Die Nacht der Hacker

Friede herrscht in Gebäude A5 nur analog. Die Mehrheit der Tische ist unbesetzt, ausgetrunkene Safttüten und griechische Schriftzeichen auf Schmierzetteln zeugen von Gruppenarbeit und Lernstress im Erdgeschoss der Mannheimer Informatik-Fakultät. Nur noch wenige Studenten brüten an diesem späten Nachmittag über Aufgaben. Und auch sie merken nichts von den Vorbereitungen für den virtuellen Serverkampf, der in wenigen Minuten weltweit und auch hier, ein Stockwerk tiefer, wüten wird.

Thorsten Holz nimmt den Fahrstuhl. Es ist Freitag, der 5. Dezember 2008, 16.33 Uhr. Unter dem linken Arm des jungen Doktoranden schimmert ein flacher Laptop, in der rechten Hand hält er einen Kugelschreiber, mit dem er nervös im schnellen Rhythmus gegen das Hosenbein seiner Jeans schlägt. "Die veröffentlichte Datei ist viel kleiner als sonst, und Giovanni sprach von einer Überraschung", sagt Holz mehr zu sich selbst.

Mit Giovanni meint er Giovanni Vigna, Pferdeschwanzträger, 39 Jahre alt, Professor für Informatik an der University of California in Santa Barbara (UCSB) und Organisator des iCTF, was für "International Capture The Flag" steht. Bei diesem jährlich stattfindenden weltweiten Hacker-Wettbewerb treten Studentengruppen rund um den Globus in einem dramatischen Gefecht gegeneinander an. Ihr Scharmützel tragen sie freilich nur im Cyberspace aus, mit Waffen, die sie bestens beherrschen: mit Bits und Bytes und der Kombinationskraft ihrer Gehirne. Ihre Aufgabe besteht darin, eine vorgegebene Online-Plattform – etwa einen einfachen Online-Shop – inklusive des Servers, auf dem sie läuft, der Webseite, die ihn präsentiert, und den Diensten, die sie anbietet, so einzurichten und zu betreiben, dass sie Hacker-Angriffen widersteht. Das Verteidigen ist eine Sache, das Angreifen eine andere. Da jede Mannschaft das gleiche webbasierte System betreibt, kann sie die Kenntnis der gefundenen Sicherheitslücken in Angriffe auf die Systeme der anderen umsetzen. Mit Fachwissen und Kreativität versuchen sie, die elektronischen Barrieren zu umgehen, einzudringen und "Flaggen" zu rauben, 32-stellige Zeichenketten, versteckt im Code der Webseiten und Dateien auf dem Server.

Der iCTF ist mehr als ein Hacker-Wettbewerb. Es gibt nicht nur Punkte für die Flaggen, sondern auch für das Lösen liebevoll ersonnener Quizfragen und Zusatzaufgaben wie digitale Beweissicherung, das verschleierte Versenden von Daten oder die Analyse von unbekanntem Quellcode, um die Funktion einzelner Programmzeilen zu verstehen. Sie ermöglichen es, alle Mitglieder einer Mannschaft gleichzeitig zu beschäftigen und decken darüber hinaus mehrere Gebiete der IT-Sicherheit ab. Der iCTF verwandelt sich somit für neun Stunden in eine weltweite praktische Übung, die jede theoretische Vorlesung über IT-Sicherheit in puncto Lernspaß um Längen schlägt.

"Squareroots" nennen sich die Mannheimer Teilnehmer, und einer ihrer Spezialisten für das Flaggenstehlen ist Thorsten Holz, der jetzt mit schnellen Schritten zum Gefechtsstand für den Cyberwar eilt. Im "Hackerkeller", wie sie den nüchtern eingerichteten Raum nennen, haben die Studenten bereits graue Schreibtische zu fünf Arbeitsinseln zusammengeschoben. In der Mitte des Raumes macht sich ein schwarzes Ledersofa breit.

Im Hackerkeller hat Matthias Luft das Sagen. Er ist für die nächsten Stunden offizieller Mannschaftsrepräsentant der Squareroots. Seine braunschwarze Perlenkette spannt sich um den Hals, wenn er ruckartig von seinem Rechner aufblickt und Anweisungen gibt. Kantiges Gesicht, Bürstenhaarschnitt und muskulöse Unterarme lassen ihn wie den Anführer eines paramilitärischen Kommandounternehmens erscheinen, doch der Eindruck verfliegt, sobald er mit seinen Kollegen spricht. Trotz allmählich aufkommender Spannung ist die Atmosphäre locker, der gemeinsame Spaß steht eindeutig im Vordergrund.

