Foto: Photosani - shutterstock.com
Robert Hansen, Produktmanager beim Web-Application-Security-Anbieter WhiteHat Security hat ein Interview mit dem ehemaligen "Blackhat" Adam, einem ehemals kriminellen Hacker, geführt und im Unternehmensblog veröffentlicht. Wir haben das Interview übersetzt und stellen es dem deutschsprachigen Publikum hier zur Verfügung. Vielen Dank an dieser Stelle an WhiteHat Security für die Erlaubnis, das Gespräch veröffentlichen zu dürfen.
Information vorweg: Dieses Interview thematisiert kriminelle Aktivitäten aus der Perspektive eines (Ex-)Kriminellen, der heute als Security-Berater und Penetrationstester arbeitet. Wir möchten über die real existierenden und täglich weltweit stattfindenden Cybercrime-Aktivitäten aufklären, jedoch keinesfalls zu illegalen Handlungen aufrufen oder diese durch dieses Interview positiv bewertet sehen.
Angriffsmethoden und schnelles Geld
HANSEN: Welche besonderen Hacker-Fähigkeiten gestehen Sie sich selbst zu?
ADAM: Meine besondere Expertise liegt im Social Engineering. Ich glaube, es ist ziemlich offensichtlich, dass ich ein Blackhat ("böser Hacker") bin, daher habe ich auch "Social Engineer" auf meiner Visitenkarte stehen. Mein zweites Spezialgebiet ist der Aufbau von Botnetzen. Hier lässt sich das meiste Geld verdienen - mehrere Tausend Dollar am Tag! Ganz einfach mit vollautomatischer Angriffs-Software, die den Schwarzmarkt derzeit dominiert. Darüber hinaus kümmert sich mein Team um einfache Angriffsmethoden wie SQL-Injection (SQLi), Cross-Site Scripting (XSS) der einfachen und der fortgeschrittenen Art, Cross-Site-Request-Forgery (CSRF) sowie DNS Cache Poisoning/DNS Spoofing. Ich beherrsche auch diverse Programmiersprachen - Python, Perl, C, C++, C#, Ruby, SQL, PHP, ASP, um nur einige zu nennen.
HANSEN: Beschreiben Sie uns Ihr "erstes Mal", als Sie das Gesetz gebrochen haben. Warum haben Sie es getan und wie haben Sie es für sich selbst gerechtfertigt?
ADAM: Das liegt viele Jahre zurück. Erinnern kann ich mich da an meine Schulzeit, als ich ungefähr 14 Jahre alt war. Unsere Admins waren sehr fit in Security-Fragen. Ich war in der Schulbücherei und wusste, dass die Admins Remote-Zugriff auf jeden Schul-PC hatten - genau wie der Bibliothekar. Die Bücherei war nämlich der Ort, wo die Klassenarbeiten bewertet und die Noten vergeben wurden. Auch wenn ich nie ein Genie war, waren meine Noten doch immerhin durchschnittlich. Ich fragte mich immer schon: "Warum nicht Einsen für die Hälfte der Arbeit bekommen?" Also habe ich mich eingelesen und bin auf das Thema "Keylogger" gestoßen. Auch wenn es mir seltsam vorkam, dass ich mir mit einer Software selbst Topnoten verpassen konnte, war es faszinierend. Ich habe es gemacht. Ich habe auf dem Bibliotheksrechner einen Keylogger installiert und die Dateien mit einer Remote-Administrationskonsole auf andere PCs kopiert. Ergebnis: zwei Wochen Schulverweis.
HANSEN: Wo haben Sie Ihre "Hacking-Künste" erlernt?
ADAM: Mit Büchern, über Google und Leute, mit denen ich über IRC (Internet Relay Chat) oder Foren geschrieben habe. Anders als in der heutigen Zeit, haben wir noch Informationen ausgetauscht, miteinander gesprochen und uns gegenseitig geholfen. Niemand wurde ausgelacht, weil er etwas nicht wusste.
HANSEN: Warum fanden Sie den "Blackhat Way of Life" so attraktiv?
