Kampf der Cracker Virtuelle Kollateralschäden

Wenn Hacker, Cracker, Script-Kiddies oder Virenautoren sich streiten, dann fliegen die Fetzen - und zwar vornehmlich die Datenfetzen Unbeteiligter. Wem auch immer gerade "Yaha" oder "YahaSux" Kummer machen, mag sich trösten: Er war gar nicht gemeint.

GigaByte ist sauer, ziemlich sauer.

Ende letzten Jahres kam ihre Website unter die Räder, erholt hat sie bis jetzt noch nicht: Statt einer Seitenanzeige bekommt man oft ein "Server down", "No response" - und das ist hart zu schlucken für die junge Dame, die sich als "18-jährige Virenschreiberin" beschreibt. "Im Augenblick", schreibt die Belgierin im Plauderton, "bin ich Mitglied im Virenschreiber-Team Metaphase VX. Hauptsächlich höre ich House-, Techno- und Trancemusik".

Yo, cool.

Locker gesagt, klingt jung, beiläufig: Ist das ernst zu nehmen?

GigaByte programmierte ihre ersten Zeilen Code noch zu Grundschulzeiten, "auf Papas C64", sie schreibt Viren, seit sie 14 Jahre alt war, im Augenblick "am liebsten in C++". Typisch ist das.

Das ist zumindest eine Sache, die sie mit "sNAkeeYes", respektive "c0Bra" von der allen Erkenntnissen nach indischen Virenschreiber- und Defacergruppe "iNDian sNakes" teilt.

Ansonsten gehören sie zu verschiedenen Subkulturen: GigaByte empfindet ihr Tun als Teil einer wilden, anarchischen, international vernetzten Popkultur. Virenschreiben ist cool, Webseiten wegballern auch. Das ist Fun, Alter!

Im August letzten Jahres versuchte sie, in aller Halböffentlichkeit ein Virenschreiber-Treffen in den Niederlanden zu organisieren. Ging in die Hose: Zu wenig Leute zeigten Interesse.

Szenen: Weiße Hüte, schwarze Hüte

Oder scheuten sie das Licht? Typen wie GigaByte gibt es en Masse, Typen wie die iNDian sNakes noch öfter.

Die liegen seit langem im Clinch mit GForce Pakistan, die wiederum durch ihren "Hackerkrieg" mit amerikanischen Konkurrenten bekannt wurden. Im offenen Wettstreit schossen sie Webseiten ab, "defaceten" sie, veränderten sie. Manchmal reicht es, eine Unternehmenswebsite durch ein "I was here!" oder "U suck, I rule!" zu ersetzen. Hauptsache, das Copyright ist klar: Defacer zählen ihre Abschüsse, wie das angeblich einst Revolverhelden taten. Manche von ihnen hacken auch richtig, manche sind "Virii", "VXer", Virenschreiber. Sie sind die Gangs in den dunklen Neighbourhoods des Webs - zumindest sehen sie sich gern so.

Und viele von ihnen sind natürlich minderjährig.

GForce liefern sich zurzeit keine Gefechte mehr mit amerikanischen Gruppen. Im Augenblick sind sie vollauf damit beschäftigt, den iNDian sNakes zu zeigen, wo der Hammer hängt. Die Schlangen sind eine harte Nuss. Wahrscheinlich nur einer von ihnen schrieb im Februar 2002 die erste Version des Yaha-Virus, der seitdem zu den fiesesten aktiven Vertretern seiner Art gehört. Alle paar Wochen folgt eine neue Variante, Experten glauben, aus einer Hand: Inzwischen ist man bei Variante "K" - hoffentlich reicht das Alphabet aus. Jede Variante ist aufgerüstet, weiter entwickelt. Die Snakes gelten übrigens als "politisch motiviert".

"Cyberwar": Viren und Defacements statt Schüsse und Schlägereien

Vielleicht kann man das wirklich so nennen. Die ersten Versionen von Yaha zielten auf pakistanische Regierungs-Websites, versuchten, sie in Denial-of-Service-Attacken zu Boden gehen zu lassen. Später dehnten die Snakes die Yaha-Attacken auf Firmenseiten in Pakistan aus, noch später auch auf Websites in anderen Ländern. Dann folgte der offene Konflikt und Wettstreit mit der pakistanischen Gruppe GForce.

Parallelen gibt es überall, das Muster wiederholt sich: Zwischen chinesischen und amerikanischen Hackern, koreanischen und US-Gruppen, zwischen Palästinensern und Israelis. Wenn alles klappt und es richtig fett kommt, dann erntet man sogar Schlagzeilen. Dann wird man berühmt, dann bekommt man Respekt! Yo, man: cool!

