auf. Alle halbe Stunde ging
einer Ueberwachungseinheit das Papier oder der Plattenplatz aus,
so dass ich aktiv werden und nachladen musste.
Am Samstagmorgen ruettelte mich Roy Kerth wach. << Na, wo ist
Ihr Hacker? >>
Ich lag noch in meinem Schlafsack, blinzelte bloede und murmelte
etwas von << muss mir erst die 50 Papierstoesse ansehen... >>
Er schnaubte: << Also, bevor Sie anfangen, die Nase in diese Aus-
drucke zu stecken, geben Sie die Drucker zurueck. Sie sind hier
wie ein Verrueckter rumgerannt und haben Geraete geklaut, die von
Leuten benutzt werden, die ihre Arbeiten erledigt haben wollen.
Sie haben ein Dutzend Astronomen auf die Palme gebracht. Mei-
nen Sie, die wollen Ihretwegen eine Arbeitspause einlegen? Wohl
kaum! Was glauben Sie eigentlich, was das hier ist: Ihre persoen-
liche Sandkiste?! >>
Muede schleppte ich jeden Drucker zu seinem rechtmaessigen Besit-
zer zurueck. Die ersten 49 zeigten nichts Interessantes. Aus dem
fuenfzigsten hingen zwei Meter Ausdruck.
In der Nacht hatte sich jemand durch ein Loch ins Betriebssystem
geschlichen.
4. Kapitel
Drei Stunden lang war ein Hacker in meinem System herumspa-
ziert und hatte gelesen, was er wollte. Ohne dass er es wusste,
hatte mein 1200-Baud-DEC-Drucker seine Sitzung auf zwei Metern
Computerpapier aufgezeichnet. Da stand jeder Befehl, den er er-
teilt hatte, jeder Tippfehler und jede Antwort vom Computer.
Dieser Drucker ueberwachte die Leitung von Tymnet. Es war mir
nicht aufgefallen, aber ein paar unserer 1200-Baud-Leitungen wa-
ren keine Modemleitungen. Sie kamen vielmehr von Tymnet,
einer Datenuebertragungsfirma, die Computer in der ganzen Welt
miteinander verband.
Frueher hatte die Bell Company das Kommunikationsmonopol.
Nur AT&T konnte New York und Chicago miteinander verbinden.
Mit Hilfe von Modems uebermittelte das Telefonnetz Daten, aber
das Hintergrundgeraeusch und die Kosten des Ferndienstes mach-
ten es ungeeignet fuer Computer. In den spaeten 70er Jahren enga-
gierten sich einige andere Firmen und boten spezielle Dienstlei-
stungen wie Datentelefone an. Tymnet baute dann ein Netzwerk
zur Verbindung von Computern in groesseren Staedten auf.
Die Idee von Tymnet war ebenso einfach wie elegant: Man
schaffe ein digitales Rueckgrat, in das sich jeder mittels eines
Ortsgespraechs einklinken kann, dann schicke man die digitalen
Daten an jeden beliebigen Computer im Netzwerk. Mit einem
digitalen Netzwerk konnte Tymnet Dutzende von Benutzerdaten in
>Paketen< zusammenfassen und diese oekonomisch guenstig im ganzen
Land herumschicken. Das System war immun gegen Rauschen,
und jeder Benutzer konnte sein Material so schnell laufen lassen,
wie er wollte. Zudem sparten die Kunden Geld, weil sie auch ent-
fernte Computer mit einem Ortsgespraech erreichen konnten.
Um Wissenschaftlern im ganzen Land zur Verfuegung stehen zu
koennen, schloss sich LBL Tymnet an. Wenn sich eine Wissen-
schaftlerin in Stonybrook, New York, in unseren Computer ein-
klinken wollte, waehlte sie ihre oertliche Tymnet-Nummer. War ihr
Modem mit Tymnet verbunden, verlangte sie einfach LBL und ar-
beitete, als ob sie in Berkeley saesse. Physiker von weit her
liebten diesen Service, und wir waren erfreut darueber, dass sie
ihre Forschungsdollars lieber mit unseren Computern ausgaben als
mit ihren zu Hause.
Jemand brach mit Hilfe der Tymnet-Leitung ein. Weil Tymnet das
ganze Land verband, konnte unser Hacker ueberall sein.
Einen Moment lang war ich fasziniert - nicht davon, woher der
Hacker gekommen war, sondern davon, was er in drei Stunden
gemacht hatte. Meine Vermutung war richtig gewesen: Sventeks
Konto war benutzt worden, um in unseren Unix-Computer ein-
zubrechen. Aber nicht nur um einzubrechen. Dieser Hacker besass
inzwischen eine privilegierte Zugangsberechtigung. Er hatte sich
durch ein Loch in unser System geschlichen, um Superhacker zu
werden - er hatte sich ins Systemverwalterkonto nicht einmal
eingeloggt.
Er war eher wie ein Kuckuck.
Der Kuckuck legt seine Eier in die Nester anderer Voegel. Er ist
ein Nistparasit: Irgendein anderer Vogel zieht seine Jungen auf.
Das Ueberleben des Kuckucksjungen haengt ab von der Unwissenheit
der anderen Spezies.
Unser mysterioeser Besucher hatte ein Kuckucksei in unseren
Computer gelegt und liess es vom System ausbrueten und mit Pri-
vilegien fuettern.
An diesem Morgen hatte der Hacker ein kurzes Programm ge-
schrieben, um sich Privilegien zu verschaffen. Normalerweise
wuerde Unix ein solches Programm nicht zulassen, da es niemals
Privilegien ueber das hinaus erteilt, was einem Benutzer zusteht.
Laesst jemand das Programm aber von einem privilegierten Konto
aus laufen, wird er privilegiert. Sein Problem besteht darin, sein
spezielles Programm - das Kuckucksei - zu maskieren, damit es
vom System angenommen wird.
Alle fuenf Minuten fuehrt das Unix-System sein eigenes Programm,
Atrun genannt, durch. Atrun ordnet routinemaessig andere Jobs
und fuehrt Aufraeumarbeiten durch. Es laeuft in einem privilegier-
ten Modus mit der vollen Kraft und Macht des Betriebssystems.
Gelingt es jemandem, ein fingiertes Atrun-Programm einzuset-
zen, wuerde es innerhalb von fuenf Minuten ausgefuehrt, mit voller
Systemprioritaet. Aus diesem Grund sitzt Atrun in geschuetztem
Speicherplatz, der nur dem Systemverwalter zugaenglich ist.
Ausser ihm hat niemand die Berechtigung, an Atrun herumzuhan-
tieren.
Hier lag das Kuckucksnest: Fuenf Minuten lang vertauschte der
Eindringling das Atrun-Programm des Systems gegen sein Ei. Fuer
seinen Angriff musste er nur einen Weg finden, um sein Pro-
ramm in das geschuetzte Nestgebiet zu bringen. Die Barrieren des
Betriebssystems waren speziell dafuer konstruiert, dies zu verhin-
dern. Normale Kopierprogramme konnten sie nicht umgehen- es
war unmoeglich, einen Befehl abzusetzen, um sein Programm in
den Systemspeicher zu kopieren.
Aber es gab hier einen Joker, den wir noch nie bemerkt hatten,
Richard Stallman, ein freischaffender Computerprogrammierer,
trat lauthals dafuer ein, dass Information frei zugaenglich sein
sollte Seine Software, die er umsonst abgibt, ist brillant
konstruiert elegant geschrieben und macht suechtig. Im Lauf der
letzten zehn Jahre schuf Stallman ein starkes Editierprogramm
namens Gnu-Emacs das mehr ist als bloss ein Texteditor. Es kann
leicht an persoenliche Praeferenzen angepasst werden. Es ist eine
Grundlage, auf der man andere Programme aufbauen kann. Es hat
sogar eine eingebaute elektronische Post.
Natuerlich wollten unsere Physiker Gnu haben. In der Hoffnung,
mehr Rechenzyklen verkaufen zu koennen, installierten wir es.
Es gab nur ein Problem: In dieser Software war ein Fehler.
So wie der Gnu-Emacs-Editor in unserem Unix-Computer instal-
liert war, konnte man damit eine Postdatei vom eigenen Dateiver-
zeichnis ueberallhin schicken. Er pruefte nicht nach, wer es erhal-
ten sollte oder ob der Empfaenger die Datei ueberhaupt wollte. Er
benannte die Datei nur neu und aenderte ihre Eigentuemerken-
nung. Man konnte somit die Eigentuemerschaft der Datei einfach
von einem auf den naechsten uebertragen. Kein Problem also, eine
Datei von meinem Speicherplatz woandershin zu schicken. Alles
waere gut gewesen, wenn eine Datei nicht auch in den geschuetzten
Systemspeicher haette geschickt werden koennen; nur der System-
verwalter sollte hier zugelassen sein. Stallmans Software haette
dies sicherstellen muessen. Aber Gnu pruefte das nicht. Folglich
konnte jeder eine Datei in den geschuetzten Systemspeicher
schicken.
Der Hacker wusste das, wir nicht.
Der Hacker benutzte Gnu, um seine spezielle Atrun-Datei gegen
die legitime Version des Systems auszutauschen. Fuenf Minuten
spaeter bruetete das System sein Kuckucksei aus, und er hatte die
Schluessel zu unserem Computer in der Hand.
Er hatte den Computer hereingelegt, damit dieser ihm Macht gab.
Fr plazierte sein frisiertes Programm dorthin, wo der Computer
erwartete ein echtes zu finden. Gleich nachdem das System das
fingierte Atrun-Programm ausgefuehrt hatte, schob der Hacker das
Original wieder dahin zurueck, wo es hingehoerte. Die ganze Ope-
ration basierte darauf, dass er eine Datei dahin schieben konnte,
wo er sie hinhaben wollte.
Gnu war das Loch in unserer Systemsicherheit. Ein winziger Fehler
in einer dunklen Ecke einer verbreiteten Software, die blindlings
von unseren Systemprogrammierern installiert worden war
ohne dass irgend jemand auch nur geahnt haette dass sie die
Sicherheit unseres gesamten Systems zerstoeren koennte
Jetzt verstand ich. Unser Freund musste ueber ein Gastkonto einge
drungen sein, seine Privilegien mit Hilfe des Lochs vergroessert
und dann ein neues Konto zu den Computerdateien hinzugefuegt
haben.
Vor meinen Augen zeigten mir die ersten paar Zentimeter des
Ausdrucks, wie der Kuckuck sein Nest vorbereitet das Ei gelegt
und dann gewartet hatte, bis es ausgebruetet wurde. Das uebrige
Papier zeigte, wie der fluegge gewordene Kuckuck seine Fluegel
ausprobierte.
Als Super-User besass er die Macht ueber unser System und konnte
die Arbeit eines jeden lesen. Er sah die elektronische Post von
allen Benutzern durch, las Neuigkeiten, Klatsch und Liebes
briefe. Er erfuhr von den Veraenderungen des Computers, den For-
schungsantraegen und Neueinstellungen des letzten Monats. Er
suchte nach Aenderungen in den Systemverwalterdateien und
entdeckte, dass ich gerade mit der Arbeit begonnen hatte.