Rund fünfzehn weitere Studenten haben sich hinter einer Vielzahl von Laptops, Tastaturen und Flachbildschirmen verschanzt. Musik tönt aus PC-Lautsprechern, einige spielen sogar noch Tischfußball und kommen dabei den zwei Kaffeemaschinen gefährlich nahe, die zusammen mit fünf Paketen Kaffee und zwei Filterpackungen an der hinteren Wand stehen.

16.45 Uhr. Matthias steht jetzt vor einer Reihe von Pinnwänden, auf denen Buchstabenkombinationen und Zahlengruppen zu lesen sind – Passwörter und IP-Adressen, die das eigene Netzwerk der Squareroots kennzeichnen. Noch ein letztes Mal erklärt er den Ablauf, den Aufbau des Netzwerks und die Verwendung der Software-Tools.

Seit 2006 nehmen die Squareroots am iCTF teil, der seit 2003 ausgetragen wird. Dieses Jahr gilt er mit 39 Mannschaften aus neun Ländern und mehreren Hundert teilnehmenden Studenten als größte in Echtzeit über das Internet ausgetragene IT-Security-Übung. Aus Deutschland sind neben den Mannheimern auch "OldEur0pe" von der RWTH Aachen, "ENOFLAG" von der TU Berlin, die "Flux Fingers" von der Ruhr-Universität Bochum, "Defender of the Flag" von der Universität Regensburg, die "Ulm Security Sparrows" von der Universität Ulm und die "CInsects" von der Uni Hamburg mit von der Partie.

17.20 Uhr. Die UCSB gibt endlich das Passwort für die bereits veröffentlichte Datei frei. Schlagartig herrscht Stille im Raum, dann beginnen Tastaturen zu klackern. "Läuft der Scan?", ruft Ben alias "coolbreeze", der für das Netzwerk zuständig ist.

Matthias verfolgt mit vier weiteren Studenten vor einem Monitor die darüberhuschenden Programmzeilen. Sie sind überrascht. Es handelt sich nicht wie gewohnt um das frei verfügbare Betriebssystem Linux, sondern um "FreeDos", eine Variante des veralteten "Disk Operating System", das Mitte der Neunzigerjahre auf jedem PC zu finden war. Matthias eilt zu seinem eigenen Rechner, um den Nachteil des Spätgeborenen mit Suchmaschine und Browser auszugleichen. Auf ähnliche Weise hat er sich auch sein Spezialwissen erarbeitet. "Ich habe einfach viel Zeit reingesteckt", erklärt der 23 Jahre alte Informatikstudent, der als Hackername den Judo-Begriff "uchimata" gewählt hat. Er habe nicht nur neben der Uni viel dazu gelesen, sondern auch ein Praktikum bei einer Sicherheitsfirma gemacht.

Immer mehr Informationen von der UCSB treffen nun ein. "Es gibt eine Webseite", ruft jemand aus dem hinteren Raum. "Ist der Satz nicht ein Filmzitat aus 'Sneakers'?", schallt es aus der einen Ecke, woraufhin ein anderer antwortet, dass er den Film bereits herunterlade. "Da geht was!", feuert Matthias seine Mitstreiter mit weit geöffneten Augen an. Bereits seit einigen Minuten wirft der Beamer das von den kalifornischen Forschern erfundene Szenario an die Wand:

9 Uhr morgens. Ein Klopfen an der Tür. "Sie ist scharf!", schreit TV-Terroristenjäger Jack Bauer und ringt nach Atem, "in sieben Stunden lässt das Netzwerk Softerror.com einen atomaren Sprengsatz hochgehen. Die Bombe kann nur entschärft werden, wenn jemand ihre Website knackt und in die Netzwerke dahinter eindringt, wo das Steuerprogramm für die Bombe läuft.

Damit ist die von Vigna angedeutete Überraschung perfekt. Diesmal geht es nicht darum, Sicherheitslücken zu stopfen und Server anzugreifen, diesmal geht es darum, schlauer als Terroristen zu sein und – die Welt zu retten.

