Viele der heutigen Cybersecurity-Experten - darunter auch der frühere Sicherheitschef von Facebook, Alex Stamos - haben Wurzeln in der Firma @stake. Der folgende Auszug aus Joseph Menns bevorstehendem Kult der toten Kuh: Wie die ursprüngliche Hacking-Supergruppe die Welt retten könnte, zeigt den anhaltenden Einfluss des Unternehmens.
Zwei Jahre vor dem 11. September war ein Geheimdienstmitarbeiter, den ich Rodriguez nennen werde, in Peking, als NATO-Truppen im auflösenden Jugoslawien fünf US-Bomben auf die chinesische Botschaft in Belgrad abwarfen und drei töteten. Washington entschuldigte sich schnell für das, was es als Fehler beim Zielen bezeichnete, aber die Chinesen waren wütend. In einer landesweiten Fernsehansprache verurteilte der chinesische Vizepräsident Hu Jintao die Bombardierung als „barbarisch“und kriminell. Zehntausende Demonstranten strömten auf die Straße, warfen Steine und drängten sich gegen die Tore der amerikanischen Botschaft in Peking und der Konsulate in anderen Städten.
Die USA mussten wissen, was die wütenden Massen als nächstes tun würden, aber die Mitarbeiter der Botschaft waren in ihren Gebäuden gefangen. Rodriguez, der als Privatmann in China arbeitet, könnte sich noch bewegen. Er erkundigte sich bei einem Freund am China-Schalter der CIA und fragte, wie er helfen könne. Der Analyst sagte Rodriguez, er solle herausfinden, was gerade passiert, und dann in ein Internetcafé gehen, um zu sehen, ob er von dort einen Bericht einreichen könne. Einmal in einem Internetcafé angekommen, bat Rodriguez erneut um Rat, um etwas zu übermitteln, ohne dass es in Chinas Zwickmühle für internationale Kommunikation gerät. Der Analyst fragte nach der Adresse des Cafés. Als Rodriguez ihm genau sagte, wo er war, lachte der Analyst. "Kein Problem, Sie müssen nichts senden", erklärte er. "Back Orifice ist auf all diesen Maschinen." Um zu signalisieren, wo Rodriguez sitzen soll, warf er das CD-Fach von einer Maschine aus aus der Ferne aus. Dann las er alles, was Rodriguez schrieb, während er die beste Berichterstattung aus Peking abtippte. Rodriguez löschte, was er getippt hatte, und ging hinaus, ohne Aufzeichnungen über das Schreiben zu hinterlassen.
Einige Hacker fühlten sich im Staatsdienst sehr gut aufgehoben. Im Gefolge der Terroranschläge der Regierung zu dienen, gab ihnen die Chance, sich einzufügen, als sie es zuvor noch nicht getan hatten, vereint durch eine gemeinsame Sache. Aber für zu viele dieser Kohorte endete das, was mit moralischer Klarheit begann, in der Erkenntnis, dass Moralität auseinanderfallen kann, wenn Regierungen gegen Regierungen kämpfen. Das war der Fall bei einem cDc Ninja Strike Force-Mitglied, das ich Stevens nennen werde. Als Al-Qaida durch die Zerstörung an Bekanntheit und Rekruten gewann, verstärkte das Joint Special Operations Command (JSOC) die Einstellung amerikanischer Hacker wie Stevens. Einige Mitarbeiter installierten Keylogger in Internetcafés im Irak, damit die Aufsichtsbehörden sehen können, wann sich ein Ziel bei überwachten E-Mail-Konten angemeldet hat. Dann würde der Trupp das Ziel physisch verfolgen, als er ging, und ihn töten.