Er kannte mein Gehalt und meinen Arbeitsbeginn. Doch bedenk-
licher war, dass er wusste, dass ich ein Systemverwalter war, und
dass er meinen Kontennamen kannte. Ab jetzt sollte ich besser
einen anderen benutzen.
Alle zehn Minuten erteilte der Hacker den Befehl >who<, um alle
aufzulisten, die gerade eingeloggt waren. Offensichtlich befuerch-
tete er, jemand koennte sehen, dass er eingeklinkt war, oder ihn be-
obachten. Spaeter suchte er nach Aenderungen im Betriebssystem-
haette ich die Daemonen modifiziert, so dass seine Aktion aufge-
zeichnet worden waere, wie ich es anfangs geplant hatte - er haette
es sicher entdeckt. Ich kam mir vor wie ein Kind das Verstecken
spielt, und der Suchende geht nur um Zentimeter am Versteck
vorbei.
In der ersten Stunde schrieb er ein Programm, um die gesamte
elektronische Post auf eine Erwaehnung seiner Aktivitaet zu durch-
forsten. Er suchte nach den Woertern >hacker< und >security<
Ein Wissenschaftler hatte ein Programm gestartet, das uebers Wo-
chenende Daten eines Experiments sammelte. Es lief unter dem
Namen >gather< und erhob ganz harmlos alle paar Minuten Infor-
mationen und schrieb sie in eine Datei. Der Hacker entdeckte die-
ses Programm, verbrachte zehn Minuten mit dem Versuch, es zu
verstehen, und - schoss es ab.
Jawohl! Da sah sich einer alle paar Minuten um, ob ihm auch nie-
mand ueber die Schulter schaute. Er killte alle Jobs, von denen er
glaubte, dass sie ihn ueberwachten. Er oeffnete die Post und sah
nach, ob jemand was ueber Hacker schrieb.
Wayne hatte recht: Wenn man offen vorging, wuerde er sofort wis-
sen dass er beobachtet wurde. Wir mussten deshalb moeglichst
unsichtbar bleiben.
Wenn er sich nicht gerade umblickte, las der Hacker Dateien. Er
studierte verschiedene Befehls- und Textdateien von Wissen-
schaftlern und entdeckte so Wege in andere Laborcomputer. Un-
ser Computer rief jede Nacht automatisch 20 andere auf, um Post
und Netzwerknachrichten auszutauschen. Als der Hacker diese
Telefonnummern las, kannte er 10 neue Ziele.
Ein Beispiel aus der Postdatei eines Ingenieurs:
Hi Ed!
I'll be on vacation for the next couple weeks. If you need to get
any of my data, just log into mS account on the Vax computer.
Account name is Wilson, password is Maryanna (that's my wife's
name). Have fun!
Der Hacker folgte dieser Einladung, meldete sich ueber unser loka-
les Netzwerk bei dieser VAX an und hatte kein Problem damit,
sich in Wilsons Konto einzuloggen. Wilson haette nie bemerkt,
dass der Hacker seine Dateien las; wahrscheinlich waere es ihm
aber auch egal gewesen. Sie enthielten numerische Daten, die fuer
jeden - ausser fuer Kernphysiker - bedeutungslos waren.
Unser Besucher wusste von unseren laborinternen Netzwerken.
Unsere zwoelf Grossrechner waren mit einem Ethernet, seriellen
Schnittstellen und Kaugummi mit hundert Laborcomputern ver-
bunden Wenn die Physiker Daten von einem Computer am
Zyklotron in unseren Grossrechner holen wollten, war Eleganz
nicht gefragt. Sie benutzten irgendeinen Anschluss, irgendeine
Leitung, irgendein Netzwerk. Im Lauf der Jahre hatten die Tech-
niker ein Spinnennetz von Kabeln ueber das Labor gezogen, das
fast alle Computer mit allem verband, was zu funktionieren
schien. Dieses lokale Netzwerk reichte in jedes Buero und ver-
band PC, Macintoshs und Terminals mit unseren Zentralrech-
nern. Haeufig waren diese vernetzten Computer so eingerichtet, dass
sie einander vertrauten. Wenn man fuer einen Computer >okay< war,
war man es auch fuer die anderen. Das sparte Zeit: Die Leute muss-
ten nicht mehr als ein Passwort vorweisen, auch wenn sie meh-
rere Computer benutzten.
Der Hacker beutete dieses Vertrauen aus, um in ein halbes Dut-
zend Computer einzudringen. Als Super-User, privilegierter Be-
nutzer unseres Unix-Zentralrechners also, versteckte er sich
unter einem zugelassenen Kontennamen. Dann klopfte er einfach
an die Tuer einer anderen vernetzten Maschine und wurde zuge-
lassen, ohne das Passwort auch nur zu fluestern. Unser Besucher
konnte nicht wissen, wozu diese Systeme benutzt wurden; trotz-
dem erfuehlte er sich seinen Weg durch das Netz und suchte nach
Verbindungen zu unerkundeten Computern.
Gegen Ende der Aktion ging dem Druckfarbband die >Tinte< aus.
Ich strich leicht mit einem Bleistift ueber das Papier und konnte
so die Eindruecke des Druckerkopfs lesbar machen: Der Hacker hatte
unsere Passwortdatei kopiert und sich dann abgemeldet...
Ein Bassgitarrenton zog meine Aufmerksamkeit weg von der Spur
des Hackers. Grateful Dead spielten draussen im Berkeley Greek
Theater, nur hundert Meter vom Labor den Huegel hinunter. Die
Polizei konnte es nicht verhindern, dass sich die Leute auf den
Rasen setzten und das Konzert verfolgten, also lief ich rasch hin-
ueber und mischte mich unter tausend andere in Hemd und
Krawatte. Abgebrannte Schnorrer, die aus den 60er Jahren uebrig-
geblieben waren, liefen in der Menge herum, erbettelten Eintritts-
karten und verkauften Poster, Buttons und Grass. Das Schlag-
zeugsolo im zweiten Set hallte aus dem Strawberry Canyon
zurueck und bescherte einen seltsamen Nachklang, den aber nur
wir Zaungaeste auf dem Rasen zu wuerdigen wussten. Das war wirk-
lich Leben: Kein Hacker ist es wert, dass man seinetwegen ein
Konzert der Dead versaeumte.
5. Kapitel
Mit dem Montagmorgen begann meine zweite Woche in diesem
Job. Mir war sehr ungemuetlich: Ich war umgeben von ueberarbeite-
ten Spezialisten und wusste dennoch nicht, welche Aufgaben ich
zu erfuellen hatte. Bis die Sache anfing Spass zu machen, konnte
ich diese Hackergeschichte bestimmt zu Ende bringen.
Wie ein Erstsemester im Physiklabor schrieb ich in ein Tagebuch,
was ich am Wochenende gemacht hatte. Nicht dass ich vorhatte,
dieses Tagebuch zu benutzen: Es war nur eine Gelegenheit, das
Textverarbeitungsprogramm meines Macintoshs kennenzuler-
nen. Ausserdem lautet die Faustregel des Astronomen: Was man
nicht niederschreibt, ist nicht passiert.
Ich gab die Ergebnisse an den Rest der Mannschaft weiter und
hoffte, niemand wuerde merken, dass ich im Schaltraum uebernachtet
hatte.
Der Chef wollte mich sofort sprechen, als er eingetrudelt war. Ich
befuerchtete, er sei stinksauer, weil ich mir die ganzen Terminals
ausgeborgt hatte. Der Fuehrungsstil mochte ja locker sein, aber
trotzdem durften auch Computercracks nicht Tuerme von Labor-
geraeten abbauen, ohne zu fragen.
Aber Roy erwaehnte die Terminals mit keinem Wort. Er wollte nur
etwas ueber den Hacker wissen.
<< Wann ist er aufgetaucht? >>
<< Sonntag morgen um 5 Uhr, drei Stunden lang. >>
<< Irgendwelche Dateien kaputt? >>
<< Hat ein Programm abgeschossen, von dem er dachte, es ueber-
wache ihn. >>
<< Sind wir in Gefahr? >>
<< Er ist privilegierter Benutzer. Er kann als Super-User unsere
gesamten Dateien loeschen. >>
<< Koennen wir ihn abschiessen? >>
<< Wahrscheinlich. Wir kennen sein Loch, das stopfen wir
schnell. >>
<< Glauben Sie, das haelt ihn auf? >>
Ich konnte spueren, wohin Roys Gedanken wiesen. Er wusste, dass
wir das gestohlene Konto von Sventek leicht deaktivieren konn-
ten. Und jetzt, wo wir kapiert hatten, was lief, war es
nicht schwierig, das Gnu-Emacs-Loch zu stopfen: Wir mussten nur ein
paar Codezeilen hinzufuegen, um das angepeilte Dateienverzeich-
nis zu pruefen.
Die entscheidende Frage lautete aber: Sollten wir unsere Tueren
offenlassen oder nicht? Den Laden dichtzumachen war die nahe-
liegendste Reaktion. Wir wussten, wie dieser Hacker in unser Sy-
stem eingedrungen war, und wussten, wie wir ihn rausschmeissen
konnten. Aber was stimmte ausserdem nicht? Welche anderen Ge-
schenke hatte uns unser mysterioeser Besucher hinterlassen? Zu
wie vielen Konten hatte er sich noch Zugang verschafft? In wel-
che anderen Computer war er eingebrochen?
Das war Roys Sorge. Der Ausdruck zeigte, dass der Hacker ein
kompetenter Systemprogrammierer war, der versteckte Fehler
ausbeuten konnte, die wir noch nicht einmal bemerkt hatten. Was
hatte er bereits getan?
Als privilegierter Benutzer kann man jede Datei im System modi-
fizieren. Hatte der Hacker ein Systemprogramm geaendert, um
sich eine Hintertuer zu oeffnen? Hatte er an unserem System her-
umgeschustert, dass es ein Zauberpasswort anerkannte? Hatte er
einen Computervirus eingesetzt? In Heimcomputern verbreiten
sich Viren, indem sie sich selbst in andere Softwareteile kopie-
ren. Wenn man jemand anderem infizierte Software gibt, kopiert
sich der Virus in dessen Software und verbreitet sich so von
Platte zu Platte. Wenn der Virus gutartig ist, ist er schwer zu
entdecken und richtet wahrscheinlich keinen grossen Schaden an.
Aber es ist einfach, boesartige Viren zu konstruieren, die
sich reduplizieren und dann Dateien loeschen. Genauso leicht ist
es, einen Virus zu schaffen, der monatelang inaktiv ist und dann
irgendwann in der Zukunft ausbricht. Viren sind die Geschoepfe,
die Programmierer in ihren Alptraeumen verfolgen.
Als privilegierter Benutzer konnte der Hacker unser System in
einer Weise infiziert haben, dass es fast unmoeglich war, seinen
Virus auszurotten. Er konnte sich in die Systemsoftware kopieren
und in dunklen Ecken des Computers verstecken. Indem er sich
von Programm zu Programm kopierte, wuerde er all unsere Ver-
suche, ihn zu loeschen, vereiteln.