Ähnlich wie bei Konstruktionswettbewerben, wo Teilnehmer Baukästen mit identischen Teilen bekommen, erhalten die Hackergruppen nun einen Bereich im Netzwerk des Wettkampfes zugewiesen, der sich immer auf die gleiche Weise aufbaut: Der Webserver mit der Seite www.softerror.com kann angesurft werden, doch dahinter verbergen sich geschützt drei weitere Server. Der Story nach dienen sie der Entwicklung von Cyber-Waffen, der Abwicklung des Finanzverkehrs und der Steuerung der Bombe. "Versucht unsichtbar zu sein oder zumindest nicht so auffällig", schreibt Vigna.

Matthias lässt bereits einen "Portscan" laufen. Dabei prüft er ähnlich einem Einbrecher, der auf der Suche nach potenziellen Einstiegsmöglichkeiten um ein Haus streicht, welche Dienste der Webserver bietet. Die sofort sichtbare Internetseite ist nicht nur recht einfach gehalten, sondern für konspirative Verhältnisse auch ungewöhnlich offenherzig. "Softerror.com" steht da in überdimensional großer blutroter Schrift auf dem Display, darunter: "We put the error in terror". Im Hintergrund posieren die wissenschaftlichen Mitarbeiter von Vigna in einer Collage aus Schwarzweiß-Passbildern, auf denen sie sich mit dunklen Sonnenbrillen tarnen. Doch die Squareroots haben kein Auge dafür. Schnell klicken sie die Unterseiten "Mission", "About us", "Contact us" und "Join us" durch. Sie weisen Felder für Eingaben auf und sind damit potenzielle Angriffsmöglichkeiten.

Die Musik ist schon lange aus. Das Gemurmel von Stimmen und Tasten-Tipperei erfüllt nun den Raum, das Drehen der Scroll-Räder auf den Computermäusen klingt wie das Laden von Revolvertrommeln. Helfer gehen mit Netbooks in der Hand durch den Raum, geben Hinweise auf Sicherheitslücken, die sie gerade auf Seiten wie ha.ckers.org nachgeschlagen haben. Der Angriff ist nur noch eine Frage der Zeit.

18.27 Uhr. Ein Student reckt im hinteren Teil des Raumes beide Arme in die Luft. "Es bindet PHP-Code ein", jubelt er, reibt seine ausgestreckten Hände gegeneinander.

PHP ist eine häufig verwendete Scriptsprache für das Erstellen von Web-Anwendungen, da sich durch ihren Gebrauch in Kombination mit einer Datenbank Inhalte auf einer Internetseite flexibel anzeigen und sich je nach Eingabe des Betrachters bestimmen lassen. Dazu bietet PHP mächtige Funktionen, die auf dem Server Befehle ausführen, Dateien laden und sogar Verbindungen zu anderen Servern herstellen können.

Ist der angegriffene Server an den entsprechenden Stellen falsch eingestellt, kann der Hacker getarnten Code einschleusen, wie ein Kuckuck seine Eier zum Brüten fremden Vögeln unterschiebt. Jeder bei den Squareroots beherrscht PHP, doch Tim Weber gilt als Spezialist. Kurzes schwarzes Haar, durch das die Kopfhaut schimmert, lange Koteletten und ein breites Grinsen verleihen ihm die Ausstrahlung eines Schlitzohrs. "Ich brauch jetzt meine eigene Maschine", sagt er nur und eilt zu seinem Arbeitsplatz, an dem ein kleines schwarzes Subnotebook auf Interaktion wartet.

Tim entdeckt ein "Directory Listing", das den kompletten Inhalt des jeweiligen Verzeichnisses anzeigt. Weiter erkennt er, dass dort die in ein Textfeld eingetragenen Anwendernamen als Dateinamen abgelegt werden. Ohne zu zögern legen Matthias und er den Anwender "user.php" an, über ein weiteres Textfeld bestimmen sie den Inhalt der user.php-Datei und schaffen es so, PHP-Code auf dem Server auszuführen. "Wir sind drin!", ruft Matthias wenige Sekunden später und ballt die Faust. Der Zugriff beschränkt sich jedoch nur auf die Rechte des Webserver-Benutzers. Um vollen Zugriff zu haben, müssen sie in die Rolle des Administrators schlüpfen, "Root" werden.

