Uli Blumenthal: Rundumsorglos-Pakete sind auch bei Hackern beliebt. Denn Angriffssoftware zu programmieren oder Sicherheitslücken aufzuspüren, kann mitunter eine sehr mühselige Angelegenheit sein. Werkzeugkästen wie Metasploit oder Blackhole helfen da mit Hacking-Software und Automatisierungsroutinen. Diese Baukästen werden natürlich auch auf dem 29C3 heiß diskutiert. Welche Angriffssoftware liegt denn in der Gunst der Hacker vorne, Peter Welchering?
Peter Welchering: Das Meinungsbild auf dem 29C3 ist da zumindest eindeutig: die Blackhole-Edition und dann kommt erstmal nichts – und danach erst Metasploit. Beide Sammlungen stehen ja im Netz zum Download bereit, werden auch eifrig heruntergeladen. Von den Downloadzahlen liegen sie übrigens ziemlich dicht beieinander. Aber von den Anwendungen her ist Backhole mit der neuen Version, die im Herbst, genaugenommen im September erschienen ist, ganz eindeutig vorn. Das haben diejenigen, die es anwenden, am liebsten.
Blumenthal: Was macht Blackhole so attraktiv, warum ist es der Favorit?
Welchering: Blackhole bietet Routinen für die eigenständige und das heißt eben für die automatisierte Analyse von Schwachstellen in Protokollen, in Betriebssystemen und in der Kommunikationssoftware. Also in den Systemen, in die man da gerne hinein möchte. Und dann wird die passende Infektion, wird die passende Schadsoftware auch selbstständig nacheinander einfach auf das System gespielt, ausgeführt – und es wird ausgewertet: Was macht sie denn da? Wie wirkungsvoll war das? Und der zweite Punkt für Blackhole: Es kann auf manipulierten, eigenen Webservern oder anderen eben dann installiert werden. Und dann muss man sich einfach nicht mehr die nächsten Stunden oder Tage darum kümmern. Und die Schadprogramme werden von manipulierten Webservern eingeschleust. Das heißt: Die Herkunftsadresse kann enorm einfach, aber auch relativ effizient verschleiert werden. Der dritte Punkt: Es gibt eine sehr komfortable Nachladefunktion, die auf die jeweils gefundene Sicherheitslücke sogar noch optimiert wird. Und schließlich bietet Blackhole einfach eine sehr komfortable Bedienung. Und da muss – was die Benutzeroberfläche angeht – die Metasploit-Sammlung doch noch erheblich aufholen.
Blumenthal: Hacker-Baukästen für Hacker. Wer sonst hat noch Interesse, diese Bausätze, diese Baukästen zu nutzen?
Welchering: Das machen sehr unterschiedliche Anwendergruppen. Da gibt es zum einen die Sicherheitsforscher. Die setzen Blackhole oder auch andere Sammlungen dieser Art ein, um Lücken ausfindig zu machen. Aber auch fast alle Cyber-Militärs arbeiten damit. Also von den 150 Staaten, die auf der UNO-Vollversammlung im Herbst 2010 gesagt haben, wir entwickeln digitale Waffen, arbeiten 75, das hat die Uno, das hat das Büro für Abrüstungsfragen in Genf einmal ermittelt, tatsächlich mit solchen Waffen. Dann natürlich auch – das darf man nicht verschweigen – die Organisierte Kriminalität, die auf diese Weise an die Kontodaten und an andere Daten kommen möchte. Aber es machen dann eben auch Hacker, um an geheim gehaltene Daten zu kommen. Hier gibt es auch ganz oft Zusammenarbeit mit investigativ arbeitenden Journalisten, um den einen oder anderen Skandal aufzudecken, um das eine oder andere Korruptiönchen eben dann auch wirklich ans Tageslicht zu holen. Also hier verläuft die Grenzlinie zwischen den Blackhats, den schwarzen Hüten, und den weißen Hüten – naja sagen wir mal bösen Hackern und guten Hackern – die verläuft hier doch sehr stark in Schlangenlinien.
Bumenthal: Wie wird der Einsatz solcher Werkzeugkästen für den Bau von Angriffssoftware hier auf dem 29C3 diskutiert?