Anders als bei einem PC, bei dem man das Betriebssystem von
der Programmdiskette neu laden kann, hatten wir unser Betriebs-
system weitreichend modifiziert. Wir konnten nicht zu einem
Hersteller gehen und sagen: << Geben Sie uns bitte eine Original-
kopie. >> Wenn das System infiziert war, konnten wir es nur mit
Sicherheitskopiebaendern wieder restaurieren. Wenn der Hacker
den Virus aber bereits vor sechs Monaten eingepflanzt
hatte, waren diese Baender auch infiziert.
Vielleicht hatte er eine logische Bombe gelegt - ein Programm,
das zu einem bestimmten Zeitpunkt in der Zukunft hochgeht.
Aber vielleicht hatte dieser Eindringling auch nur unsere Dateien
gepluendert, ein paar Jobs gekillt und unsere Abrechnung ver-
saut... Wie konnten wir wissen, dass er nicht etwas viel Schlim-
meres getan und an unseren Datenbanken herumgepfuscht hatte?
Konnten wir unseren Programmen und Daten jemals wieder ver-
trauen? Wir konnten es nicht. Und zu versuchen, ihn auszusper-
ren, wuerde kaum funktionieren, weil er dann nur einen anderen
Weg suchen wuerde. Wir mussten herausfinden, was er schon
getan hatte und was er noch tat! Vor allem mussten wir wissen,
wer am anderen Ende der Leitung sass.
<< Es muss irgendein Student aus Berkeley sein >> , sagte ich zu Roy,
<< das sind die Unix-Cracks, und uns halten sie fuer Bloedmaenner. >>
<< Ich waere da nicht so sicher. >> Roy lehnte sich in seinem Sessel
zurueck. << Warum sollte jemand aus Berkeley durch Tymnet rein-
kommen, wenn er unser System doch viel einfacher ueber die
Telefonleitungen anwaehlen koennte? >>
<< Vielleicht ist Tymnet nur ein Deckmantel >>, erwiderte ich, << ein
Versteck. Wenn er das Labor direkt anwaehlen wuerde, koennten wir
ihn verfolgen. Aber so muessen wir sowohl Tymnet als auch einen
Telefonanruf verfolgen. >>
Mein Abwinken ueberzeugte den Chef nicht. Ob aus wissenschaft-
licher Erfahrung oder aus zynischem Prinzip - Roy legte sich
nicht fest: Es war so lange kein Student, bis man einen in sein
Buero schleifte. Sicher, die Ausdrucke vom Wochenende zeigten
einen guten Programmierer, aber es war auch moeglich, dass wir
irgendeinen kompetenten Computercrack von irgendwo beob-
achteten. Den Kerl zu verfolgen bedeutete, Telefonleitungen zu
verfolgen.
Der Preis fuer harte Beweise war harte Arbeit.
Konfrontiert mit den Spuren eines mysterioesen Besuchers, sah
Roy nur Fussabdruecke. Ich sah einen Eindringling. Roy entschied
sich dafuer, sich nicht zu entscheiden.
<< Stellen wir fuer heute alle Netzwerkverbindungen ein. Morgen
frueh werde ich mit dem Labordirektor reden und ueberlegen, was
wir tun. >>
Wir konnten noch zuwarten, aber frueher oder spaeter mussten wir
mit dem Verfolgen anfangen oder den Typ aussperren.
Ich fragte mich, ob ich Lust hatte, jemanden zu verfolgen? Es
wuerde mich von der wissenschaftlichen Arbeit abhalten, denri es
hatte nichts zu tun mit Astronomie oder Physik. Und es roch so
nach Raeuber-und-Gendarm- oder Versteckspiel.
Andererseits wuerde ich vielleicht etwas ueber Telefonverfolgun-
gen und Netzwerke erfahren. Und das Beste war die Vorstellung,
wie so ein Hacker aus der Waesche gucken wuerde, wenn wir in
seine Bude platzen und schreien wuerden: << Halt! Keine Bewe-
gung! Finger von der Tastatur! >>
Am Dienstagnachmittag rief Roy an.
<< Der Direktor sagt, das sei elektronischer Terrorismus. Nutzt
alle
Mittel, die ihr habt, um den Kerl zu fangen. Nehmt euch so viel
Zeit, wie ihr braucht. Drei Wochen, wenn's sein muss. Aber nagelt
den Burschen fest! >>
Nun konnte ich den Hacker jagen, wenn ich wollte; die Ruecken-
deckung von oben hatte ich...
6. Kapitel
Ich radelte heim und dachte ueber abwegige Hackerfangmethoden
nach. Wie ich aber so meiner Wohnung naeher kam, gingen meine
Gedanken in Richtung Abendessen.
Es ist toll, wenn man jemanden hat, zu dem man nach Hause
kommen kann.
Martha Matthews und ich lebten jetzt seit ein paar Jahren zusam-
men und waren seit fast zehn befreundet. Wir kannten uns so gut,
da@ es schwer war, mir die Zeit, bevor ich sie kannte, vorzustel-
len. Alte Freunde schuettelten den Kopf. Sie hatten noch nie er-
lebt, dass ich's so lange mit einer Frau aushielt. In der Regel
verliebte ich mich, das hielt ein paar Jahre, und dann wurden wir
uns ueber und trennten uns. Ich war mit einigen frueheren Gelieb-
ten immer noch gut Freund, aber die Romanzen hatten nie sehr
lange gehalten. Ich war immer zynisch und sarkastisch gewesen,
um mich vor allzuviel Naehe zu schuetzen.
Das Leben mit Martha aber war anders. Eine Mauer nach der an-
dern fiel, langsam, mit der Zeit. Sie bestand darauf, unsere
Differenzen in Gespraechen auszutragen, forderte, die Gruende meiner
Launen und Stimmungen zu wissen, forderte, dass wir ueber Wege
nachdachten, besser miteinander zurechtzukommen. Manchmal
war es unertraeglich - ich hasse es zu reden, wenn ich wuetend
bin -, aber es schien zu funktionieren.
Ich ertappte mich dabei, wie ich Nestbauinstinkte entwickelte.
Ein vollkommener Nachmittag bestand darin, sich am Haus zu
schaffen zu machen, einen Schalter zu verlegen, ein paar Knollen
zu pflanzen oder ein Bleiglasfenster zu loeten. Wir verbrachten
manchen ruhigen Abend mit Naehen, Lesen oder Scrabblespielen.
Ich fing an, mich zu fuehlen wie ein... Ehemann.
Ich? Bestimmt nicht. Wirklich nicht. Die Ehe schleift dich ab; sie
ist ein Hamsterrad fuer Eindimensionale. Du heiratest und er oder
sie erwartet, dass du immer und ewig derselbe bleibst, dich nie
aenderst, nie etwas Neues tust. Und dann gibt's Zoff auf Zoff, und
du kannst nicht abhauen, derselbe Mensch jeden Morgen, jeden
Abend wird dir einfach ueber.
Zusammenleben war was anderes. Wir waren beide unabhaengig.
Wir entschieden uns frei, den Tag miteinander zu teilen, und je-
der von uns konnte gehen, wenn die Beziehung nicht mehr gut
fuer uns war. So war es besser, und Martha schien zufrieden zu
sein. Ach ja.
Ich fragte mich, ob sie noch so froehlich bliebe, wenn ich die
naechsten Wochen im Labor schliefe.
Drei Wochen, um einen Hacker zu fangen. Wie lange wuerde es
wohl dauern? Vielleicht ein paar Tage, um die Spuren zu sichern,
noch ein paar Tage, um ihn durch die Netzwerke zu verfolgen
und dann festzunageln.
Wahrscheinlich brauchten wir die Mithilfe der Polizei, man
musste also noch einen Tag oder zwei dazurechnen. Wir koennten,
schloss ich die Sache in Gedanken ab, das Ganze in zwei Wochen
erledigt haben, und dann wuerde ich wieder einen Computer
verwalten, und nebenher vielleicht ein bisschen Astronomie be-
treiben.
Wir mussten ein Netz knuepfen, das dicht genug war, um den
Hacker zu fangen, aber weit genug, um unsere Wissenschaftler
durchzulassen. Ich musste den Hacker entdecken, sobald er in der
Leitung war, und die Techniker von Tymnet anrufen, damit sie
feststellten, woher der Anruf kam.
Den Hacker zu entdecken, war einfach: Ich musste nur in meinem
Buero zwischen zwei Terminals kampieren. Ein Terminal zum Ar-
beiten und ein anderes zur Beobachtung des Systems. Jedesmal,
wenn sich jemand in den Computer einloggte, piepste es zwei-
mal, damit ich den neuen Benutzer ueberpruefen sollte. Sobald ein
Fremder auftauchte, musste ich runter zum Schaltraum duesen
und nachsehen, was da lief. Theoretisch narrensicher. Praktisch
unmoeglich. Von tausend Benutzern kannte ich etwa zwanzig. Die
andern 980? Ich hatte jeden einzelnen zu ueberpruefen. Also wuerde
ich alle zwei Minuten den Gang runterrennen und glauben, ich
haette jemanden gefangen. Und weil ich das Signal versaeumen
wuerde, wenn ich zu Hause war, nahm ich auf Martha keine Rueck-
sicht und schlief unter dem Schreibtisch.
Der Teppich roch wie der Sitz eines Linienbusses, und immer
wenn ein Terminal piepste, fuhr ich auf und schlug mir die Ruebe
am Boden einer Schublade an. Etliche Naechte, die ich damit ver-
brachte, mir die Stirn zu spalten, ueberzeugten mich, dass es einen
einfacheren Weg geben muesse.
Wenn ich die gestohlenen Kontennamen kannte, waere es leicht,
ein Programm zu schreiben, das darauf wartete, dass der Uebeltaeter
auftauchte. Unnoetig, jeden zu ueberpruefen, der den Computer be-
nutzte; einfach klingeln lassen, wenn ein gestohlenes Konto be-
nutzt wurde. Aber ich musste Waynes Warnung beherzigen - un-
sichtbar bleiben.
Das hiess, keine Jobs auf dem Zentralrechner laufen zu lassen.
Aber ich koennte von einem anderen Computer aus zusehen. Wir
hatten gerade einen neuen Unix-Computer installert, unser
Unix-8-System. Noch niemand hatte ihn bis jetzt benutzt, er war
deshalb vielleicht nicht supersicher, aber jedenfalls bestimmt
nicht verseucht. Ich konnte ihn in unser lokales Netzwerk ein-
klinken, ihn gegen alle moeglichen Angriffe sichern und ihn die
Unix-4- und Unix-5-Computer beobachten lassen.
Ich schuetzte meine Unix-8-Burg mit Wassergraben und Einweg-
zugbruecke: Information konnte in den Computer hinein, aber
nichts konnte heraus. Dave Cleveland, der nicht sehr angetan da-
von war, einen Hacker zu jagen, laechelte leicht und zeigte mir,
wie man einen Unix-8 dazu bringt, alle Login-Versuche abzuwei-
sen und trotzdem die anderen Unix-Maschinen heimlich auf An-
zeichen von Uebeltaetern zu ueberpruefen.