Abseits des Angriffs widmen sich andere den Zusatzaufga-ben, versuchen beispielsweise als Virenexperte der Los-Angeles-Anti-Terror-Einheit Informationen tief im Innern von Windows XP zu finden, aus Bild- und Tondateien Passwörter zu extrahieren oder einfach nur Quizfragen zur Computer-Historie zu beantworten. Ralf alias "rg" und Wolf "w0lverine" haben sich die erste Aufgabe in der Disziplin Quellcode-Analyse vorgenommen und brüten über rund zehn unbekannten Programmzeilen.

Ralf ist 26 Jahre alt, trägt eine weite Jeans und Schuhe aus hellem Wildleder. Bei den Squareroots gilt er als Zauberer, weil er Sinn und Zweck einzelner Programmzeilen selbst aus dem Quellcode kryptischer Programmiersprachen wie C++ oder Assembler oder sogar aus bereits übersetzten Programmen herauslesen kann, die für jeden anderen einen nicht durchdringbaren Zahlendschungel darstellen.

Mit 15 Jahren hat Ralf begonnen, sich mit Assembler und Co. zu beschäftigen, am iCTF genießt er vor allem den sportlichen Aspekt: "Das Finden und Ausnutzen der Schwachstellen macht einfach Spaß."

19.51 Uhr. Ben springt vom Stuhl auf und schlägt sich mit der flachen Hand auf die nackte Stirn: "Wir sind Root. Auf dem Webserver!" Den Schadcode, den die Squareroots eingeschleust hatten, lief mit den Rechten eines Benutzers, der ohne weitere Passworteingabe auch Befehle des Superusers Root ausführen durfte. Die vollständige Kontrolle öffnet nun die Pforten zum Terror-Netzwerk. Ben und Co. untersuchen neugierig die weiteren Server "Financial Data" und "Cyber Terror Tools". Auf "Financial Data" entdecken sie eine Webanwendung, die über vier Sicherheitsstufen gesichert ist. Zu jeder dieser Stufen muss das entsprechende Administrator-Passwort herausgefunden werden.

22.30 Uhr. Nur noch vereinzelt hört man Tastenanschläge. Neben Tastaturen und Monitoren liegen aufgeklappte Pizzakartons und ausgetrunkene Cola-Flaschen herum. Matthias berät sich mit Tim, denn das dritte Level ist schwieriger als gedacht. Seine Augen sind gerötet, die Haare stehen kreuz und quer. Aufmerksam beobachtet er die Online-Blitztabelle der teilnehmenden Gruppen, die von den Organisatoren kontinuierlich aktualisiert wird. Ein zweiter Beamer wirft sie an die Wand, während der erste die geraubten Passwörter zeigt. Es stinkt nach überhitzten Glühbirnen: Die Beamer laufen schon seit Stunden.

Matthias ist beunruhigt: OldEur0pe, der "Erzfeind" aus Aachen, liegt mit 1500 Punkten zwar noch hinter den Mannheimern, hat aber gerade für 200 Punkte Lösungshinweise für "Financial Data" gekauft. Matthias hat genug von der Durststrecke: "Hey, was haltet ihr davon, wenn wir uns Hinweise für Level drei kaufen?" Andreas alias "dew00d" reckt den Kopf. Die ganze Zeit hat er mit seinem Bruder am Tisch im hinteren Teil des Raumes gesessen und leise die Web-Anwendung analysiert. "Wieso? Wir haben das Passwort!"

Matthias und Tim klappt der Kiefer herunter, doch die Erklärung von Andreas überzeugt die beiden: Er hatte eine Fehlermeldung entdeckt, die belegte, dass ungeschützt Dateien von einem anderen Server aufgerufen und ausgeführt werden. Da die Squareroots bereits den Webserver der vermeintlichen Terroristen kontrollierten, legten sie dort eine entsprechende Datei ab und veranlassten den angegriffenen Server, die Datei auszuführen – so wie die Trojaner das hölzerne Pferd in ihre Festung zogen. Erst ließen Andreas und sein Bruder sich das Verzeichnis anzeigen, dann verfuhren sie nochmals auf die gleiche Weise, um sich den Inhalt der Datei ausgeben zu lassen, in der sie das Passwort vermuteten. Sie wurden fündig.

