Persönliche Lieblingsattacken & Mythen ...

Hansen: Ihr Lieblings-Exploit?

Adam: Zero-Day. Direkt dahinter Cross-Site-Scripting (XSS). Beides wohlbekannt, aber niemand kümmert sich ums Patchen. Distributed Denial of Service (DDoS) lässt sich eher nicht als Exploit bezeichnen, stellt aber unser monatliches Grundeinkommen sicher.

Hansen: Wie monetarisieren Sie DDoS?

Adam: Die Leute kaufen Angriffs-Accounts - also beispielsweise 1000 Bots und 30 Minuten DDoS-Zeit. Da sind viele einmalige Aktionen dabei. Häufig geht es um Erpressung - wenn ein Unternehmen nicht 200 Dollar zahlt, bleibt seine Website down. Die Unternehmen zahlen für gewöhnlich - sie wollen keine Zeit zum Geschäftemachen verlieren.

Hansen: Und wie suchen Sie sich die DDoS-Ziele aus?

Adam: Kommt darauf an. Gibt es beispielsweise ein sportliches Grossereignis wie den Super Bowl, werden zu der Zeit garantiert 95 Prozent aller Wettanbieter erpresst. Ich weiss aber auch von einer Gruppe, die eine Website über Krebsforschung abgeschossen haben, als deren Betreiber gerade einen Spendenmarathon gestartet hatte. Er hat gezahlt - schon irgendwie traurig das Ganze.

Hansen: Was sind das für Leute, die sich in Ihr Botnetz einkaufen?

Adam: Einige meinen, es seien Regierungen oder auch untereinander rivalisierende Unternehmen. Ehrlich gesagt ist mir das aber egal. Wer zahlt, schafft an. Ganz einfach.

Hansen: Was machen Websitebetreiber reflexartig, um sich vor Kriminellen wie Ihnen zu schützen, obwohl es nie funktioniert?

Adam: An dieser Stelle könnte ich einen Roman erzählen. Ich beschränke mich aber auf drei Dinge. Erstens dumme Admins einstellen, welche die kriminelle Seite noch nie selbst kennengelernt haben. Die mit einem Silberlöffel im Hintern geboren worden sind und nur dank Mamis und Papis Kohle auf der Uni waren. Wenn ich CEO wäre, würde ich eher Leute mit einer kriminellen Vergangenheit beschäftigen - die wissen wirklich, wie der Laden läuft. Die haben nicht nur die Bücher gelesen. Zweitens unausgebildete, junge, dumme Samstagsarbeiter in der Telefonzentrale beschäftigen. Und drittens keinen DDoS-Schutz einkaufen. Cloudflare beispielsweise bietet für 200 Dollar im Monat einen unglaublich guten Sevice. Wenn ich Sie sonst an einem Tag um bis zu 1000 Dollar erleichtern kann, vielleicht keine so schlechte Investition.

Hansen: Welche Sicherheitsprodukte und -technologien machen das Leben eines Blackhat schwierig? Welche sind Geldverschwendung?

Adam: DDoS-Schutz allgemein ist ernstzunehmen, auch wenn viele Crews bei veralteten Lösungen auf diesem Gebiet das Gegenteil bewiesen haben. Was sich gar nicht lohnt, ist Antivirus, totale Geldverschwendung - ja, es schützt Sie vor Skript-Kiddies, die dumme Viren schreiben, aber das war es schon. Jedes Botnetz, das verkauft und benutzt wird, kann schon allein durch seine verteilte Architektur nicht entdeckt werden. Auch Anti-Spam-Software ist überflüssig, sieht man einmal von den Captchas ab, die aber von vielen Nutzern gehasst werden.

Denken Sie immer daran, dass der Kriminelle dem, was es an Sicherheitstechnologie zu kaufen gibt, zehn Schritte voraus ist. Wenn eine Zero-Day-Schwachstelle öffentlich wird, ist sie bereits seit Monaten im Einsatz gewesen. Zwei-Schritt-Authentifizierung mag manchmal vor Social Engineering schützen, ist aber umgehbar - wie «Cosmo», ein 15-jähriges Mitglied von «UGNazi», gezeigt hat. Es ist wie beim Spielekauf: Nach dem Release folgen viele Patches und bevor es irgendeinen Einfluss auf irgendetwas anderes hat, dauert es eine lange Zeit.

Hansen: Welche Browser sind am anfälligsten und warum?

Adam: Vor ein paar Jahren hätte ich diese Frage mit «100 Prozent IE» beantwortet. Auch heute ist der Internet Explorer sehr verwundbar, wird aber nicht mehr so stark genutzt. Schnellere Browser wie Chrome oder Firefox sind aufgekommen. Der grosse Marktanteil des IE erklärt sich für mich eher aus der Bequemlichkeit vieler Anwender und der Gewöhnung daran - und dem Unwissen über dessen Gefahren. Gerade Chrome hat Microsoft zudem förmlich zu neuen Sicherheitsstandards in der Entwicklung gezwungen. Auch dass Java bei vielen Anwendern wegen seiner ständigen Lücken nicht mehr so grossen Kredit hat, erschwert das Botnetz-Geschäft.