Welchering: Sehr kontrovers, sehr unterschiedlich. Und es ist immer wieder Ansatzpunkt, um auch um so etwas wie eine Hacker-Ethik auch weiterzuentwickeln. Sie stimmen darin überein – hier auf dem 29C3 – dass sie sagen: Sich mit solchen Sammlungen auseinanderzusetzen, ist einfach notwendig. Notwendig, um eben Skandale aufzudecken. Weitgehende Übereinstimmung gibt’s auch: Arbeit für die Militärs – das geht überhaupt nicht, das machen wir nicht. Bei den Sicherheitsbehörden gibt’s schon mehr, naja, Abweichler, kann man sagen. Die einen sagen, so lange das streng rechtsstaatlich erfolgt, ist das in Ordnung, die anderen sagen, das wollen wir überhaupt nicht machen. Aber insgesamt ist die Einschätzung sehr deutlich: Der Einsatz solcher Tools kann eben auch für mehr Transparenz sorgen. Aber gleichzeitig war immer wieder der Appell zu hören: Macht Euch klar, wenn Ihr mit diesen Tools arbeitet – auch wenn Ihr diese Tools entwickelt – dass eben auch Kriminelle, dass auch Diktaturen, dass Cyber-Militärs und Geheimdienste genau diese Tools nutzen, diese Editionen nutzen. Und lasst Euch bitte nicht nur von der Faszination für diese Werkzeuge leiten.
Blumenthal: Schlussfrage: Worin besteht diese Faszination, an solchen Baukästen für Hacker?
Welchering: Also zunächst mal ist das sicherlich die elegante Programmierung. Das ist eigentlich die Faszination, das Motiv, das immer wieder genannt wird. Blackhole beispielsweise besteht im Kern aus sehr einfachen Skripten, sehr schlank programmiert, sehr elegant in der Architektur. Und zum Zweiten gibt es eben das Ziel: Diese Tools sollen genauso einfach eingesetzt werden können wie etwa die Software von Anonymous für verteilte Dienstattacken, für die berühmten DDoS-Attacken, wo eben Abertausende von Datenpäckchen auf einem Webserver abgeschossen werden, bis der in die Knie geht. Und beim harten Kern der Entwickler spielen eben solche Baukästen eine sehr große Rolle. Sie sollen einfach heruntergeladen werden, wenn sich eine Gruppe einig ist: Wir wollen hier hineinhacken. Und dann soll es einfach eingesetzt werden, ohne dass besondere Systemkenntnisse erforderlich sind. Das ist sozusagen ihre Antwort auf die Arbeit der Geheimdienste, das ist ihre Antwort auf die nicht immer so ganz transparente Arbeit auch der Sicherheitsbehörden.
Sonderseite zum Chaos Communication Congress
Peter Welchering: Das Meinungsbild auf dem 29C3 ist da zumindest eindeutig: die Blackhole-Edition und dann kommt erstmal nichts – und danach erst Metasploit. Beide Sammlungen stehen ja im Netz zum Download bereit, werden auch eifrig heruntergeladen. Von den Downloadzahlen liegen sie übrigens ziemlich dicht beieinander. Aber von den Anwendungen her ist Backhole mit der neuen Version, die im Herbst, genaugenommen im September erschienen ist, ganz eindeutig vorn. Das haben diejenigen, die es anwenden, am liebsten.
Blumenthal: Was macht Blackhole so attraktiv, warum ist es der Favorit?
Welchering: Blackhole bietet Routinen für die eigenständige und das heißt eben für die automatisierte Analyse von Schwachstellen in Protokollen, in Betriebssystemen und in der Kommunikationssoftware. Also in den Systemen, in die man da gerne hinein möchte. Und dann wird die passende Infektion, wird die passende Schadsoftware auch selbstständig nacheinander einfach auf das System gespielt, ausgeführt – und es wird ausgewertet: Was macht sie denn da? Wie wirkungsvoll war das? Und der zweite Punkt für Blackhole: Es kann auf manipulierten, eigenen Webservern oder anderen eben dann installiert werden. Und dann muss man sich einfach nicht mehr die nächsten Stunden oder Tage darum kümmern. Und die Schadprogramme werden von manipulierten Webservern eingeschleust. Das heißt: Die Herkunftsadresse kann enorm einfach, aber auch relativ effizient verschleiert werden. Der dritte Punkt: Es gibt eine sehr komfortable Nachladefunktion, die auf die jeweils gefundene Sicherheitslücke sogar noch optimiert wird. Und schließlich bietet Blackhole einfach eine sehr komfortable Bedienung. Und da muss – was die Benutzeroberfläche angeht – die Metasploit-Sammlung doch noch erheblich aufholen.
