Читать книгу #pwned - Holger Junker - Страница 13

Nach dem Besuch der Polizei in seinem Haus hatte Hubert Wut im Bauch. Er wollte aber Karina nicht die Genugtuung geben, diese Wut an ihr auszulassen. Über diese Art von Kurzschlusshandlung hatte er sich schon geärgert, nachdem er sie auf die Abbuchungen vom gemeinsamen Konto angesprochen hatte. Nein, er wollte diese Wut in etwas Sinnvolles kanalisieren. Trotz der fortgeschrittenen Zeit würde er jetzt ohnehin nicht schlafen können. Und wieder einmal einen Abend im Alkohol zu versinken, das hatte er in den letzten Tagen schon zu oft getan.

Nach diesem Vorfall war er sich sicher, dass er ernst machen wollte mit seiner Idee, auf andere Art für genügend Geld zu sorgen. In Berlin hatte er schon erste Tests gemacht – so etwas wie eine kleine Machbarkeitsstudie.

„Jetzt bloß nichts zu Papier bringen«, ermahnte sich Hubert selbst. Alles was er nun planen würde, dürfte sich nur noch in seinem Kopf abspielen oder musste mit allen zur Verfügung stehenden Mitteln technisch geschützt werden. Sein Programm und alle gesammelten Daten würde er mit einer Verschlüsselung versehen, die höchstens mit einem Quantencomputer in endlicher Zeit zu knacken sein sollten – und den gab es zum Glück noch nicht wirklich.

Hubert hatte aus früheren nebenberuflichen Aktionen einen kleinen aber wertvollen Schatz an Hilfsmitteln, auf den er jetzt zurückgreifen konnte. Zunächst änderte er die Art, wie er fortan auf das Internet zugriff. Hierzu konfigurierte er seinen Computer so, dass dieser zunächst in einem kryptographisch geschützten Tunnel über einen anonymen Proxy im Ausland umgeleitet wurde. Von dort aus verband er sich mit einem kommerziellen Anbieter von Anonymisierungsdiensten. Eine Alternative wäre Tor gewesen – ein weltweit verteiltes System, mit dem sich jedermann anonym im Internet bewegen kann – zumindest sofern die Vermutungen falsch waren, dass amerikanische Geheimdienste dieses Tor-System bereits unterwandert hätten. Aber Hubert hatte in diesen einen kommerziellen Anbieter ein besonderes Vertrauen. Auf der Sicherheitskonferenz Defcon hatte er im letzten Jahr einen Mitarbeiter des Anbieters kennengelernt. Hubert war von ihm und seinen Schilderungen begeistert gewesen. Es waren keine leeren Marketingsprüche gewesen, sondern er hatte es mit einem der Hauptentwickler zu tun gehabt, der mit Herzblut daran arbeitete und sich vehement gegen Eingriffe staatlicher Stellen einsetzte.

Die nächsten beiden Stunden verbrachte Hubert damit, sich eine Liste der Marktführer im Bereich Bürodrucker und deren wichtigsten Modellen sowie der für ihn relevanten technischen Parameter zu erstellen. Allein der Verkaufsrang bei Amazon war da schon sehr hilfreich. Google lieferte ihm jeweils in kürzester Zeit Zugriff auf die Handbücher der Modelle. Mittels der Suchmaschine Shodan schaute er sich dann einige dieser Modelle an und verifizierte sein immer komplexer werdendes Programm dahingehend, ob es auch tatsächlich erfolgreich die Dokumente vom Gerät herunterladen würde.

Schließlich hatte Hubert das Programm so erweitert, dass es mit 24 verschiedenen Modellreihen aller gängigen Hersteller umgehen konnte. Laut Shodan waren damit circa 20.000 mit dem Internet verbundene Drucker in Deutschland zu knacken. Einige davon waren mit einem Passwort geschützt. Erfahrungsgemäß würden viele Betreiber das Standardpasswort aber nicht geändert haben. Auch diese Standardpasswörter – zu finden in der Online-Dokumentation der Hersteller – implementierte Hubert in seinem Programm. Zusätzlich wurde noch eine Liste mit allgemeinen Standardpasswörtern hinzugefügt.

Drucker mit einem besseren individuellen Passwort müssten unter Ausnutzung einer Schwachstelle erst einmal gehackt werden. Auch das konnte Hubert automatisieren. Aber er entschied sich dazu, es erst einmal bei den 20.000 potentiellen Opfern zu belassen. Durch weitere Hersteller und Modelle könnte er diese Zahl später sicher noch steigern.

Schließlich war sein Programm fertig. Für so einen simplen Zweck war der Umfang auf viele Zeilen Code gewachsen. Aber dafür war Hubert sich sicher, dass dies bei jedem der erfassten Druckermodelle auch funktionieren würde.