Nach dem 11. September flog das Militär Stevens in ein anderes Land und beauftragte ihn, alles zu tun, von der Einrichtung von Servern bis zum Einbruch in die Telefone gefangener Terrorverdächtiger. Obwohl er ein Technikspezialist war, standen sich die kleinen Teams sehr nahe und die Mitglieder würden sich bei Bedarf gegenseitig ersetzen. Manchmal liefen die Dinge schief, und Entscheidungen vor Ort erforderten, dass er Dinge tat, in denen er nicht geschult war oder auf die er geistig nicht vorbereitet war. "Wir haben den Menschen schlimme Dinge angetan", sagte er Jahre später und beschäftigte sich immer noch mit dem Trauma.
Als die amerikanische Regierung nach dem 11. September ihre Spionagemaßnahmen verstärkte, musste sie neue Sicherheitslücken aufdecken, die digitale Einbrüche ermöglichen würden. Im Handel wurden diese häufig als "Zero-Days" bezeichnet, da der Softwarehersteller und seine Kunden innerhalb von null Tagen gewarnt hatten, dass sie den Fehler beheben mussten. Ein Zehn-Tage-Fehler ist weniger gefährlich, da Unternehmen mehr Zeit haben, einen Patch zu entwickeln und zu vertreiben, und Kunden eher bereit sind, ihn anzuwenden. Die gestiegene Nachfrage nach Zero-Days trieb die Preise in die Höhe.
Nachdem sich die Dollars vervielfacht hatten, konnten Hacker, die die besten Fähigkeiten hatten, Fehler zu finden, die andere - allein oder mit speziellen Tools - nicht finden konnten, nun ihren Lebensunterhalt damit verdienen, nichts anderes als dies zu tun. Und dann mussten sie sich entscheiden. Sie könnten direkt an einen staatlichen Auftragnehmer verkaufen und hoffen, dass der Fehler für die Verfolgung eines Ziels verwendet würde, das sie persönlich nicht mochten. Sie könnten an einen Bauunternehmer verkaufen und sich dafür entscheiden, sich nicht darum zu kümmern, wofür sie verwendet wurden. Oder sie könnten an einen Broker verkaufen, der dann kontrolliert, wohin es geht. Einige Makler gaben an, sie hätten nur an westliche Regierungen verkauft. Manchmal stimmte das auch. Diejenigen, die überhaupt nichts über ihre Kunden sagten, zahlten am meisten. Zum ersten Mal war es für die absolut besten Hacker relativ unkompliziert, eine ethische Haltung einzunehmen und dann entsprechend zu belasten.
Es war für niemanden von Interesse, diesen Markt zu beschreiben. Die Rolle der Regierung wurde als geheim eingestuft. Die Auftragnehmer waren ebenfalls zur Verschwiegenheit verpflichtet. Die Kunden der Makler wollten nicht, dass ihre Lieferkette beachtet wird. Und die Mehrheit der Hacker wollte sich nicht als Söldner melden oder ein Ziel für andere Hacker oder Regierungen auf sich malen, die daran interessiert sein könnten, sie für eine einfache Zero-Day-Ernte zu hacken. So wuchs der Graumarkt, getrieben von nützlichen Gerüchten bei Def Con und anderswo, und blieb für ein Jahrzehnt außer Sicht der Öffentlichkeit.
Die ersten Mainstream-Artikel zum Zero-Day-Geschäft erschienen 2013, kurz bevor Edward Snowden bekannt gab, dass es ein grundlegender Bestandteil der Praxis der US-Regierung ist.
Zum großen Teil dank Snyder implementierte Apple neue Techniken, die iPhones für die Polizei und Apple selbst undurchdringlich machten - zum großen Frust des FBI.
