Kriminell oder genial: fünf bekannte Hacker im Porträt

Worin besteht der Unterschied zwischen männlichen und weiblichen Hackern? Wenn man Raven Alder diese Frage stellt, könnte die Antwort ein Schwall von Schimpfwörtern sein, weil das Geschlecht für sie absolut kein Thema ist.

Alder war eine der ersten Frauen, die auf der berühmten Hacker-Konferenz DefCon in Las Vegas einen technischen Vortrag hielt. Man sollte darauf aber nicht allzu sehr herumreiten, denn sie hasst es in die Rolle des „Hacker-Girls“ gedrängt zu werden.

„Ich will nie wieder einen Artikel à la ‚Die Retterin des Internets‘ lesen müssen oder von Reportern gebeten werden, bei der DefCon mit einem Rettungsring am Pool zu posieren. Als eine bekannte Zeitschrift fragte, ob weibliche Hacker meiner Ansicht nach mit ihren männlichen Kollegen ausgehen sollten, hatte das für mich einen üblen Beigeschmack. Den Männern stellt keiner solche Fragen, und ich habe am Wochenende Besseres zu tun, als mir einen Hackertypen zu suchen“, so Alder.

Schon in jungen Jahren wurde deutlich, dass die in eine wohlhabende Familie geborene Alder nicht zu den Dümmsten ihrer Generation gehörte. „Ich habe drei Klassen übersprungen und mit 12 bereits Kurse am College besucht. Meinen Abschluss an der High School habe ich mit vierzehn gemacht – und den am College mit achtzehn“, sagte sie. „Meine Eltern haben meine Schwester, meinen Bruder und mich sehr stark dazu ermutigt schulische Leistungen zu erbringen.“

Doch obwohl Alder alle Merkmale eines Strebers aufwies, war ihr Lebensstil alles andere als ruhig. „Mom hat uns alle drei mindestens ein Jahr lang Kampfsport (Shorin Ryu Matsumura Kempo) treiben lassen. Sie wollte, dass wir uns selbst verteidigen können. Danach konnten wir selbst entscheiden, ob wir weitermachen wollten oder nicht“, erklärt Alder. „Meine kleine Schwester hörte auf und machte stattdessen Gymnastik, worin sie fast olympische Klasse erreichte, bevor sie auch damit aufhörte, um an ihrer Schule Mannschaftsführerin der Cheerleader zu werden. Aber ich habe weitergemacht.“

Raven Alder
Raven Alder in jungen Jahren

Alder versuchte sich 1985 zum ersten Mal am Computer, als sie am Apple II ihrer Schule herumtüftelte, doch richtig ernst wurde es nach der Graduate School. „Ich belegte an der Virginia Tech einen ganz anderen Studiengang, weil man kann diese Schule nicht besuchen kann, ohne zumindest ein technisches Grundwissen zu erwerben“, so Alder.

Alder sagt, dass ihr Sozialleben nicht darunter gelitten habe, dass sie sich intensiv mit wissenschaftlichen Belangen beschäftigte. „Das entsprach voll meinem Geschmack. Ich mag Streber“, gestand sie. „Ich fühle mich eher in Gesellschaft der Leute wohl, die ich bei den Versammlungen von dc-securitygeeks treffe, als mit den Leuten, die in der nächsten Bar sitzen. Ich habe durch das Hacken eine ganze Reihe faszinierender Menschen kennen gelernt, von denen einige heute gute Freunde von mir sind.“

Alder hat in den letzten fünf Jahren keine Reise gemacht, „die nichts mit Computersicherheit zu tun hatte. Die meisten Urlaube laufen bei mir etwa so ab: ‚Oh, ich fahre zum Ottawa Linux Symposium, das wird lustig‘.“