ADAM: Wegen des Geldes. Ich fand es lustig, wie sich mit Fernsehen schauen und auf dem Notebook herumtippen in wenigen Stunden so viel verdienen ließ, wie ein normaler Arbeiter in einem ganzen Monat nicht schafft. Es war viel zu leicht.
Über die Opfer und deren Leichtsinn
HANSEN: Ab wann fühlten Sie sich als "Blackhat", als "Hacker"? Gab es ein ausschlaggebendes Ereignis?
ADAM: Das ist schwierig zu sagen. Meine Kumpels und ich bezeichneten uns selbst nie als "Blackhats", das war uns zu sehr James Bond. Wir sahen uns mehr als Menschen, die einen bestimmten Weg des Geldverdienens entdeckt hatten. Uns war es auch egal, wo andere uns einsortierten. Es war alles einfach nur leicht und lustig. Wer ich wirklich war, wurde mir erst in dem Moment klar, als einer meiner "Real Life"-Freunde Opfer von Kreditkartenbetrug wurde. Da habe ich gemerkt, dass es echte Opfer gibt und diese Leute nicht nur Nummern sind, mit denen sich Geld machen lässt.
HANSEN: Wie viele Rechner haben Sie in Ihrer Hacker-Hochzeit unter Kontrolle gehabt?
ADAM: Ich habe zwei getrennte Botnetze betrieben. Das DDoS-Botnetz umfasste öffentliche Rechner und solche in Büros. Diese sind schließlich den ganzen Tag eingeschaltet und bringen gute Verbindungsgeschwindigkeiten. Zudem findet dort kein Online-Banking statt. Dafür hatte ich mein um einiges wertvolleres Karten-Botnetz. Da waren die Rechner von Banken, Immobilienmaklern, Supermärkten und Privatrechnern zu finden. Hier habe ich Kundendaten abgegriffen und hatte somit eine dauerhafte, unendlich große Versorgung mit Kreditkartendaten und Spam-Munition. Das DDoS-Botnetz umfasst derzeit noch rund 60.000 bis 70.000 Bots, die meisten im Westen der USA. Das Carding-Botnetz hatte mit 5000 bis 10.000 deutlich weniger, die meisten in Asien. Die größte Zahl an Bots, die ich jemals gleichzeitig kontrolliert habe, lag bei 570.000.
HANSEN: Wieviel Geld haben Sie den ungefähr nach Abzug aller Kosten im Jahr übrig gehabt?
ADAM: Ich kann Ihnen nicht die Einzelheiten erzählen, aber nach dem 11. September 2001 haben wir Millionen verdient.
HANSEN: Und im vergangenen Jahr?
ADAM: Soweit ich es im Kopf habe, rund 400.000 bis 500.000 Dollar. Das letzte Jahr war durchwachsen. Die Leute sind vernünftiger geworden, sie patchen häufiger. Was das laufende Jahr angeht, haben wir bereits drei Viertel des genannten Betrags zusammen.
HANSEN: Hatten Sie, als Sie angefangen haben, ein bestimmtes Ziel oder einen bestimmten Geldbetrag im Kopf, den Sie erreichen wollten?
ADAM: Das werde ich von den Leuten in den Hackerforen oft gefragt. Bis vor vier Jahren habe ich mir nie Ziele gesetzt. Ich habe damals aus Spaß angefangen, aber auch um Aufmerksamkeit zu bekommen und um einfaches, sehr einfaches Geld zu verdienen.
HANSEN: Wie genau verdienen Sie mit Ihrem Botnetz Geld?