Als die Offensivfähigkeiten zunahmen, schwankte die Verteidigung. Firmen wie @stake versuchten, die größten Unternehmen zu schützen und vor allem die größten Softwarehersteller dazu zu bewegen, ihre Produkte zu verbessern. Aber genau wie die Regierung hatte die kriminelle Welt das Hacken in großem Maße entdeckt. Bescheidene Verbesserungen bei Adressen auf der schwarzen Liste für die Sicherheit, die die meisten Spam-Mails verschickten. Das veranlasste Spammer, Virenschreiber einzustellen, um Tausende sauberer Computer zu erfassen, mit denen sie den Spam-Blöcken ausweichen konnten. Und als sie diese Roboternetzwerke hatten, die als "Botnets" bekannt sind, beschlossen sie, zu sehen, was sie mit ihnen noch tun könnten. Ab 2003 waren organisierte Kriminelle, vor allem in Russland und der Ukraine, für die meisten schwerwiegenden Probleme mit Computern in Amerika verantwortlich. In einer einfachen Erweiterung ihres Geschäfts nutzten die Botnetzbetreiber die Captive-Maschinen ihrer Netzwerke, um Denial-of-Service-Angriffe zu starten, die Websites unerreichbar machten und Erpressungszahlungen über Western Union forderten, um sie zu stoppen. Sie haben auch Online-Banking-Informationen von ahnungslosen Eigentümern gesammelt, um ihr Guthaben zu belasten. Und wenn ihnen die Ideen ausgehen, vermieten sie ihre Botnets an Fremde, die andere Tricks ausprobieren könnten. Hinzu kam, dass die internationale Spionage einen höheren Gang einlegte, manchmal mit Verbündeten in der kriminellen Welt, die Beamten bei ihren Aufgaben unterstützten.
Aus @stake wurde Futter für Angriff und Verteidigung. In der Offensive zog sich Mudge aus seinem Schweif und arbeitete bei einer kleinen Sicherheitsfirma. Anschließend kehrte er für sechs Jahre als technischer Direktor für Geheimdienstprojekte zu BBN zurück. Sein @ stake-Kollege und NSA-Veteran Dave Aitel gründete Immunity Inc. und verkaufte offensive Tool-Kits, die von Regierungen und Unternehmen zum Testen und auch zum Ausspähen verwendet wurden. Er verkaufte auch Zero-Days und gab es in der Presse zu, was in jenen Tagen aufgrund ethischer Bedenken und der Angst vor Nachfragen, welche Kunden was mit den Informationen machten, selten der Fall war. Aitel argumentierte, dass andere die gleichen Schwachstellen finden würden und dass es keinen Grund gebe, seine Informationen an die Verkäufer weiterzugeben und sie von seiner Arbeit kostenlos profitieren zu lassen. Aus der Sicht des Verteidigers geht es nicht darum, wann jemand eine Sicherheitslücke freigibt, sondern darum, welche sekundären Schutzfunktionen Sie haben, wenn Sie akzeptieren, dass es Fehler gibt, von denen Sie nichts wissen. Aitel empfiehlt Tools zur Erkennung von Eindringlingen, aktualisierte Betriebssysteme und restriktive Einstellungen, die unnötige Aktivitäten verhindern.
Ein Alaun aus London @ stake zog nach Thailand in der Nähe von Bangkok, übernahm die Leitung des Grugq und wurde zum berühmtesten Broker für Zero-Days der Welt. Rob Beck, der zwischen Microsoft-Aufträgen mit @stake gearbeitet hatte, zog nach Phoenix und schloss sich der Ninja Strike Force-Koryphäe Val Smith in einem Boutique-Offensivgeschäft an, das sowohl mit Regierungsbehörden als auch mit Unternehmen zusammenarbeitete. Sorgfältige Überlegungen gingen dahin, welche Aufgaben sie übernahmen und für wen. "Wir waren Piraten, keine Söldner", sagte Beck. "Piraten haben einen Code." Sie lehnten illegale Jobs und solche ab, die auf den Kunden zurückgeschossen worden wären. Einer der wichtigsten Erwachsenen von @ stake, CEO Chris Darby, wurde 2006 CEO von In-Q-Tel, der von der CIA unterstützten Risikokapitalgesellschaft im Silicon Valley, und Dan Geer trat als Chief Information Security Officer bei, auch ohne eine behördliche Genehmigung. Darby hatte später den Vorsitz von Endgame inne, einem Verteidigungsunternehmen, das der Regierung Zero-Days im Wert von mehreren Millionen Dollar verkaufte, bevor es das Geschäft verließ, nachdem es 2011 von Hackern aufgedeckt worden war.