Das Programm war nicht schwierig - nur ein paar Dutzend Code-
zeilen, um einen Statusblock von jedem der lokalen Computer zu
bekommen. Aus alter Tradition programmieren Astronomen in
Fortran, deshalb war ich nicht ueberrascht, dass mich Dave etwas
merkwuerdig ansah, weil ich eine so antiquierte Sprache benutzte.
Er forderte mich auf, die Sprache C zu verwenden; in ein paar
Minuten hatte er das Programm auf 10 Zeilen dicht geschriebe-
nen Code verkuerzt.
Wir luden Daves Wachhundprogramm in den Unix-8. Von aussen
sah er aus wie ein weiteres Laborsystem. Jeder, der seinen Status
abfragte, erhielt eine Einladung, sich einzuloggen. Aber man
konnte sich nicht einloggen, weil dieser Computer jeden zurueck-
wies ausser Dave und mich. Der Hacker duerfte keinen Verdacht
schoepfen, weil der Computer noch nicht ganz ins Netzwerk inte-
griert zu sein schien. Auf dieser hohen Ebene ging eine Netzwerk-
abfrage an jeden der andern Unix-Computer: >Hey, who's logged
on?< Jede Minute analysierte das Unix-8-Programm diese Berichte
und suchte nach Sventeks Namen. Wenn Sventek auftauchte,
piepste mein Terminal, und es war Zeit, sich die Stirn anzu-
schlagen.
Aber ein Alarm allein wuerde den Hacker nicht fangen. Wir mu@-
ten ihn durch unser System verfolgen bis zurueck zu seinem Lager.
Und um uns zu schuetzen, mussten wir wissen, was er machte.
Es war nicht moeglich, sich noch mal 50 Drucker zu schnappen,
um den gesamten Datenverkehr durch unser System zu ueberwa-
chen. Deshalb durfte ich nur die Leitungen beobachten, die er
wahrscheinlich benutzen wuerde. Samstag morgen war er durch
eine unserer vier Tymnet-Verbindungen reingekommen - eine
gute Stelle, um anzufangen. Ich konnte keine vier Drucker fuer ein
paar Wochen kaufen, stehlen oder leihen, also verlegte ich mich
aufs Betteln. Ein Physikprofessor gab mir einen ausgeleierten
alten DEC-Drucker und freute sich, dass ihm jemand den alten
Haufen abnahm. Eine Sekretaerin spendete einen ueberschuessi-
gen IBM-PC im Austausch dafuer, dass ich ihr zeigte, wie man Ar-
beitsblattprogramme benutzt. Eine Kombination von Pralinen,
Schmeichelei und Augenzudruecken erbrachte zwei weitere ueber-
schuessige Drucker.
Jetzt waren wir voll im Geschaeft und zeichneten unseren gesam-
ten Datenverkehr mit Tymnet auf.
Am Mittwochnachmittag war eine Woche vergangen, seit wir den
Hacker zum ersten Mal entdeckt hatten. Es war sonnig in Berke-
ley. Daves Wachhund war wach, die Drucker schnatterten emsig
bei jedem Anschlag, und ich dachte nach - besonders ueber Infra-
rotemissionen der Pleiaden. Ploetzlich piepste das Terminal zwei-
mal: Sventeks Konto war aktiv. Das Adrenalin schoss mir ins Blut,
als ich in den Schaltraum rannte; der Anfang der Papierbahn
zeigte, dass sich der Hacker um 14.16 Uhr eingeloggt hatte und
immer noch aktiv war. Buchstabe fuer Buchstabe spuckte der
Drucker die Anschlaege des Hackers aus.
Er hatte sich als Sventek in den Unix-4-Computer eingeloggt und
listete als erstes die Namen aller eingeklinkten Benutzer auf.
Glueck gehabt: Es war niemand da ausser dem ueblichen Physiker-
und Astronomenhaufen; mein Wachhundprogramm war gut im
Unix-8-Computer verborgen. Siehst du dich wieder nach allen
Seiten um, dachte ich. << Tut mir leid, niemand da ausser uns
Astrophysikern >> , fluesterte ich dem Terminal zu.
Wieder das gleiche, er pruefte alle laufenden Prozesse. Der Unix-
Befehl >ps< druckt den Status anderer Prozesse aus.
Gewohnheitsmaessig tippte ich >ps-axu< ein; die letzten drei Zei-
chen befehlen Mutter Unix, den Status von allen anzugeben. Der
Eindringling jedoch gab >ps-eafg< ein. Seltsam. Ich hatte noch nie
jemanden die g-Markierung benutzen sehen. Nicht dass er viel
entdeckt haette: nur ein paar wissenschaftliche Analysepro-
gramme und ein verschrobenes Satzprogramm. Und eine Netz-
werkverbindung zum Unix-8-System.
Er hatte genau drei Minuten gebraucht, um den Unix-8-Computer
zu entdecken, der lose mit dem Unix-4-System verbunden war.
Aber konnte er hinein? Mit dem Unix-Befehl >rlogin< versuchte er
es ein halbes dutzendmal und klopfte mit Sventeks Kontenname
und Passwort an die Tuer der Unix-8-Maschine.
Pech! Dave hatte diese Tuere zugenagelt.
Offenbar zufrieden, dass ihn keiner beobachtete, listete er die
Passwortdatei des Systems auf. Da gab's nicht viel zu sehen fuer
ihn: Alle Passwoerter sind chiffriert und dann gespeichert. Ein
chiffriertes Passwort sieht aus wie Buchstabensalat; wenn der
Hacker nicht eine beeindruckend komplizierte Chiffrierung loeste,
war die Passwortdatei fuer ihn nicht viel mehr als ein Traumbild.
Er wurde nicht zum privilegierten Benutzer; er pruefte vielmehr,
ob die Gnu-Emacs-Datei geaendert worden war. Das setzte jedem
Zweifel ein Ende, ob sich auch derselbe Hacker eingeklinkt hatte:
Niemand sonst haette das Sicherheitsloch in unserem System
ueberprueft. Um 14.37 Uhr, elf Minuten nachdem er sich eingeloggt
hatte, loggte er sich abrupt aus dem Unix-4-Computer aus, aber
nicht zu frueh, um uns auf seine Spur zu setzen.
Tymnet! Ich hatte vergessen, dem Betriebszentrum des Netz-
werks mitzuteilen, dass es einige Verbindungen verfolgen muesse.
Ich hatte nicht mal gefragt, ob sie ihr eigenes Netzwerk ueberhaupt
verfolgen konnten. Jetzt, wo ich den Drucker jede Taste kopieren
sah, die der Hacker drueckte, blieben nur Minuten, um die Spur
aufzunehmen.
Ron Vivier leitet den Suchdienst von Tymnet in Nordamerika.
Waehrend ich mit ihm am Telefon sprach, konnte ich hoeren, wie
er in die Tasten seines Terminals hieb. In kurzen Saetzen verlangte
er unsere Kontenadresse. Soviel wenigstens hatte ich vorbereitet.
In ein paar Minuten hatte Ron die Verbindung vom Tymnet-An-
schluss des LBL in ein Tymnet-Buero in Oakland zurueckverfolgt,
das jemand uebers Telefonnetz angewaehlt hatte.
Ron zufolge hatte der Hacker das Tymnet-Modem von 4151430-
1907 angewaehlt. Das war in Oakland, nur drei Meilen vom Labor
entfernt. Ich begann zu ueberlegen. Es ist einfacher, unser Labor
in Berkeley direkt anzuwaehlen, statt durchs Tymnet-Buero in Oak-
land zu marschieren. Warum also durch Tymnet aufrufen, wenn
man unser System direkt waehlen kann? Ein direkter Anruf wuerde
die Vermittlungen von Tymnet vermeiden und waere ein Quent-
chen zuverlaessiger. Aber ein Aufruf via Tymnet verbarg die Spur
unter einer weiteren Schicht.
Der Hacker hatte die hiesige Tymnet-Anschlussnummer angeru-
fen und nicht unser Labor. Das war, als wuerde man die Autobahn
nehmen, um drei Haeuserblocks weiter sich eine Cola kaufen zu
wollen. Wer auch immer am anderen Ende der Leitung war, er
wusste, wie man sich versteckt.
Ron Vivier sprach mir sein Beileid aus - ich hatte nicht nur eine
Tymnet-Telefonnummer wissen wollen; ich machte Jagd auf
einen Menschen.
Nun, wir waren auf seiner Spur, aber es war eine kurvenreiche
Strecke. Irgendwie mussten wir den Telefonanruf zurueckverfol-
gen. Und das bedeutete eine richterliche Genehmigung.
Puh!
Als sich der Hacker ausgeloggt hatte, sah ich vom Ausdruck auf.
Wie ein Schiesshund hatte Roy Kerth die Nachricht gewittert und
kam runter in den Schaltraum. Dave und Wayne auch.
Als Ron auflegte, verkuendete ich: << Er ruft von Tymnet Oakland
an Also muss er aus der Gegend sein. Wenn er in Peoria waere,
wuerde er sich seinen Nickel sparen und Tymnet Peoria rufen. >>
<< Ja, Sie haben wahrscheinlich recht. >>
Roy freute sich nicht darauf, eine Wette zu verlieren.
Dave dachte nicht ueber die Telefonspur nach. << Dieser >ps-eafg<-
Befehl stoert mich >> sagte er. << Ich kann nicht sagen, warum, aber
es schmeckt mir einfach nicht. Vielleicht ist's nur paranoid, aber
ich bin sicher dass ich diese Kombination schon mal irgendwann
gesehen habe. <
<< Zur Hoelle mit Unix Geschieht uns recht, so ein saumaessiges Be-
triebssystem zu fahren.>> Wayne ergriff die Gelegenheit, Dave zu
reizen << Na die Passwortdatei nuetzt ihm aber nicht viel, was? >>
<< Nur wenn er einen Supercomputer hat. Man braucht so einen,
um die Verschluesselung zu knacken. Unix ist nicht VMS - es hat
die schwierigsten Chiffrierschluessel ueberhaupt<, konterte
Dave.
Roy hatte das alles schon gehoert; er meinte, weit ueber dem Krieg
der Betriebssysteme zu stehen. << Sieht aus, als ob Sie ein paar
Fangschaltungen braeuchten, Cliff. >>
Mir gefiel das gewaehlte Pronomen ueberhaupt nicht, aber genau
das war der Punkt.
<< Hat jemand eine Idee, wo wir anfangen: >> fragte ich. << Was man
nicht in den Beinen hat, muss man in den Fingern haben >> , spot-
tete Dave.
7. Kapitel
Tags darauf, nachdem wir beobachtet hatten, wie der Hacker in
unser System eingebrochen war, traf sich der Chef mit Aletha
Owens, der Rechtsanwaeltin des Labors. Aletha waren Computer
egal, aber sie hatte ein waches Auge fuer Probleme am Horizont-
Sie verlor keine Zeit und rief das FBI.