Blumenthal: Hacker-Baukästen für Hacker. Wer sonst hat noch Interesse, diese Bausätze, diese Baukästen zu nutzen?
Welchering: Das machen sehr unterschiedliche Anwendergruppen. Da gibt es zum einen die Sicherheitsforscher. Die setzen Blackhole oder auch andere Sammlungen dieser Art ein, um Lücken ausfindig zu machen. Aber auch fast alle Cyber-Militärs arbeiten damit. Also von den 150 Staaten, die auf der UNO-Vollversammlung im Herbst 2010 gesagt haben, wir entwickeln digitale Waffen, arbeiten 75, das hat die Uno, das hat das Büro für Abrüstungsfragen in Genf einmal ermittelt, tatsächlich mit solchen Waffen. Dann natürlich auch – das darf man nicht verschweigen – die Organisierte Kriminalität, die auf diese Weise an die Kontodaten und an andere Daten kommen möchte. Aber es machen dann eben auch Hacker, um an geheim gehaltene Daten zu kommen. Hier gibt es auch ganz oft Zusammenarbeit mit investigativ arbeitenden Journalisten, um den einen oder anderen Skandal aufzudecken, um das eine oder andere Korruptiönchen eben dann auch wirklich ans Tageslicht zu holen. Also hier verläuft die Grenzlinie zwischen den Blackhats, den schwarzen Hüten, und den weißen Hüten – naja sagen wir mal bösen Hackern und guten Hackern – die verläuft hier doch sehr stark in Schlangenlinien.
Bumenthal: Wie wird der Einsatz solcher Werkzeugkästen für den Bau von Angriffssoftware hier auf dem 29C3 diskutiert?
Welchering: Sehr kontrovers, sehr unterschiedlich. Und es ist immer wieder Ansatzpunkt, um auch um so etwas wie eine Hacker-Ethik auch weiterzuentwickeln. Sie stimmen darin überein – hier auf dem 29C3 – dass sie sagen: Sich mit solchen Sammlungen auseinanderzusetzen, ist einfach notwendig. Notwendig, um eben Skandale aufzudecken. Weitgehende Übereinstimmung gibt’s auch: Arbeit für die Militärs – das geht überhaupt nicht, das machen wir nicht. Bei den Sicherheitsbehörden gibt’s schon mehr, naja, Abweichler, kann man sagen. Die einen sagen, so lange das streng rechtsstaatlich erfolgt, ist das in Ordnung, die anderen sagen, das wollen wir überhaupt nicht machen. Aber insgesamt ist die Einschätzung sehr deutlich: Der Einsatz solcher Tools kann eben auch für mehr Transparenz sorgen. Aber gleichzeitig war immer wieder der Appell zu hören: Macht Euch klar, wenn Ihr mit diesen Tools arbeitet – auch wenn Ihr diese Tools entwickelt – dass eben auch Kriminelle, dass auch Diktaturen, dass Cyber-Militärs und Geheimdienste genau diese Tools nutzen, diese Editionen nutzen. Und lasst Euch bitte nicht nur von der Faszination für diese Werkzeuge leiten.
Blumenthal: Schlussfrage: Worin besteht diese Faszination, an solchen Baukästen für Hacker?
Welchering: Also zunächst mal ist das sicherlich die elegante Programmierung. Das ist eigentlich die Faszination, das Motiv, das immer wieder genannt wird. Blackhole beispielsweise besteht im Kern aus sehr einfachen Skripten, sehr schlank programmiert, sehr elegant in der Architektur. Und zum Zweiten gibt es eben das Ziel: Diese Tools sollen genauso einfach eingesetzt werden können wie etwa die Software von Anonymous für verteilte Dienstattacken, für die berühmten DDoS-Attacken, wo eben Abertausende von Datenpäckchen auf einem Webserver abgeschossen werden, bis der in die Knie geht. Und beim harten Kern der Entwickler spielen eben solche Baukästen eine sehr große Rolle. Sie sollen einfach heruntergeladen werden, wenn sich eine Gruppe einig ist: Wir wollen hier hineinhacken. Und dann soll es einfach eingesetzt werden, ohne dass besondere Systemkenntnisse erforderlich sind. Das ist sozusagen ihre Antwort auf die Arbeit der Geheimdienste, das ist ihre Antwort auf die nicht immer so ganz transparente Arbeit auch der Sicherheitsbehörden.
Sonderseite zum Chaos Communication Congress