Februar-Rückblick: IT-Sicherheit – eine Realsatire

Ein Leben als subalterner Zeilenschreiber zu fristen, kann nur dann gut gehen, wenn man Geschichten mag. Und die besten schreibt ganz allgemein das Leben und im Besonderen die IT-Securitiy, jene Fabelwelt, in der trojanische Pferde durch den Cyberspace galoppieren und finstere Gestalten unschuldige Rechner in furcheregende Zombies verwandeln.

Diese Woche etwa stellte die amerikanische IT-Sicherheitsfirma Mandiant ein 75seitiges pdf über die Bedrohung der freien Welt und der ebensolchen Wirtschaft durch chinesische Internet-Spione ins Netz. Man könnte es als Sicherheitsanalyse nehmen. Allerdings unter diesem Aspekt gibt es wenig Neues her.

Wenn man es aber als Krimi liest, dann ist es klasse: Unter dem verhängnisvollen Einfluss des sinistren Professors Zhang Zhaozhong verwandelt sich der junge Student Jack Wang, alias Greenfield, in den skrupellosen Hacker UglyGorilla und greift die USA an. – Ein genauso spannendes wie kostenloses E-Book. Ein Thriller!

Die Geschichte vom hässlichen Gorilla und seinen finsteren Freunden ist die Fortsetzung eines Kolportage-Romans, dessen erster Teil mit dem Titel “Red October” aus der Feder des russischen Erfolgsautors Jewgeni Kasperski stammt. Beides sind Bestseller, weil sie geschickt Realität und Fiktion vermengen und so der Phantasie des Lesers sehr viel Raum lassen. Sie können gratis abgegeben werden, weil nicht die Gruselgeschichten als solche verkauft werden sollen, sondern Software und Services der Herausgeber.

Ansonsten ist der Surfer im Netz ja eher mit Wirtschaftslyrik konfrontiert. “Wenn Sie Java installieren, können Sie Java von Oracle in vollem Umfang genießen”, heißt es da etwa. Mit einer trivialen Instant-Kaffee-Parabel – “Einfach aufreisen und genießen” – wird hier für einen Bytecode-Interpreter geworben.

Weil aber die Java Runtime Environment im Unterschied zu Kaffeefiltern keine feinen Aromaporen hat, sondern häufig riesige Sicherheitslöcher, bestand der Genuss für Anwender wie Apple, Facebook und Twitter diesen Monat vor allem darin, infizierte Rechner von digitalem Ungeziefer zu säubern.

Vollends zur Schmierenkomödie wird die Java-Farce dadurch, dass Oracle seine virtuelle Maschine mit der Toolbar eines Drittanbieters bündelt. Derartige Browser-Erweiterungen sind eigentlich nur bei Viren-Schreibern beliebt. Und trotzdem wird ständig versucht, solche und ähnliche Crapware auf fremder Leute Computer zu platzieren.

Häufig ist sie sogar schon vorinstalliert. Neue PCs werden heute mit Gigabyte-großen Sicherheitsproblemen verkauft, ominösen Tools und Testversionen, die man tunlichst erst einmal wieder von der Platte putzt. Die Hersteller bekommen halt Geld dafür.

Der Surfer Saeid Nourian hat deshalb eine Internet-Petition gestartet. Sie richtet sich an Lawrence Ellison persönlich und bittet ihn, doch aufs Bündeln und ein bisschen aufs Geld-Verdienen zu verzichten. – Success-Stories beginnen anders.

Und dann ist da noch die in Software gegossene Verwechslungskomödie Namens Adobe. Die Adobe-Sicherheitstragödien heißen Shockwave- und Flash-Player.

Die sollte man nicht durcheinanderbringen. Shockwave verarbeitet Files mit der Endung .dcr, Flash solche mit dem Suffix .swf, was denn auch konsequent für Shockwave Flash steht. Wer so benamst, der sollte Mysterienspiele schreiben, aber keine Programme.

Ob wegen eines Lochs in dem einen Stück Software der Rechner zum Zombie wird oder ob das andere gerade ein Zombie-Cookie setzt, bleibt dem Publikum verborgen. “Flash und Shockwave”, das wäre doch ein prima Titel für einen Horror-Roman. Man müsste nur einen Dichter finden, der sprachlich verwirrt genug wäre, um ihn zu schreiben.

Microsoft hat vorigen Dienstag dann noch Patches verteilt. 57 Lücken sollen die diesmal schließen. Der größte Software-Konzern versucht, seine Programme abzusichern – die digitale Variante der Unendlichen Geschichte.

Und solche Firmen erzählen dann jedes Jahr, am Safer Internet Day, den Surfern etwas über IT-Sicherheit. So eine Märchenstunde gab’s heuer wieder am 5. Februar.

Es war einmal, vor langer, langer Zeit… genauer gesagt, im Oktober des Jahres 2007 war es, da fiel ein gar furchtbares trojanisches Pferd über die Rechner vieler einsamer Männer her. CAPTCHA-Breaker ward es genannt, nach CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), der geheimnisvollen Schrift am Portal der einst mächtigen Yahoo. Dieser Trojaner schrieb die phantastischste aller Geschichten.

Diebe und allerlei Gesindel wollten durch das Portal, um einen Yahoo-Account zu erwerben. Aber ihre Rechner konnten das CAPTCHA-Rätsel nicht lösen. Denn nur Menschen aus Fleisch und Blut vermögen dies.

Deshalb zauberte der Trojaner das Bildnis einer wunderschönen Frau auf den Bildschirm der armen, einsamen Männer. “Wenn du das Rätsel für mich löst”, versprach diese, “dann lege ich ein Kleidungsstück ab.” Und es gelöst ward, versprach sie es erneut.

Als sie schließlich ganz nackend ward, da erschien eine weitere schöne Frau. Und wenn die verzauberten Männer nicht gestorben sind, dann brechen sie noch heute CAPTCHAs.

Dieses Drehbuch könnte man doch mal verfilmen. Und damit der Streifen jugendfrei bleibt, am besten mit Rainer Brüderle in der Hauptrolle. Dann wird bestimmt kein Decamerone daraus, sondern höchstens ein etwas schmieriges Bauerntheater.

Gegen die Geschichte vom CAPTCHA-Breaker ist das, was die IT-Security seitdem geboten hat, Trivialliteratur. Helden-Epen gibt’s eh keine. Dafür viele Trauerspiele und jede Menge degoutanter scripted Realitiy.

So, und jetzt braucht’s trotzdem noch ein Happy End. Das ist möglich – zumindest für Zeilenschreiber, die ein Faible für gute Stories haben.

Also: Manchmal dienen einem die professionellen Fabulierer aus den PR-Agenturen auch einen richtig guten Sicherheitsexperten zum Interview an, weil der sich gerade vorort aufhält. Und manchmal ist so einer auch wegen des Jetlags zu müde, um Marketing-Mythen zu verbreiten.

Unlängst hat einer erzählt, die wichtigste Sicherheitsmaßnahme sei, seinen Rechner zu kennen: “Es gibt nur eines, was gegen Malware hilft. Und das ist der Verstand.” – Das ist doch ein Gedicht! So eine Geschichte nennt man gemeinhin Offenbarung.