ADAM: Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen - besonders in der automatisierten Industrie. Jede Crew besteht aus mehreren Mitgliedern - dem Botmaster, dem Rechercheur, dem Reverse-Engineering-Experten, dem Verteiler, dem Social Engineer, dem Verkäufer und dem "Fudder" (einem Spezialisten, der Malware so geschickt in Dateien versteckt, dass Virenscanner sie nicht entdecken können, Anm. d. Red.). Die Leute, die Zero-Days verkaufen, verkaufen die Hälfte ihrer Zeit ausschließlich Zero-Days. Ihre Käufer sind Botmaster ohne eigenes Team. Unsere Crew hat ein Tool entwickelt, das den Bot-Cache nach Facebook- und Twitterkonten durchsucht und die jeweiligen Facebook-Interessen prüft (beispielsweise Justin Bieber). Anschließend werden Alter, Name, Wohnort geprüft - alles automatisch. Ein Beispiel: Bot Nummer 2 ist bei Facebook eingeloggt. Der Kontobesitzer mag Justin Bieber, ist 14 Jahre alt, weiblich und lebt in den USA - das ist wichtig, um die richtige Sprachauswahl treffen zu können. Unter diesen Voraussetzungen spuckt der Bot eine vorgefertigte Liste mit Links aus und wählt dort beispielsweise die Schlagwort-Kombination "Justin Bieber sex tape video".
Mit Zero-Days Websites zu unterwandern und dort iFrames einzubinden, ist hingegen recht altbacken, langweilig und nicht immer sehr effizient - es sei denn, Sie schaffen es auf eine große und populären Website, dann lohnt sich das. Zero-Days in Websites mit solchen in Programmen wie Java zu verbinden, um Rechner mittels Drive-by-Download zu kapern, ist da schon wesentlich besser - besser jedenfalls als den Nutzer dazu zu bringen, eine bestimmte Datei herunterzuladen. Viele Nutzer wissen ja nicht einmal, dass ihre E-Mail-Adressen über ihre Facebook-Profile öffentlich einsehbar sind und sich wunderbar an Spammer verkaufen lassen. Das Abgreifen lässt sich natürlich automatisieren und damit Geld verdienen.
Nichts einfacher als das
HANSEN: Wie einfach ist es für Sie, eine Website zu kompromittieren?
ADAM: Anfänger suchen einfach nach "inurl:money.php?id=" - dann werden sie schon fündig. Da das aber besonders auf großen Sites nicht immer funktioniert, ist schon etwas mehr Recherche nötig. Ich schaue gerne Finanznachrichten im Fernsehen. Die dort vorgestellten Startups sind schnell erfolgreich, haben aber selten Admins, die wirklich Ahnung von Sicherheit haben. Also sind sie verwundbar. Häufig patchen Sie ihre SQL-Datenbank, haben aber ihr DNS nicht im Griff, was den Schutz vor Cache Poisoning angeht. Ein geräuschloser Einbruch in deren Datenbank ist in weniger als einer Stunde vollzogen.
HANSEN: Wie einfach ist es, ein fremdes Nutzerkonto zu übernehmen - nur mithilfe von Whois-Informationen und anderen frei zugänglichen Datenquellen?
ADAM: Whois war einst unerlässlich zum Informationensammeln. Mittlerweile holen sich alle die Daten über Facebook, Twitter etc. Damit lassen sich beispielsweise Amazon-Konten schnell übernehmen und mit fremden Kreditkarten shoppen gehen. Das erfordert lediglich ein Telefonat mit dem Kundenservice für das Zurücksetzen des Passworts. Auch wenn Amazon nach eigenen Angaben diese Art Identitätsdiebstahl schon vor zwei Jahren unmöglich gemacht hat, sind deren Mitarbeiter doch immer noch sehr vertrauensselig und wollen nicht viele Daten zur Verifizierung haben. Also Amazon, trainiert eure Angestellten!
HANSEN: Welche Art Website übernehmen Sie am liebsten? Welche lassen sich am einfachsten zu Geld machen? Oder greifen Sie ausschließlich nach dem Zufallsprinzip an?
ADAM: Meistens greife ich ins Blaue hinein an. Doch einmal habe ich eine Ausnahme gemacht, weil mir ein Unternehmen keinen Rabatt geben wollte. Daraufhin haben wir alle Kreditkartennummern der Kunden online gestellt. Eine Branche, die ich sehr gerne attackiere, ist die Security-Branche, also beispielsweise Hersteller von Antiviren-Software. Aber auch Klamottenläden während des Sommerschlussverkaufs oder Porno-Seiten machen Spaß. Gerade Klamottenshops sind sehr einfach zu hacken, weil sie erstens nie eine Zwei-Schritt-Authentifizierung fordern und zweitens technisch ziemlich unterbelichtet sind. Die Unternehmen engagieren jemanden, der die Website aufsetzt, kümmern sich aber anschließend selbst um deren Betrieb. Sie verwenden kein HTTPS und sind sehr anfällig für SQL-Injection-Attacken. Als Hacker gibt es nun zwei Möglichkeiten: Kreditkartendaten abziehen und verschwinden oder Website übernehmen und einen iFrame einbinden, der den Drive-by-Download eines Banking-Trojaners initiiert.
