Adrian Lamo Die Entzauberung des obdachlosen Hackers

Mit Adrian Lamo steht ein Robin Hood des Internetzeitalters vor Gericht. Drei Jahre lang knackte er Firmennetze von Konzernen wie AOL, Microsoft, NBC und Yahoo!. Er informierte Firmen und Medien über die Sicherheitslücken - und wurde oft dafür belohnt. Dann legte er sich mit der "New York Times" an.

Von


Adrian Lamo
AP

Adrian Lamo

Wer ist Lamo?

Fast hätten ihn im August 2002 hundertausende von Amerikanern kennengelernt: In Web-Kreisen längst eine Berühmtheit fragte der amerikanische Sender NBC bei Lamo an, ob dieser bereit sei, seine Hacking-Technik live vor einer laufenden TV-Kamera zu demonstrieren.

Lamo sagte zu.

Seine Kritiker werfen ihm seit langem vor, vor allem das Licht der Öffentlichkeit zu suchen. Andere mäkeln, die "Schuld" an Lamos Karriere hätten vor allem die Medien: Nach "Superhacker" Kevin Mitnicks Verhaftung, Knaststrafe, Entlassung und Resozialisierung als Bestsellerautor seien sie auf der Suche gewesen nach einem frischen Gesicht, nach einer neuen Verkörperung des gemeinen Hackers an sich.

Mag sein. Kaum einer scheint da so geeignet wie Adrian Lamo, 22, nach eigener Aussage obdachlos. Seit knapp drei Jahren wandert und trampt der blasse junge Mann mit dem Kindergesicht mit kleinem Gepäck inklusive Laptop durch Amerika und legt sich mit der IT-Security großer Firmen an. Weder gut noch böse sei er, sagt er, "ich tue nur, was ich tue".

Und das sieht so aus: Lamo knackt Firmennetzwerke ohne Zuhilfenahme spezialisierter Tools. Sein Werkzeug ist in der Regel ein normaler Web-Browser, mit dem er so lang in den Angeboten von Unternehmen herumsurft, bis er eine Sicherheitslücke findet. Dabei zeigt er eine Menge Gespür und Talent - und polarisiert sein Publikum.

Kritiker aus dem Hackerlager etwa sagen, er sei ein mediengeiler Kleinhacker ohne spezialisierte Kenntnisse: Die von ihm offen gelegten Sicherheitslücken seien nichts Ungewöhnliches. Was Oxblood Ruffin, eines der prominentesten Mitglieder der US-Hackergruppe Cult of the Dead Cow, über ihn zu sagen hat, kommt der Wahrheit wohl näher: "Es ist wie Tanzen", sagte er "Wired". "Jeder kann tanzen. Aber nicht viele können tanzen wie Michael Jackson".

Lamo, der Tänzer

Lamo kann das. Seine Karriere begann zunächst unauffällig im November 2000. Da galt er noch nicht als Hacker, war Mitbetreiber einer AOL-Nutzerwebsite, die kritische Informationen zum weltgrößten Onlinedienst veröffentlichte. Dort erschien, geschrieben von Lamo, erstmals eine Warnung vor einer kritischen Sicherheitslücke im AOL Instant Messenger - verbunden mit einer flammenden Anklage der laxen Security.

Der Nachweis wurde über einen Hack geführt, in dessen Verlauf auf AOL-Kundendaten zugegriffen wurde. Ob Lamo daran beteiligt war, ist nicht geklärt.

Es würde zu ihm passen.

Ab Mai 2001 wurde Adrian Lamo abrupt zum Star. Er brach in Firmennetzwerke ein, was zunächst nichts ungewöhnliches ist: Viele "White Hat"-Hacker tun das und informieren dann das betroffene Unternehmen. Die Ethik der "guten Hacker" schreibt ihnen vor, dem Unternehmen dann eine Frist zu gewähren, um das Leck zu stopfen. Viele kritische Sicherheitslücken werden so erst öffentlich, wenn ein Security-Patch bereit steht - oder gar nicht.

Doch Adrian Lamo arbeitet anders. Er informiert nicht nur die gehackten Unternehmen, sondern auch die Medien. Für viele ist er darum ein "Gray Hat", ein Hacker der Grauzone, weder gut noch böse. Für andere wieder ist er schlicht kriminell: Die Veröffentlichung von Sicherheitslücken, ohne dem betroffenen Unternehmen eine Chance zum Stopfen des Lecks zu geben, wirkt wie die Einladung zu deren Ausnutzung.

Lamos Spiel, leichtes Spiel

Selbst Schuld, meinte dazu vor noch nicht langer Zeit Lamo, "ich kann nicht sehen, dass ich Unrecht begangen habe".

Schließlich surft er nur, wie er dem NBC-Kamerateam bereitwillig zeigte. Binnen knapp fünf Minuten knackte er vor laufender Kamera erfolgreich das Netzwerk eines Großunternehmens. NBC kündigte den spektakulären Hack erst groß an, verschob dann den Sendetermin und strich den Beitrag schließlich ganz aus dem Programm.

Lamo hatte vor laufender Kamera NBC selbst geknackt.

Die Abschussliste

Es wurde Lamos bisher letzter spektakulärer Hack. Nachdem er im Februar 2002 in das Netzwerk der "New York Times" eingebrochen war und damit Schlagzeilen gemacht hatte, saß ihm ab dem Sommer letzten Jahres das FBI im Nacken. Lamo hatte sich in die Datenbank der "Times"-Zulieferer eingeschrieben und dort Zugang zu den persönlichen Informationen seiner virtuellen "Kollegen" erhalten. Zu denen gehörten neben Journalisten und zahlreichen Pop-Prominenten auch Personen, bei denen die Staatsmacht umgehend Schutzreflexe entwickelt. Lamo selbst hatte gegenüber der Presse trompetet, nun über die Kontaktdaten von Bill Clinton zu verfügen.

Bis zu diesem Zeitpunkt galt die Weste des "hilfreichen Hackers" als relativ rein. Zwar knirschte so mancher IT-Verantwortliche mit den Zähnen, wenn er von einem Hack zuerst durch die eigene Presseabteilung erfuhr. Andererseits aber genoss Lamo wachsende Popularität, und er schadete niemandem.

Ja, er hatte zu Demonstrationszwecken mehrere Artikel auf der Newsseite von Yahoo! umgeschrieben. Er hatte sich Zugang zu Kundendaten nicht nur bei Microsoft verschafft. Auf seiner beeindruckenden "Abschussliste" fanden sich zudem Excite, das zum Teil über den US-Geheimdienst NSA finanzierte SBC Ameritech, Cingular und nicht zuletzt der schon damals wankende Telekommunikationsriese Worldcom. Dessen Management bedankte sich sogar öffentlich für den Hack und ließ sich anschließend von Lamo beraten, wie (zumindest) dieses Problem zu beheben sei.

Lamo auf dem Höhepunkt seines Ruhmes. Doch dann kam der Hack der "New York Times".



© SPIEGEL ONLINE 2003
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.