Beim hiesigen FBl-Buero zog man nicht mal eine Augenbraue
hoch. Fred Wyniken, Spezialagent der Zweigstelle Oakland,
fragte unglaeubig: << lhr ruft uns, weil ihr fuer 75 Cents Rechenzeit
verloren habt? >>
Aletha versuchte zu erklaeren, was Informationssicherheit ist und
den Wert unserer Daten zu erlaeutern.
Wyniken unterbrach sie und sagte: << Sehen Sie mal, wenn Sie den
Verlust von mehr als einer Million Dollar vorweisen oder glaub-
haft versichern koennen, dass jemand seine Nase in geheime Daten
steckt, leiten wir ein Untersuchungsverfahren ein. Wenn nicht,
dann lassen Sie uns bitte in Ruhe. >>
Richtig. Je nach Standpunkt waren unsere Daten entweder nichts
wert oder zig Millionen Dollar. Wieviel ist die Struktur eines
Enzyms wert? Was ist ein Hochtemperatursupraleiter wert? Das
FBI dachte in voellig anderen Begriffen; wir lebten in einer Welt
der Forschung. Geheime Daten? Wir waren weder ein Militaer-
stuetzpunkt noch eine Atomwaffenschmiede -
Trotzdem brauchten wir die Unterstuetzung des FBI. Wenn der
Hacker das naechste Mal sein Periskop ausfahren wuerde, konnten
wir ihn wahrscheinlich bis zur Telefonnummer des Tymnet-An-
schlusses Oakland verfolgen. Von da wuerde uns, so hoffte ich,
eine Fangschaltung zu ihm fuehren. Aber ich hatte gehoert, dass die
Telefongesellschaft ohne richterliche Genehmigung keine Lei-
tung abhoeren wuerde. Und wir brauchten zunaechst das FBI, um
schliesslich diese Genehmigung zu erhalten.
Nachdem Aletha dort auf Granit gebissen hatte, rief sie den zu-
staendigen Staatsanwalt an. Der Staatsanwalt von Oakland fak-
kelte nicht lange: << Was? Jemand bricht in Ihren Computer ein?
Teufel auch, da holen wir uns doch eine Abhoergenehmigung und
verfolgen diese Telefonleitungen. >>
Gegen Ende des Tages hatte Aletha die Verhandlungen mit Tym-
net, der Telefongesellschaft und dem Staatsanwalt abgeschlos-
sen. Mit der hiesigen Strafverfolgungsbehoerde im Ruecken war
nun auf das FBI bestens zu pfeifen. Kurz nach fuenf schaute Dave
herein und fing an, ueber den Einbruch zu reden.
<< Cliff, der Hacker ist nicht aus Berkeley. >>
<< Woher weisst du das ? >>
<< Du hast doch gesehen, wie der Typ den Befehl >ps-eafb< ein-
tippte, nicht wahr? >>
<< Klar, da ist der Ausdruck >> , antwortete ich. << Das ist ein
gewoehnlicher Unix-Befehl, um alle aktiven Prozesse aufzulisten.
>ps< heisst >print status<, und die vier Buchstaben modifizieren
die Anzeige. Sie sind wie Knoepfe oder Tasten an einer Stereoanlage
- sie modifizieren die Art und Weise, wie der Befehl zu
funktionieren hat. >>
<< Cliff, ich weiss wohl, dass du an Berkeley-Unix gewoehnt bist. Seit
Berkeley-Unix erfunden wurde, haben wir ganz mechanisch >ps<
getippt, wenn wir sehen wollten, was im System passierte. Aber
sag mir, was modifizieren diese vier Buchstaben? >>
Dave wusste, dass ich von obskuren Unix-Befehlen keine Ahnung
hatte. Ich schlug mich, so gut ich konnte: << Na, die >e<-
Markierung bedeutet >liste Prozessname und Systemumgebung auf<, und
die >a<-Markierung listet die Prozesse von allen auf - nicht bloss
deine. Also wollte der Hacker sehen, was auf dem System lief. >>
<< Okay, die Haelfte hast du. Und wofuer sind die >g<- und die >f<-
Markierungen? >>
<< Weiss ich nicht. >> Dave liess mich zappeln, bis ich zugeben musste,
dass ich nicht mehr weiterkam.
<< Du laesst mit >g< auflisten, wenn du sowohl interessante als auch
uninteressante Prozesse haben willst. Die ganzen unwichtigen
Jobs, wie die Abrechnung, werden auftauchen. Und alle Hinter-
grundprozesse auch. >>
<< Und wir wissen, dass er am Abrechnungsprogramm rumspielt. >>
Dave laechelte. << Bleibt uns also noch die >f<Markierung. Und die
gibt es im Berkeley-Unix nicht. Das AT&T-Unix listet so die Da-
teien jedes Prozesses auf. Das Berkeley-Unix macht das automa-
tisch und braucht die >f<-Markierung nicht. Unser Freund kennt
das Berkeley-Unix nicht. Er ist aus der Schule des altmodischen
Unix. >>
Das Unix-Betriebssystem wurde in den fruehen 70er Jahren in den
Bell Laboratories von AT&T in New Jersey entwickelt. In den spae-
ten Siebzigern besuchten Unix-Anhaenger von AT&T den Campus
von Berkeley, und es wurde eine neue, maechtigere Version von
Unix entwickelt. Neben freier Liebe, linker Politik und der Stu-
dentenbewegung ist Berkeley fuer seine Unix-Implementierung
bekannt. Zwischen den Verfechtern des kleinen, kompakten
AT&T-Unix und denen der verfeinerten Berkeley-Version ent-
stand ein Schisma. Trotz Konferenzen, Standards und Verspre-
chungen stellte sich kein Konsens ein, und die Welt muss nun mit
zwei konkurrierenden Unix-Betriebssystemen zurechtkommen.
Natuerlich verwendete unser Labor das Berkeley-Unix, wie das
alle Leute mit Koepfchen tun. Angeblich haben die von der Ost-
kueste eine Schwaeche fuer das AT&T-Unix, aber sie haben schliess-
lich auch nicht die freie Liebe entdeckt.
Mit einem einzigen Buchstaben hatte Dave die gesamte datenver-
arbeitende Bevoelkerung der Westkueste ausgeschlossen. Es war
auch denkbar, dass ein Hacker in Berkeley einen altmodischen Be-
fehl benutzte, aber Dave glaubte nicht so recht daran.
<< Wir beobachten jemanden, der noch nie Berkeley-Unix verwen-
det hat. >>'Dann hielt er den Atem an und fluesterte: << Ein Heide. >>
Wayne scherte sich keinen Deut um Unix. Als VMS-Junkie war
Wayne ein Unglaeubiger. Ausserdem glaubte er, dass der Hacker mit
unserer Passwortdatei ueberhaupt nichts anfangen konnte: << Sieh
mal niemand kann auf irgendeine Weise diese Passwoerter
dechiffrieren. Alles, was er vielleicht erfahren hat, sind unsere
Namen. Was soll die Aufregung? >>
Ich bewegte das in meinem Herzen. Ein Wissenschaftler mit Kon-
ten in verschiedenen Computern wuerde fuer jedes Konto dasselbe
Passwort verwenden. Wenn der Hacker Passwoerter fuer den Unix-
4-Computer kannte, konnte er versuchen, in die benachbarten
LBL-Computer einzudringen. Wenn er in unseren geschuetzten
Unix-8-Computer hinein wollte, na, warum dann nicht einige der
Passwoerter von der Unix-4-Maschine ausprobieren? Wenn er
Passwoerter aus einem System benutzen konnte, um in ein ande-
res einzubrechen, wuerden Dutzende Systeme fallen wie Domino-
steine.
Passwoerter sind das Herzstueck der Sicherheit in einem Grossrech-
ner PC brauchen keine Passwoerter: Es gibt nur einen Benutzer.
Jeder an der Tastatur kann auf jedes Programm zugreifen. Wenn
aber zehn oder zwanzig Leute ein einziges System benutzen, muss
der Computer sicher sein, dass die Person hinter dem Terminal
kein Betrueger ist. Passwoerter bestaetigen die Authentizitaet einer
Uebertragung wie eine elektronische Unterschrift. Zaehlautoma-
ten Telefonkreditkarten, elektronischer Zahlungsverkehr, sogar
einige Anrufbeantworter haengen von Passwoertern ab. Wenn ein
Hacker Passwoerter klaut oder faelscht, kann er Guthaben vortaeu-
schen, Dienstleistungen umsonst in Anspruch nehmen oder ge-
platzte Schecks einloesen. Als noch Geld in Tresoren aufbewahrt
wurde, hatten es Safeknacker auf die Zahlenschloesser abgesehen.
Heute, wo die Sicherheitsmassnahmen nur noch Bits in Compu-
terspeichern sind, sind Diebe hinter den Passwoertern her.
Wenn ein Computer fuenfzig oder hundert Benutzer hat, kann man
einfach das Passwort jeder Person in einer Datei speichern. Wenn
der Benutzer sich einloggen will, bittet der Computer ihn um sein
Passwort und vergleicht es mit dem in der Datei.
In einer freundlich gesinnten Welt kein Problem. Aber wie haelt
man jemanden davon ab, der einem in die Passwortdatei gucken
will? Na, man schuetzt die Passwortdatei so, dass nur das System
sie lesen kann. Auch wenn man die Passwortdatei schuetzt, wer-
den von Zeit zu Zeit von allen Dateien Sicherungskopien gezo-
gen. Sogar ein Programmierneuling koennte diese Baender auf
einem andern Computer lesen und die Inhalte der Passwortdatei
auflisten. Dateienschutz allein genuegt nicht.
1975 entwickelten Robert Morris und Fred Grampp von den Bell
Laboratories eine Moeglichkeit, Passwoerter auch dann zu schuet-
zen, wenn die Dateien nicht sicher waren. Sie setzten auf Chif-
frierung anstelle von Dateienschutz. Wenn man das Passwort
>cradle< waehlt, speichert man dieses Wort nicht einfach in eine
Passwortdatei. Statt dessen vermanscht Unix die Buchstaben zu
einem verschluesselten Wort, etwa >pn6yywersyq<. Das verschlues-
selte Passwort wird gespeichert, nicht der offene Text. Eine Unix-
Passwortdatei wuerde also etwa so aussehen:
Hinter jedem Kontennamen steht das verschluesselte Passwort.
Wie Wayne sagte: << Wer die Passwortliste klaut, kriegt nur 'ne
Liste von Leuten. >>
Das Computerprogramm, das >cadle< zu >pn6yywersyg< chiffriert,
beruht auf einem Falltuer-Algorithmus: ein Prozess, der vorwaerts
einfach geht, aber zurueck schwierig. Wenn Sally Blatz sich ein-
loggt, tippt sie ihren Kontennamen >Blatz< ein und dann ihr Pass-
wort >cradle<. Das System verschluesselt das Passwort zu >pn6yy-
wersyg< und vergleicht das mit der Eingabe in der Passwortdatei.
Wenn die verschluesselten Eingaben nicht miteinander ueberein-
stimmen, fliegt Sally aus der Maschine. Das lesbare Wort selbst
wird nicht verglichen, sondern die Chiffrierung. Die Passwort-
sicherheit haengt von der Falltuerfunktion ab.
