<html> <p>(aus DECBlatt)</p>
<p><br/>
Die Hacker, die über das SPANet unter anderem in VAX-Rechner der
NASA und der ESA eingedrungen sind, hatten fremde Hilfe. Ermöglicht
wurde der ganze Coup erst durch einen Hamburger Studenten, der ihnen seinen
Benutzernamen samt zugehörigem Passwort nannte.</p>
<p>(Karikatur: Hacker inmitten von PC's am telefonieren, Fahne an der Wand
"Hacker e.V.", Text daneben: "Guten Tag, hier spricht die
NASA. Unser Computer ist abgestürzt. Können Sie uns vielleicht
mit einer Kopie unserer Daten aushelfen?")</p>
<p>Angefangen hat alles in Hamburg. Auf der VAX 11/750 der dortigen Aussenstelle
der EMBL (European Molecular Laboratory - Europäisches Laboratorium
für Molekularbiologie) konnten die Hacker trainieren - ein Student
hatte ihnen Usernamen und Passwort seines Accounts mit allen Privilegien
verraten. Einmal im Besitz dieser Informationen, konnten die Hacker beliebig
auf den EMBL-Rechner zugreifen.</p>
<p>Von Hamburg ging es weiter nach Heidelberg zr EMBL-Zentrale. Über
das Netz drangen die Hacker in den dortigen Rechner, einen Cluster aus
einer VAX 8600 und einer 11/785, ein. Möglich war dies nur dadurch,
da× sie über eine Mailbox in den Besitz von sogenannten Patches
gekommen waren, die unter anderem die Login-Prozedur verändern.</p>
<p>Diese Patches wiederum konnten nur funktionieren, weil die Versionen
4.4 und 4.5 des DEC-Betriebssystems VMS einen Fehler aufwiesen, der sich
nun als echtes Sicherheitsrisiko entpuppte. Dieser Fehler war zumindest
seit Ende des letzten Jahres bekannt. In den USA hat DEC auch reagiert
und eigene Patches entwickelt, <br/>
die diese Sicherheitslücke geschlossen. In Europa allerings waren
die DEC-Patches erst Mitte 1987 zu bekommen - nachdem die Hacker 135 VAXen
im Forchungsnetz SPAN (Space Physics Analysis Network) geknackt hatten.</p>
<p>"Es hat viel zu lange gedauert, bis DEC diese Patches zur Verfügung
stellen konnte", sagt Roy Omond, als Head of Computing Services zuständig
für die Rechner des EMBL. "Das Technical Support Center wusste
anscheinend von nichts, und die Zweigniederlassung überspielte uns
Programme, die mit unserem Problem nicht das geringste zu tun hatten."
Omond besorgte sich die Patches schliesslich per Mailbox von einem Kojlegen
in den Niederlanden.</p>
<p>Roy Omond ist von dem Hacker-Coup ganz besonders betroffen. Von seinem
Rechner aus "telefonierten" die Eindringlinge mit Computern
in aller Welt. "Sie haben uns echtes Geld gekostet", beklagte
sich der schottische System-Manager in einem weltweiten Rundschreiben
an Kollegen, nachdem er, "eigentlich durch Zufall", <br/>
die Hacker in seinem System entdeckt hatte.Auf die Schliche war er ihnen
gekommen, als er eines nachts an seinem System arbeitete und plötzlich
einen weiteren Benutzer entdeckte. Einen Benutzer, der eigentlich gar
nicht da sein konnte. Denn die Prozedur "show user" hatte nur
Omond als aktuellen Benutzer ausgewiesen, die angegebene Benutzerzahl
1. Nachdem Omond den ihm unbekannten Prozess auf seinem Rechner gestoppt
hatte, zeigte "show user" 0 Benutzer - obwohl der <br/>
System-Manager noch eingeloggt war. Nachdem er sich ausgeloggt hatte,
war es auf einmal -1 Benutzer.</p>
<p>Der Trick: Die Hacker hatten nur die Login-Prozedur verändert und
einen "Generalschlüssel" entwickelt; sie hatten auch jedesmal,
wenn sie sich einloggten, die Benutzerzahl um eine heruntergezählt.