Zur Verteidigung gründeten Christien Rioux und Wysopal Veracode, das mithilfe eines von Christien entwickelten automatisierten Systems Programme auf Fehler analysierte, um seine reguläre Arbeit zu erleichtern. Nach Microsoft ging Windows Snyder zu Apple. Apples Software hatte weniger Lücken als die von Microsoft, aber die Kunden waren wertvoller, da sie tendenziell mehr Geld hatten. Snyder untersuchte das kriminelle Ökosystem nach Engpässen, an denen sie Betrug erschweren konnte. Eine ihrer Innovationen bestand darin, ein Entwicklerzertifikat zu verlangen, das 100 US-Dollar kostete, um etwas auf einem iPhone zu installieren. Es war nicht viel Geld, aber es reichte aus, dass es für Kriminelle wirtschaftlich unmöglich wurde, Malware auf die gleiche Weise zu versenden.
Snyder ging tiefer und argumentierte, dass Kriminelle weniger auf Apple-Nutzer abzielen würden, wenn das Unternehmen weniger Daten über sie hätte. Aber mehr Daten sorgten auch für ein nahtloses Benutzererlebnis, ein dominierendes Thema bei Apple, und Führungskräfte drängten Snyder weiter, um Beweise dafür zu erhalten, dass sich die Verbraucher dafür interessierten. "Es wurde einfacher, als die Leute anfingen, sich über Snowden auszutoben", sagte Snyder. "Wenn die Leute es wirklich verstehen, ist es ihnen wichtig." Zum großen Teil dank Snyder implementierte Apple neue Techniken, die iPhones für die Polizei und Apple selbst undurchdringlich machten, zum großen Frust des FBI. Es war das erste große Technologieunternehmen, das erklärte, es müsse sich als potenzieller Gegner seiner Kunden betrachten, ein echter Durchbruch bei der Bedrohungsmodellierung. Noch später landete Snyder in einem leitenden Sicherheitsjob bei Intel, dem führenden Chiphersteller.
David Litchfield hat öffentlich mit Oracle über die überhöhten Sicherheitsansprüche des Datenbankgiganten gestritten. Er übernahm zunehmend leitende Sicherheitsaufgaben bei Google und Apple. Katie Moussouris von @ stake, eine Freundin von cDc, blieb bei der neuen Eigentümerin Symantec und wechselte dann zu Microsoft, wo sie das Unternehmen dazu brachte, zusammen mit anderen Softwareanbietern Kopfgelder an Hacker zu zahlen, die erhebliche Mängel fanden und diese verantwortungsbewusst meldeten. Moussouris schlug sich später selbständig und brachte koordinierte Informationsprogramme zu vielen anderen Organisationen, einschließlich des Verteidigungsministeriums. Sie arbeitete auch unermüdlich daran zu verhindern, dass Penetrationstest-Tools internationalen Rüstungskontrollabkommen unterliegen.