Falltuerfunktionen sind mathematische Ratschen: Man kann sie
vorwaerts drehen, aber nicht rueckwaerts. Sie uebersetzen Text rasch
in Chiffren. Um diese Schluessel diebstahlsicher zu machen, muss
es unmoeglich sein, den Algorithmus umzudrehen.
Unsere Falltueren waren nach dem Data Encryption Standard
(DES) konstruiert, der von IBM und der National Security Agency
(NSA) entwickelt wurde. Wir hatten Geruechte gehoert, die elektro-
nischen Super-Schnueffler der NSA haetten den DES geschwaecht,
weil sie dessen interne Schluessel beschnitten haetten: Sie banden
sie so kurz an, dass sie von der NSA geknackt werden konnten,
liessen sie aber so stark, dass sie den Versuchen gewoehnlicher
Sterblicher widerstanden. Man fluestert, auf diese Weise koennte
die NSA den Code knacken und Nachrichten lesen, aber niemand
sonst.
Das DES-Chiffrierprogramm in unserem Unix-Computer war all-
gemein zugaenglich. Jeder konnte es studieren. Die NSA hatte
seine Staerken und Schwaechen analysiert, die Berichte jedoch
waren geheim. Gelegentlich hatten wir zwar Geruechte gehoert,
jemand habe diesen Code geknackt, aber nie bestaetigte sich das.
Bevor die NSA ihre Analysen des DES nicht veroeffentlichte, muss-
ten wir eben darauf vertrauen, dass unsere Chiffrierung stark ge-
nug war.
Wayne und ich hatten den Hacker beobachtet, wie er einbrach
und unsere Passwortdatei stahl. Der Hacker kannte jetzt die Na-
men von ein paar hundert Wissenschaftlern. Er haette sich auch
unser Telefonbuch holen koennen - in denen standen wenigstens
noch die Adressen. Wenn er nicht einen Cray-Supercomputer be-
sass, konnte er die Falltuerfunktion nicht umdrehen, und unsere
Passwortdatei blieb sicher.
Wayne war immer noch beunruhigt. << Vielleicht ist dieser Kerl auf
eine geniale Moeglichkeit gestossen, die Falltuerfunktion umzudre-
hen. Wir sollten eine Spur vorsichtiger sein und unsere wich-
tigen Passwoerter aendern. <
Dagegen konnte ich kaum etwas einwenden. Das Systempasswort
war seit ein paar Jahren nicht geaendert worden und hatte schon
einige Leute ueberdauert, die geheuert und gefeuert worden wa-
ren. Ich hatte nichts dagegen, mein Passwort zu aendern, und um
sicherzugehen, benutzte ich fuer jeden Computer ein anderes
Passwort. Wenn es dem Hacker gelang, mein Passwort fuer den
Unix-4-Computer herauszufinden, haette er damit noch keine groe-
ssere Chance, es bei den anderen zu erraten.
Bevor ich nach Hause radelte, sah ich noch mal den Ausdruck
der Sitzung des vorigen Tages durch. In den zehn Seiten lagen
Hinweise auf die Person des Hackers, seinen Standort und seine
Absichten verborgen. Aber zuviel widersprach sich: Wir hatten
ihn durch Tymnet in Oakland, Kalifornien, geortet. Aber Dave
glaubte nicht, dass er aus Berkeley war. Er kopierte unsere Pass-
wortdatei, obwohl unsere Chiffrierung nur Buchstabensalat dar-
aus machte.
Und was machte er mit unseren verschluesselten Passwoertern?
In mancher Hinsicht war es wie Astronomie. Wir beobachteten
passiv ein Phaenomen und versuchten aufgrund einiger Hinweise,
das Ereignis zu erklaeren und die Quelle zu lokalisieren. Astrono-
men sind daran gewoehnt, still und leise Daten zu sammeln, in-
dem sie auf einem Berggipfel durch ein Teleskop starren. Hier
wie dort tauchten die Daten sporadisch, aus unbekannter Quelle
auf. Statt Thermodynamik und Optik musste ich jetzt Chiffrier-
methoden und Betriebssysteme verstehen. Auf irgendeine Weise
bestand eine physische Verbindung zwischen unserem System
und einem wer weiss wie weit entfernten Terminal. Durch An-
wendung gewoehnlicher Physik musste es moeglich sein, zu ver-
stehen, was da passierte.
Physik: Das war der Schluessel, erkannte ich.
Zeichne deine Beobachtungen auf. Wende physikalische Prin-
zipien an. Spekuliere, aber traue nur bewiesenen Schlussfolgerun-
gen.
Wenn ich irgendwelche Fortschritte machen wollte, musste ich
die Aufgabe wie ein Physikproblem fuer Erstsemester angehen.
Zeit, mein Tagebuch auf den neuesten Stand zu bringen.
8. Kapitel
Und gerade rechtzeitig. Am Mittwoch, dem 10. September 1986
um 7.51 Uhr erschien der Hacker fuer sechs Minuten in unserem
System. Lange genug, um Alarm in meinem Terminal auszuloe-
sen, aber nicht lange genug, um irgend etwas damit anzufangen.
Diese Nacht war ich zu Hause geblieben.
<< Fuenf Tage im Labor sind genug >> , hatte Martha gesagt.
Ich war, wie gesagt, nicht im Labor auf der Lauer gelegen, aber
der Drucker rettete auf drei Seiten die Spur des Hackers. Er hatte
sich als >Sventek< in unseren Unix-4-Computer eingeloggt. Das ver-
stand ich noch - er hatte Sventeks Passwort und war ueber Tym-
net reingekommen.
Aber er blieb nicht in meinem Unix-4-Computer - statt dessen
huepfte er hindurch und landete im Milnet. Nun ist es nicht ge-
rade das Allerneuste, dass es das Milnet gab - es ist ein Teil des
Internet, eines Computernetzwerks, das hundert andere Netz-
werke miteinander verknuepft. Von unserem Unix-Computer aus
koennen wir das Internet erreichen und von da aus das Milnet.
Doch das Milnet gehoert dem Verteidigungsministerium.
Mein Hacker meldete sich bei der Milnet-Adresse 26.0.0.113 an,
loggte sich dort als >Hunter< ein und pruefte, ob sie eine Kopie
von Gnu-Emacs hatten. Dann verschwand er.
Als ich gegen Mittag angeradelt kam, gab es keine Spur, um den
Hacker stromaufwaerts zu verfolgen. Aber er hatte eine untilgbare
Spur stromabwaerts gezogen. Wo war diese Milnet-Adresse? Das
Network Information Center dekodierte sie fuer mich: Redstone
Army Depot in Anniston, Alabama. Der Standort der Raketen-
basis Redstone, zweitausend Meilen von Berkeley entfernt.
In ein paar Minuten hatte er sich durch unser Labor bei einer Mi-
litaerbasis angemeldet. Der Ausdruck liess wenig Zweifel daran,
dass es der Hacker war. Niemand ausser ihm wuerde Sventeks
Konto benutzen. Und wer sonst wuerde in irgendeinem Computer
in Alabama nach dem Gnu-Emacs-Sicherheitsloch suchen?
Es war niemand da, der mir sagte, ich solle das nicht beachten,
deshalb rief ich die Auskunft in Anniston an. Bestimmt hatte das
Militaerdepot Anniston ein Rechenzentrum, und schliesslich fand
ich Chuck McNatt, den Unix-Crack von Anniston.
<< Hallo, Chuck. Sie kennen mich nicht, aber ich glaube, wir haben
jemanden entdeckt, der sich an Ihren Computer ranmacht. >>
<< Wer sind Sie denn? Woher soll ich wissen, dass nicht Sie versu-
chen einzubrechen? >> Nach etlichen Minuten des Zweifelns bat er
mich um meine Telefonnummer, legte auf und rief mich zurueck.
Das ist einer, der Fremden nicht traut, dachte ich, oder rief er
mich auf einer sicheren Telefonleitung zurueck?
<< Schlechte Nachrichten >> , sagte ich. << Ich glaub, ich hab
gesehen, wie jemand in euer System einbricht. >>
<< Verdammt noch mal - dieser Hunter? >>
<< Ganz genau. Woher wissen Sie das? >>
<< Ich hab seinen Hintern schon mal gesehn. >>
Chuck McNatt erklaerte es mir in breitem Alabama-Dialekt. Das
Arsenal der Raketenbasis Redstone verwaltete seine Logistik auf
ein paar Unix-Computern. Damit Bestellungen schneller bearbei-
tet wurden, haengten sie sich an Chucks Computer in der Basis
Anniston an. Der Grossteil ihres Datenverkehrs betraf Aktualisie-
rungen - kaum jemand loggte sich von weit weg ein.
Um der Augusthitze zu entgehen, war Chuck - er erzaehlte mir al-
les haargenau - an einem Samstagmorgen arbeiten gegangen und
hatte die Benutzer in seinem System ueberprueft. Ein Benutzer na-
mens >Hunter< war gerade dabei, eine Unmenge Rechenzeit zu
verbraten. Ueberrascht, an einem Samstag ueberhaupt jemanden
vorzufinden, hatte Chuck eine Nachricht auf Hunters Bildschirm
geschickt: >He, identifizier dich!<
Der mysterioese Hunter tippte zurueck: >Fuer wen haeltst du mich?<
Chuck war nicht so leicht zu uebertoelpeln. Er schickte noch eine
Nachricht: >Identifizier dich oder ich schmeiss dich aus dem
System!<
Es folgte die Antwort Hunters: >lch kann nicht antworten.<
<< Also hab ich ihn aus der Maschine geschmissen >> , sagte Chuck.
<< Wir haben sofort das FBI verstaendigt, aber die haben drauf ge-
pfiffen. Also haben wir mit der CID gesprochen, damit man jede
einzelne verdammte Verbindung verfolgt, die durch unsere Tele-
fonleitungen reinkommt. >>
<< Was bedeutet CID >> , fragte ich, << Christliche
Informationsdiakonie? >>
<< Bleiben Sie ernst >> , mahnte Chuck. << Die CID ist die Bullenorga
nisation der Army. Criminal Investigation Division. Aber die
machen nicht viel. >>
<< Kein geheimes Material verlorengegangen, was? >> fragte ich und
nahm damit die Antwort vorweg.
Das FBI in Montgomery, Alabama, hatte Chuck dieselbe Ge-
schichte erzaehlt wie Oakland mir. Man wuerde eine Untersuchung
einleiten, wenn eine Million Dollar verschwunden sei. Einfach
unglaublich, dachte ich. Fuer Betraege, die drunter liegen, ruehren
die nicht mal den kleinen Finger. Computerverbrechen sind fuer
die fast so was wie Kavaliersdelikte.
<< Was haben Sie gefunden? >> setzte ich nach.
<< Die verruecktesten Sachen >> , antwortete Chuck. << Ich hab Hunter
zwei- oder dreimal erwischt, als er sich in meinen Computer ein-
schlich, aber die Telefonueberwachung hat nicht reagiert. >>
<< Ich wette, ich weiss, warum. Er kommt durch die Hintertuer rein.