Was ich an Porno-Seiten so toll finde, ist, dass deren Betreiber nie prüfen, wo die geschalteten Werbeanzeigen hinführen. Als Angreifer lädst du da einfach nur eine "Anzeige" hinein, die eine gut ausgestattete Frau beim Facebook-Surfen zeigt. Sobald jemand draufklickt, sind wir wieder beim Drive-by-Download. Der besondere Kick: Wer mehr persönliche Daten seines Opfers braucht, verweist mit so einer Anzeige auf eine Seite, wo sich die entsprechenden Facebook-Informationen abfragen lassen. Damit lässt sich anschließend wunderbar weiteres Social Engineering betreiben.
Persönliche Lieblingsattacken
HANSEN: Ihr Lieblings-Exploit?
ADAM: Zero-Day. Direkt dahinter Cross-Site-Scripting (XSS). Beides wohlbekannt, aber niemand kümmert sich ums Patchen. Distributed Denial of Service (DDoS) lässt sich eher nicht als Exploit bezeichnen, stellt aber unser monatliches Grundeinkommen sicher.
HANSEN: Wie monetarisieren Sie DDoS?
ADAM: Die Leute kaufen Angriffs-Accounts - also beispielsweise 1000 Bots und 30 Minuten DDoS-Zeit. Da sind viele einmalige Aktionen dabei. Häufig geht es um Erpressung - wenn ein Unternehmen nicht 200 Dollar zahlt, bleibt seine Website down. Die Unternehmen zahlen für gewöhnlich - sie wollen keine Zeit zum Geschäftemachen verlieren.
HANSEN: Und wie suchen Sie sich die DDoS-Ziele aus?
ADAM: Kommt darauf an. Gibt es beispielsweise ein sportliches Großereignis wie den Super Bowl, werden zu der Zeit garantiert 95 Prozent aller Wettanbieter erpresst. Ich weiß aber auch von einer Gruppe, die eine Website über Krebsforschung abgeschossen haben, als deren Betreiber gerade einen Spendenmarathon gestartet hatte. Er hat gezahlt - schon irgendwie traurig das Ganze.
HANSEN: Was sind das für Leute, die sich in Ihr Botnetz einkaufen?
ADAM: Einige meinen, es seien Regierungen oder auch untereinander rivalisierende Unternehmen. Ehrlich gesagt ist mir das aber egal. Wer zahlt, schafft an. Ganz einfach.
Die Mythen der Security-Branche
HANSEN: Was machen Website-Betreiber reflexartig, um sich vor Kriminellen wie Ihnen zu schützen, obwohl es nie funktioniert?
ADAM: An dieser Stelle könnte ich einen Roman erzählen. Ich beschränke mich aber auf drei Dinge. Erstens dumme Admins einstellen, die die kriminelle Seite noch nie selbst kennengelernt haben. Die mit einem Silberlöffel im Hintern geboren worden sind und nur dank Mamis und Papis Kohle auf der Uni waren. Wenn ich CEO wäre, würde ich eher Leute mit einer kriminellen Vergangenheit beschäftigen - die wissen wirklich, wie der Laden läuft. Die haben nicht nur die Bücher gelesen. Zweitens unausgebildete, junge, dumme Samstagsarbeiter in der Telefonzentrale beschäftigen. Und drittens keinen DDoS-Schutz einkaufen. Cloudflare beispielsweise bietet für 200 Dollar im Monat einen unglaublich guten Sevice. Wenn ich Sie sonst an einem Tag um bis zu 1000 Dollar erleichtern kann, vielleicht keine so schlechte Investition.
HANSEN: Welche Sicherheitsprodukte und -technologien machen das Leben eines Blackhat schwierig? Welche sind Geldverschwendung?
