Worm

begrenzen suchten, sollte das Verteidigungsministerium vor allem darum besorgt sein, dass möglichst wenig Leute den privaten Schlüssel des Botnetzes in die Hände bekamen. Es sei besser, die Tatsache zu akzeptieren, dass ein Schurke den Schlüssel besaß, als das Risiko einzugehen, ihn unabsichtlich einer Vielzahl von Leuten auszuhändigen.
    Mit anderen Worten, die US -Regierung schickte keine Kavallerie zur Rettung. Rick wurde mit höflichen Antworten abgespeist. Sein Aufruf »von der Front« wurde an alle relevanten Behörden weitergeleitet, an das Office of the Secretary of Defense, die National Cyber Response Coordination Group ( NCRCG ), das U. S. Computer Emergency Readiness Team ( US - CERT ) und eine Vielzahl anderer mit Fragen der Cybersicherheit befasste Ämter. Unter dem Strich jedoch lautete die Antwort: Schön, von Ihnen zu hören, und danke, dass Sie die Regierung auf die Situation aufmerksam gemacht haben, aber wir führen gerade zwei Kriege …
    Kurz: Lassen Sie uns in Ruhe.
    Draußen in Menlo Park beschloss Phil Porras, das, was er bereits bei Conficker A gemacht hatte, nun auch bei der B-Variante zu versuchen: Er wollte herausfinden, ob der Autor den Wurm vor seiner Freisetzung einem Testlauf unterzogen hatte. Die beiden Varianten wiesen jeweils eindeutige Kennzeichen auf, was es leicht machte, sie voneinander zu unterscheiden. Die erste »offizielle« Domainanfrage von Conficker B wäre am 1. Januar 2009 erfolgt. Darauf war der Wurm programmiert. Jede Anfrage vor diesem Datum musste folglich einen Testlauf darstellen und vom Botmaster stammen.
    Bei Conficker A hatte ihn dieser Trick nirgendwohin geführt  – einmal abgesehen von dem anderen Weißhut, der auf dieselbe Idee wie er verfallen war. Dieses Mal aber fand er eine heiße Spur. Am 26. Dezember, sechs Tage vor Auftauchen der neuen Variante, hatten zwei mit Conficker B infizierte Bots versucht, eine der Domains der A-Variante zu kontaktieren. Ausgegangen waren die Anfragen von kyivstar.net in Kiew und alternativagratis.com, einer Website in Buenos Aires. In Kiew saß Baka Software, und Buenos Aires war der Standort von Patient Null.
    Da die Nachricht von der neuen Variante erst mehrere Tage nach diesem Datum die Runde gemacht hatte, konnte Phil ausschließen, dass es sich um einen weiteren Fall von »Die X-Men stolpern einander über die Füße« handelte. Das musste der Botmaster gewesen sein, der mit der neuen Variante herumspielte und seine Kommunikationsfunktion testete. Was Phil da hatte, war ihre bislang heißeste Spur zu den Leuten hinter dem Wurm.
    Die »Kabale« leitete die Informationen an das FBI weiter, das sich höflich bedankte  – und nichts unternahm.

8
    Ein weiterer großer Sieg
    Teamwork  – vor allem anderen müsst ihr an das Teamwork denken! Ihr müsst als Einheit funktionieren  – in jedem Moment.
    The X-Men Chronicles
    Bisher war der Kampf gegen den Wurm improvisiertes Stückwerk gewesen. Nun wollte die »Kabale« eine Konferenz von Internet- und Sicherheitsexperten Anfang Februar 2009 an der Georgia Tech in Atlanta nutzen, um sich besser zu organisieren. In der Zwischenzeit würden sie tun, was immer zu tun war, und dann in Atlanta einen formelleren Angriffsplan erarbeiten.
    Tatsächlich erzielten sie den gesamten Januar hindurch gute Fortschritte bei der Eindämmung von Conficker A und B. Trotz des Rückschlags, den ihnen das Auftauchen von Variante B kurz vor Silvester versetzt hatte, funktionierte die Strategie, alle potenziellen Kommandodomains vorab zu registrieren und sämtliche von infizierten Rechnern eingehenden Anfragen in ein Sinkhole umzuleiten, so gut, dass sie übermütig wurden und anfingen, weiter in die Zukunft zu denken. Wie konnten sie nun, da der Wurm so gut wie erledigt war, aus dieser Erfahrung eine auf lange Sicht angelegte, umfassende und koordinierte Strategie entwickeln, eine Strategie, die als Modell zur Bekämpfung künftiger Computerwürmer dienen mochte?
    Einen der bisher größten Erfolge sahen die meisten Mitglieder der »Kabale« in der uneigennützigen Haltung der großen AV -Anbieter, die allesamt ihre Konkurrenz und ihr Streben nach Profit hintangestellt hatten, um so etwas wie eine koordinierte Verteidigung aufzubauen. Conficker stellte eine Bedrohung für das Internet an sich dar, und bis dato hatten sich alle Beteiligten der Herausforderung gewachsen gezeigt. Sollten die AV -Hersteller aber anfangen, mit einer jeweils eigenen Reparatursoftware für den Wurm um