Magic Disk 64

home to index to html: MD8904-HACK-MECK-2.1.html
              Drei Hacker als Ostspione              
              ‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾‾              
Diese Schlagzeile war Anfang März in vielen deutschen
Tageszeitungen zu lesen. Was war geschehen?          
Die bundesdeutsche Spionageabwehr hatte  einen  Agen-
tenring entlarvt, der geheime Militär-,  Wirtschafts-
und  Forschungsdaten  aus  westlichen  Computernetzen
ausspioniert und in den  Osten  geschafft  hat.  Eine
Schlüsselrolle hatten dabei drei deutsche Hacker  ge-
spielt, die vom KGB, dem  sowjetischen  Geheimdienst,
angeheuert wurden. Es ist ja hinlänglich bekannt, daß
östliche Geheimdienste einen beachtlichen Teil  ihres
Westkapitals für Spionage einsetzen. Und wo das  Geld
lockt, da sind kriminelle Handlungen nicht weit.     
Das BKA hatte im Auftrag des  Bundesanwaltes  mehrere
Wohnungen im norddeutschen Raum und in Berlin  durch-
sucht,  wobei   auch   umfangreiches   Beweismaterial
sichergestellt  wurde.  Drei  Personen  wurden  dabei
festgenommen.                                        
Nach Informationen des Norddeutschen Rundfunks  haben
die drei Festgenommenen über Jahre hinweg  Paßwörter,
Rechnercodes und Programme an ihre  "Arbeitgeber"  im
Osten geliefert. Dadurch hatte Moskau  unter  anderen
auch Zugang zu den Großrechnern des  Rüstungskonzerns
Thompson, zum Max-Planck-Institut für Kernphysik  und
zur europäischen Raumfahrtbehörde ESA.               
Ein tragischer  Vorfall,  der  in  diesen  Tagen  die
Gemüter erregt hat. Sicher ist der Schaden nicht wie-
der zu beheben, der durch die drei kriminellen Hacker
angerichtet wurde. Traurig ist aber auch, daß dadurch
die Hacker als Gesamtbild in ein schlechtes Licht ge-
raten.  Dies  liegt  zum  Großteil  daran,  daß   die
Berichterstatter, die solche Meldungen an die Öffent-
lichkeit tragen, von der Materie DFÜ und Hacking sehr
wenig Ahnung haben. So kommt es nicht selten vor, daß
Tatsachen einfach verdreht dargestellt werden.       
Die aktiven DFÜ-Fans, also solche, die einen Akustik-
koppler oder Modem besitzen und ab und  zu  in  einer
Mailbox anrufen, werden mir den folgenden Sachverhalt
sicher bestätigen können:                            
Ich sitze vor dem Computer und habe  mich  mit  einer
Mailbox verbunden,  aus  der  ich  eifrig  die  neuen
Bretteinträge auslese. Plötzlich klingelt es und  vor
der Tür steht ein Freund, der von Computern wenig und
von DFÜ überhaupt keine Ahnung hat,  ausgenommen  der
Schlagzeilen, die man hier und da  in  den  Zeitungen
liest.                                               
Interessiert beobachtet er mich und fragt schließlich
die üblichen Sachen, was denn der Telefonhörer in der
komischen Anordnung (Akustikkoppler) mache, woher die
Zeichen auf dem Bildschirm kämen und so weiter.      
Nach einem mehr oder weniger kurzen Vortrag über  das
Thema "Was ist eine  Mailbox"  kommen  dann  manchmal
Fragen wie "Bist Du ein Hacker" oder "Warst  Du  auch
schon einmal in einem Großrechner" und ähnliches.    
Nein, ich war noch nie  in  einem  Großrechner.  Fast
kommt man sich ein bißchen minderbemittelt vor,  kann
man in solch einem Fall nicht mit den neuesten Neuig-
keiten aus den Großrechnern aufwarten.               
Im Zusammenhang mit dem letzten Hack stellt man  sich
auch immer wieder  die  Frage,  wie  man  Großrechner
sicherer machen kann. Schon in der privaten  Mailbox-
szene kommt es hin und wieder vor, daß Paßwörter  von
Usern "gehackt" werden. Finanzieller Schaden entsteht
hier zwar kaum, der Ärger jedoch ist auch vorhanden. 
Sysops privater Mailboxen versuchen zeitweise,  einem
User, der ein zu einfaches  Paßwort  benutzt,  diesen
darauf hinzuweisen. Einfache Paßwörter sind zum  Bei-
spiel der Name  der  Freundin,  deren  Telefonnummer,
irgendein Geburtsdatum  und  so  weiter.  In  manchen
Mailboxprogrammen ist deshalb schon eine Abfrage ein-
gebaut, die nur Paßwörter zuläßt, die zugleich  Buch-
staben UND Zahlen enthalten.                         