ADAM: DDoS-Schutz allgemein ist ernstzunehmen, auch wenn viele Crews bei veralteten Lösungen auf diesem Gebiet das Gegenteil bewiesen haben. Was sich gar nicht lohnt, ist Antivirus, totale Geldverschwendung - ja, es schützt Sie vor Skript-Kiddies, die dumme Viren schreiben, aber das war es schon. Jedes Botnetz, das verkauft und benutzt wird, kann schon allein durch seine verteilte Architektur nicht entdeckt werden. Auch Anti-Spam-Software ist überflüssig, sieht man einmal von den Captchas ab, die aber von vielen Nutzern gehasst werden.
Denken Sie immer daran, dass der Kriminelle dem, was es an Sicherheitstechnologie zu kaufen gibt, zehn Schritte voraus ist. Wenn eine Zero-Day-Schwachstelle öffentlich wird, ist sie bereits seit Monaten im Einsatz gewesen. Zwei-Schritt-Authentifizierung mag manchmal vor Social Engineering schützen, ist aber umgehbar - wie "Cosmo", ein 15-jähriges Mitglied von "UGNazi", gezeigt hat. Es ist wie beim Spielekauf: Nach dem Release folgen viele Patches und bevor es irgendeinen Einfluss auf irgendetwas anderes hat, dauert es eine lange Zeit.
HANSEN: Welche Browser sind am anfälligsten und warum?
ADAM: Vor ein paar Jahren hätte ich diese Frage mit "100 Prozent IE" beantwortet. Auch heute ist der Internet Explorer sehr verwundbar, wird aber nicht mehr so stark genutzt. Schnellere Browser wie Chrome oder Firefox sind aufgekommen. Der große Marktanteil des IE erklärt sich für mich eher aus der Bequemlichkeit vieler Anwender und der Gewöhnung daran - und dem Unwissen über dessen Gefahren. Gerade Chrome hat Microsoft zudem förmlich zu neuen Sicherheitsstandards in der Entwicklung gezwungen. Auch dass Java bei vielen Anwendern wegen seiner ständigen Lücken nicht mehr so großen Kredit hat, erschwert das Botnetz-Geschäft.
Multiple Identitäten und ethische Grundsätze
HANSEN: Sie haben viel Kundenkontakt. Wie bewahren Sie sich Ihre Anonymität?
ADAM: Ich lasse die Bots für mich sprechen. Nicht, dass ich meinen Datenverkehr über sie umleite und sie als "Proxys" einsetze, sondern indem ich einen PC programmiere, der Bestellungen entgegen nimmt. Der Käufer holt sich den Botcode aus dem Markt, installiert ihn und tippt ein, was er braucht. Ohne dass er es mitbekommt, verbindet sich sein Rechner dann mit meinem IRC-Kanal und gibt Bestellungs- und Zahlungsdaten durch. Natürlich bekomme auch ich von dem ganzen Vorgang nichts mit (grinst).
HANSEN: Was könnte den Untergrundforen an sich gefährlich werden?
ADAM: Nichts. Kein Markt bleibt länger als eine Woche über eine Domain erreichbar. Wenn doch, ist es eine Polizeiaktion.
HANSEN: Welche Linie überqueren Sie nicht? Womit wollen Sie nichts zu tun haben?
ADAM: Ich verbiete meinen Kunden, mit meinem Botnetz Wohlfahrtsorganisationen oder Gedenkseiten für gefallene Soldaten anzugreifen. Alles andere ist erlaubt. Ich werde oft gefragt, ob ich zulassen würde, dass mein Botnetz von Pädophilengruppen benutzt wird. Das muss es aber gar nicht, weil Pädos ihre eigenen Botnetze betreiben. Aber wenn jemand eine Pädoseite angreifen möchte, mache ich das sogar kostenlos. Auch Attacken auf "Revenge porn" (intime Fotos, die Ex-FreundInnen aus Rache an ihre Verflossenen ins Internet stellen, Anm. d. Red.) kosten nichts. Ganz so böse sind wir dann also doch nicht.
HANSEN: Welche Leute im Untergrund sind die gefährlichsten?