Ihre Durststrecke ist beendet. Innerhalb von zehn Minuten haben sie über eine manipulierte Anfrage an die vorgefundene Datenbank auf dem Server auch das vierte Passwort, zusammen mit den drei anderen erlangen sie die vollständige Kontrolle über den Server und können nun als "Root" walten und schalten.

Mehr und mehr Studenten konzentrieren sich nun auf die noch ungelösten Zusatzaufgaben, um die wichtigen Zusatzpunkte einzustreichen. Gegen 0 Uhr liegt Squareroots mit 2100 Punkten unter den ersten zehn, OldEur0pe aus Aachen haben sie hinter sich gelassen, vor ihnen hacken noch ENOFLAG aus Berlin und die russischen SiBears. Wieder bringt eine Lösung 200 Punkte, doch die Berliner bleiben mit 3000 Punkten immer noch vorn, mit 2900 Punkten nun dicht gefolgt von "HackerDom", einer weiteren russischen Gruppe.

1.00 Uhr. Matthias und Tim widmen sich dem Server "daBomb". Eingabe um Eingabe tasten sie sich voran, stoßen auf eine Anzeige, die durchnummeriert die Aktionen Entschärfen, Aktivieren, Status, Download Bombe, Upload Bombe auflistet. Doch sie trauen dieser spartanischen Schnittstelle nicht und kopieren die Bombe lieber, um sie in Ruhe zu analysieren. Eine Viertelstunde später ballt Matthias die Faust. "Wir haben Administrator-Rechte auf dem Bomben-Server", verkündet er mit breitem Grinsen. Die Entschärfung scheint nun nur noch eine Frage der Zeit zu sein, auch weil Ralf und Wolf inzwischen aufmerksam den Binärcode der Bombe analysieren. Matthias will so sichergehen, dass kein virtueller Stolperdraht im Zeichensalat aus Buchstaben und Zahlen für eine vorzeitige Explosion sorgt.

1.40 Uhr. Die Squareroots betätigen "Entschärfen", was keine Wirkung zeigt. Damit haben sie gerechnet, nicht jedoch mit dem, was nun folgt.

1.53 Uhr. Die manipulierte Bombe gibt bei "Entschärfen" ein "entschärft" zurück, doch die Statusabfrage antwortet mit "scharf". "Siehst du, woher es den Status liest?", fragt Matthias Ralf. Der ändert den Code erneut, Wolf hechtet mit der neuen Version auf dem USB-Stick zu Matthias, der sie auf den Bomben-Server lädt. Keinen hält es mehr auf den Stühlen, viele stehen hinter Matthias. Der schaut gespannt zu Ben gegenüber, der auf Nummer sicher geht, indem er eine Verbindung zu den beiden übrigen Ports auf dem Bomben-Server herstellt.

So schnell Ben auch tippt, so schnell grüne Befehlsketten auch über den dunklen Bildschirmhintergrund huschen, wertvolle Sekunden verrinnen. Bens Mund ist geöffnet, seine Augen aufgerissen. Zu spät. Die Zeit ist abgelaufen. Von der Bombe hören sie weder einen Knall, noch spüren sie eine Druckwelle. Ein kollektives Aufatmen bleibt bei den Hackern Mannheims jedoch ebenso aus: Die Squareroots haben verloren.

2.25 Uhr. Auch der vom Lehrstuhl ausgegebene Kasten Bier kann jetzt nicht mehr aufheitern. 2007 hatten die Squareroots noch den zweiten Platz belegt, diesmal reichte es mit 2700 Punkten nur für den sechsten Platz. Ben reagiert sich am Kicker ab, Tim spielt in Gedanken versunken mit einem Rubik-Würfel, während Matthias noch schnell eine Dankes-Mail an die Organisatoren verfasst. Als der Beamer das Video von den Siegern, ENOFLAG aus Berlin, an die Wand wirft, hebt Ben trotzig das Bier: "Wir sehen uns wieder – spätestens beim iCTF 2009." Der Hackerkeller leert sich nur langsam. Draußen hat Regen eingesetzt, Licht schimmert auf den nassen Bürgersteigen Mannheims. Im Hackerkeller mögen die Bösen gewonnen haben, doch draußen ist der reale Frieden erhalten geblieben. (bsc)