Interview mit einem Hacker

ZDNet hat ein Interview mit dem 20 Jahre alten Deutschen mit dem Pseudonym „Mixter“ geführt, der das Tool „TFN2k“ zur Erzeugung von „Denial-of-Service“-Attacken programmiert hat. Insgesamt sind dem FBI drei Programme für Denial-of-Service-Attacks bekannt: TFN (Tribal Flood Network) bzw. TFN2k, Trinoo und Stacheldraht. Die höchstwahrscheinlich mit einem oder mehreren davon ausgeführten Angriffe haben vergangene Woche acht große amerikanische Sites – darunter ZDNet – lahmgelegt. Das Prinzip bei allen drei: Server werden mit Massen von gefälschten Anfragen überflutet.

Ironischerweise passierte dem 20-Jährigen während des Online-Interviews dasselbe wie den großen Sites: Sein Server ging durch den Beschuss mit Daten-Müll in die Knie.

ZDNet: Sie haben sich auf Computer-Sicherheit spezialisiert?

Mixter: Ja, ich arbeite schon lange mit Computern. Ich bin mit sechs Jahren zum ersten Mal vor dem PC gesessen und interessiere mich für die technischen Details von Betriebssystemen und Netzwerken seit meinem 14. Lebensjahr. Damals habe ich meinen ersten Rechner mit Internet-Zugang bekommen.

ZDNet: Mit welchem Rechner haben Sie angefangen?

Mixter: Commodore 64

ZDNet: Ist Ihnen klar was sie da tun, wenn Sie am „Hacken“ sind?

Mixter: Ich glaube, ich bin „Hacker“ im traditionellen Sinn des Wortes, aber ich benutze die Bezeichnung nicht gerne. Die Bedeutung von „Hacker“ hat sich ins Negative verschoben. Ich bin früher mit dem Gesetz in Konflikt geraten, aber jetzt bin ich ein „White-hat“, jemand, der nichts Illegales tut.

ZDNet: Was ist damals passiert?

Mixter: Naja, ich habe wie viele andere auf Efnet (einem großen IRC-Chat) angefangen, und gelernt, wie man in Systeme eindringt. Dafür wurde ich strafrechtlich verfolgt, aber ich habe glücklicherweise keinen wirklich großen Schaden angerichtet. Ich betrachte das als Fehler in meiner Vergangenheit, aus dem ich gelernt habe.

ZDNet: Warum haben Sie „TFN2k“ geschrieben und es veröffentlicht, so dass es alle „Script Kiddies“ ge- und missbrauchen können?

Mixter: Ich habe TFN2k so geschrieben, wie ich dachte dass das Flut-Programm Trinoo verfasst ist. Von dem gab es keinen veröffentlichten Code. Das Problem mit der heutigen Infrastruktur ist, dass es zu viele Schwachstellen gibt. Genau wegen dieser Schwachstellen habe ich TFN2k veröffentlicht. Die Leute können den Code untersuchen und sich gegen mögliche künftige Angriffe damit schützen. Wenn ein Kollege einen Fehler darin findet, veröffentlicht er ihn nach dem Open-Source-Prinzip.

ZDNet: Trotzdem scheint es keine endgültige Sicherheit zu geben. Wer seine Site erreichbar halten will, macht sich zu einem gewissen Grad für „Distributed-Denial-of-Service“-Attacken (DDoS) anfällig.

Mixter: Das ist wahr, aber das eigentliche Problem ist das Fehlen einer Zugangsberechtigung in aktuellen Protokollen. Angreifer müssen aber auf wirklich sehr viele andere Server zugreifen, um in große Sites einzudringen. Das ist das Konzept der DDoS. Es gibt Abwehr-Methoden wie die Unterbrechung des SYN-Signals, das beim Verbindungsaufbau ausgetauscht wird oder einen Proxy am Router. Natürlich können all diese Maßnahmen die Anzahl der Anfragen nur kurzzeitig eindämmen, sie können solche Angriffe nicht verhindern.

ZDNet: Wie also kann man das Problem lösen?

Mixter: Langfristig nur durch einen Umstieg vom aktuellen Internet Protocol (IP) auf IPv6, dem Protokoll der nächsten Generation. Dieses enthält die notwendigen Authentifizierungs-Möglichkeiten und eine Reihe von Sicherheitserweiterungen.

ZDNet: Wie könnte eine schnelle Lösung aussehen?

Mixter: Die einfachste Lösung für Hosts wäre es, wenn die Administratoren stets auf ihre Sicherheit achten, ihre Software updaten und sauber konfigurieren. Das ist vergleichsweise simpel. Das Netz ist immer so verwundbar wie sein schwächstes Glied. Außerdem sollten sie die Datenmenge begrenzen, die sie durch ihr Backbone lassen. Viele Leute folgen diesem Konzept.

ZDNet: Wann, glauben Sie, wird sich IPv6 durchsetzen?

Mixter: Ich hoffe, so schnell wie möglich, nicht nur wegen der Sicherheitsaspekte, sondern auch weil das Wachstum des Internet die Einführung bis 2004 unbedingt erforderlich macht. Das alte IP-Protokoll ist ein Relikt, vergleichbar mit dem Y2K-Bug. Es wird bald Probleme geben, falls die Leute nicht aufpassen.

ZDNet: Glauben Sie, dass Personen, die solche Tools veröffentlichen, verantwortlich für deren Gebrauch sind? Wie Sie im Moment?

Mixter: Nein, auf keinen Fall. Ich finde das unvernünftig, sowas zu behaupten. Ich kenne auch den Autor von Trinoo. Der hat die Angriffe nicht selbst gestartet, hat nun aber Angst und will anonym bleiben.

ZDNet: Planen Sie, weitere solche Tools zu schreiben?

Mixter: Nicht jetzt, nein. Ich habe TFN2k gemäß der CERT-Richtlinien veröffentlicht. Die Absicht hinter der Veröffentlichung von DDoS war, alle möglichen Angriffs-, Diebstahls-, und sonstige Features einzubauen, die ich mir vorstellen kann. Wir sehen momentan, dass die Tools leicht verändert werden können, aber es gibt nichts wirklich neues, „mächtigeres“ in nächster Zeit. Mit TFN2k wollte ich alle Risiken auf einmal aufzeigen, so früh als möglich.

ZDNet: Wollen Sie noch irgend etwas über die aktuellen Attacken sagen?

Mixter: Es gab Gerüchte, sie hätten in ihre Pakete einen Protest gegen E-Commerce eingebaut. Ich glaube, die Täter sind vor allem sozial motiviert. Ich finde das nicht gut. Vor allem, weil es eigentlich ganz simpel ist, solche Attacken zu starten. Dabei machen sie keinen Sinn.