ADAM: Die Drogenbosse. Jeder Hacker, der etwas auf sich hält, wird sich weigern, denen zu helfen. Sie sind brutal. Ein bekannter Typ, der "Anti-Drogen"-Attacken gefahren hatte, ist verfolgt und schließlich getötet worden. Wahrscheinlich haben sie seine ganze Familie gleich mit umgebracht - aber ich möchte hier keine Gerüchte verbreiten.
HANSEN: Wie beeinflussen beispielsweise diese Drogenkartelle den Rest des Untergrunds? Machen Sie die Arbeit des Normalo-Blackhats einfacher oder schwerer?
ADAM: Die versuchen, dich unter Todesdrohungen zu erpressen - also am besten direkt ihre persönlichen Daten veröffentlichen, und gut ist. Jeder hasst sie, aber es handelt sich nun einmal um den Untergrund und da muss das wohl so sein. Ich kann mich ja schlecht bei den Behörden beschweren.
HANSEN: Wie gewinnen Szene-Einsteiger das Vertrauen der Forenbetreiber, um Zutritt zu bekommen?
ADAM: Mach dir einen Namen in einem der einschlägigen IRC-Kanäle. Erstelle Botnetze, die nichts oder kaum etwas kosten und man wird über dich reden. Vorher hast du keine Chance.
Foto: Alan Stockdale - Fotolia.com
HANSEN: Was würden Sie als Ihre eigenen Moralvorstellungen beschreiben? Was empfinden Sie für die Betreiber der Websites, die Sie angreifen und die Besitzer der Rechner, die Sie per Botnetz infizieren?
ADAM: Menschen, die Opfer von Kreditkartenbetrug werden, tun mir leid - obwohl viele es einfach verdient haben, wenn sie so blöd waren, auf einen falschen Link zu klicken. Die Admins, die ihre Systeme nicht gegen SQLi oder XSS schützen, hasse ich. Das ist gefährlich, dumm und lächerlich.
Keine Angst vor dem Gefängnis?
HANSEN: Wie empfinden Sie die Gefahr, doch einmal ins Gefängnis zu müssen? Warum verhindert die mögliche Strafe das Verbrechen nicht?
ADAM: Es ist sehr schwierig, die Beweise für unsere Schuld zusammenzubekommen - das gestohlene Geld ist sogar unmöglich zu finden. Jeder von uns hat hunderte Namen, Pässe und so weiter. Selbst wenn die Ermittler alles in die Finger bekämen, hätten sie doch nichts in der Hand. Einige von uns besitzen ein Café oder einen Nachtclub, über die sie das Geld an die Bank weiterleiten. Alles sieht ganz legal aus. Es ist doch immer eine Abwägungsfrage: Zehn oder elf Millionen Dollar in zehn bis 13 Jahren auf die Gefahr hin, zehn bis fünfzehn Jahre in den Bau zu müssen. Wie ich mich dort fühlen würde, weiß ich aber nicht, da ich ein Leben ohne Freiheit nicht kenne.
HANSEN: Erklären Sie uns den Unterschied zwischen einem begabten Skript-Kiddie und einem Blackhat. Wo sortieren Sie sich persönlich ein?
ADAM: Jeder fängt klein an. Es kommt eben darauf an, ob man weitermacht. Ein Skript-Kiddie (Skid) wird es nie bis in den Profi-Untergrund schaffen, das lassen die Erfahrenen dort gar nicht erst zu. Skids werden als Fußabtreter benutzt. Ob ich ein Skid bin? Ich hoffe nicht, es wäre sonst Zeitverschwendung gewesen, das erste automatische Server-Infektions-Botnetz zu bauen.
HANSEN: Wie viele Stunden pro Woche verbringen Sie als Blackhat?
ADAM: Wenn ich mich für etwas Neues begeistern kann, wie eine neue Zero-day - bis zu zwei Tage ohne Pause. Danach acht bis neun Stunden schlafen, dann wieder zwei Tage nonstop. Normalerweise sind es aber acht bis zehn Stunden täglich. Es ist schließlich ein Job.
