The Cuckoo's Egg
Ein Buchhaltungsfehler von 75 Cent, der Spionage des Kalten Krieges aufdeckte und die moderne Incident Response erfand.

Das Objekt
Im August 1986 wurde Cliff Stoll, ein Astronom, der nach dem Auslaufen seiner Förderung für Teleskopzeit in den Betrieb der Rechner am Lawrence Berkeley National Laboratory hineingeraten war, mit einer trivialen Aufgabe betraut: eine Diskrepanz von 75 Cent zwischen zwei Buchhaltungsprogrammen abzugleichen, die den Nutzern ihre Zeit auf den Großrechnern des Labors in Rechnung stellten. Das Labor verrechnete in Sekundenbruchteilen, und die Bücher hatten sich nie zuvor widersprochen. Statt die Lücke abzuschreiben, führte Stoll sie auf einen nicht autorisierten Nutzer zurück, „Hunter", der keine Abrechnungsadresse hatte, weil er überhaupt nie autorisiert worden war. Das Artefakt ist die einjährige Papierspur der folgenden Verfolgung (Logbücher, Ausdrucke und eine von Hand gezeichnete Karte der Netzwerksprünge), später veröffentlicht als Buch The Cuckoo's Egg (1989), das sich wie ein Kriminalroman liest und tatsächlich der erste detaillierte öffentliche Bericht über eine Untersuchung eines Internet-Einbruchs ist. Der Titel stammt von der Methode des Eindringlings: Wie ein Kuckuck, der sein Ei in das Nest eines anderen Vogels legt, schob er seinen Code in Systeme, die ihn dann nährten, und nutzte dabei eine Schwachstelle im Dienstprogramm movemail von GNU Emacs aus, um Superuser-Rechte zu erlangen.
Die Jagd
Der Eindringling war Markus Hess, der von Hannover, Westdeutschland, aus operierte, am Rand des Milieus rund um den Chaos Computer Club. Über das deutsche Datex-P-Netz und das internationale Tymnet-Gateway eingewählt, sprang er über Berkeley ins MILNET, den militärischen Teil des frühen Internets der USA, sondierte rund 450 Rechner bei Stützpunkten, Rüstungsunternehmen und der NASA und drang in etwa dreißig ein. Was er fand, verkaufte er an den KGB gegen Geld und Drogen, vermittelt durch einen Hannoveraner Dealer namens Pengo und andere. Stoll improvisierte alles, was seither Standard wurde: Er verkabelte fünfzig Drucker und Fernschreiber mit den eingehenden Leitungen, sodass jeder Tastenanschlag auf Papier protokolliert wurde, führte minutiöse Chronologien Minute für Minute und schlief auf einer Pritsche im Maschinenraum, einen Pieper am Gürtel, damit ein Alarm ihn weckte, wenn Hess sich einloggte. Das FBI, die CIA, die NSA und das OSI der Air Force zuckten zunächst alle nur die Schultern, denn keine Behörde wollte einen Fall um ein paar Dollar beanspruchen, also machte Stoll allein weiter. Da Hess jeweils nur Minuten verbunden blieb, zu kurz, als dass die Deutsche Bundespost eine Rückverfolgung hätte abschließen können, erfand Stoll einen Köder: ein fiktives Büro „SDInet" (Netz der Strategischen Verteidigungsinitiative), vollgestopft mit gefälschten, geheim klingenden Dateien. Hess verweilte stundenlang beim Lesen, lang genug, um über den Atlantik bis nach Hannover zurückverfolgt zu werden. Der Köder wirkte doppelt: 1987 schickte ein ungarischer Agent einen Brief an das gefälschte SDInet-Büro und bestätigte damit die Spionageverbindung.
Der Kreis darum herum
Hess handelte nicht allein. Seine Mittäter gehörten einer losen Hannoveraner Gruppe an, die den Sowjets Zugang zu westlichen Rechnern verkaufte; der Ring wurde nach Stolls Rückverfolgung aufgerollt, und 1990 wurden Hess und zwei weitere von einem deutschen Gericht wegen Spionage verurteilt und erhielten Bewährungsstrafen. Die beklemmendste Gestalt war Karl Koch (Pseudonym Hagbard Celine, entlehnt aus Robert Anton Wilsons Illuminatus!-Trilogie), ein junger Hacker, durchdrungen von Verschwörungstheorie und Sucht, der zur selben Szene gehört hatte. Im Mai 1989, wenige Tage nach der Enthüllung des Falls im Fernsehen und bevor er vollständig aussagen konnte, wurde Koch verbrannt in einem Wald bei Celle aufgefunden. Das offizielle Urteil lautete Suizid; der Zeitpunkt gab der Affäre einen dauerhaft unruhigen Ton und inspirierte später den deutschen Film 23 (1998).
Warum es zählt
Dies ist der Moment, in dem Hacken aufhörte, eine inländische Geschichte zu sein. Ein Mann an einer Tastatur in Westdeutschland konnte einen U-Boot-Stützpunkt der USA und die Netze der NASA berühren, und die rechtliche, diplomatische und ethische Infrastruktur, um darauf zu reagieren, existierte noch nicht. Es gab kein klares Gesetz, nach dem man ihn in den USA hätte anklagen können, und keinen üblichen Kanal, über den das FBI sich mit der deutschen Polizei abstimmen konnte. The Cuckoo's Egg gab dieser Infrastruktur ihr erstes Vokabular. Fast jeder Begriff der heutigen Incident Response, ob Chain of Custody für Logs, Täuschungsumgebungen und Honeypots oder jurisdiktionsübergreifende Koordination, hat einen Entwurf in Stolls Ausdrucken. Der Fall trug auch zur Gründung der ersten Computer Emergency Response Team (CERT) 1988 an der Carnegie Mellon bei, der institutionellen Vorlage, die heute weltweit kopiert wird.
Die Lehre, die es freisetzte
Achten Sie auf die kleinen falschen Zahlen. Die prägenden Einbrüche werden selten angekündigt; sie werden von jemandem entdeckt, der sich weigert, einen Fehler von 75 Cent wegzurunden. Neugier, die ursprüngliche Hacker-Tugend, erweist sich als ebenso disziplinierende Tugend des Verteidigers.
Weiterführendes
Weiter erkunden
Nächste Ausstellung
Das Gewissen eines Hackers