Worm

Sonntagsmagazin der Zeitung eine Titelstory über Shadowserver schrieb.
    Botnetze wurden zunehmend zu einem echten Problem, und Krebs hielt das, was Andre und Nick da taten, für immens wichtig. Er war überrascht, dass diese Jungs eben das taten, von dem er hoffte, dass irgendjemand es tun würde. Die Branche war voller Leute, die auf das schnelle Geld aus waren; wenn jemand eine gute Idee hatte, trug er sie zu einem der großen Unternehmen und kassierte ab. Hier dagegen gab es diese Gruppe von Leuten, die eine Arbeit erledigten, von der nur wenige überhaupt wussten, wie man sie machte, die Botnetze infiltrierten und katalogisierten und die das für das Allgemeinwohl taten. Selbst Krebs fiel es schwer, das zu glauben.
    In dem im März 2006 unter der Überschrift »Bringing Botnets Out of the Shadow« veröffentlichten Artikel schrieb Krebs: »Botnetze sind heutzutage die Arbeitspferde der meisten Online-Kriminellen und erlauben es Hackern, völlig anonym ihren Fischzügen nachzugehen  – Spam-E-Mails verschicken, auf infizierte PC s Adware von Unternehmen aufspielen, die eine Prämie für jede Installation bezahlen, oder betrügerische E-Commerce- und Banking-Websites hosten  … Die pausenlosen Angriffe und Rückschläge fordern mitunter einen emotionalen Preis von den Freiwilligen, die nicht nur unzählige Stunden auf die Jagd nach den Botmastern verwenden, sondern in vielen Fällen auch die Einzelpersonen und Institutionen benachrichtigen, deren Netzwerke und Rechner von den Hackern gekapert worden sind. Es ist eine weitgehend undankbare Arbeit, weil die Opfer in den meisten Fällen nicht einmal antworten.«
    Das änderte sich , nachdem Krebs Shadowserver mit seinem Artikel größere Aufmerksamkeit verschafft hatte. Die Nachricht von den uneigennützigen Botnetz-Jägern lockte gleich gesinnte Geeks aus dem digitalen Unterholz. Die Organisation wuchs, und sogar das FBI und der Secret Service kamen und baten um Informationen. An diesem Punkt gab es Überlegungen, Shadowserver auf eine kommerzielle Basis zu stellen. Die von der Stiftung gesammelten Daten waren unbestreitbar wertvoll: Sie wiesen große Server- und Netzwerkbetreiber auf drohende Gefahren hin und katalogisierten verwundbare Systeme. Würde man dafür Geld verlangen, könnte Shadowserver seine Leute wenigstens für ihre Zeit, ihren Aufwand und ihr Können bezahlen. Am Ende beschloss die Gruppe aber, die Arbeit weiterhin ehrenamtlich zu machen. Andre sah die Sache so: Angenommen, du wüsstest, dass das Haus von jemandem in Gefahr ist, Feuer zu fangen. Würdest du ihn dann einfach warnen oder versuchen, ihm diese Information zu verkaufen? Anfang 2009 bestand die Gruppe aus einem harten Kern von zehn Leuten und einer Vielzahl sorgfältig ausgesuchter Freiwilliger. Andre wollte sich Vollzeit für die Sache einsetzen und träumte von einer großen Spende oder einem Sponsor, der ihm und den anderen Kernmitgliedern das ermöglichen würde, aber noch waren sie alle auf ihre normalen Jobs angewiesen. Sie sammelten Abertausende Schadsoftwarevarianten und schnappten in ihren Honeypots jeden Tag bis zu 10 000 Exemplare davon. Shadowserver spielte nun eine zentrale Rolle bei der Bekämpfung von Botnetzen und erhielt täglich Tausende Anfragen von Netzwerkmanagern, die um technische Berichte baten.
    Angesichts so vieler Schädlinge, denen es auf der Spur zu bleiben galt, erkannte Andre Gimmiv nicht sofort, als T. J. ihn auf der Konferenz in Arlington ansprach. Andre sah in seinen Aufzeichnungen nach. An sich stellte der chinesische Exploit keine große Sache dar, dennoch konnte er die Besorgnis von Microsoft nachvollziehen. Mit einem im Internet gegen Gebühr vertriebenen Exploit-Bausatz und der Werbung, die der MS 08-067-Patch für die Sicherheitsanfälligkeit machte, sah er ebenso wie Microsoft, dass aller Wahrscheinlichkeit nach noch weit mehr Ungemach drohte.
    Zwischen den verschiedenen im Bereich der Computersicherheit tätigen Firmen, Forschungseinrichtungen und Organisationen bestehen keine formellen Beziehungen, und als Ende 2008 der neue Wurm auftauchte, machte sich jede mit ihren eigenen Methoden daran, ihn zuanalysieren. Am Ende sollte der Reverse-Engineering-Ansatz, den Hassen Saidi draußen in Menlo Park anwandte, die besten Ergebnisse liefern, aber parallel zu ihm machten sich Dutzende weitere Experten an die Arbeit. Conficker war einfach zu groß, als dass man ihn ignorieren konnte. Auch Andre fiel der neue Wurm sofort auf, allerdings nicht, weil