Zukunftspläne
HANSEN: Wie sehen denn die Berufsaussichten für jemanden mit Ihren Fähigkeiten und Erfahrungen im kriminellen Bereich genau aus? Wie viel Geld könnten Sie verdienen, wenn Sie nicht kriminell geworden wären?
ADAM: Mir ist eine Stelle als Cyber-Security-Experte in einem großen Unternehmen angeboten worden. Mein dortiges Jahresgehalt würde ungefähr dem entsprechen, was ich in zwei Wochen im Untergrund verdiene.
HANSEN: Wo bestehen seitens der IT-Security-Branche die größten Missverständnisse in Bezug auf die Welt der Blackhats?
Foto: Nmedia, Fotolia.de
ADAM: Dass wir alle mit der Mafia verbandelt seien, dass wir die Weltherrschaft übernehmen wollten und alle aus Russland kämen. 90 Prozent der Kreditkartenbetrüger, die ich kenne, spenden jedes Jahr 80.000 bis 90.000 Dollar an gemeinnützige Organisationen. Ich kenne welche, die mit tausenden Moskitonetzen nach Afrika gereist sind. Nur weil wir einen Weg kennen, schnell viel Geld zu machen, heißt das nicht, dass wir die Welt ausrotten, die Menschen sterben und obdachlos sehen wollen. Es ist ein Geschäft. Wenn jemand an Krebs erkrankt, im Sterben liegt und Sie ein Gegenmittel besitzen, möchte ich wetten, dass Sie ihm das verkaufen und nicht schenken werden. Es geht hier darum, die Notlage eines Anderen zum eigenen Wohl auszunutzen. Wir sind gute Menschen.
HANSEN: Warum haben Sie sich nun entschieden, in die Legalität zurückzukehren?
ADAM: Es gibt nur eine begrenzte Zahl an Kreditkarten in der Welt. Auch glaube ich, dass das Bezahltwerden fürs legale Aufspüren von Zero-Days und Hacks reizvoller ist.
HANSEN: Wie groß war der Stress, nicht entdeckt zu werden, mit dem Sie als Blackhat kämpfen mussten?
ADAM: Verhaftet zu werden war immer eine Sorge, alles andere wäre dumm. Manchmal habe ich deshalb tage- und nächtelang nicht geschlafen. Oder den kompletten Tag verschlafen und die Nacht gehackt. Es fühlte sich besser an, zu wissen, dass ich wenigstens wach bin, wenn ich entdeckt werde.
HANSEN: Was sagen Ihre Ex-Kollegen zu Ihrem Sinneswandel? Lassen Sie das zu oder müssen Sie sich Sorgen machen?
ADAM: Ich denke, dass Sie meine Entscheidung akzeptieren. Ich habe einige meiner besten Bekannten gefragt und alle schienen meine Entscheidung, ein "Whitehat" werden zu wollen, zu respektieren. Es gibt auch keine wirklich Feindschaft zwischen Blackhats und Whitehats. Eigentlich ist es das genaue Gegenteil. Wenn wir uns nicht immer wieder gegenseitig herausgefordert hätten, wäre für niemanden Geld zu verdienen. Die meisten Blackhats lieben die Whitehats deshalb sogar.
HANSEN: Was sind Ihre Pläne?
ADAM: Ich möchte erforschen, wie lange es genau dauert, bis Whitehats eine Zero-Day-Lücke entdecken, nachdem die Blackhats sie gefunden haben. Auch werde ich die Exploits und Patches veröffentlichen, die ich häufig benutzt habe und die allgemeine Zero-Day-Expertise weitertreiben. Ich möchte mich mit den Blackhats messen.
HANSEN: Keine Angst, dass Sie Ihre Vergangenheit irgendwann noch einmal einholt?
ADAM: Nur, wenn mir jemand etwas nachweisen kann. Bis dahin bleibt sie mein persönlicher Vorteil.
Ein ähnliches Interview führte die COMPUTERWOCHE im Juli 2012 mit dem Ex-Hacker Kevin Mitnick, der jahrelang mit dem FBI Katz und Maus gespielt hatte. Lesen Sie es hier: "Es war ein Spiel - und ich wollte der Beste sein".