Man kann sich vorstellen, wie das abgeht: Ein Server geht in die Knie, und die Gruppe feiert. Ein Webmaster treibt graue Haare, ein Vorgesetzter gibt ihm Mores über die Sicherheitslücken im System. Irgendwo greift ein Minister zum Telefon und initiiert die nächste Cyberwar-Kommission, Konferenz, Gesetzesvorlage. Ein paar Tausend User, die sich das Virus, über das die DoS-Attacke ausgelöst wurde, gefangen haben, ärgern sich wund. Ein paar Unternehmen zählen sich astronomische Schäden zusammen, damit sie mit der Versicherung besser feilschen können.

Und CNN meldet ganz ernst Cyberwar, weil jemand beim FBI das so gesagt hat. Der braucht gerade frische Mittel, weil er gern seine Abteilung ausbauen will, seine Karriere, seinen Einfluss. Oder weil sein Chef das so will.

Eskalation: GigaByte will Rache. Das ist eigentlich kindisch, aber auch alles andere als ungefährlich: Die 18-jährige gehört wirklich zur Gruppe der als gefährlich einzustufenden Virenautoren. Seit dem 14. Januar ist ihr neues Virus tatsächlich in Umlauf. Weiter...

Die Schäden, der Ärger, die Verluste jedoch sind echt - wenn auch meist weit geringer, als offiziell behauptet.

Kollateralschäden sind das, virtueller Natur. Yo, man, cool: Schon gesehen, wie die Aktienkurse der Virenschutz-Unternehmen nach oben gingen? Immer gibt es zwei, drei, vier Seiten zu der nackten Meldung "Virenattacke im Internet".

Im Spätherbst 2002 geriet GigaByte selbst in die Schusslinie. Der Yaha-Autor hatte sein Virus dahingehend modifiziert, dass gleich mehrere Seiten attackiert werden sollten. Darunter auch GigaBytes Website "Coderz". Ab in die Knie, Coderz: Du bist virtuell tot, finished, kaputt. Yo, man: cool.

Das, findet GigaByte, schreit nach Rache

Wie rächt sich eine junge Frau, die seit der Frühpubertät "in der Szene ist"? Sie schreibt ein Virus.

Und weil es Yaha war, durch das ihre Seite abgeschossen wurde, heißt ihr neuestes Machwerk "YahaSux". Es ist nicht ihr erstes. Im September 2000 begründete GigaByte ihren Ruhm als weibliche Virenschreiberin, was in etwa so häufig ist wie untergewichtige Sumoringer, durch die "Veröffentlichung" des E-Mail-Wurms "Scrambler" - schon seit 1998 hatte sie eine ganze Reihe weniger beachtete Viren in Umlauf gesetzt.

Scrambler war ein moderater Erfolg, was bedeutet, dass er zwar Schäden anrichtete, GigaByte aber nicht auf die Toplisten der internationalen Fahndungslisten beförderte.

Das Machwerkchen verbreitete sich per E-Mail, nutzte - nicht besonders originell - altbekannte Schwachstellen in Outlook aus, zerschoss aber diverse Exe-Dateien, kopierte und versandte sich selbst exakt 90 Mal pro Befall, hinterließ ein paar Textzeilen, öffnete eine Hintertür ins System und veränderte darüber hinaus noch MP3-Dateien: Die klangen nachher wie eine zerkratzte Schallplatte. Ein Achtungserfolg, handsigniert: Das Virus trug sogar ihren "Absender".

Im April 2002 zeigte GigaByte, dass sie noch mehr kann. Als wahrscheinlich weltweit erstes in C# geschriebener Virus erschien "Sharpei" im Web - ein im Grunde harmloser Schädling, der ihr trotzdem viel Achtung einbrachte: Sharpei war erst das zweite Virus, das ganz dezidiert auf die .Net-Struktur zielte, die Microsoft zu etablieren versucht. Spätestens ab diesem Zeitpunkt begannen aggressivere "Virii", GigaByte als ernst zu nehmende Konkurrentin wahrzunehmen.

Das Girlie will Respekt

Ihre Attitüde brachte da wohl die Machos in den Coder-Gangs gegen sie auf: GigaByte kommt als Girlie daher - und sie fordert Respekt und Gleichberechtigung. Auch sie ist letztlich politisch motiviert, irgendwie. Nachdem sie Sharpei auf die surfende Menschheit losgelassen hatte, brach sie den Stil: Sie erklärte ihre Taten öffentlich und gab sogar ein Interview.

