Worm

entsprach, waren die meisten seiner bisherigen Züge in der Welt der Schadprogramme schon einmal beobachtet worden. Was Hassen aber als Nächstes sah, als er noch tiefer in den Wurm eindrang, beeindruckte ihn wirklich. Seine Entwickler waren, in einem sehr realen Sinne, Hassens Feinde. Aber so sehr er auch die Motive und Einstellungen der Leute missbilligen mochte, die diesen Wurm freigesetzt hatten, er kam nicht umhin, ihre Kunstfertigkeit zu bewundern.
    Am 26. November würden alle infizierten Rechner prüfen, ob ihr Host mit dem Internet verbunden war, und wenn ja, versuchen, Kontakt zu ihrem Botmaster aufzunehmen. Zunächst würde der Wurm eine Liste scheinbar zufälliger Internet-Domainnamen generieren, 250 an der Zahl, und zwar alle drei Stunden. Jeder gleichermaßen infizierte Rechner auf der Welt würde alle drei Stunden, bis zum Ende des Tages, dieselben 250 IP -Adressen ausspucken. Am nächsten Tag würde jeder von ihnen eine komplett neue Liste mit 250 Domainnamen erzeugen. Sollte der Host-Computer offline sein, würde der Wurm so lange einmal pro Minute auf eine Verbindung prüfen, bis er seine Aufgabe weiter erfüllen konnte. Die solchermaßen erzeugten Domainnamen sahen zufällig aus, nichts weiter als beliebige Abfolgen von Ziffern und Buchstaben, gefolgt von einer der fünf Top-Level-Domain-Endungen . com, .org, .net, .info oder . biz. Tatsächlich aber waren sie vollkommen vorhersagbar  – wenn man den zu ihrer Generierung verwendeten Algorithmus kannte. Wer auch immer den Wurm kontrollierte, musste nur hinter einer dieser 250 Türen sitzen, um ein Kommando zu erteilen.
    Der Anruf »zu Hause« ist seit jeher eine der größten Schwachstellen von Botnetzen. Würmer, die Botnetze erzeugen, sind auf vier grundlegende Funktionen ausgelegt: in einen Computer einbrechen und ihn übernehmen, ihn am Empfang weiterer Sicherheitsupdates hindern, sich ausbreiten und zu Hause anrufen, um weitere Anweisungen zu erhalten. Solange er keine neuen Instruktionen erhielt, war der Wurm auf Hassens Seziertisch ungefährlich. Abgesehen von der Anweisung, sich selbst zu installieren und weiterzuverbreiten, enthielt er keine weiteren Instruktionen (sämtliche Funktionen, die Hassen beobachtete, dienten dem Zweck, den Eindringling sicher im System einzunisten). In dem Moment, in dem die infizierten Rechner anfingen, den Botmaster anzurufen und um weitere Instruktionen zu bitten, machte sich der Wurm verwundbar. Kannten die Weißhüte den richtigen Domainnamen, konnten sie den Registrar kontaktieren und die Domain sperren oder abschalten lassen (und den Strafverfolgungsbehörden die Adresse des Übeltäters nennen). Damit wäre das Botnetz lahmgelegt. Bei 250 jeden Tag neu erzeugten Domainnamen war das allerdings eine sehr aufwändige Aufgabe. Wer auch immer diesen Wurm programmiert hatte, wusste, wie die Weißhüte arbeiteten und hatte vorgesorgt  …
    Und zwar in mehr als einer Hinsicht. Sollte nämlich tatsächlich irgendjemand herausfinden, hinter welcher dieser Türen der Botmaster an einem bestimmten Tag wartete, war der Wurm darauf programmiert, seine Nachricht zu verschlüsseln, und zwar nicht mit irgendeinem beliebigen Verschlüsselungscode. Der oder die Entwickler des Wurms wollten nicht nur die guten Jungs daran hindern, ihnen ins Handwerk zu pfuschen. Sie wollten sich auch gegen andere Cyberkriminelle absichern. Ein sicheres Botnetz ist ein höchst wertvolles Instrument. Wenn es einem rivalisierenden Botmaster gelang, sich in das Botnetz zu hacken, dessen Kommando- und Kontrollsite zu identifizieren und seine eigenen Befehle zu erteilen, bestand die Gefahr einer feindlichen Übernahme. Aus diesem Grund gingen die Designer des neuen Wurms auf Nummer sicher und statteten ihn zum Schutz seiner Kommunikation mit dem modernsten öffentlichen Verschlüsselungsverfahren aus, das es gibt.
    Das Knacken von Codes war einmal die Domäne cleverer Zahlenzauberer, die während des Zweiten Weltkriegs Verschlüsselungs- und Entschlüsselungsverfahren entwickelten, die so komplex waren, dass dafür Maschinen eingesetzt werden mussten. Heute können Computer die dafür notwendigen zahllosen Rechenvorgänge so schnell durchführen, dass es theoretisch keinen Code mehr gibt, der nicht geknackt werden könnte. Man bedient sich dafür der, wie Computerwissenschaftler es ganz prosaisch nennen, »Brute Force«-Methode, sprich brutaler Gewalt: Man spielt systematisch jede mögliche Kombination durch, bis das Geheimnis geknackt ist.