Hack-Meck
In dieser Ausgabe wollen wir Ihnen in
der Rubrik Hack-Meck einige spektakuläre
und berühmt gewordene Hacks vorstellen.
Oft liest man ja in Zeitungen darüber, daß es " böse Hacker" wieder einmal geschafft hätten, in einen Großrechner
einzudringen um dort einen Millionenschaden anzurichten. Was man meistens
nicht liest, ist die Tatsache, daß die
betroffenen Firmen teilweise sogar dankbar über solche Aktionen sind, denn
diese decken ja Sicherheitslücken auf, die es zu schließen gilt.
Vor fast vier Jahren gelang zum Beispiel
einigen Hackern des Chaos Computer Club
Hamburg ein berühmt gewordener Coup, über den die Tageszeitung " Die Zeit" damals mit der interessant klingenden
Überschrift " Ein Schlag gegen das
System" berichtete.
Um den Coup zu verstehen, muß man erst
einmal wissen, was es mit BTX auf sich
hat. Viele von Ihnen haben sicher schon
an einem öffentlichen BTX-Terminal gestanden und sich einige Seiten irgendeines Anbieters angesehen. Man kann sich
z. B. von dort aus Werbung schicken
lassen.
Es gibt aber auch Anbieter, die
bestimmte Funktionen mit einer Gebühr
belegen. Will man die entsprechende
Funktion oder Seite abrufen, so erhält
man z. B. die Meldung:
Anzeigen für DM 0,40 Nein:2 Ja:19
Wir wissen leider nicht, warum sich die
Post für die Ja/ Nein-Funktion gerade die
Zahlen 2 und 19 ausgesucht hat. Tippt
man jedenfalls "19" für " Ja", so hat das
Spiel bei öffentlichen Terminals hier
meistens ein Ende. Denn als öffentlicher Teilnehmer kann man nicht so einfach Geld versenden.
Wer privat ein BTX-Terminal besitzt, der
hat stattdessen ein Konto bei der Post.
Ruft man als solcher eine gebührenpflichtige Seite ab, so wird der angezeigte Betrag vom eigenen Konto abgebucht und dem Seitenanbieter gutgeschrieben. Der größtmögliche Betrag ist
hierbei 9,99 DM.
Als BTX-Teilnehmer hat man natürlich
auch eine Benutzerkennung bzw. ein Password.
Die CCC-Leute machten sich also auf die
Suche nach der berühmten " Lücke im
System" und wurden auch bald fündig.
Seitenanbieter, die Ihre Seiten - sei es
Werbung, Information etc - gestalten, haben pro Bildschirmseite nur eine
Begrenzte Anzahl an Zeichen frei.
Werden nun mehr Zeichen eingetippt, so
sollte man meinen, daß das BTX-Programm
wenigstens den Rest, der nicht mehr auf
die Seite paßt, abschneidet. Aber weit
gefehlt. Stattdessen erscheinen auf dem
Bildschirm allerlei wirre Zeichen und
Wortfetzen. Leider kann es auch passieren, daß bei diesem Vorgang auch mal das
größte Geheimnis eines jeden Anbieters, seine Kennung, mit auf dem Bildschirm
erscheint.
Durch die Entdeckung dieses Systemfehlers inspiriert machten sich die Hacker
daran, haufenweise Bildschirmseiten zum
Überlauf zu bringen. So lange, bis sie
zufällig das Password einer Hamburger
Sparkasse entdeckten. Nun endlich konnten sie der Welt eine eindrucksvolle
Demonstration der Lücken geben, die sie
aufzudecken versuchten.
Mit dem Password der Sparkasse riefen
Sie nun ihre eigene - extra dafür angelegte, kostenpflichtige Seite - ab, und
schon waren knappe 10 Mark verdient. Und
da sich mit 10 Mark noch keine Schlagzeilen schreiben lassen, mußte dieser
Abrufvorgang möglichst oft wiederholt
werden.
Nichts lag näher, als einen Heimcomputer
mit dieser ehrenvollen Aufgabe zu beauftragen. Dieser rief dann fleißig die
kostenpflichtige Seite immer wieder ab, von Samstag Abend bis Sonntag Mittag.
Als sich dann runde 135000 Mark auf dem
Konto des CCC angesammelt hatten, beendete man die Aktion. Selbstverständlich
wurde das Geld der Bank zurücküberwiesen. Man wollte ja niemanden schädigen, sondern nur Sicherheitslücken aufdecken.
Und das ist durch diese Aktion garantiert gelungen.
Ein Hack anderer Art kommt aus Amerika
und stammt aus einer Zeit, zu der Computer noch nicht so populär waren wie
heute. Eine Cornflakesfirma legte - als
Werbegag - ihrem Produkt jeweils eine
kleine Kunststoffpfeife bei. Diese erzeugte eine Frequenz von genau 2600 Hertz.
Zufällig die gleiche Frequenz wurde benötigt, um im amerikanischen Fernsprechsystem den Gebührenzähler außer Gefecht
zu setzen. Und wie es sich mit Zufällen
nun mal so verhält, fand diese Übereinstimmung natürlich auch jemand heraus.
So sollte es niemanden verwundern, wenn
der Gesprächspartner zu Beginn eines
Telefongesprächs energisch mit der Cornflakespfeife pfiff. Das Ferngespräch war
damit kostenlos!
Dieser Trick sprach sich schnell herum.
Noch nie zuvor hatte die Firma so viele
Cornflakes verkauft und ebenfalls noch
nie zuvor hatte die davon betroffene
Fernmeldeanstalt so wenige Ferngespräche
verzeichnet.
Der Entdecker dieses Hacks besonderer
Art ging als " Captain Crunch" in die
Geschichte ein. Crunch war übrigens der
Name der Cornflakesfirma. Die betroffene
Fernmeldeanstalt ließ es sich Millionen
kosten, ihre Geräte soweit technisch
abzuändern, daß ein solcher Hack nicht
mehr möglich war.
Unsicher ist hier freilich die
Rechtslage: Ist es erlaubt, ins Telefon
zu pfeifen?