Damals sagte sie: "Ich möchte den Menschen (und insbesondere den Kerlen) klar machen, dass es Mädchen gibt, die Computer mögen und mehr damit anzufangen wissen, als nur zu spielen. Ich denke, das ist eine wichtige Sache für alle Mädchen da draußen, die Ahnung von Rechnern haben, aber von Kerlen umgeben sind, die sie nur für dämlich halten".

GigaByte ist nicht dämlich, sie hat was drauf, sie ist ein Star unter den Virii. Als sie im letzten Frühjahr mit ihrem in den entsprechenden Kreisen ebenfalls prominenten Freund Nostalg1c" zusammenkam, schrieb "Wired" von "Bonnie and Clyde of cyberspace", dem hackenden Traumpaar. Nostalg1c darf sich rühmen, einmal die Webseite des Weißen Hauses abgeschossen zu haben. Diese Kids sind alles andere als dumm.

Ein "verschwendetes Talent" sei sie, schreibt einer ins 121 Seiten lange Gästebuch der GigaByte-Seite, "ich wünschte, du würdest mit den Viren aufhören und dich einen Schritt weiter entwickeln".

Vielleicht tut sie das irgendwann

Jetzt ist erst einmal Rache angesagt, an dieser beschissenen Schlangen-Gang. GigaByte rächt sich mit Viren, und wenn alles klappt, kriegen auch "sNAkeeYes" und "c0Bra" das Ding zu spüren, und nicht nur diese Infizierten am virtuellen Wegrand.

Denn GigaBytes neue Virenattacke ist so was wie ein Scharfschuss: Wenn YahaSux zubeißt, reinigt es erst einmal das befallene System. Ganz gezielt sucht das Virus nach Spuren von Yaha.K und löscht sie. GigaByte, gewandelt von der Gangsterbraut Bonnie zueinem weiblichen Robin Hood der Datenmeere?

Nicht ganz. Sie ist und bleibt eine "VXerin": "Hi there..", schreibt das Virus nach erfolgreicher Infektion auf den Bildschirm, "it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS,abused my website and got me to receive the complaints. Therefore, I have just disinfected you. Don't worry tho.. as I didn't wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return :)"

Sie tilgt den Gegner aus dem System und verewigt sich selbst. Die Antwort wird nicht lang auf sich warten lassen, der Streit der Virii ist noch nicht vorbei.

Kollateralschäden, sagt der Duden, sind "bei einer militärischen Aktion in Kauf genommene schwere Schäden". Manchmal ist sie fließend, die Grenze zwischen Cyberwar und den Streits der spätpubertierenden Kiddies in den virtuellen Hinterhöfen der vernetzten Welt.

Und jetzt ist es wohl Zeit, die Virenschutz-Software auf den neuesten Stand bringen.

Frank Patalong

    P.S.: GigaBytes Virus YahaSux ist wahrscheinlich seit dem Spätnachmittag des 14. Januar in Umlauf. Inzwischen warnen alle Virenschutz-Unternehmen davor, Symantec bezeichnet den Verbreitungsgrad schon jetzt als "hoch", die Schädlichkeit jedoch als "niedrig". Das Virus läuft auch unter der Bezeichnung "W32.Sahay.A@mm".

    Erkennungsmerkmale:

    Betreff: "Fw: Sit back and be surprised.."

    Die E-Mail enthält folgende Botschaft: "Think of a number between 1 and 52.
    Say it out loud, and keep repeating while you read on.
    Think of the name of someone you know (of the opposite sex).
    Now count which place in the alphabet, the second letter of that name has.
    Add that number to the number you were thinking of.
    Say the number out loud 3 times.
    Now count which place in the alphabet the first letter of your first name has, and substract that number from the one you just had.
    Say it out loud 3 times.
    Now sit back, watch the attached slide show, and be surprised.."

    Angehängt ist eine Datei namens "MathMagic.scr", die das Virus freisetzt. Das löscht dann alle Yaha-Viren und ihre Spuren, bevor es sich selbst versendet und - nach Zeigen seiner "Botschaft" - den Rechner zum Absturz bringt.

    Alle Virenschutz-Unternehmen bieten bereits Updates an, die YahaSux erfassen.

P.P.S.: GigaByte hat im Herbst 2002 ein Studium der Informatik begonnen. Damit ist sie auf dem besten Wege, Karriere zu machen. Wirklich gute Hacker, Cracker und Virenschreiber werden irgendwann IT-Sicherheitsexperten. "Cyberwar" ist nicht vornehmlich eine Aufgabe für Geheimdienstler, sondern für Jugend- und Sozialarbeiter. Virtuelle, weltweite, versteht sich.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.