Private Ethikdebatten wurden hitzig und eskalierten sogar zu intramuralem Hacking. Einige hochqualifizierte Hacker, die Zero-Days fanden und sie behielten, verurteilten die Bewegung zu größerer Offenlegung. Unter dem Motto "Antisec" richtete sich die enthusiastischste Aktion gegen Unternehmen, Mailinglisten und Personen, die Exploit-Code veröffentlicht hatten. Am Anfang argumentierten sie, dass das Verteilen von Exploits nicht talentierte Skriptkinder befähigte, wie diejenigen, die möglicherweise für SQL Slammer verantwortlich waren. Aber einige von ihnen wollten einfach keinen zusätzlichen Wettbewerb. Der Mantel wurde von dem Hacker Stephen Watt und einer Gruppe, die sich Phrack High Council nannte, eingenommen, was die Antisec-Bewegung kriminell machte. Später stellte Watt Albert Gonzalez, einem der berüchtigtsten amerikanischen kriminellen Hacker, einen Sniffer zur Verfügung, der alle Daten, die ein Netzwerk durchquerten, aufzeichnete. In einem Phrack-Profil von 2008, das nur seinen Griff verwendete, prahlte Watt damit, Project Mayhem zu starten, das Hacks gegen prominente weiße Hüte beinhaltete. "Wir hatten alle viel Spaß", sagte Watt. Später würde die Antisec-Mission von einer neuen Generation von Hacktivisten übernommen werden.
Ted Julian, der vor dem Zusammenschluss mit L0pht als Marketingleiter bei @stake angefangen hatte, war Mitbegründer eines Unternehmens namens Arbor Networks mit Open-Source-Mitarbeiter der Universität Michigan und W00W00-Hacker Dug Song der alten Schule. Ihr Unternehmen wurde zu einer wichtigen Kraft, um Denial-of-Service-Angriffe zu stoppen und sich selbst replizierende Würmer für kommerzielle und staatliche Kunden abzuwehren. Später gründete Song Duo Security und verbreitete die Zwei-Faktor-Authentifizierung an große Unternehmen wie Google und auch an mittelständische Unternehmen.
Song lernte cDc-Dateien und dann Mitglieder online kennen, bevor er von der Back Orifice-Veröffentlichung persönlich begeistert wurde. 1999 brachte er dsniff heraus, ein Tool zum Erfassen von Passwörtern und anderem Netzwerkverkehr. Während Arbor über mehr Arbeit für die Regierung nachdachte, entwickelte Song leise einen neuen Schnüffler, der tiefere Daten erfasste. Er plante, dies auf der ersten BlueHat-Konferenz von Windows Snyder im Jahr 2004 für Führungskräfte von Microsoft zu demonstrieren. Song ging hin und sprach über seinen verbesserten Sniffer, der Sofortnachrichtenkontakte und -dokumente analysierte und Voice-over-IP-Anrufe wie die über Skype vollständig abzeichnete. Im Rahmen der Demonstration erstellte er ein Dossier zu Microsoft-Mitarbeitern. Dann entschied er, dass die Gefahr eines solchen Überwachungstools den Sicherheitsvorteil des Diebstahls von Daten durch Insider überwog. Er überzeugte die anderen Arbor-Führungskräfte, die Vertragspläne fallen zu lassen und sein Projekt zu begraben.
Eines der jungen Talente von @ stake hatte im Büro in San Francisco gearbeitet. Alex Stamos war nicht lange aus der UC Berkeley gekommen, weil er Mudge und die anderen Gründer bewunderte. Als @stake von Symantec übernommen wurde, entschloss er sich, mit vier Freunden eine neue Firma zu gründen. @stake hatte gezeigt, dass es möglich war, ein Geschäft zu führen, das sich massiv positiv auf die Sicherheit der einfachen Leute auswirkte. Aber es hatte zwei Hauptmängel, die er in der neuen Firma beheben wollte. Das erste war, dass es Wagnisgelder genommen hatte, die es unrealistischen finanziellen Zielen zum Opfer fielen. Stamos und seine Partner, darunter Joel Wallenstrom und Jesse Burns von @stake, legten jeweils 2.000 USD zu Buche und nahmen das neue Beratungsunternehmen iSec Partners unter Vertrag. Anstatt mit der Geschäftsführung und den Verkäufern schwer zu tun zu haben, wirkte es wie eine Anwaltskanzlei, bei der jeder Partner seine eigenen Kundenbeziehungen pflegt.