Eure Milnet-Verbindung. Ein Hacker bricht in unser System ein,
und diesen Morgen ist er in euren Computer eingestiegen - und
wir ... >>
Chuck fluchte - er hatte die Drei-Minuten-Verbindung verpasst. Er
hatte in allen Telefonleitungen Fallen aufgestellt, aber
vergessen, seine Netzwerkleitungen zu ueberwachen.
<< ... versuchen rauszufinden, wer in unserem System hackt >> , fuhr
ich fort. << Wir glauben, dass es ein Student hier in Berkeley ist,
und setzten gerade alle Hebel in Bewegung, um ihn auszuma-
chen. Unsere erste Spur weist auf Berkeley oder Oakland. >>
<< Kann ich mir denken. Bei uns hat man den Verdacht, es ist 'n
Student hier in Alabama >> , gab Chuck zurueck. << Wir haben uns
schon ueberlegt, dichtzumachen, aber wir wollen ihn kriegen. Ich
wuerd ihn lieber hinter Gittern als hinter'nem Terminal sehen. >>
Zum ersten Mal machte ich mir um diesen unbekannten Hacker
Sorgen. Wenn die Army den Kerl erwischte, wuerde es ihm uebel
ergehen. << Chuck, ich hab da was. Die Haare werden Ihnen zu
Berge stehen, wenn ich's Ihnen sage: In unserm System ist dieser
Typ privilegierter Benutzer. >>
<< Nein! Er hat vielleicht 'n Konto geklaut, aber er koennte nie
Super-User werden. Wir sind 'ne Armeebasis, nicht irgend 'ne
verhaschte Uni. >>
Ich ging auf den Seitenhieb gegen Berkeley nicht ein.
<< Er suchte nach eurer Gnu-Emacs-Postdatei. >>
<< Ja. Na und? >>
<< Was wissen Sie ueber die Nistgewohnheiten des Kuckucks? >>
Ich erklaerte, wie das Sicherheitsloch von Gnu-Emacs funktio-
nierte.
Chuck war verbluefft. << Sie meinen, wir haben dieses Loch, seit
uns White Sands diese Gnu-Datei geschickt hat? >> Chuck pfiff
leise. << Dann frag ich mich, wie lang der schon da rumpfuscht. >>
Chuck verstand das Loch und seine Folgen...
Der Hacker listete Dateien im Anniston-System auf. Nach den Da-
ten dieser Dateien zu urteilen, war er seit Anfang Juni'86 in den
Computern von Anniston. Seit vier Monaten benutzte ein illegiti-
mer Systemverwalter einen Militaercomputer in Alabama. Trotz-
dem war er durch Zufall entdeckt worden, nicht durch eine logi-
sche Bombe oder verlorengegangene Information. Offenbar war
kein Schaden entstanden.
Als ich mir den Ausdruck dieses Morgens naeher ansah, stellte ich
fest, dass der Hacker den Befehl zur Aenderung des Passworts gege-
ben hatte. Im Anniston-Computer hatte er Hunters Passwort zu
>Hedges< veraendert. Endlich ein Hinweis: Von zig Millionen moeg-
licher Passwoerter hatte er Hedges gewaehlt. Hedges Hunter? Hun-
ter Hedges? Gleich die H's im Telefonbuch von Berkeley durch-
gehen!
Drei Telefonanrufe bei H. Hunter ergaben Harold, Heidi und
Hilda Hunter. Ich legte los.
<< Hallo, sind Sie an kostenlosen Abos von Computerzeitschriften
interessiert: >>
Kein Treffer. Keiner von ihnen interessierte sich fuer Computer.
Was hat ein Physiklabor in Berkeley mit einer Militaerbasis in An-
niston, Alabama, gemeijnsam, ueberlegte ich, weil man sich naem-
lich keine groesseren Gegensaetze vorstellen kann, als eine Militaer-
basis aus echtem Schrot und Korn und eine radikale Hippiestadt.
Dieses hatten wir gemeinsam: Bei beiden liefen die Computer mit
Unix und waren durch das Milnet-Netzwerk verbunden.
Moment mal. Im Anniston-System lief das AT&T-Unix. Nicht der
Berkeley-Dialekt. Wenn ich Dave Cleveland glaubte, war der Hak-
ker im Anniston-System zu Hause.
War's vielleicht ein Hacker aus dem Sueden?
9. Kapitel
Ich konnte die sterilen, neonerhellten Raeume des Labors nicht
mehr ertragen und ging nach draussen, um den herrlichen Blick
weit ueber die Bay unter mir zu geniessen. Der Campus von Berke-
ley lag direkt unterhalb meines Labors. Er war einmal die Heim-
statt der amerikanischen Studentenbewegung und der Antikriegs-
proteste gewesen und ist immer noch bekannt fuer seine heftigen
politischen Auseinandersetzungen und seine ethnische Mannig-
faltigkeit. Wenn ich ein bisschen naeher dran waere, wuerde ich
wahrscheinlich hoeren, wie sich die Young Republicans und die
Socialist Workers anblafften, waehrend der chinesische Club er-
staunt zusah.
Verraeucherte Cafes draengen sich rund um den Campus, wo ha-
gere Doktoranden ihre Dissertationen kritzeln und sich dabei von
Espresso ernaehren. In den Eisdielen nebenan mischen sich ki-
chernde Studentinnen unter Punker in schwarzem Leder und mit
Igelfrisuren. Das beste von allem: Berkeleys Buchlaeden.
Von der Vorderseite des Labors aus konnte ich weiter suedwaerts
blicken zu den freundlichen Strassen des noerdlichen Oakland, wo
wir wohnten. Dort teilte ich einen alten Bungalow mit einer Kol-
lektion ausgeflippter Hausgenossen. Auf der andern Seite der
Bay, im Nebel verborgen, lag San Francisco.
Ach ja.
Vor drei Jahren war Martha hierher gezogen, um Jura zu studie-
ren, und ich war mitgegangen. Sie war's wert, ihretwegen das
ganze Land zu ueberqueren. Sie war eine verdammt gute Wander-
kameradin und eine erfahrene Hoehlengaengerin. Als ich einmal
zehn Meter tief in eine Hoehle stuerzte, kam sie mir zu Hilfe, indem
sie sich zu der Stelle abseilte, wo ich lag, total hilflos, weil
ich mir den Fuss verstaucht und meine Liebe zu ihr mich mit
voelliger Blindheit geschlagen hatte. Meine Verletzungen heilten
dank ihrer Huehnerbruehe, und meine Zuneigung zu dem kecken Maedel,
das so furchtlos ueber Felsen sprang, reifte zur Liebe.
Jetzt lebten wir zusammen. Sie studierte Jura, und es machte ihr
Spass. Sie wollte nicht Anwaeltin, sondern Rechtsphilosophin
werden. Irgendwie hatte sie ausserdem noch Zeit, Aikido, einen
japanischen Kampfsport, zu ueben und kam oft verschrammt, aber
grinsend heim. Sie kochte, gaertnerte, naehte Patchwork-Decken,
webte Teppiche und machte Bleiglasfenster. Trotz unserer Ausge-
flipptheit schwelgten wir total in widerlich haeuslichem Glueck...
Nun radelte ich heim und erzaehlte Martha von dem Einbruch in
Alabama und spekulierte, wer wohl dahintersteckte.
<< Also Techno-Vandalen >> , sagte sie, << sonst noch was Neues? >>
<< Das ist doch an sich schon neu >> , entgegnete ich. << Techniker
haben jetzt unglaubliche Macht, Information und Kommunikation
zu kontrollieren. >>
<< Na und? Schon immer hat jemand die Information kontrolliert.
Und immer haben andere versucht, sie zu stehlen. Lies Machia-
velli. Wenn sich die Technologie veraendert, finden sich neue
Schleichwege. >>
Martha erteilte mir immer noch Geschichtsunterricht, als Claudia
hereinstuermte und ueber ihre Schueler jammerte. In Berkeley zu le-
ben, bedeutet gewoehnlich, einen Untermieter oder zwei zu haben.
Wir hatten Claudia. Eine vollkommene Untermieterin. Sie war
grosszuegig und froehlich und bestrebt, ihr Leben, ihre Musik und
ihre Kuechenausruestung mit uns zu teilen. Als Berufsgeigerin be-
stritt sie ihren Lebensunterhalt schlecht und recht, indem sie in
zwei Symphonieorchestern und in einem Kammermusiktrio
spielte und Kindern Unterricht gab. Claudia war selten kontem-
plativ oder unbeschaeftigt. In den paar Augenblicken zwischen ih-
ren Jobs kochte sie, telefonierte und spielte gleichzeitig mit
ihrem Hund. Zuerst hoerte ich ihr zu, aber bald wurde ihre Stimme
zum Hintergrundgezwitscher eines Wellensittichs, waehrend ich mir
Gedanken machte, wie gefaehrlich dieser Hacker wohl sein mochte.
Wie sollte ich wissen, was er tat, waehrend ich zu Hause war?
Claudia wusste, wie sie mich von dem Kerl ablenken konnte: Sie
brachte ein Video mit nach Hause - PLAN s AuS DEm wELTRAuM -
Ausserirdische in fliegenden Stannioluntertassen ziehen Vampire
aus Graebern.
Mittwoch, der 17. September, war ein regnerischer Berkeley-Tag.
Weil Martha und ich das einzige Paar in Kalifornien waren, das
kein Auto hatte, mussten wir durch den Regen radeln. Auf mei-
nem Weg ins Labor besuchte ich den Schaltraum, um nachzuse-
hen, ob uns der Hacker besucht hatte. Wasser tropfte aus meinem
triefnassen Haar auf den Ausdruck und verschmierte die Tinte
auf dem Papier. Irgendwann in der Nacht hatte sich jemand bei
unserem Computer angemeldet und methodisch versucht, sich in
den Unix-4-Computer einzuloggen. Zuerst versuchte er, sich mit
dem Passwort >guest< in das Gastkonto einzuloggen. Dann in das
Besucherkonto mit dem Passwort >visitor<. Schliesslich in die
Konten >root<, >system<, >manager<, >service< und
>systemoperator<.
Nach ein paar Minuten verschwand der Angreifer wieder.
War das etwa ein anderer Hacker? Dieser Kerl probierte nicht mal
gueltige Kor.ten wie Sventek oder Stoll. Er probierte offensicht-
liche Kontennamen und einfache Passwoerter. Ich fragte mich, wie
oft so ein Angriff wohl gelingen mochte.
Nicht oft - bei Passwoertern mit sechs Buchstaben hatte ein Hak-
ker bessere Chancen, in der Lotterie zu gewinnern, als zufaellig
ein bestimmtes Passwort zu erraten. Weil sich der Computer nach
vier vergeblichen Einlogversuchen abmeldet, braeuchte ein An-
greifer die ganze Nacht, um auch nur ein paar Hundert moegliche
Passwoerter auszuprobieren.
Nein, ein Hacker koennte nicht wie durch Zauberei in mein Sy-
stem eindringen. Er muesste wenigstens ein Passwort wissen.