Aber was man bei privaten Mailboxen als  löblich  be-
zeichnen kann, sieht man leider nicht in allen  Groß-
rechnern. Im  Handbuch  zum  64er-Hackprogramm  DIANE
(wir stellten dieses Programm in  der  Ausgabe  03/88
vor) ist zum Beispiel zu lesen:                      
"...Zufällig fand ich bei einem Test  von  HANS  (der
vorläufer von DIANE, anm. d. Red.)  das  Telebox-Paß-
wort der Firma BASF. Der gute Mann hat natürlich  das
beliebte   "Freundin-Name-Paßwort"   genommen.   Hans
scannte die weiblichen Vornamen, und bei LUISE war er
drin!!!!"                                            
Über solchen Leichtsinn kann man eigentlich  nur  den
Kopf schütteln. Aber Paßwörter werden  meist  so  ge-
wählt, daß man sie sich  gut  merken  kann.  Und  den
Namen der Freundin merkt man  sich  schon  schneller,
als eine willkürliche Buchstaben- und  Zahlenkombina-
tion.                                                
Nun will ich aber nicht allen Zugangsberechtigten  zu
Großrechnern einen solch großen Leichtsinn vorwerfen.
Man fragt sich allerdings, wie Hacker auch an  solche
zufälligen Kombinationswörter kommen.  Reiner  Zufall
ist hier selten im Spiel. Die Hacker bedienen sich da
oft ganz anderer Methoden. Ein Beispiel:             
Der Hacker kauft sich eine Tageszeitung  und  schlägt
die Seite mit den Stellenangeboten auf. Wenn nun eine
Firma, die für Computervernetzung  bekannt  ist,  zum
Beispiel  eine  "verantwortungsvolle   Reinemachfrau"
sucht, dann kann er  sich  die  Nummer  dieser  Firma
schon mal aufschreiben.                              
Einige Tage nach dem Monatsersten ruft er  dann  nach
Feierabend in der Firma an, und mit ein bißchen Glück
ist gerade die Reinemachfrau in dem Büro, in dem  das
Telefon klingelt und nimmt auch ab.                  
Paßwörter, die nicht einfach zu  merken  sind,  haben
die Eigenschaft, daß sie von den  Benutzern  irgendwo
hingeschrieben werden.  Ein  kleiner  Zettel  in  der
Schublade des Schreibtisches,  ein  paar  Buchstaben-
kombinationen auf der  Unterseite  der  Tastatur  des
Rechners oder Ähnliches sind da beliebte verstecke.  
Der Hacker muß nun nur noch  die  Reinemachfrau  dazu
bringen, den Zettel zu suchen. Dies kann er zum  Bei-
spiel durch erfundene Titel erreichen. "Ja, hier  ist
der Doktor soundso, ich habe in  meinem  Schreibtisch
einen Zettel, auf  dem  ich  etwas  wichtiges  aufge-
schrieben habe. Bitte lesen Sie mir das mal vor. Was?
Da ist kein Zettel? Schauen Sie  bitte  einmal  unter
der Tastatur nach, irgendwo muß was stehen.  Ich  bin
leider gerade mehrere hundert Kilometer weit weg  auf
einer Konferenz und  müßte  extra  nochmal  umkehren,
weil  ohne  den  Zettel  in  der   Konferenz   nichts
läuft..."                                            
Die Reinemachfrau wird sich  nun  eventuell  bemühen,
das Paßwort zu finden, vor allem, wenn sie  erst  ein
paar Tage in der Firma arbeitet.                     
Vielleicht werden Sie jetzt einwenden, daß dies nicht
so funktioniert, da man bei der  Einstellung  darüber
belehrt wird, keine Daten per Telefon  weiterzugeben.
Aber hier und da funktioniert  es  eben  doch.  Nicht
immer, vielleicht sogar recht selten,  aber  wenn  es
funktioniert, dann hat der Hacker das  lang  ersehnte
Paßwort...                                           
Aber auch die Firmen, die Programme einsetzen,  durch
die die Vernetzung  mit  anderen  Rechnern  überhaupt
erst möglich  wird,  haben  eine  Teilschuld  an  dem
Dilemma. Solche Programme  sind  in  der  Entwicklung
meist sehr teuer, da sie  keine  Massenprodukte  dar-
stellen,  sondern  individuell   geschrieben   werden
müssen. Deswegen wird die Sicherheit oftmals vernach-
lässigt. Die Programme gelangen einfach in nicht aus-
reichend getesteter Form auf den Markt. Wenn dann die
Firma noch jemanden einstellt, der die  Aufgabe  hat,
Fehler und Sicherheitslücken in dem  Programm  aufzu-
decken, dann ist das  ein  Schritt  in  die  richtige
Richtung, jedoch noch lange nicht  ausreichend.  Denn
wer sagt, daß ein Mann  gerade  die  Sicherheitslücke
findet, die das Programm hat? Hängt das Programm erst
einmal  an  der  Telefonleitung,  dann  haben   viele
Menschen darauf Zugriff. Und viele decken auch  einen
Fehler eher auf als einer.                           
Eine Lösung wäre vielleicht eine Art Wettbewerb,  den
die entsprechende Firma in Computerzeitschriften ver-
öffentlichen könnte. Das Programm könnte einige  Zeit
ungetestet am Netz hängen, wobei die  Hacker  öffent-
lich dazu aufgefordert werden, das Programm zu  knak-
ken. Wer's schafft, bekommt  eine  Belohnung.  Danach
wird  das  Programm  verbessert  und  der  Wettbewerb
erneut ausgeschrieben, jetzt mit einer höheren Beloh-
nung. Dieses Spiel könnte man  so  lange  fortsetzen,
bis  es  auch  nach  längerer  Dauer  niemandem  mehr
Gelingt, das Programm zu knacken. Dann kann man davon
ausgehen, daß das  Programm  wenigstens  einigermaßen
sicher ist.                                          
Valid HTML 4.0 Transitional Valid CSS!