Das Phantom im Netz

Gehaltsabrechnungen aufgerufen, in der Gehalt und Prämien aller Anwälte, Assistenten, Gehilfen sowie Mitarbeiter von Empfang und IT und jedem anderen Angestellten in der Kanzlei, vom bestens honorierten Mitinhaber bis zur schlecht bezahlten Schreibkraft, aufgelistet waren. Er scrollte hinunter bis zu einem Listenpunkt, in dem stand:
    WEISS, ERIC Comp Oper MIS $28 000,00 29/04/93
    Der Typ hatte Nerven. Sah er doch glatt nach, wie viel ich verdiente! Aber ich durfte mich ja nicht beschweren. Schließlich wusste ich nur, dass er mir hinterherspionierte, weil ich ihm hinterherspionierte!
Achtundzwanzig
Trophäenjäger
    Phtm zvvvkci sw mhx Fmtvr VOX Ycmrt Emki vqimgv vowx hzh L cgf Ecbst ysi?
    A ls neuer Bürger Denvers war ich in eine angenehme Routine verfallen. Tagsüber ging ich in dem Anwaltsbüro arbeiten, mit ganz normalen Zeiten von etwa 9 bis 18 Uhr. Anschließend trainierte ich ein paar Stunden im Fitnessstudio, aß irgendwo in der Nähe zu Abend und lief dann gleich nach Hause oder zurück in die Firma, um bis zum Schlafengehen – na was wohl.
    Hacken war meine liebste Freizeitbeschäftigung. Im Grunde war es eine Möglichkeit, in eine andere Realität zu flüchten – wie bei einem Videospiel. Aber bei meinem Spiel musste man die ganze Zeit höllisch aufpassen. Eine kleine Unaufmerksamkeit, ein einziger nachlässiger Fehler, und schon stand das FBI vor der Tür. Aber keine simulierten Bullen und auch nicht die Black Wizards aus Dungeons & Dragons, sondern die echten, grundaufrichtigen Ich-sperr-dich-ein-Kerle.
    Zu jener Zeit suchte ich mir Systeme, die ich knacken könnte. Ich überlegte mir Möglichkeiten, wie ich die Sicherheitsexperten, Netzwerk- und Systemadministratoren und cleveren Programmierer, die ich in meiner Ersatzrealität traf, ordentlich auf die Schippe nehmen könnte. Und das rein aus Spaß an der Freude, weil ich den Nervenkitzel mochte.
    Ich konnte meine Entdeckungen ja niemandem mitteilen, und so verlegte ich mich darauf, den Quellcode von Betriebssystemen und Mobiltelefonen ausfindig zu machen – Dingen, die mich besonders interessierten. Wenn ich an den Code gelangte, betrachtete ich das als persönlichen Sieg, als meine Trophäe. Ich wurde so gut, dass die Sache manchmal schon zu einfach schien.
    Jetzt, da ich alles aufs Spiel gesetzt und die Verbindungen zu meinem früheren Leben gekappt hatte, gab es für mich nichts mehr zu verlieren. Ich war bereit. Wie könnte ich den Einsatz noch erhöhen? Welche Aktion würde alles Vorherige wie Kinderkram wirken lassen?
    Die führenden Technologieunternehmen besaßen angeblich das beste Sicherheitssystem der Welt. Wenn ich eine wirklich bedeutende Trophäe erringen wollte, dann musste ich mich bei ihnen einschmuggeln und mir ihren Quellcode holen.
    Ich hatte schon gute Erfolge bei Sun erzielt. Jetzt nahm ich Novell ins Visier, das nach meinen Erkundungen einen Server mit dem Betriebssystem SunOS als Netzwerk-Firewall verwendete. Ich entdeckte einen Fehler in dem Programm »Sendmail«, das unter anderem dazu diente, von außen kommende E-Mails zu empfangen. Mein Ziel war, an den Quellcode von einem der weltweit führenden Netzwerk-Betriebssysteme zu gelangen: Novells NetWare.
    Ich war in der Lage, ein beliebiges Dokument mit beliebigem Inhalt herzustellen, indem ich eine unerkannte Sicherheitslücke im Sendmail-Programm ausnutzte. Ich konnte mich über das Netzwerk mit dem Sendmail-Programm verbinden und folgende paar Befehle eingeben:
    mail from: bin
    rcpt to: /bin/.rhosts
    [Text ausgelassen]
    .
    mail from: bin
    rcpt to: /bin/.rhosts
    data
    + +
    .
    quit
    Diese Befehle ließen das Sendmail-Programm eine ».rhosts«-Datei (sprich: dot-R-hosts) anlegen, die ermöglichte, sich ohne Passwort einzuloggen.
    (Für den technisch interessierten Leser: Mir gelang es, eine .rhosts-Datei im Bin-Verzeichnis zu platzieren, wodurch ich mich ohne Passwort einloggen konnte. Eine .rhosts-Datei ist eine Konfigurationsdatei, die bei einigen Altsystemprogrammen zur Fernwartung verwendet wird, um sich in einen entfernten Computer einzuloggen und dort Befehle auszuführen. So könnte eine .rhosts-Datei zum Beispiel dem Nutzer »kevin« vom Hostnamen »condor« erlauben, sich ohne Passwort einzuloggen. Im obigen Beispiel sind die beiden durch eine Leerstelle getrennte Pluszeichen Platzhalter für den Nutzer- und den Hostnamen des Computers. So kann sich jeder Nutzer in den Account einloggen und Befehle eingeben. Da der Bin-Account Schreibrechte am