In Gedanken unterteilte Hubert das Vorhaben in einzelne Schritte und leitete daraus die noch zu erledigenden Aufgaben ab.

1. Einrichten eines sicheren Servers, der das Programm laufen lassen und so die Dokumente von den Druckern einsammeln und die zugehörigen Informationen zum jeweiligen Opfer speichern würde

2. Versand der Erpresser-Mails an die jeweiligen Opfer

3. Eine sichere Zahlungsweise, bei der keine Gefahr bestand, ertappt zu werden

4. Ein Konto im Ausland, welches vor dem Zugriff aus Deutschland heraus geschützt war

Einen Server, von dem aus er operieren und die Daten sammeln konnte – dazu bot sich ein Bulletproof Hoster an. Diese Hostinganbieter betrieben ihre Server meist im Ausland wie etwa in Russland. Oft waren diese auch weltweit verteilt. Die Anbieter kümmerten sich kaum darum, was genau man auf ihren Servern anbot oder tat. Wenn ein solcher Server aus dem fernen Ausland die Daten abziehen würde, dann dürften die meisten Betroffenen das ohnehin einfach so hinnehmen, da die Aussicht auf eine erfolgreiche Strafverfolgung dort verschwindend gering war. Aber bekanntermaßen bemerkten viele Unternehmen einen Datenverlust entweder überhaupt nicht oder erst nach längerer Zeit.

Die Erpressermails sollten nicht über den gewählten Hoster gehen. Erbeutete Passwörter von Webmailern oder Kontaktformulare von schlecht implementierten Webseiten wären das richtige. Optimal wäre eine Sammlung von Zugangsdaten für die E-Mail Accounts Dritter bei Anbietern wie web.de oder Google Mail. Diese würde sich Hubert in den nächsten Tagen besorgen.

Wie die Bezahlung in einem solchen Fall geschehen konnte, das hatte der berüchtigte BKA-Trojaner gezeigt. Die von dieser Schadsoftware betroffenen Nutzer wurden aufgefordert, wegen angeblichen Verstoßes im Bereich Filesharing oder Pornographie eine Strafe über Prepaid-Karten zu zahlen. Ukash und die Paysafe Card, die schon bei solchen Schadprogrammen zur Zahlung eines digitalen Lösegelds benutzt wurden, waren perfekt dafür geeignet.

Ein Konto im Ausland – da dachte man natürlich erst einmal an die Eidgenossen in der Schweiz. Doch das war zu nah und die aktuelle Rechtslage würde sich zum Leid der Schweizer Banken und deren deutscher Kunden ja voraussichtlich mittelfristig ändern. Eine andere Idee musste her. Hubert hatte da schon etwas, oder besser gesagt jemanden, im Sinn.

Hubert startete die Anwendung WeChat. In Deutschland war er wahrscheinlich einer der wenigen Nicht-Asiaten, die diese Anwendung überhaupt kannten. In China hingegen kannte sie praktisch jeder – dort unter dem Namen Weixin. Es war so etwas wie ein chinesische Mischung aus Skype und Facebook, über das man chatten und telefonieren konnte. Er wählte einen der wenigen Kontakte darin an und schrieb:

»Hey Jin, kann ich Dich morgen anrufen?«

Kurze Zeit später traf die Antwort in Form einer blinkenden Textbox ein:

»Hey Hubert! Schön von Dir zu lesen. Rufe doch gegen 8 Uhr deutsche Zeit an. 770880«

Bei der Zahl musste Hubert lächeln. Wie in anderen Ländern war es auch in China sehr verbreitet, für gewisse Ausdrücke bestimmte Symbole zu benutzen. Sprach man die Zahlen im Chinesischen aus, so klang das ähnlich wie »qin qin ni bao bao ni«, was so viel wie »Ich küsse und umarme Dich« bedeutete. Diese Art von Internet Slang stammte aus den frühen Zeiten des Internets in von Zensur bedrohten Ländern wie beispielsweise China. Verbreitet war im Chinesischen auch 88 welches »baba« ausgesprochen wurde und für »Tschüß« stand, oder 555 ausgesprochen als »wuwuwu« für »Weinen«. Heute waren solche einfachen Verschleierungen natürlich bekannt und stellten kein Problem für staatliche Filtermechanismen dar. Deshalb wurden sie vielmehr verwendet, um eine gewisse politische Haltung zu signalisieren.

Zum Abschluss seiner Arbeit startete Hubert sein Programm auf dem Rechner, der fernab von Bonn irgendwo in der ehemaligen Sowjetunion betrieben wurde. Die moralischen Bedenken, die Hubert wenige Stunden zuvor noch verspürt hatte, waren dahin. Er machte sich keine Gedanken über Recht oder Unrecht.

Eines war Hubert noch nicht wirklich bewusst: Er war jetzt ein Cyber-Krimineller.