Interview mit einem kriminellen Hacker

Robert Hansen, Produktmanager beim Web-Application-Security-Anbieter WhiteHat Security hat ein Interview mit dem ehemaligen «Blackhat» Adam, einem ehemals kriminellen Hacker, geführt und im Unternehmens-Blog veröffentlicht. Unsere Schwesterzeitschrift Computerwoche hat das Interview übersetzt, wir übernehmen es für die Schweizer Leser. Vielen Dank an dieser Stelle an WhiteHat Security für die Erlaubnis, das Gespräch veröffentlichen zu dürfen.

Robert Hansen: Welche besonderen Hacker-Fähigkeiten gestehen Sie sich selbst zu?

«Blackhat» Adam: Meine besondere Expertise liegt im Social Engineering. Ich glaube, es ist ziemlich offensichtlich, dass ich ein Blackhat («böser Hacker») bin, daher habe ich auch «Social Engineer» auf meiner Visitenkarte stehen. Mein zweites Spezialgebiet ist der Aufbau von Botnetzen. Hier lässt sich das meiste Geld verdienen - mehrere Tausend Dollar am Tag! Ganz einfach mit vollautomatischer Angriffs-Software, die den Schwarzmarkt derzeit dominiert. Darüber hinaus kümmert sich mein Team um einfache Angriffsmethoden wie SQL-Injection (SQLi), Cross-Site Scripting (XSS) der einfachen und der fortgeschrittenen Art, Cross-Site-Request-Forgery (CSRF) sowie DNS Cache Poisoning/DNS Spoofing. Ich beherrsche auch diverse Programmiersprachen - Python, Perl, C, C++, C#, Ruby, SQL, PHP, ASP, um nur einige zu nennen.

Hansen: Beschreiben Sie uns Ihr «erstes Mal», als Sie das Gesetz gebrochen haben. Warum haben Sie es getan und wie haben Sie es für sich selbst gerechtfertigt?

Adam: Das liegt viele Jahre zurück. Erinnern kann ich mich da an meine Schulzeit, als ich ungefähr 14 Jahre alt war. Unsere Admins waren sehr fit in Security-Fragen. Ich war in der Schulbücherei und wusste, dass die Admins Remote-Zugriff auf jeden Schul-PC hatten - genau wie der Bibliothekar. Die Bücherei war nämlich der Ort, wo die Klassenarbeiten bewertet und die Noten vergeben wurden. Auch wenn ich nie ein Genie war, waren meine Noten doch immerhin durchschnittlich. Ich fragte mich immer schon: «Warum nicht Einsen für die Hälfte der Arbeit bekommen?» Also habe ich mich eingelesen und bin auf das Thema «Keylogger» gestossen. Auch wenn es mir seltsam vorkam, dass ich mir mit einer Software selbst Top-Noten verpassen konnte, war es faszinierend. Ich habe es gemacht. Ich habe auf dem Bibliotheksrechner einen Keylogger installiert und die Dateien mit einer Remote-Administrationskonsole auf andere PCs kopiert. Ergebnis: zwei Wochen Schulverweis.

Hansen: Wo haben Sie Ihre «Hacking-Künste» erlernt?

Adam: Mit Büchern, über Google und Leute, mit denen ich über IRC (Internet Relay Chat) oder Foren geschrieben habe. Anders als in der heutigen Zeit, haben wir noch Informationen ausgetauscht, miteinander gesprochen und uns gegenseitig geholfen. Niemand wurde ausgelacht, weil er etwas nicht wusste.

Hansen: Warum fanden Sie den «Blackhat Way of Life» so attraktiv?

Adam: Wegen des Geldes. Ich fand es lustig, wie sich mit Fernsehen schauen und auf dem Notebook herumtippen in wenigen Stunden so viel verdienen liess, wie ein normaler Arbeiter in einem ganzen Monat nicht schafft. Es war viel zu leicht.