Worm

dass ihnen diese Peer-to-Peer-Verbindung eine mögliche Einbruchstelle in das Netzwerk bot. In ihren Honeypots hatten sie jede Menge Conficker-Bots laufen. Warum also nicht das Botnetz von einem ihrer Rechner aus vergiften, indem sie über diesen direkten Kommunikationskanal ein kleines Programm verbreiteten, das dem Wurm den Garaus machte? Das wäre weitaus weniger invasiv, als über das Internet Reparatursoftware in die infizierten Rechner einzuschleusen, und außerdem würden nicht die Weißhüte, sondern der Wurm selbst in die Bots hineingreifen. Als sich aber Hassen noch tiefer in den Wurm vorarbeitete, stellte er fest, dass die Schöpfer des Wurms ihnen wieder einmal einen Schritt voraus waren. Sie hatten die gerade geschilderte Taktik vorhergesehen und eine Schutzmauer um ihr Peer-to-Peer-Protokoll gezogen. Die miteinander verbundenen Computer verglichen Listen mit 25 Conficker-Bots  – Übrigens, das sind die Leute, die ich kenne. Damit hatten beide Computer zusammen fünfzig potenzielle Domains, aus denen sie sich bedienen konnten, und jeder wählte nur eine aus. Jeder Bot war darauf programmiert, seine eigene Liste gegenüber denen, die er von anderen erhielt, vorzuziehen. Das bedeutete, was auch immer die »Kabale« an vergifteter Saat in das Botnetz einschleuste, würde sich bestenfalls mit der Geschwindigkeit eines Gletschers ausbreiten. Hassen war, einmal mehr, beeindruckt.
    Gut möglich, dass die 50 000 Domainnamen pro Tag, die die neue Variante generierte und die für so entsetzte Gesichter gesorgt hatten, nichts weiter als ein Ablenkungsmanöver waren. Das eigentlich Neue war das Peer-to-Peer-Protokoll. Hassen konnte sich nun in den Kopf des Schöpfers von Conficker C hineinversetzen: Warum die »Kabale« nicht in den Wahnsinn treiben und ihr eine unmögliche Aufgabe vor die Füße werfen? Man schickt sie auf eine Jagd rund um die Welt, um 50 000 Domains am Tag zu registrieren. Und dann jubelt man ihnen insgeheim den eigentlichen Clou unter, das Peer-to-Peer-Protokoll, das noch viel, viel schlimmer war. Die »Kabale« hatte zwar ihr Bestes gegeben, um die 250 von Conficker B täglich erzeugten Domains zu registrieren, aber auch das hatte schon nicht ausgereicht. Die neue Variante hatte ihren Ausgang nämlich von einer der Domains genommen, die Rick, John und ihre Helfer übersehen hatten. 99 Prozent, so hatte Rick stets gewarnt, seien nicht genug, und er hatte recht behalten. Auf der Liste der von dem Wurm täglich generierten Domainnamen, bei denen es sich genau genommen um zufällig erzeugte Buchstabenfolgen handelte, fanden sich immer wieder echte Domains, sprich Domains, die bereits registriert waren. Die Vermutung lag nahe, dass der Botmaster kaum so kühn sein würde, vorab eine Domain zu registrieren, die so gut wie jeder Weißhut auf der Welt auf dem Radar hatte. Doch genau das hatte er getan, direkt vor ihrer Nase. Der Botmaster hatte das Spiel gewonnen. Die Frage war nur: Wenn er das mit 250 Domainnamen am Tag hinbekam, wozu brauchte er dann 50 000?
    Conficker C hatte noch einen weiteren höchst erstaunlichen Kniff auf Lager. Sie alle waren schwer beeindruckt gewesen von der höchst fortschrittlichen Verschlüsselungsmethode, die bei Conficker B zum Einsatz kam. Die Schöpfer des Wurms hatten den sicheren Hash-Algorithmus von MIT -Professor Ron Rivest benutzt, den dieser im laufenden Wettbewerb um einen neuen, besseren Verschlüsselungsstandard  – SHA -3  – eingereicht hatte. Genau genommen waren sie weltweit die Ersten, die das getan hatten, und sie wollten damit sicherstellen, dass niemand das Botnetz kapern konnte; nur der Autor des Wurms besaß den Schlüssel zu diesem Code. In den Monaten, seit Rivest seinen Vorschlag ausgearbeitet und eingereicht hatte, war jedoch ein kleiner Fehler darin entdeckt worden. Also hatte Rivest den Vorschlag insgeheim zurückgezogen, den Fehler behoben und die überarbeitete Version nachgereicht. Conficker B enthielt die Version mit dem Fehler. Conficker C dagegen benutzte die revidierte Version. Das belegte einmal mehr das außergewöhnlich große Wissen der Verfasser des Wurms und die extreme Sorgfalt, die sie ihrer Schöpfung angedeihen ließen.
    Hassens Sektion erbrachte aber auch eine gute Nachricht. Obwohl der Wurm jeden Tag 50 000 neue Domainnamen erzeugte, versuchte jeder Bot nur 500 davon zu kontaktieren. Der Grund dafür lag auf der Hand: Würde jeder einzelne der Abermillionen infizierten Rechner jeden Tag 50 000 Domains zu