Um 11.19 Uhr waren meine Kleider fast trocken, nur meine Tre-
ter quietschten noch. Ich hatte mich halb durch ein aufgeweich-
tes Hoernchen und fast ganz durch einen astronomischen Artikel
ueber die Physik der vereisten Jupitersatelliten gekaut. Mein Ter-
minal piepste. Aerger im Schaltraum. Ein schneller (wenn auch
quietschender) Trab das Treppenhaus runter, und ich sah, wie
sich der Hacker als Sventek in unser System einklinkte.
Wieder der Adrenalinstoss: Ich rief Tymnet an und bekam Ron Vi-
vier auf der Stelle. Ron startete die Verfolgung, und ich hastete
hinueber zu dem DEC-Drucker, der jetzt die Befehle des Hackers
ausdruckte.
Der Hacker troedelte nicht lange rum. Er gab Befehle, ihm alle
aktiven Benutzer und jeden laufenden Hintergrundjob zu zeigen.
Dann schickte er Kermit los.
Kermit ist nach dem Helden der Muppets-Show benannt und die
Universalsprache, um Computer zusammenzuschalten. 1980
musste Frank da Cruz Daten an eine Anzahl verschiedener Com-
puter schicken. Statt fuenf verschiedene inkompatible Programme
zu schreiben, schuf er einen einzigen Standard fuer den Austausch
von Dateien zwischen zwei beliebigen Systemen. Kermit wurde
das Esperanto der Computer.
Geistesabwesend kaute ich an meinem Hoernchen und beobach-
tete, wie der Hacker Kermit benutzte, um ein kurzes Programm in
unsern Unix-Computer zu uebertragen. Zeile fuer Zeile setzte der
treue Kermit es zusammen, und bald konnte ich das folgende Pro-
gramm lesen:
Na so was. Das war vielleicht ein merkwuerdiges Programm.
Wenn's in unserem Computer installiert waere, wuerde es einen Be-
nutzer veranlassen, Namen und Passwort einzugeben. Und ein
gewoehnlicher Benutzer, der dieses Programm laufen liess, wuerde
auf seinem Bildschirm folgendes sehen:
WELCOME TO THE LBL UNIX-4 COMPUTER
PLEASE LOGIN NOW
LOGIN:
Sein Terminal wuerde dann warten, bis er seinen Kontennamen
eingegeben haette.
Nachdem er seinen Namen eingetippt hat, antwortet das System:
ENTER YOUR PASSWORD
Und er wuerde natuerlich sein Passwort eintippen.
Das Programm legt dann Name und Passwort des ungluecklichen
Benutzers in einer Datei ab, sagt dem Benutzer:
SORRY, TRY AGAIN
und verschwindet.
Die meisten Leute denken dann, sie haetten sich bei ihrem Pass-
wort vertippt und versuchen einfach, sich noch mal einzuloggen.
Aber dann ist ihr Passwort schon gemopst. Vor viertausend Jah-
ren fiel Troja, weil sich Odysseus und Co., verborgen im trojani-
schen Pferd, dort eingeschlichen hatten.
Man macht also seinem Feind ein verlockendes Geschenk, das
ihn des Schluessels fuer seine Sicherheit beraubt. Im Lauf der Jahr-
tausende verfeinert, funktioniert diese Technik immer noch bei
jedem, nur nicht bei echten Paranoikern.
Das Trojanische-Pferd-Programm des Hackers sammelte Passwoer-
ter Unser Besucher war so scharf auf unsere Passwoerter, dass er's
riskierte, erwischt zu werden, wenn er ein Programm installierte,
das entdeckt werden musste. War das ein trojanisches Pferd?
Vielleicht eher eine Spottdrossel: ein falsches Programm, das
sich wie das echte anhoerte. Ich hatte keine Zeit, mir den Unter-
schied auszumalen - in einer Minute wuerde er todsicher sein
Programm in der Systemumgebung installieren und es starten.
Was tun? Es zu sperren, wuerde ihm zeigen, dass ich ihn beobach-
tete. Nichts tun wuerde ihm aber jedesmal ein neues Passwort ver-
schaffen, wenn sich jemand einloggte.
Aber auch legitime privilegierte Benutzer haben Macht. Bevor
der Hacker dieses Programm starten konnte, aenderte ich eine
Zeile darin, so dass es aussah, als haette er einen trivialen Fehler
gemacht. Dann fummelte ich an ein paar Systemparametern
herum, um es langsamer zu machen. Langsam genug, dass der
Hacker zehn Minuten braeuchte, um sein Programm neu aufzu-
bauen. Genug Zeit, dass wir auf diesen neuen Angriff reagieren
konnten.
Also los.
Ich bruellte durchs ganze Haus nach Dave.
<< Was fuettert man einem trojanischen Pferd? >>
Der Guru kam angerannt. Wir schalteten den Computer auf hohe
Geschwindigkeit um und bereiteten eine Heuladung fingierter
Konten und falscher Passwoerter vor.
Aber unsere Panik war umsonst. Der Hacker baute sein trojani-
sches Pferd wieder auf, installierte es aber nicht richtig. Dave
erkannte sofort, dass es ins falsche Dateienverzeichnis plaziert
worden war. Das trojanische Pferd waere im Standard-AT&T-Unix
ganz gluecklich gewesen, konnte aber auf den Feldern des Berke-
ley-Unix nicht herumtaenzeln.
Dave grinste.
<< Ich will ja nicht sagen, Cliff, >ich hab's dir gleich gesagt<,
aber wir beobachten jemanden, der noch nie in Kalifornien gewesen
ist. Jeder Unix-Crack an der Westkueste wuerde Befehle im Berke-
ley-Stil benutzen, aber unser Hacker benutzt noch AT&T-Unix. >>
Dave bequemte sich von seinem Podest herab, um zu erklaeren,
was er meinte.
<< Die Schreibweise seiner Befehle unterscheidet sich vom Berke-
ley-Unix. Das ganze Programm macht einen andern Eindruck.
Etwa so, wie wenn man beim Lesen spuert, dass der Schriftsteller
Brite und nicht Amerikaner ist. Natuerlich fallen Woerter wie >co-
lour< und >defence< auf, aber man kann genauso gut den Stilunter-
schied spueren. >>
<< Und was ist nun der Unterschied? >> fragte ich.
Dave laechelte hoehnisch: << Der Hacker hat den Befehl >read< be-
nutzt, um Daten von der Tastatur zu kriegen. Ein zivilisierter
Programmierer wuerde den >set<-Befehl benutzen. >>
Fuer Dave verstanden zivilisierte Computer Berkeley-Unix. Alle
andern waren ungehobelt.
Der Hacker merkte das nicht. Im Vertrauen darauf, dass er sein tro-
janisches Pferd auf die richtige Weide geschickt hatte, liess er es
als Hintergrundprozess laufen und loggte sich aus. Bevor der Bur-
sche sich abmeldete, hatte Ron Vivier ihn durch das Tymnet-
Netzwerk bis zu - einer Telefonleitung aus Oakland, Kalifornien,
zurueckverfolgt. Da der Staub unserer richterlichen Genehmigung
wegen sich noch nicht gelegt hatte, konnten wir die Telefonlei-
tung leider nicht weiterverfolgen.
Der Hacker war verschwunden, aber sein trojanisches Pferd war
zurueckgeblieben und lief als Hintergrundtask. Wie Dave voraus-
gesagt hatte, sammelte es keine Passwoerter, weil es an einer
Stelle installiert war, die waehrend des Login nicht angesteuert
wurde.
Wie erwartet, erschien der Hacker zwanzig Minuten spaeter,
suchte nach einer Sammlung Passwoerter und musste enttaeuscht
feststellen, dass sein Programm versagt hatte.
<< Sieh mal, Dave, der arme Kerl braucht deine Hilfe >>, sagte ich.
<< Stimmt. Sollen wir ihm eine elektronische Nachricht schicken
und ihm erzaehlen, wie man ein trojanisches Pferd schreibt, das
funktioniert? >> erwiderte Dave.
<< Das Grundprinzip ist schon richtig - unsere Login-Sequenz
imitieren, Benutzername und Passwort abfragen, dann die ge-
stohlene Information speichern. Er braucht nur ein paar Lektio-
nen Berkeley-Unix. >>
Wayne schaute herein, um zu sehen, wie der Hacker sich ab-
muehte.
<< Ach, was habt ihr denn erwartet? Es gibt einfach zu viele Arten
von Unix. Macht es diesen unfaehigen Hackern das naechste Mal
leichter und gebt ihnen das VMS-Betriebssystem von Digital.
Hacken ist dann vielleicht nicht einfacher, aber wenigstens stan-
dardisiert. AFDOBUE. >>
Er meinte: Auch fuer den oberflaechlichen Beobachter unmittelbar
einsichtig.
Den Punkt konnte Wayne fuer sich verbuchen. Der Angriff des
Hackers mit dem trojanischen Pferd war danebengegangen, weil
das Betriebssystem nicht dem entsprach, das er gewoehnt war.
Wenn jeder dieselbe Version desselben Betriebssystems benutzte,
liesse ein einziges Sicherheitsloch Hacker in alle Computer ein.
Statt dessen gibt's eine Vielzahl von Betriebssystemen: Berkeley-
Unix, AT&T-Unix, VMS von DEC, TSO von IBM, VM, DOS, sogar
Macintosh und Atari. Diese Vielfalt von Software bedeutete, dass
ein einzelner Angriff nicht bei allen Systemen gelingen konnte.
Wie die genetische Verschiedenheit verhindert, dass eine Epide-
mie eine ganze Spezies auf einmal ausloescht, ist auch die Ver-
schiedenheit in der Software eine feine Sache.
Dave und Wayne zankten sich weiter, als sie den Schaltraum ver-
liessen. Ich troedelte noch ein paar Minuten herum und lud Papier
nach. Um 13.30 Uhr erschien der Hacker wieder; ich stellte noch
den Drucker ein, als der Hacker schon zu tippen begann.
Diese zweite Sitzung war vorhersagbar. Unser Besucher sah seine
spezielle Datei nach Passwoertern durch und fand keine. Er listete
sein Programm auf und testete es ein paarmal. Es lief nicht. Of-
fensichtlich hatte er keinen Dave Cleveland, der ihm half. Fru-
striert loeschte er die Datei und loggte sich nach ein paar Minuten
aus.
Aber obwohl er nur ein paar Minuten lang drin gewesen war, ge-
lang es Tymnet, ihm auf der Spur zu bleiben - wieder nach
Oakland. Ron Vivier, der die Tymnet-Verbindungen verfolgte,
schien jeder Notfall willkommen, der ihn aus einer Besprechung
heraushole konnte, und war sofort auf dem Sprung, als ich ihn
anrief. Wenn wir nur die Telefongesellschaft soweit bringen
koennten, dass sie die Verfolgung fortsetzte, wir haetten vielleicht
alles in ein paar Tagen abgeschlossen.
Dave glaubte, jeden, der von der Westkueste kam, ausschliessen zu
koennen. Chuck in Anniston vermutete einen Hacker aus Ala-
bama. Die Verfolgung von Tymnet wies nach Oakland.
Und ich?
Ich hatte keine Ahnung.