Das iSec-Modell versuchte auch, das andere Problem von Stamos mit @stake zu lösen: dass Stamos in seinen Worten "kein moralisches Zentrum hatte". Stamos stellte sicher, dass weder er noch einer seiner Partner irgendetwas tun mussten, was sie unangenehm machte - Jede große Entscheidung würde eine einstimmige Zustimmung der fünf erfordern.
"Es war eine Zeit der moralischen Abrechnung. Die Menschen erkannten die Macht, die sie hatten."
Dug Song, Duo-Sicherheit
Nachdem @stake weg war, begann iSec im Jahr 2004 mit der Beratung von Microsoft und trug zu erheblichen Verbesserungen der Sicherheit in Windows 7 bei. Vier Jahre später erhielt es die Einladung, an einem großen Projekt für Google mitzuwirken: dem Android-Handy-Betriebssystem. Android war so heimlich entwickelt worden, dass Googles exzellente Sicherheitsleute aus dem Verkehr gezogen worden waren. iSec wurde nur sieben Monate vor dem Start aufgerufen. ISec sah unter anderem ein enormes Risiko im Ökosystem von Android. In einer vernünftigen Strategie für einen Außenseiter, der gegen Apples iPhone kämpft, plante Google, die Software kostenlos zu verschenken und Telefongesellschaften zuzulassen, sie nach eigenem Ermessen zu ändern. Aber iSec erkannte, dass Google nicht darauf bestehen konnte, dass Patches für die unvermeidlichen Mängel von den Verbrauchern tatsächlich mit jeder Geschwindigkeit ausgeliefert und installiert werden.
iSec schrieb einen Bericht über die Gefahr und gab ihn Andy Rubin, dem Vater von Android. "Er hat es ignoriert", sagte Stamos, obwohl Rubin später sagte, er habe sich nicht an die Warnung erinnert. Mehr als ein Jahrzehnt später ist dies immer noch der gefährlichste Fehler von Android. Stamos war frustriert, als er nachträglich angerufen wurde, und er begann zu glauben, dass die Arbeit im Haus der richtige Weg sei. Schließlich wechselte er als Chief Information Security Officer zu Internet Mainstay Yahoo. Wallenstrom wurde CEO des sicheren Nachrichtensystems Wickr; Jesse Burns blieb bei iSec durch die Übernahme von NCC Group im Jahr 2010 und leitete 2018 die Cloud-Sicherheit von Google. Dave Goldsmith gründete 2005 den Rivalen Matasano Security an der Ostküste von iSec, der noch mehr @stake-Mitglieder anlockte, um die Sicherheit bei großen Softwareanbietern und Kunden zu verbessern. Später wurde er leitender Angestellter bei NCC.
Das erste Jahrzehnt des Jahrtausends war eine seltsame und spaltende Zeit der Sicherheit. „Es war eine Zeit der moralischen Abrechnung. Die Menschen erkannten die Macht, die sie hatten “, sagte Song. Hunderte von fokussierten Technologieexperten mit wenig Sozialisation, geschweige denn mit einer formalen Ethikausbildung, wurden plötzlich freigesetzt, und nur wenige Gruppen und Branchenrockstars waren potenzielle Vorbilder, und es gab kaum eine offene Diskussion über die richtigen und falschen Verhaltensweisen. Die meisten von @stake blieben in defensiver Sicherheit und erarbeiteten unterschiedliche persönliche Ethikkodizes für große und kleine Unternehmen. Während sie in den kommenden Jahren eine enorme Rolle bei der Verbesserung der Sicherheit spielten, stammte die wichtigste von cDc inspirierte Arbeit möglicherweise weder von Unternehmen noch von der Regierung.
Dieser Artikel wurde aus Cult of the Dead Cow extrahiert: Wie die Original Hacking Supergroup die Welt retten könnte von Joseph Menn. Copyright © 2019. Erhältlich bei PublicAffairs, einem Impressum von Perseus Books, LLC, einer Tochtergesellschaft der Hachette Book Group, Inc.
