Worm

auf neue Schwachstellen abklopften, einen passenden Exploit fabrizierten und ihre Erfindung dann ganz offen an technisch weniger versierte Betrüger vermarkteten.
    Botnetze waren das neue große Ding. Die meisten Betrugsmaschen im Internet haben vorhersagbare Renditen; der Anteil der Leute, die sich dazu verleiten lassen, tatsächlich Geld zu schicken, ist klein, aber wenn man das Netz weit genug auswirft, kann eine erhebliche Summe zusammenkommen. Nach Schätzungen von Microsoft fallen fünf Prozent der Computernutzer auf Betrügereien mit Schadsoftware herein und laden Programme herunter, die ihren Rechner infizieren, und das häufig, obwohl auf ihrem Bildschirm Fenster aufgehen, die sie genau davor warnen. »Phishing«-Angriffe auf soziale Netzwerke, bei denen Mitglieder durch gefälschte E-Mails oder Websites dazu verleitet werden, persönliche Daten oder Kreditkartennummern preiszugeben, bringen es mitunter auf Erfolgsraten von bis zu 70 Prozent. Ein Exploit, der einem den Zugriff auf eine ausreichend große Zahl von Computern garantiert, ist also ein höchst nützliches Werkzeug, ja im Grunde eine Lizenz zum Gelddrucken. Und was das betrifft, geht nichts über ein großes, stabiles und sicheres Botnetz, ein Netzwerk gekaperter Rechner, auf die der Botmaster nicht nur zugreifen, sondern die er auch kontrollieren kann. Der Druck, den ein solches Netzwerk auf die Cyberverteidiger ausübt, ist unerbittlich.
    Einen Computer zu verteidigen ist viel schwieriger, als ihn anzugreifen. Die Sicherheitstechniker von Microsoft verbringen viel Zeit damit, neu entdeckte Lücken zu stopfen und sogenannte Patchs  – Pflaster, die sie beheben  – zu programmieren. Das sind keine abgehobenen Spinnereien, das ist so real wie das Knacken eines Schlosses, wenn auch nicht so simpel. Jeder, der zu Hause auf seinem Rechner mit Windows arbeitet, kennt die regelmäßigen Sicherheitsupdates, die Microsoft an jedem zweiten Dienstag im Monat  – dem, wie es in Insiderkreisen heißt, »Patch Tuesday«  – herausgibt.
    Im September 2008 brachte eine Gruppe chinesischer Hacker für 37 US -Dollar einen Exploit auf den Markt, der eine bislang unbekannte Schwachstelle an Port 445 des Windows-Betriebssystems attackierte. Die chinesischen Hacker verstießen damit weder gegen irgendein Gesetz, noch versuchten sie, irgendwelche kriminellen Handlungen zu begehen. Ihr Produkt war nichts weiter als ein Werkzeug, mit dem man in das Innere eines Computers gelangen konnte, auf dem Windows läuft. Der erste ernsthafte Versuch zur Nutzung des Exploits wurde am 29. September in Vietnam beobachtet. Eine als »Gimmiv« bezeichnete neue Schadsoftware breitete sich von Hanoi sehr schnell über 23 Länder aus, wobei es Malaysia am härtesten traf. Gimmiv wurde von den meisten Sicherheitsexperten als ein »T rojaner« identifiziert, eine Schadsoftware, die sich an ein autorisiertes Programm anhängt und aktiviert wird, sobald der Computernutzer dieses Programm ausführt. In diesem Fall kopierte der Trojaner sämtliche Registry-Informationen des befallenen Computers sowie die gesamten Login- und persönlichen Daten und schickte sie zurück an den Angreifer. Gimmiv selbst wies schwere Designfehler auf, die seine Wirksamkeit einschränkten, aber der Exploit hatte perfekt funktioniert. Es war nur eine Frage der Zeit, bis das auch anderen auffiel. T. J. wusste, dass sich einige Leute wahrscheinlich beeilen würden, die neu entdeckte Schwachstelle an Port 445 auszubeuten.
    Ports sind eine Art »Horchpunkte« im System und darauf ausgelegt, bestimmte Arten von Daten zu übertragen und zu empfangen. Da Anwender Wert auf Schnelligkeit legen und möchten, dass ihre Computer viele Dinge gleichzeitig tun können, gibt es allein in Windows 65 535 Ports. Eine Firewall ist ein Torwächter, der eingehende Codepakete überprüft und ihnen entweder Zutritt gewährt oder sie zurückweist beziehungsweise umleitet, je nach den für die einzelnen Ports gültigen Regeln. Ein Codepaket, das die Firewall passieren will, muss auf einen bestimmten Port eingestellt sein, sprich, es muss sich als etwas ausgeben, auf dessen Empfang dieser Port ausgelegt ist. Nur bestimmte, ganz spezielle Arten von Daten können durchfließen, und dann auch nur mit den passenden Codes. Über manche Ports, wie zum Beispiel den TCP -Port 25 (Transmission Control Protocol), der den E-Mail-Verkehr abwickelt, läuft sehr viel Datenverkehr. Die meisten aber werden nur selten benutzt; sie »lauschen« auf