Raven Alder
Raven Alder heute

Obwohl ihre Eltern sie immer unterstützt haben, missfällt Alders Vater bisweilen der Gedanke, dass seine Tochter mit „Hacker-Typen“ herumhängt. Als sie zu Hause anrief, um ihm mitzuteilen, dass sie einen Vortrag auf einer Konferenz über Computersicherheit halten werde „prahlte er damit vor den Sicherheitsbeauftragten, die er kennt“. Doch die Begeisterung hielt nicht lange an. „Defcon? Weißt Du, was das ist? Da sind lauter Hacker!“, sagte ihr Vater. Sie hielt ihm daraufhin einen 30 Minuten langen „Hacker-sind-keine-schlechten-Menschen“-Vortrag.

Aber auch für Alder herrscht im Sicherheitsgeschäft nicht nur eitel Sonnenschein. Einmal spürte sie eine ernste Sicherheitslücke in einem „sehr beliebten Sicherheitsprodukt“ auf.

„Ich schrieb einen Code, der die Lücke ausnutzte, um meine Behauptung zu unterstützen und ging damit zu meinem Chef“, erklärt sie. Die Hersteller des Produkts schienen allerdings nicht wirklich interessiert zu sein und wollten das Problem auch nicht beheben.

„Ich habe die Bedeutung des Fehlers und die möglichen Folgen seiner Ausnutzung ausführlich geschildert. Dieses Produkt verwaltet sicherheitsrelevante Daten, Wenn also das Produkt selbst unsicher ist, ist es nicht vertrauenswürdig und man kann auch den Daten nicht vertrauen“, sagt sie. Der Anbieter zeigte sich dennoch unbeeindruckt und behauptete, dass der Fehler niemandem auffallen werde.

Alder war verärgert. Sie hatte das Problem identifiziert, also konnten andere das auch. Aber der Anbieter weigerte sich einfach, das Problem zu beheben. „Wäre ich hier unabhängig tätig gewesen, hätte ich die Sache zu diesem Zeitpunkt auf Full Disclosure (einer Mailing-Liste für Sicherheitsfragen) publik gemacht. Da ich aber für ein Unternehmen arbeitete, lag die Veröffentlichung nicht in meinen Händen und man beschloss einfach nichts zu sagen. Das gefährdete Produkt ist also noch immer im Umlauf.“

„Mir wurde unmissverständlich mitgeteilt, dass ich auf mehrere Millionen Dollar verklagt würde, sollte ich meine Vertraulichkeitsvereinbarung jemals verletzen und die Schwachstelle bekannt machen. Deshalb ist Closed-Source-Sicherheit auch so schlecht. Lektion gelernt – seitdem forsche ich nur noch selbstständig nach Schwachstellen und bin, was deren Veröffentlichung angeht, nur mir selbst verantwortlich“ so Alder.

Dieses Erlebnis könnte dafür verantwortlich sein, dass sie die Branche als Ganzes heute kritisch betrachtet. Alder zufolge gibt es gute Leute im Bereich Sicherheit, aber auch ein paar zwielichtige Gestalten. „Der Kern des Problems der Sicherheitsbranche liegt darin, dass es skrupellose Menschen gibt, die ihre Produkte an unwissende Kunden verkaufen. Die für den Einkauf von Sicherheitsprodukten zuständigen Manager verstehen nichts von der Materie, also verlassen sie sich darauf, dass die Anbieter ihnen sagen, was am besten ist“, erklärte Alder. „Und irgendwie ist die beste Lösung meist zufällig genau die, die der jeweilige Anbieter gerade im Programm hat.“

Allerdings tragen die Anbieter nicht allein die Schuld. Bis zu einem gewissen Grad wollen die Endnutzer auch gar nicht so genau über die Risiken Bescheid wissen. „Viele Unternehmen wollen einfach Geld für ein Produkt ausgeben und sich sicher fühlen. Sie sind nicht daran interessiert, Sicherheitsfragen zu verstehen oder ihre Gewohnheiten und Arbeitsumgebungen zu verändern. Leider lassen sich auf dieser Basis keine erfolgreichen Sicherheitsprogramme realisieren. Es werden Leute gebraucht, die etwas von Sicherheitsfragen verstehen – und davon gibt es nicht allzu viele“, so Alder.