Beim Ausloggen imkrementierten sie sie wieder. Auf diese Weise konnte
ein zusätzlicher User dem System-Manager <br/>
normalerweise nicht auffallen.</p>
<p>Der Fehler: Die Hacker hatten die Möglichkeit übersehen, dass
ein Prozess auch ohne Logout gestoppt werden kann. Ein solcher Stop aber
umging die Inkrementierung der Benutzerzahl, und so konnte es zu dem seltsamen
"negativen User" kommen - ein eindeutiges Zeichen dafür,
dass etwas nicht stimmen konnte.</p>
<p>Bei seinen Nachforschungen fiel Omonds Interesse sehr schnell auf den
EMBL-Rechner in Hamburg. Von dort waren in den Wochen zuvor ungewöhnlich
viele lange Anrufe im Heidelberger System eingegangen. Auf der Hamburger
VAX wurden schliesslich die Patches der Hacker gefunden, "Gefunden",
so Omond, "haben wir auch einige Mails aus Karlsruhe, mit denen diese
Patches nach Hamburg geschickt worden waren. Was uns am meisten verwundert
hat, war allerdings ein kleines Programm, mit dem man sämtliche Benutzernamen
sowie deren Passwörter auflisten konnte." Besonders priviligierte
Benutzer wurden in diesen Listen fein säuberlich <br/>
mit einem "*" gekennzeichnet.</p>
<p>Das alles begab sich gegen Ende Juli. Etwa zwei Wochen vorher waren die
Hacker zum ersten Mal in Omonds System gewesen. Zeit genug für sie,
über den Heidelberger Rechner mehr als 130 weitere VAXen im SPANet
zu knacken. Alles Systeme, die unter den Betriebssystem-Versionen 4.4
oder 4.5 liefen.</p>
<p>Unter diesen Systemen befand sich auch das des europäischen Kernforschungszentrums
CERN in Genf, nach derzeitiger Erkenntnis das einzige System, indem die
Hacker tatsächlich Schaden anrichteten. Hier wurden Daten verändert
oder gelöscht. BEI CERN wird nun erwogen, rechtliche Schritte gegen
die Hacker <br/>
einzuleiten. Bereits im vergangenen Jahr war CERN das Ziel von Hacker-Aktionen
gewesen. Wegen dieser älteren Geschichten wurden jetzt auch die Räume
des Hamburger Chaos Computer Clubs (CCC) von der Polizei durchsucht; schriftliche
Unterlagen, sowie eine Reihe von Disketten wurden beschlagnahmt.</p>
<p>Der CCC war es auch gewesen, der den Hack im SPANet an die breite Öffentlichkeit
brachte - allerdings erst, nachdem Omond die Hacker in seinem System entdeckt
hatte. Die Hacker seien jedoch keine Clubmitglieder gewesen, beteuerte
der CCC. Sie hätten sich lediglich an den Club gewandt, als ihnen
die Sache zu heiss geworden sei.</p>
<p>Der CCC bestreitet energisch, dass in irgendeinem betroffenem System
Schäden angerichtet wurden. Vorstandsmitglied Reinhard Schrutzki
zum DECKBLATT: "Wir hätten uns niemals zum Sprachrohr dieser
Hacker gemacht, wenn es solche Schäden gegeben hätte. Die Hacker
haben allerdings in verschiedenen Datenbeständen "gewühlt"
- Dokumentationen darüber liegt uns vor."</p>
<p>Das deutsche Strafrecht sieht für solche "elektronische Einbrüche"
bis zu drei Jahren Freiheitsstrafe vor. Es gestaltet sich allerdings in
der Praxis ausgesprochen schwierig, einzelnen Personen solche Straftaten
zweifelsfrei nachzuweisen. (th)</p>
<p><br/>
Netzvermerk: 8710281654 8711 BBPR.DCB Andy, Ls 16 <br/>
(CLINCH:DATENREISEN&DFUENEWS) </p>
</html>