„So verfügen Unternehmen über die neusten und besten Firewalls, die aber leider niemand konfiguriert hat, oder über extrem teure Intrusion-Detection-Systeme (IDS), die aufgrund mangelnden Fachwissens niemand anpassen kann.“

Alder überwacht das IDS von nessus.org. Nessus ist ein Open-Source-Programm, das nach Schwachstellen sucht. Man könnte also damit rechnen, dass einige besonders ausgefeilte Angriffe auf diese Domäne erfolgen, doch ist dies nicht immer der Fall.

„Die meisten Angriffe auf Nessus waren zu meiner Enttäuschung reichlich dumm – ‚Ich habe Nessus heruntergeladen und jetzt werde ich Nessus gegen Nessus einsetzen!‘. Es kamen mir allerdings auch einige Versuche unter, die den zur gleichen Zeit erfolgreichen Angriffen auf Debian und Gentoo ähnelten, was schon interessanter war. Durchgekommen sind sie allerdings nicht“, erinnerte sich Alder.

Ihre Arbeit macht Alder Spaß. Sie hat auch Hobbys, die man ihr vielleicht nicht zutraut. „Wandern, Klettern, Camping. Ich lese auch mit Begeisterung – ich mag Science Fiction und Fantasy, aber auch Archäologie, Linguistik, Geschichte, Teilchenphysik und Biologie.“ In ihrer Freizeit trinkt sie Tee und diskutiert mit Freunden über Philosophie.

Angehenden Hackern gibt Alder den folgenden Rat: „Mach Dich mit TCP/IP oder dem Innenleben des Betriebssystems deiner Wahl vertraut. Am besten mit beidem. Sei nicht einfach so ein Script-Kid, das ein Angreiferprogramm aus dem Internet herunterlädt und denkt, das wäre cool. Wirklich cool ist, zu verstehen, was man tut. Zu wissen, wie man eine neuartige und innovative Attacke oder eine kreative Verteidigung entwickelt, ist viel beeindruckender als ‚Ey, Mann – Ich hab‘ dein Hotmail-Passwort geknackt‘.“

Raven Alder
Pseudonym(e) Raven
Alter 28
Geburtsort Mississippi, USA
Familienstand ledig
Aktueller Wohnort Maryland, USA
Beruf Sicherheitsberaterin, True North Solutions
Erster Computer Eigenbau eines 8088-PCs, 1988
Bekannt durch Aufspüren von Denial of Service-Attacken mit gefälschtem Absender
Spezialgebiet(e) ISP-Backbone-Networking, Design und Decodierung von Protokollen, Linux/BSD-Sicherheit und Kryprographie

Themenseiten: Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Kriminell oder genial: fünf bekannte Hacker im Porträt

Kommentar hinzufügen
  • Am 4. August 2006 um 15:35 von Mike Jeziorski

    Kevin Mitnick
    Sehr geehrte Damen und Herren,

    ich möchte Ihnen mitteilen, dass Kevin Mitnick aktuell ein White Paper in Zusammenarbeit mit AppSense entwickelt hat, in dem es um aktuelle Themen bzgl IT-Sicherheit geht.

    Interessenten finden das White Paper zum kostenlosen Download unter:
    http://www.mitnick.de

    Mit freundlichen Grüßen

    Mike Jeziorski
    Marketing Manager DACH

    AppSense®
    Am Söldnermoos 17
    85399 Hallbergmoos
    Germany

    E-Mail: mike.jeziorski@appsense.com
    Web: http://www.appsense.com
    Tel: +49 (0) 89 607 68533
    Mobil: +49 (0)176 11446604
    Fax: +49 (0) 89 607 68540

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *