Fast ein Jahr hatte das Verfahren vor dem Landgericht München gedauert. Am Dienstag gab das Gericht dann der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) recht. Die GEMA verwaltet die Lizenzrechte zu den Werken vieler tausend Musiker*innen und hatte gegen den ChatGPT-Entwickler OpenAI geklagt. Das Gericht urteilte, OpenAI dürfe urheberrechtlich geschützte Songtexte nicht ohne eine entsprechende Lizenz verwenden. Außerdem verurteilte es OpenAI zu Schadensersatz. Das Urteil ist noch nicht rechtskräftig.

Bereits im November 2024 hatte die GEMA eine Klage gegen den US-amerikanischen Technologiekonzern eingereicht. Der Vorwurf: OpenAI benutze gesichert GEMA-Werke, um seine KI zu trainieren, zum Beispiel „In der Weihnachtsbäckerei“ von Rolf Zuckowski. Streitgegenstand war die Frage, ob ChatGPT diese memorisiert und dann auf Anfrage reproduziert oder nur aus ihnen lernt und sehr ähnliche Texte neu produziert.

Das Gericht schloss sich der ersteren Position und damit der GEMA an. Prof. Silke von Lewinski, Wissenschaftliche Referentin am Max-Planck-Institut für Innovation und Wettbewerb, sieht darin ein Urteil von „grundlegender Bedeutung für alle Werke, sei es Literatur, journalistische Texte, Musik, bildende Kunst, Fotografie oder jegliche andere Werke, die für Generative KI benutzt werden“.

KI-Unternehmen sollen für geschützte Werke zahlen

Es ist allerdings zu erwarten, dass OpenAI das Urteil nicht auf sich beruhen lassen wird. Auch eine Weiterverweisung an den Europäischen Gerichtshof wäre wohl möglich. OpenAI beharrt darauf, dass ChatGPT die Songtexte durch eine „sequenziell-analytische, iterativ-probabilistische Synthese“ selbst neu erstellt hätte und diese keineswegs einfach kopiert seien.

Die Klage gegen OpenAI ist nicht die einzige der GEMA gegen einen KI-Anbieter. Im Januar 2025 reichte der Verein zusätzlich Klage gegen Suno AI ein, eine Plattform, die mithilfe von Künstlicher Intelligenz Musik generiert. Suno AI erstelle Lieder, die von der GEMA geschützten Werken wie „Cheri Cheri Lady“ oder „Daddy Cool“ zum verwechseln ähnlich seien, so der Vorwurf der GEMA. Eine Anhörung hat bis jetzt noch nicht stattgefunden.

Die GEMA verfolgt mit den Klagen das Ziel, ein Lizenzmodell durchzusetzen. Wer seine KI-Modelle mit einem bestehenden Lied trainieren will, soll dafür zahlen. Ein entsprechendes Lizenz-Modell für generative KI hatte die GEMA im vergangenen Jahr eingeführt. „Die Songs unserer Mitglieder sind nicht der kostenlose Rohstoff für die Geschäftsmodelle der Anbieter generativer KI-Systeme“ sagt GEMA-CEO Tobias Holzmüller in einem Statement auf der Website. „Wer diese Songs verwenden möchte, muss eine Lizenz erwerben und die Urheberinnen und Urheber fair vergüten.“

close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Wenn Angreifer erfolgreich an einer Lücke in Dell Display and Peripheral Manager unter Windows ansetzen, können sie sich höhere Nutzerrechte verschaffen. In einer aktuellen Version der Software haben die Entwickler eine Sicherheitslücke geschlossen. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Mit der Anwendung verwalten Nutzerinnen und Nutzer PC-Zubehör wie Tastaturen und Webcams.

Sicherheitsrisiko

In einer Warnmeldung ist die Schwachstelle (CVE-2025-46430) mit dem Bedrohungsgrad „hoch“ eingestuft. Die Schwachstelle findet sich im Installer. Dort können der Beschreibung zufolge lokale Angreifer mit niedrigen Rechten ansetzen und ihre Zugriffsrechte im System hochstufen. Wie ein solcher Angriff im Detail ablaufen könnte, ist derzeit nicht bekannt.

Die Entwickler versichern, das Sicherheitsproblem in der Version 2.1.2.12 gelöst zu haben. Alle vorigen Ausgaben sind verwundbar.

Erst kürzlich hat Dell Sicherheitslücken in CloudLink und Command Monitor geschlossen.

(des)

Dies ist das Transkript der fünften Folge des neuen Podcasts „Darknet Diaries auf Deutsch“. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Grifter„.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

JACK (Intro): Mann, die letzte Defcon war der Wahnsinn. Ganz klar einer der, sagen wir mal, zehn besten Momente meines Lebens. Oh, was da alles passiert ist. Also, nur zur Erklärung, die Defcon ist eine jährliche Hacker-Konferenz in Las Vegas und meine absolute Lieblings-Konferenz weltweit. Es geht da so erfinderisch zu und so unterhaltsam gleichzeitig, es ist genial da und es ist verrückt. Die Defcon ist einfach anders. Es gibt natürlich Vorträge und Bereiche, wo man praktisch hacken kann, aber nachts, Oh Mann, während da die meisten Konferenzen einfach dicht machen, läuft die Defcon die ganze Nacht hindurch. Abends werden die Stühle aus den Vortragssälen weggeräumt und in Party-Locations verwandelt. Und da ist nicht nur eine Party – in Track 1 legt ein DJ auf, in Track 2 ist ne Spielhalle aufgebaut und in Track 3 stehen Nerdcore-Rapper live auf der Bühne. Geht man weiter, findet man mehr Partys, überall verteilt.

Es ist echt ein Abenteuer, sich auf den Weg zu machen und all das zu entdecken, was da passiert. Und außerhalb geht’s einfach weiter: Da sind dutzende andere Partys überall in der Stadt: In Hotelzimmern, in Bars, an Pools und dann die Partys von den Anbietern, die sich auf der Defcon präsentieren. Die geben manchmal über 100.000 Dollar für ne Party aus, mieten z.B. nen ganzen Nachtclub und spendieren ihren Kunden Getränke und Essen.
Ja, und während ich da irgendwo rumlief dachte ich mir dann irgendwann: Ich sollte auch ne Party schmeißen – eine Darknet Diaries Party.

Vollkommen zurecht könntet ihr jetzt einwenden: Ey Jack, es heißt doch immer, dass du so privat unterwegs bist und dass niemand weiß, wie du wirklich aussiehst. Und ja, das stimmt. Und wie kann ich überhaupt dann zu Konferenzen und Partys gehen und Leute treffen? Ich verrat’s euch: Ich trage ne Verkleidung. Ich setze einen großen schwarzen Hut auf, trage ne dunkle Sonnenbrille und ein Tuch über dem Rest meines Gesichts. Ich sehe aus wie ein Bandit aus alten Zeiten – und ich find’s gut.

Niemand weiß, wie ich wirklich aussehe, und trotzdem kann ich hunderte Leute treffen, wenn ich will. Ich habe dieses Kostüm sogar schon so oft getragen, dass man mich überall erkennt, wenn ich es anhabe. Ist quasi meine Marke, mein Look. Die Leute kommen dann zu mir, sagen hallo und unterhalten sich mit mir. Das ist super, ich steh drauf. Auf der Defcon kann ich keine drei Meter gehen, ohne dass jemand meinen Namen ruft und hallo sagt. Aber mit Kostüm weiß halt niemand, wer ich wirklich bin. Ich genieße es, dass die Anonymität mein Grundzustand ist, und ich die Bekanntheit einschalten kann, wann immer ich will. Ich möchte nicht, dass die Leute wissen, wie ich wirklich aussehe, denn ich möchte ein angenehmes und privates Leben führen. Ich mag ja schon die Aufmerksamkeit, die ich durch diese Show hier bekomme, aber genauso mag ich es auch, dass ich sie ausschalten kann, wann immer ich will.

Meine Idee für die Party auf der Defcon war, die Anonymität noch weiter zu treiben. Jeder weiß, ich bin der Typ mit dem großen schwarzen Hut, der Sonnenbrille und dem Tuch ums Gesicht. Was wäre, wenn ich jedem Partygast das gleiche Kostüm geben würde? Dann wäre jeder Jack Rhysider. Ich hab die Idee dann der Defcon vorgestellt und die fanden’s gut. Sie zeigten mir daraufhin, welchen Saal ich bekomme, und ich trommelte zwanzig meiner Freunde zusammen, um alles zu planen. Wir hatten vier DJs, zwei Video-DJs und ach, noch so viel mehr. Es war so toll. Ich bestellte 800 schwarze Hüte, Sonnenbrillen und Tücher, und die Party begann.

Der Raum füllte sich sofort. 400 Leute strömten durch die Tür, bekamen alle die Kostüme und zogen sie an. Das Spiel wurde mitgespielt. Ich hab getestet, ob mich jetzt noch irgendjemand finden kann, wo wir alle exakt das gleiche Kostüm tragen? Tatsächlich war die Antwort: Nein. Ich war extrem schwer zu finden. Einige Leute kamen sogar rein, suchten überall nach mir, konnten mich nicht finden, gingen wieder und twitterten dann: „Ich war gerade auf Jack Rhysiders Party. Er war nicht mal da.“ Ich ging zu Leuten und fragte sie: „Hey, wo ist Jack?“ Niemand wusste das. Ich versuchte, ein paar Damen davon zu überzeugen, dass ich eigentlich der echte Jack Rhysider bin, die lachten nur und sind weggegangen.

Es war crazy, all die Leute auf meiner Party zu haben, und ich hatte einfach dieses sehr ruhige, glückliche und gelassene Erleben, ich konnte einfach durch die Menge schweben und es genießen – auch ohne von allen belagert zu werden – was normalerweise gerne passiert. Und ich war in gewisser Hinsicht nicht mal maskiert. Das ist meine Party und niemand kann mich finden. Es war urkomisch für mich.

Aber das war nicht alles. Ich hab mir gedacht: Wisst ihr was? Ich will die Fans dieser Show auf die Probe stellen. Ich glaube, dass sie – also ihr, die Hörer dieser Show – die besten, süßesten, nettesten Menschen der Welt sind, und das will ich beweisen. Ich wollte den Leutengegenüber irgendwie, ja, verletzlich sein, ihnen eine Macht über mich geben und sehen, wie sie auf diese Macht reagieren. Ich wollte ihnen so viel Macht geben, dass sie mich ruinieren könnten, und sehen, ob jemand von ihnen diese Macht dahingehend missbraucht.

Also dachte ich: Okay, ich bin hier auf der Defcon. Was wäre wohl die schlechteste Idee, die mir in diesem Sinne für die Party einfallen könnte? Und dann fiel’s mir ein: Ich lass die Partygäste meinen Twitter-Account kontrollieren. Mann, wenn schon alle aussehen wie ich, können sie auch als ich twittern, oder nicht?

Also richtete ich diesen „If This Then That“-Trigger ein, sodass wenn man eine SMS an eine Telefonnummer schickt, automatisch getwittert wird, was man geschrieben hat. Keine Moderation. Keine Filter. Nur Vertrauen. Ich hab nicht herausfinden können, wie ich Fotos zum Laufen bringe, also war es nur Text, und ich blockierte URLs – so ziemlich das Einzige, was ich blockierte. Wir richteten einen Projektor auf eine Wand mit einem Live-Feed meines Twitter-Accounts, und da stand: „Schreibt an diese Nummer und es wird als Jack getwittert.“

Und die Leute schrieben – nicht zu knapp. Dutzende Nachrichten flogen rein, die Automatisierung machte mit und twitterte einfach alles, was reinkam. Zuerst haben die Leute es nur getestet und gekuckt, ob das echt war, jemand schrieb „Miau“ ein anderer „Funktioniert das wirklich?“ Dann fingen die Leute an, ihre Namen zu schreiben: „David war hier“ und „Ich liebe dich, Andrea“. Dann tauchte ASCII-Art auf und Memes wurden gepostet.

Ich war richtig nervös als ich auf den Bildschirm schaute, ein Haufen Leute stand um mich rum und schaute ebenfalls den Tweets beim Reinkommen zu. Sie hatten natürlich keine Ahnung, dass ich neben ihnen stand, und ich hörte, wie sie darüber redeten, es nicht glauben konnten, dass Jack so dumm war, sein Twitter an die Defcon zu übergeben. Ich mein, auf ne Art hatten sie recht. Von allen Orten, wo man das macht, ist die Defcon wahrscheinlich der schlimmste. Diese Hackertypen entstellen alles zum Spaß, löschen und zerstören Zeug. Es war ne furchtbare Idee. Es könnte sein, dass ich gecancelt werde, dass etwas gepostet wird, das absolut schrecklich für mich sein wird.

Aber wie gesagt, es war ein Test, um zu sehen, wie großartig die Fans sind – verletzlich zu sein und zu sehen, ob sie diese Macht missbrauchen. Und wisst ihr was? Sie haben mich nicht enttäuscht. Ich glaube, der heikelste Tweet, den ich sah, war: „Ich bin gerade so geil.“

Nach‘n paar Stunden und hunderten Posts hat Twitter allerdings meine Aktivität eingeschränkt und damit den Spaß ruiniert. Sie sprengten die Party, sie blockierten mich für vierundzwanzig Stunden vom Twittern, was andererseits vielleicht auch einfach ein passender Weg war, diese ganze Sache zu beenden. Es ging schön aus. Ich wurde nicht gesperrt, nur ge-rate-limited. Zu dem Zeitpunkt war die Party überfüllt, und es hatte sich dann doch rumgesprochen, wer ich war, sodass ich ab da von Menschen umringt war, was mir dann großen Spaß machte. Wir hatten ne super Zeit.

Aber was ich da nicht wusste: Draußen standen weitere tausend Leute in der Schlange und versuchten, reinzukommen. Ich weiß, dass es tausend Leute waren, weil jemand eine Schachtel Bleistifte holte, die tausend Bleistifte enthielt, und jedem in der Schlange einen gab – und am Ende waren sie alle weg.

Uns ging natürlich alles aus: Hüte, Tücher, Aufkleber, Sonnenbrillen, Armbänder. Ich glaube, ich hab insgesamt so ungefähr 1.500 Leute an diesem Wochenende getroffen, die 1.600 Armbänder, die ich dabei hatte waren jedenfalls alle vergeben. Die Defcon ist bekannt für lange Schlangen, aber auf dieser Party waren so viele Leute in der Schlange, dass die Leute von der Defcon meinten, dass das außergewöhnlich war. Die Schlange war länger als die am Merch-Stand, die immer unfassbar lang ist.

Irgendwann konnten wir die Leute draußen auch nicht mehr zurückhalten. Wir öffneten einfach die Türen und ließen alle rein– und es war crazy da drin. Ich glaube, die Party ging dann etwa sechs Stunden, die ganze Nacht lang, und ich hab jeden Tropfen Energie, den ich hatte, dagelassen. Aber das war’s wert. Es war die coolste Zeit, die ich je auf der Defcon hatte.

Bis heute kommen Leute, die mich fragen, warum ich diesen oder jenen Tweet abgesetzt habe. Die sind sauer wegen irgendeiner provokanten Äußerung da. Und wenn ich mir dann den Tweet anschaue, denke ich: was, das hab ich geschrieben? Aber dann schaue ich auf das Datum und sehe, dass es am 10. August gepostet wurde, jener Nacht, die ich niemals vergessen werde, und das zaubert mir wieder ein Lächeln auf die Lippen.

Long Island, 90er Jahre: Zwischen Nintendo und Kleinkriminalität

JACK: Grifter – wie bist du zu dem Namen gekommen?

GRIFTER: Ich zucke immer etwas zusammen, wenn mir jemand diese Frage stellt. Ich habe wie viele Nerds da draußen als Kind das Wörterbuch gelesen. Ich suchte nach interessanten Wörtern, Wörtern, die mir gefielen, und die Definition von „Grifter“, die ich fand, war: „Eine Person im Zirkus oder Jahrmarkt, die Freakshows oder Glücksspiele betreibt.“ Ich dachte: Ooh, das ist badass. Dann stand da auch noch die bekanntere Bedeutung: ein Trickbetrüger. Ich dachte: Auch cool. Nehm ich. Also fing ich an, diesen Namen in Videospielen zu verwenden – da nannte ich mich Grifter.

JACK: Aufgewachsen bist du auf Long Island.

GRIFTER: Ja, Long Island.

JACK: Was haben Computer damals für dich bedeutet?

GRIFTER: Ich gehörte zur Nintendo-Generation, ich mochte Videospiele. Meine Eltern sind geschieden. Mein Dad lebte bei seinem Bruder. Mein Onkel war in den Achtzigern Computer-Techniker. Also hatte er einen Computer. Ich habe ADHS auf einem irrsinnigen Level, aber vor einem Computer zu sitzen oder Elektronik vor mich hinzustellen war eines der Dinge, die mich ruhig halten konnten. Also ermutigte er mich, das so oft wie möglich zu machen. Ich fing an, Spiele am Computer zu spielen, was schließlich zu meinen ersten Online-Erfahrungen führte – da hab ich mich in Pirate-Bulletin-Board-Systeme eingewählt, um Raubkopien herunterzuladen.

JACK: Damals hatte man Glück, wenn man überhaupt einen Computer im Haus hatte. Keiner hatte ne Ahnung, wie die funktionierten, und sie waren sehr teuer. Und das Problem mit Raubkopien ist ja, dass sie voller Malware und Viren sind. Grifter lud also ein Raubkopie-Spiel runter, installierte es, und plötzlich war der Computer seines Onkels hinüber. Er hatte jetzt also quasi den Familiencomputer auf dem Gewissen und befürchtete echte Schwierigkeiten, wenn er das von ihm verursachte Problem nicht beheben könnte. Das zwang ihn quasi, durch den Schaden klüger zu werden, in dem er seine Computkenntnisse verbessert. Danach war er dann nicht mehr nur ein Nutzer – er wurde ein Superuser.

GRIFTER: Ja, ich denke, das war halt so – wir waren gezwungen, in diesem Alter viele verschiedene Dinge zu lernen, weil wir ein bisschen von allem lernen mussten. Es wurde nicht einfach für uns gemacht. Überhaupt online zu gehen erforderte damals schon eine gewisse Geschicklichkeit, um ein Modem zu konfigurieren, die richtigen Nummern zu wählen und alles richtig einzustellen. Der Anschluss an verschiedene BBS-Software erforderte verschiedene Einstellungen. Weil das so war, gab es die Annahme, dass wenn du online bist, du ein Erwachsener bist. Ich konnte Sachen posten und niemand wusste, dass ich zehn Jahre alt war – das mochte ich wirklich.

JACK: Aber Grifter war’n Wildfang und ein Unruhestifter, und es hat ihn zu den dunkleren Teilen des Internets hingezogen.

GRIFTER: Das Piraten-Bulletin-Board-Zeug und die Posts dort führten schließlich dazu, dass jemand auf einem der BBSs sagte: „Hey, basierend auf dem, was du da postest, denke ich, dass dich dieses andere Bulletin Board wirklich interessieren würde“, und sie posteten eine Nummer. Ich wählte sie an und es war ein Hacker-BBS. Ich bin praktisch durchgedreht. Ich dachte, es wäre Großartigste überhaupt. Ich las alles auf diesem BBS – alle Textdateien über die verschiedenen Systeme da draußen, grundlegende Befehle für verschiedene Dinge. Ich fantasierte über Betriebssysteme, mit denen ich noch nie in Berührung gekommen bin, und dachte: Oh, ich kann das machen, ich kann das. Es waren nicht nur verschiedene Betriebssysteme. Es waren Computerviren und wie man einen Virus schreibt und all diese verschiedenen Dinge macht – ich war fasziniert davon. Ich hab alles daran geliebt, und das war’s. Ich war drin.

JACK: Ich weiß genau, was er mit „drin sein“ meint. Ich kam auch als Jugendlicher auf BBSs, Bulletin-Board-Systeme, es war seltsam da, weird, und ich verstand das alles nicht, also mochte ich es auch nicht. Aber als ich zu AOL kam, hab ich da Chatrooms gefunden, wo viele Leute gleichzeitig in Echtzeit redeten, und das haute mich vollkommen um. Ich war sofort süchtig nach Chatrooms und verbrachte unzählige Stunden damit, einfach mit tonnenweise Leuten zu reden. Man könnte sagen, dass ich mich da ins Internet verliebte. Ich war drin. Kurz darauf entdeckte ich IRC, wo in diversen Chatrooms in Echtzeit gechattet wird und ja, seitdem bin ich dabei.

GRIFTER: Da wo ich lebte, dachte ich: Okay, ich werde wahrscheinlich nie New York verlassen. Die Idee, um die Welt zu reisen oder sowas, war mir so fremd wie diese Orte selbst. Aber der Computer änderte all das. [Musik] Ich konnte mich in ein System einwählen und von einem zum nächsten zum nächsten springen, über Netzwerke, die Unterseekabel durchquerten und in anderen Ländern endeten, von denen ich nie dachte, dass ich sie bereisen könnte. Ich dachte: Wenn ich auf ein System zugreife, sagen wir in Amsterdam, weiß ich, dass wenn ich das mache und mit dieser Maschine interagiere, die Lichter am Modem oder der Netzwerkkarte blinken und die Festplatte hochfährt, weil ich von dort aus auf Dateien zugreife. In meinem zwölf- und dreizehnjährigen Gehirn fühlte ich mich, als wäre ich dort. Es war meine Art, einen Ort zu berühren, von dem ich nicht dachte, dass ich ihn jemals physisch erreichen würde. Ich wusste, dass es in einem Schrank irgendwo war und niemand es sehen konnte, aber irgendwie und in gewisser Weise beeinflusste ich diese Umgebung physisch.

JACK: Das machte er also online, aber im normalen Leben, in der echten Umgebung, da war er ständig in Schwierigkeiten.

GRIFTER: Aufgewachsen ohne viel Geld in einer Gegend, wo die Leute nicht viel Geld hatten – ich würde sagen, ich war kein gutes Kind. Ich versuche seitdem, es wieder gutzumachen, aber wir haben Verbrechen begangen. Ich habe wie verrückt geklaut. Ich zog jeden Betrug ab, den man abziehen konnte. Wir stahlen Autos, brachen in Autos ein und stahlen Stereoanlagen und Lautsprecher. Ich lebte in der Nähe eines Yachthafens – wir zogen los und raubten Boote aus. Wir brachen in Häuser ein. Wir prügelten uns ständig zum Spaß. Es war nicht…

JACK: Okay, erzähl mir von einer dieser Schlägereien.

GRIFTER: Okay, ich mag Schlägereien. Ich mag körperliche Kämpfe. Ich weiß nicht warum. Ich denke, es ist einfach etwas – was mir Spaß macht. Ich weiß, das klingt, als wäre ich ein Psychopath, aber ich mag es, gegen jemand anderen anzutreten und zu sehen, wo man dabei rauskommt. Damals war es einfach – wir gerieten in Schlägereien mit zufälligen Leuten oder Leuten aus rivalisierenden Gangs, so Zeug, Du warst halt in einem Teil der Stadt, wo du nicht sein solltest. Ich geriet einfach in Prügeleien. Ich suchte mir einen zufälligen Kampf. Ich prügelte mich mit zwei Leuten gleichzeitig. Ich mochte einfach das Kämpfen, und viele meiner Freunde waren genauso. Manchmal gingen wir einfach raus und prügelten uns mit jedem, den wir kriegen konnten.

JACK: In der Gegend, in der er aufgewachsen ist, gab es viele solcher Vorfälle, erzählt Grifter. Wenn man aber als Kind nur solche mitbekommt, dann geht man irgendwie davon aus, dass alles und alle so sind.

GRIFTER: Ich dachte, das wäre normal. Wenn ich fernsah und die Sachen sah, die man auf dem Disney Channel sehen würde oder so, irgend so ein Disney-Film, dachte ich: Das ist Fantasie. Das ist eine Fantasiewelt, von der sich die Leute wünschen, dass sie existiert. Mir war nicht klar, dass es Leute gab, die in Orten aufwuchsen, die erstens so aussahen oder dass sich die Leute so verhielten. Ich kannte es nicht anders. Ich wusste nicht, dass es nicht normal war, nachts nach Hause zu gehen und wenn ein Auto kommt, hinter einen Baum oder Telefonmast zu springen, weil man verletzt werden könnte. Man könnte in eine brenzliche Situation geraten. Ich wusste nicht, dass das nicht normal war. Es war also zum Teil schlicht Überleben und zum Teil – man erarbeitet sich einen Ruf oder wird berüchtigt, so dass es heißt: Oh okay, leg dich nicht mit ihm an, weil du verlieren wirst. Mein Ding war: Ich kann einen Schlag einstecken und viel getroffen werden, und es ist wirklich schwer, mich k.o. zu schlagen.

JACK: Grifters Welt war hart, und um voranzukommen, so fühlte es sich wohl zumindest für ihn an, musste man Regeln brechen.

GRIFTER: Es gab eine Ladenkette, die so Kaufhäuser waren, ein paar Freunde und ich – wir gingen alle samstags hin und machten Barcode-Swapping. [Musik] Also Aufkleber-Tauschen. Du gehst einfach hin und tauschst den Aufkleber an etwas. Du siehst eine Kristallschale und dann gab es eine andere Glasschale. Du nimmst und Du tauschst die Preisschilder, also kaufst du die Kristallschale, die 300 Dollar kosten sollte, für 30 Dollar, dann tauschst du die Schilder zurück und gibst sie zurück. Wir gingen einfach samstags los und gingen in sieben, acht Läden.

Wir kauften es in einem Laden, gaben es im nächsten zurück, kauften anderes Zeug in dem Laden, gingen und gaben es im nächsten zurück, machten solche Sachen. Für so eine kleine Crew kam da ziemlich ordentlich was an Geld rein. Keiner meiner Freunde hatte was mit Computern am Hut, nur ich, und ich wusste, wie man Dinge macht, von denen sie keine Ahnung hatten. Zum Beispiel Carding, so nannten wir es damals. Das war im Grunde Identitätsdiebstahl und Kreditkartenbetrug, und dann bestellten wir einen Haufen Zeug wie Computerteile oder Kleidung und so ein Zeug und ließen sie an verlassene Häuser schicken.

Ich hinterließ einfach einen Zettel an der Tür: „Hey, UPS-Typ, nicht zu Hause. Bitte lass das Paket unter einer Decke.“ Das war etwas, was meine Freunde natürlich nicht wussten, wie man das macht, was ich ihnen irgendwie beigebracht hab: So können wir das machen, und dann können wir Geld verdienen. Wir hatten also im Wesentlichen gestohlene Waren, die an uns geschickt wurden, und dann behielten wir einige Sachen, die wir wollten, und andere Dinge verkauften wir weiter und bekamen so Geld.

JACK: Er bestellte die Sachen, die damals in waren, Tommy Hilfiger-Jacken, FILA-Schuhe und andere Streetwear. So sah er überall, wo er hinkam, cool aus und er verkaufte die anderen Klamotten auch noch günstig. Er war sozusagen dein Klamotten-Dealer. Und, apropos, zu diesem Lebensstil gehörten natürlich auch Drogen, er probierte sie aus und war ne Zeit lang Teil der Szene. Aber damit hörte er dann auf. Er mochte es nicht, dass sein Gehirn dabei geschädigt wurde. Sein Verstand war ihm tatsächlich sehr wichtig, es war etwas, das er nicht verlieren wollte. Aber er sah, dass andere Leute Drogen nahmen, und das war für ihn ne Möglichkeit, Geld zu verdienen, also verkaufte er Drogen.

GRIFTER: Ich machte all diese zwischenmenschlichen Verbrechen im Alltag, normale Verbrechen tagsüber. Ich war einfach ein –irgendwie ein echt mieser Typ, ein Scheißkind, das all dieses bekloppte Zeug machte, aber nachts war ich immer noch völlig in die Hacker-Welt vertieft. Und dann irgendwann brach ich einfach in verschiedene Systeme ein, und ich kam in ein System, das sich letztendlich als großer Kreditkartenanbieter herausstellte.

Der erste große Hack – und die Flucht zum Militär

JACK: Zuerst wusste er nicht, dass er bei einem Kreditkartenanbieter war. Das Internet ist ein dunkler Ort. Man sieht nicht immer, wohin man geht, und Hacken war damals kaum Hacken.

GRIFTER: Das ist das Ding, das war damals anders, in der Zeit, in der wir aufwuchsen, im Gegensatz zu Hackern heute – wir reden über diese Dinge, als wären sie massive Errungenschaften. So nach dem Motto, als ich ein Kind war, brach ich in die NASA ein. Aber nee: Als du ein Kind warst, hat du dich in die NASA eingeloggt.

JACK: Man musste lediglich eine IP-Adresse oder eine Telefonnummer kennen, um eine Verbindung herzustellen, und wenn es überhaupt Sicherheitsvorkehrungen gab, wurde man vielleicht nach einem Benutzernamen gefragt. Wenn, dann konnte man oft einfach irgendwas eingeben und man wurde reingelassen, oder man konnte einfach warten, bis Zeit abgelaufen war, und wurde dann reingelassen. Damals war es nicht schwer zu hacken, aber gleichzeitig wusste auch niemand, was man da tat, also war es doch irgendwie schwer, weil es keine Anleitungen gab, wie man sowas macht.

Wenn man es also einfach an genug Stellen ausprobierte, fand man vielleicht was, wo man reingelassen wurde, und so gelangte Grifter in dieses Unternehmen, ein Kreditkartenanbieter. Während er sich in diesem Netzwerk befand, schaute er sich um, welche Dateien es dort gab, und er fand da Schulungshandbücher zur Bearbeitung einer neuen Kreditkarte. Im Grunde genommen muss ein Mitarbeiter dieses Unternehmens, nachdem jemand die Bonitätsprüfung bestanden hat, dem dann eine Karte ausstellen, und dieses Schulungshandbuch zeigt genau, wie das geht. Nun befindet sich Grifter also innerhalb des Unternehmens, innerhalb des Computers, der intern zur Erstellung einer neuen Kreditkarte für einen Kunden verwendet wird, und er hat die Anleitung, wie man das macht.

GRIFTER: Ich suchte nach der Datenbank, und als ich sie fand, war es nicht allzu schwierig herauszufinden, was ich ausfüllen musste und wo. Und am Anfang dachte ich einfach: Ich frage mich, ob ich das machen könnte. Ich frage mich, ob ich etwas geschickt bekomme, wenn ich diese Felder ausfülle. Ich füllte also die Felder aus und gab eine Adresse ein, die ich als Drop für einige der Carding-Sachen verwendet hatte, und dann wartete ich. Ich beobachtete einfach das Haus und überprüfte den Briefkasten alle paar Tage, um zu sehen, ob etwas geliefert worden war, und schließlich öffnete ich eines Tages den Briefkasten und da war ein Umschlag von der Kreditkartenfirma drin, und er hatte eine Karte mit dem Namen, den ich eingegeben hatte. Ich war begeistert und entsetzt – gleichermaßen. Ich dachte: Oh mein Gott. Das war diese Art von Aufregung gemischt mit Panik, weil ich dachte: Oh, das ist echtes Verbrechen. Das ist tatsächlich schlimm – obwohl all das andere Zeug echte Verbrechen waren, machte etwas daran, das Ding in meinen Händen zu halten, alles sehr real. Ich erinnere mich, dass ich nach Hause rannte, in mein Zimmer ging, den Umschlag öffnete, die Karte in der Hand hielt und einfach dachte: Oh mein Gott.

JACK: Er legte sich aufs Bett, hielt sie in die Luft und schaute sie an – seine ganz eigene Kreditkarte, eine, bei der er nichts zurückzahlen muss – weil er einen falschen Namen darauf gesetzt hatte, und die Kreditkartenfirma keine Ahnung hat, wer er ist, um hinter ihm her zu sein. Der Brief sagte, es gibt ein 5.000-Dollar-Limit auf dieser Karte. Wow.

GRIFTER: Nachdem ich ein oder zwei Tage davon geträumt hatte, wurde mir klar: Du kannst das Ding nie benutzen. Es ist unmöglich, mit fünfzehn Jahren in ein Geschäft in einem Einkaufszentrum zu gehen, dort mit einer eigenen Kreditkarte aufzutauchen und irgendetwas zu kaufen. Es schien einfach – mir war auch nicht klar, dass es Kinder gab, die das in anderen Teilen der Welt machten, aber ich dachte einfach, es gibt keine Möglichkeit, dass jemand glaubt, dass ich eine Kreditkarte haben sollte. Also hab ich nichts gemacht. Aber ich hab mich gefragt, ob das ein Zufall war. Lass mich mal sehen, ob ich das nochmal machen könnte. Wieder schickte ich eine neue Karte an ein anderes Haus, und wieder tauchte sie auf. Ich dachte: Okay, ich hab hier etwas. Ich bin mir nicht ganz sicher was, weil ich weiß, dass ich die nicht selber nutzen kann. Also was kann ich mit denen machen?

JACK: Es kannte da einen Typen, den Vater einer seiner Freunde, und der war Teil einer organisiert kriminellen Gruppe. In New York waren Feuerwerke illegal, aber dieser Vater ließ Grifter und einige andere Kinder herumgehen Feuerwerk verkaufen. Man gab eine Bestellung auf, welche Art Feuerwerk man wollte, und ein paar Wochen später kam Grifter zurück und lieferte dir das. Tatsächlich war dieser Vater so in die organisierte Kriminalität verwickelt, dass er mit Mafia-ähnlichen Leuten rumhing und Verbindungen zu echt ernsthaft Kriminellen hatte.

GRIFTER: Weil ich wusste, dass er einen direkten Draht zu echten Kriminellen hatte, ging ich zu ihm und sagte: Hey, ich kann diese Sache machen, wo ich Zugang zu Kreditkarten mit höheren Limits bekommen kann, und ich will sie nicht benutzen. Ich damit will nicht vor Kameras in Geschäften stehen. Ich will nichts machen. Ist das etwas, woran du oder deine Leute interessiert wären? Er war interessiert. Er sagte sofort: Ja, ja, das wäre ich. Ich sagte: Okay. Er sagte: Lass mich mit einigen Leuten reden. Was willst Du dafür? Ich sagte: Ich weiß nicht, 5.000, 10.000 Dollar, was auch immer. Er also: Lass mich herausfinden, was ich dir geben kann. Dann kam er zurück und sagte: Ich muss prüfen, dass das echt ist. Hast du etwas, um es zu beweisen? Blabla. Ich so: Sicher, und gab ihm eine der Karten, die ich bekommen hatte, und sagte: Die ist 5.000 Dollar wert.

Er sagte, er könnte mir zehn Prozent dafür geben. Ich meinte: Okay. Also bekomme ich fünfhundert Mäuse? Und er so: Ja. Dann zählte er fünf Hundert-Dollar-Scheine ab und sagte: Das sollte besser funktionieren. Ich versicherte ihm: Es wird funktionieren. Dann hatte ich Angst, weil ich dachte: Was, wenn es nicht funktioniert? Oh mein Gott. Und am Anfage dachte ich nur: Gib das Geld nicht aus. Gib das Geld nicht aus. Aber jetzt hatte mir jemand Geld für etwas gegeben, wovon ich dachte: Okay, das ist tatsächlich etwas nervenaufreibend, aber es funktioniert. Dann kam er zurück und sagte: Okay, großartig. Kannst du das nochmal machen? Ich sagte nur: Hab ich schon. Ich hab gerade eine bekommen. Er sagte: Na hol sie, und ich hab sie geholt und gab sie ihm, und wieder zählte er weitere fünfhundert Flocken ab und sagte: Komm einfach zu mir, wann immer du eine hast. Ich sagte: Wird gemacht.

JACK: Also loggte sich Grifter wieder in die Kreditkartenfirma ein und bearbeitete eine weitere Karte unter einem anderen falschen Namen, und die ging an ein anderes verlassenes Haus. Auch die brachte ihm Geld ein. Aber der Typ wollte mehr, viel mehr, und Grifter geriet dann mit ihm in Streit, er meinte, ey Mann, wenn wir da zu viel machen, werden sie’s merken und uns abschalten. Wenn wir’s langsam angehen, können wir’s viel eher ne Weile am Laufen halten. Und Grifter hatte recht. Er besorgte sich alle zwei Wochen eine neue Kreditkarte, und so gelang es ihnen, das Ganze zwei Jahre am Laufen zu halten.

GRIFTER: Ich weiß nicht, wie lange das funktioniert hätte, weil ich schließlich einfach aufhörte. Mit etwa siebzehn entschied ich, dass ich aus meiner Stadt raus musste. Ich saß hinten im Auto meines Freundes, und er sagte: Warte nur, bis wir fünfundzwanzig sind. Dann gehört uns diese Stadt. Ich sagte: Machst du Witze? Heilige Scheiße, wenn ich noch hier bin, wenn ich fünfundzwanzig bin, könnt ihr mich umbringen. Ich dachte: Oh mein Gott, ich muss hier raus. Ich muss aus dieser Stadt raus. Ich hatte kein Geld. Ich hatte keine Möglichkeit, das College zu bezahlen. Ich hatte keinen Ausweg, und die gängige Lösung ist – ich ging zum Militär.

JACK: Was? Du bist zum Militär?

GRIFTER: Ja.

JACK: Das ist ja – also das hätte ich nicht gedacht: Ein Leben voller Verbrechen, Hacken, Drogen und dann plötzlich Militär.

GRIFTER: Ja, das war eine massive Veränderung für mein Gehirn, und ich dachte einfach: Ich muss das sofort machen, und während ich noch Senior in der High School war, unterschrieb ich die Papiere und verpflichtete mich zu gehen. Meine Eltern mussten zustimmen, weil ich nicht achtzehn war, und ich ging dann mit siebzehn zur Air Force. Sobald ich meinen Abschluss machte, ging ich zur Air Force. Das war eine unglaublich augenöffnende Erfahrung für mich, weil ich direkt in der Grundausbildung Leute traf, die waren noch nie in einer Schlägerei gewesen. Ich dachte: Wie? Ich konnte einfach nicht begreifen, wie. Wie hast du nicht irgendwann deine Klappe so weit aufgemacht, dass jemand seine Faust reinschlagen wollte? Dann hörte ich die Geschichten darüber, wie sie aufwuchsen, und ich dachte: Was?

Meine Mutter versuchte, mich mit moralischen Grundwerten zu erziehen, und ich machte das in einigen Bereichen ziemlich gut und in anderen wirklich schlecht, aber die Air Force Grundwerte sind Integrität, selbstloses Dienen und Exzellenz in allem, was du tust. Das nahm ich mir zu Herzen. Ich wusste nicht mal wirklich, was Integrität bedeutete. Ich hatte das Wort gehört, aber wusste nicht wirklich, was es bedeutete. Im Wesentlichen bedeutete es für mich: das Richtige tun, auch wenn niemand hinschaut. Großartig. Selbstloses Dienen – okay, die Bedürfnisse anderer vor die eigenen stellen. Okay, das werde ich versuchen. Dann Exzellenz in allem, was du tust – das war etwas, was meine Mutter mir auch schon eingeflößt hatte, wenn sie sagte: Es ist mir egal, was du bist. Wenn du etwas sein wirst, sei der Beste darin, was auch immer es ist. Du wirst erwachsen und willst Hausmeister werden? Sei der beste Hausmeister, den es gibt. Du willst Chirurg werden? Sei der beste Chirurg, den es gibt. Aber wenn du Anstrengung in etwas steckst, wenn du deine Zeit darauf verwendest, sei der Beste.

Diese Grundwerte, diese Air Force Grundwerte habe ich komplett verinnerlicht, und das Militär war wirklich gut für mich, weil es mich zwang, erwachsen zu sein. Es brachte mich in eine Situation, wo es hieß: Oh, du kannst nicht einfach jemandem sagen, was du von ihm hältst, nur weil du es denkst. Du kannst nicht auf jemanden losgehen, weil er dir gegenüber frech war. Du musst hier pünktlich erscheinen und bereit sein, die schweren Aufgaben zu übernehmen. Das Militär war super, super gut für mich.

JACK: Er wurde in Utah stationiert und dort in der Air Force. Da war er für die Reparatur von F-16-Avionik-Kampfflugzeugen zugeteilt. Er hätte lieber mit Computern gearbeitet, aber man hat da nicht wirklich die Wahl. Es wird einem einfach gesagt, was man zu tun hat. Aber es war auch cool, im Cockpit zu sitzen und Instrumente auszutauschen. Er wurde sogar eine Weile in den Nahen Osten entsandt, aber nach einiger Zeit frustrierte ihn das Ganze.

GRIFTER: Wenn es etwas gibt, das mich einfach aufregt oder mich ärgert, dann ist es Ineffizienz, und das Militär ist wirklich ineffizient. Ich sagte: Hey, wenn wir diesen Prozess ändern, würde es uns so viele Stunden sparen und wahrscheinlich so viele Teile und all das Zeug. Die Antwort war: Mach es einfach so, wie die Air Force es dir sagt. Ich hasste das. Dann auch, in vielen Fällen bekommst du einen Rang, weil du länger da warst oder in bestimmten Tests besser abschneidest als andere Leute. Es geht nicht um Führungserfahrung. Du musstest also Befehle von Leuten entgegennehmen, die schlechte Entscheidungen trafen, und ich konnte das einfach nicht. Ich dachte – erstens kann ich meinen Mund nicht halten, und zweitens kann ich es als Person einfach nicht ertragen. Also dachte ich: Ich muss hier raus. Als ich aus dem Militär ausschied, konnte ich nur zwei Sachen: an einer F-16 arbeiten oder in Computer einbrechen. Also dachte ich: Okay, dann breche ich wohl wieder in Computer ein.

JACK: Bleibt dran. Wir machen eine kurze Pause, wenn wir zurück sind, geht Grifter wieder Computer an.

JACK: Grifter war ja in Utah stationiert, der Staat Nevada liegt gleich nebenan, und dort findet die größte Hacker-Konferenz der Welt statt: Die Defcon.

GRIFTER: Ich wusste von der ersten Defcon an von der Defcon, aber ich war arm und vierzehn Jahre oder so, als die Defcon anfing, und dachte: Meine Eltern werden mich nie nach Las Vegas bringe und ich kann es mir nicht leisten, selbst dorthin zu gehen. Dann etwa ein oder zwei Monate, bevor ich aus dem Militär ausschied, war die Defcon 8 im Jahr 2000. Ich dachte: Scheiß drauf. Ich gehe. Militär hin oder her, ich werd dahin gehen. Also tat ich es. Ich ging zur Defcon und traf im Wesentlichen meine Leute. Das war großartig. Es war eine unglaubliche Erfahrung.

JACK: Kannst du beschreiben, was dich mit den Defcon-Leuten verbindet?

GRIFTER: Ich war schon bei kleinen Hacker-Treffen gewesen, aber dort hinzugehen – und damals waren es wahrscheinlich – ich weiß nicht, vielleicht waren wir tausend Leute oder so auf der Defcon 8, wenn überhaupt. Ich liebte die Tatsache, dass jeder über alles reden konnte. Du konntest zu jemandem gehen und sagen: Worüber redet ihr? Sie fingen an, über etwas zu reden, und was auch immer es war, es war interessant. Es gab etwas Interessantes. Oder es gab Leute, die um einen Tisch mit Computern und etwas Elektronik oder so versammelt waren, und sie sagten: Oh, wir versuchen, dieses Ding dazu zu bringen, das zu machen. Ich hatte diese Idee im Kopf: Oh Mann, wenn wir all diese Leute nehmen und sie auf eine Insel stecken und einfach sagen könnten: Hier ist das Problem, das wir haben; könnt ihr es lösen? Es gäbe nichts, was nicht gelöst werden könnte. Ich wusste von diesem ersten Mal an, dass ich immer zur Defcon gehen würde, das war es.

JACK: Mir ging es genauso. Meine erste Defcon war die Defcon 17, und das war im Jahr 2009. Ja, dieser Ort hat wirklich etwas Magisches. Eine elektrisierende, unglaubliche Atmosphäre. Ich war von meinem ersten Besuch an begeistert und gehe da nun schon seit fünfzehn Jahren hin.

GRIFTER: Auf der Defcon 8 hatte ein Kumpel von mir zwanzig T-Shirts oder so mitgebracht, und ich fragte: Wofür sind die T-Shirts? Er sagte: Oh, ich werde die T-Shirts verkaufen, wenn wir dort ankommen. Wir fuhren hin. Er sagte: Ich werde die T-Shirts für zwanzig Dollar das Stück, und das wird mein Wochenende finanzieren. Es wird für das Hotel bezahlen, ich werde richtig gut essen, es wird für die Defcon bezahlen. Ich dachte: Oh, was für eine coole Idee. Im nächsten Jahr entschied ich mich, dass ich T-Shirts machen würde, aber ich mache keine halben Sachen. Ich dachte mir: Okay, ich besorge einen Tisch im Verkaufsbereich. Ich werde ein T-Shirt machen. Ich hab ein wirklich schönes Design entworfen und bestellte 320 T-Shirts – zwanzig zum Tauschen mit Freunden und anderen T-Shirt-Anbietern und 300 zum Verkaufen. Ich brachte sie mit und wir verkauften sie alle. Es war ein wirklich schönes Design, also waren sie weg, und ich dachte: Sweet, ich hab gerade einen Haufen Geld mit dem Verkauf von T-Shirts gemacht. Dann traf ich Russ Rogers.

JACK: Russ Rogers ist einer der Defcon-Organisatoren, er fragte Grifter, ob er nächstes Jahr „goonen“ wolle, was im Grunde genommen bedeutet, freiwillig mitzuhelfen, als Handlanger wo auch immer man gebraucht wird. Es gibt viele verschiedene Arten von Goons, für die Kontrolle der Menschenmengen, als Assistenten für die Referenten, technische Unterstützung, aber auch bei den Anbietern zu helfen oder bei den Wettbewerben. Aber zu dieser Zeit musste jeder bei der Security starten, also bei der Kontrolle der Menschenmengen und der Überprüfung der Ausweise. Bei der Defcon gibt es unendlich lange Warteschlangen, und jemand muss da die Leute in Schach halten. Er übernahm da die Rolle des Goons und war damit Teil des Defcon-Teams.

GRIFTER: Auf der Defcon 10 war ich ein Sicherheits-Goon, und dann auf der Defcon 11 war ich ein Verkäufer-Goon. Ja, und dann war ich seitdem ein Goon. Von der Defcon 10 bis jetzt, dieses Jahr wird es die 33. Defcon sein.

JACK: Oh Mann, das sind dreiundzwanzig Jahre Defcon. Aufgrund seiner Einstellung, in allem, was er tut, wirklich gut zu sein, übernahm er dann schnell mehr Verantwortung bei der Defcon.

GRIFTER: Ich fing an, Sachen zu machen wie – ich leitete die Defcon-Foren mit einem anderen Typ, der Nulltone hieß. Wir zwei waren die Administratoren für die Defcon-Foren. Zur gleichen Zeit, als ich Goon war, war ich auch ein Verkäufer. Ich hab nie aufgehört, T-Shirts zu verkaufen. Ich war also ein Goon, ein Verkäufer, ich war Administrator für die Defcon-Foren, ich leitete die Defcon-Schnitzeljagd – oh, und dann ab Defcon 10 fing ich an zu sprechen. Ich sprach auf Defcon 10, 11, 12, 13. Ich war also gut beschäftigt. Dann irgendwo dazwischen fing ich auch an, alle technischen Operationen für Black Hat zu leiten.

JACK: Black Hat ist eine andere Hacker-Konferenz in Vegas, und sie findet in derselben Woche wie die Defcon statt. Obwohl beide von derselben Person, Dark Tangent, gestartet wurden, hat Black Hat eine völlig andere Atmosphäre. Es ist professioneller und unternehmerischer im Vergleich zur Defcon. Ich würde es so beschreiben: Bei Black Hat gibt es jede Menge Firmen, die alle sagen: Ey, wenn ihr unsere Produkte kauft, wird das euer Unternehmen echt sicher machen; während bei Defcon die Gesamtbotschaft ist: Alles ist verwundbar. Nichts ist sicher, und so könnt ihr alles hacken. Bei Black Hat sieht man mehr Leute, die Kragen und sogar Krawatten tragen, während bei der Defcon alle eher schwarz gekleidet sind. Cargohosen sind weit verbreitet, aber auch Irokesenschnitte, und aus den Rucksäcken ragen Kabel und Antennen heraus. Grifter fing an, sich bei beiden Konferenzen ehrenamtlich zu engagieren.

Wie aus einer Party-Idee die Defcon-Villages wurden

GRIFTER: Ich war ganz gut beschäftigt. Dann hatte ich obendrein einen regulären Job. Ich wurde, Teil dessen, was als Defcon Inner Circle betrachtet werden kann, wo es darum geht: Okay, wir müssen entscheiden, wie die Vision für die Defcons aussieht, in welche Richtung wir gehen, was wir machen werden – neue Ideen entwickeln, um Defcon frisch zu halten. Ich hatte die Idee für Defcon Groups. Das sind Hacker-Meetups, die in verschiedenen Städten und verschiedenen Ländern auf der ganzen Welt stattfinden. Sie sind so ähnlich wie die 2600-Treffen, zu denen ich früher als Jugendlicher ging, und der Grund, warum wir uns damals irgendwann von den 2600 abgewandt haben, war, dass sie anfingen, politisch zu werden und dann auch Wahlempfehlungen an Hacker aussprachen – und das mochte ich nicht. Mir gefiel die Idee nicht zu sagen: Stimmt so ab.

Ich ging zu Dark Tangent, also Jeff Moss, und sagte: Hey, mir gefällt das nicht, was da bei 2600 läuft. Defcon hat viel Einfluss. Wir könnten wahrscheinlich so etwas in der Art aufziehen, und zwar nach der Vorwahl, und wir denken uns einen Namen dafür aus. Er sagte: Ich liebe die Idee. Sprich mit Russ – wieder Russ Rogers – und der sagte: Ja, lass uns das machen. Wir entwickelten alle Grundregeln und Konzepte und die Struktur dafür, und dann fingen wir an, Defcon Groups zu leiten, unsere Meetups. Ich meine das war im Februar 2003, und es war Salt Lake City und Colorado Springs, wo Russ herkommt. Wir hatten also DC801 und DC719, wie die Vorwahlen der Regionen, und das waren die ersten beiden Defcon Groups. Wir leiteten sie bis zur Defcon, und dann kündigten wir Defcon Groups auf der Defcon an, und es verbreitete sich wie ein Lauffeuer.

JACK: Defcon Groups ist mittlerweile auf über hundert Ortsgruppen weltweit angewachsen, da treffen sich in der Regel wirklich coole Leute. Wenn mich die Menschen fragen, wie sie mit Cybersicherheit anfangen oder einen Mentor finden könnten, empfehle ihnen immer, nachzuschauen, ob es in ihrer Nähe Defcon Groups gibt. Das ist ne super Möglichkeit, Leute zu treffen, die sich wirklich für Cybersicherheit interessieren. Grad neulich habe ich an einer solchen Veranstaltung teilgenommen, und es war toll. Ich hab viele coole Leute kennengelernt.

GRIFTER: Ich hab ja schon all das Zeug erwähnt, das ich vorher gemacht habe – sowas wie: Defcon-Administrator, Anbieter, Goon, die Defcon-Schnitzeljagd leiten – oh, wir leiteten auch den Defcon-Filmkanal. Das war viel. Ich machte viel, und ich sagte zu DT nach der Defcon 13: Ich werde aufhören zu goonen. Es ist einfach zu viel. Und er sagte: Bitte nicht. Hör nicht auf. Was ist das Problem? Ich sagte: Ich brenne einfach aus. Ich kann nicht all diese Sachen leiten. Er sagte: Okay, wie wäre es damit? Wir ziehen nächstes Jahr an einen neuen Veranstaltungsort ins Riviera. Und dort gibt es diesen Raum, das sind Skyboxen, die den Konferenzbereich überblicken. Was wäre, wenn du dafür verantwortlich wärst, was wir mit in diesen Boxen anstellen? Das wird ein kleiner Teil der Konferenz sein. Du kannst damit machen, was du willst. Denk dir etwas Cooles aus, was die Leute machen wollen. Ich sagte: Okay. Er sagte: Ich bin sicher, die Leute werden Partys haben wollen. Ich sagte: Okay, großartig.

JACK: Er fährt also zur Riviera, dem Ort, an dem die Defcon in diesem Jahr stattfinden sollte, sieht sich die Räumlichkeiten an und überlegt, was er hier anfangen könnte. Viele coole Räume. Sie liegen hoch oben und bieten einen Blick über die gesamte Konferenz. Wie ich bereits in der Einleitung erwähnt habe, gibt es bei der Defcon viele Partys. Die Konferenz dauert den ganzen Tag und die Partys die ganze Nacht. Auf der Defcon ist tatsächlich so viel los, dass man leicht vergisst zu essen, zu duschen und sogar zu schlafen. Hab ich’s schon gesagt? Es ist die beste Konferenz der Welt.

Diese Skybox-Räume jedenfalls sind natürlich perfekte Partyräume. Das ist aber eine Sache für die Nacht. Aber was macht man dort tagsüber – und welche Partys finden statt? Grifter kam auf eine Idee. Er schrieb im Defcon-Forum: „Wir haben einen Ort, an dem ihr eine Party veranstalten könnt. Wenn ihr den Raum haben wollt, müsst ihr ihn aber tagsüber mit etwas Coole m füllen. Ihr könnt nicht einfach nur nachts zum Feiern kommen.“

GRIFTER: Die ersten, die sagten: Okay, wir machen das, waren TOOOL, The Open Organization of Lockpickers. Die wollten einen dieser Skybox-Räume nutzen, um eine Party zu feiern, die meinten: Wir kommen rein und stellen Tische auf und legen einen Haufen Schlösser auf die Tische und bringen den Leuten das Schlösserknacken für Anfänger bei, [Musik] und wir bringen alle Arten von Beispielen mit, wie man Dinge umgeht, und zeigen den Leuten einfach, wie man es macht. Ich sagte: Großartig. Klingt fantastisch. Dann war es wieder Russ, der sagte: Hey, ich hole ein paar Leute und wir richten einen Hardware-Hacking-Bereich ein und zeigen den Leuten, wie man lötet und grundlegende Elektronik-Sachen lernt, und wir bringen ihnen bei, wie man das macht. Ich sagte: Großartig. 303 sagte: Wir machen Talks, aber wir machen Talks, die nicht aufgezeichnet werden dürfen, wo du dein Handy nicht rausholen darfst, wo nichts existiert. Ich sagte: Das klingt cool. Lass uns das machen. So entstanden die Villages – die ersten, die sich Village nannten, waren die vom Lockpick Village.

JACK: Dort entstanden nicht nur die Defcon Villages, sondern auch die Skytalks. Letzteres hat seinen Namen aufgrund der Skyboxen des Riviera, in denen Vorträge gehalten wurden. Während alle Defcon-Vorträge aufgezeichnet und auf YouTube veröffentlicht werden, sind bei den Skytalks keine Aufzeichnungen erlaubt, was es Menschen ermöglicht, Vorträge zu halten, die vertraulicher sind oder die sie vielleicht sogar selbst belasten könnten. Ich habe wahrscheinlich schon ein Dutzend dieser Skytalks besucht und dabei einige ziemlich wilde Geschichten gehört. Skytalks haben sich auch bei vielen anderen Konferenzen etabliert, ein kleinerer Nebenraum also, in dem keine Video- oder Audioaufnahmen erlaubt sind. Diese Idee hat sich also ebenfalls durchgesetzt und verbreitet.

GRIFTER: Im nächsten Jahr nannten sich die Hardware-Hacking-Leute das Hardware Hacking Village. Sie übernahmen den Namen „Village“ vom Lockpick Village. Dann fing eine andere Gruppe das Wi-Fi Village an, und sie übernahmen sofort auch den Namen „Village“. Sie nannten sich also das Wi-Fi Village. Im zweiten Jahr, also Defcon 15, hatten wir das Lockpick Village, das Wi-Fi Village und das Hardware Hacking Village. Dann verbreitete sich dieses Konzept, diese abgetrennten Bereiche zu haben, auf andere Konferenzen. Die Leute sagten: Oh, wir werden einen Lockpick-Bereich haben. Oh, wir werden was auch immer haben, und sie fingen an, sie Villages zu nennen. Das Village-Konzept oder diese kleinen Community-Bereiche, die man bei all diesen anderen InfoSec-Konferenzen sieht, kamen alle daher, dass Leute eine Party in einer Skybox auf der Defcon 14 schmeißen wollten, und dann wurden die Villages geboren.

JACK: Als Grifter anfing, sich bei der Defcon zu engagieren, kannten ihn alle nur als Grifter. Ganz normal bei dieser Konferenz – dass die Leute dich nur als deinen Alias oder Hacker-Namen kennen, das stellt niemand in Frage. Wenn du sagst, du bist Grifter, dann bist du Grifter. Keiner sagt dann, ahahaha, das ist witzig oder wie heißt du wirklich? Nein, Defcon-Leute sind anders, sie verstehen das. Privatsphäre ist wichtig für uns alle.

GRIFTER: Ich war Grifter – wie gesagt, ich hat diesen Namen ausgewählt, als ich etwa acht Jahre alt war, und ich hab ihn in der Hacker-Community benutzt. Niemand kannte meinen Namen. Wenn ich zu Hacker-Meetups ging, 2600s, und dann auch bei der Defcon – bei allem was ich tat, kannte niemand meinen Namen. Ich hatte überhaupt keine Online-Präsenz, und ich war stolz darauf. Die Leute wussten nicht, wer ich war. Dann auf der Defcon 9 kam meine damalige Frau, meine Ex-Frau, mit mir mit. Sie verkaufte T-Shirts. Und ich hatte ihr irgendwas gesagt und wie: Okay, ich bin dann in einer Weile zurück. Und ging weg. Ich gerade als ich wegging, ich kam nur ein paar Tische weit, da rief sie: Oh, warte, Neil.

Ich dachte nur: Was? Und ich drehte mich um, und der Blick auf meinem Gesicht muss eindeutig gewesen sein sowas wie: Oh mein Gott, machst du Witze? Und ich starre sie an, und sie sagt: Oh, entschuldige, Grifter. Ich dachte: Oh mein Gott, weil jetzt sogar Leute, die nicht hinschauten, die Hälse reckten und sagten: Was? Da gab es Typen, die ich sieben, zehn Jahre kannte, und die so: Dein Name ist Neil? Ich sagte: Ja. Sie meinten: Hm. Du siehst nicht aus wie ein Neil. Ich sagte: Cool. Aber ich dachte: Oh mein Gott. Meine Anonymität flog also zu einem gewissen Grad aus dem Fenster.

Im Maschinenraum von Black Hat: Der Kampf gegen die Angreifer

JACK: Nach einer Weile wurde Grifter mit der Verwaltung des WLANs und des Netzwerks bei Black Hat beauftragt. Man nennt es Black Hat NOC, was für Network Operations Center steht. Black Hat und Defcon finden zwar in derselben Woche statt, sie überschneiden sich aber nicht. Black Hat geht von Montag bis Donnerstag, Defcon von Freitag bis Sonntag. Zur gleichen Zeit finden übrigens noch einige andere Konferenzen statt. Zum Beispiel die BSides, ebenfalls eine große Konferenz, am Mittwoch und Donnerstag, und auch das Toxic BBQ, bei dem sich eine Gruppe von Leuten in einem Park trifft und gemeinsam grillt, und es gibt Defcon Shoot, bei dem Leute in die Wüste fahren und mit Waffen schießen, und es gibt überall Meetups wie Diana Initiative und Queercon. In dieser Woche passieren ständig fünfzig Dinge gleichzeitig, was überwältigend und toll ist. Wie auch immer, Grifter wurde jedenfalls damit beauftragt, das WLAN bei der Black Hat einzurichten, und ihr könnt euch vorstellen, dass es eine Herausforderung ist, bei einer Hackerkonferenz ein funktionierendes WLAN-Netzwerk einzurichten.

GRIFTER: Ja, das ist es. Es ist tatsächlich unglaublich schwierig, aber es ist auch super befriedigend, das zu machen. Es macht Spaß. Du kämpfst gegen diverse Arten von Angriffen, die während der Konferenz zu verschiedenen Zeiten laufen und versuchen, dich auf unterschiedliche Weise zu treffen, Leute lernen neue Dinge und werden kreativ. Wir hatten Situationen, wo jemand eine Schwachstelle für ein Gerät diskutiert, das wir bei der Konferenz verwenden, und wir mussten uns beeilen, um sicherzustellen, dass das Netzwerk am Laufen bleibt, weil sie gerade 500 Leuten in einem Ballsaal erzählt haben, wie man ein Gerät angreift, das wir im NOC laufen haben. Wir nennen es das Black Hat NOC, weil es ein NOC ist. Wir ersetzen jeden Router, jeden Switch, jede Firewall in jedem Access Point an jedem Veranstaltungsort zu dem wir hingehen. Einmal das Mandalay Bay. Dann ist es das Marina Bay Sands in Singapur oder das ExCeL Centre in London. Aber wir bringen all unsere eigene Ausrüstung mit, weil es uns erlaubt, Kontrolle über die Umgebung zu haben, Angriffe abzufedern, wenn sie kommen. Wir können kein Support-Ticket öffnen.

JACK: Oh ja, das Hotel hätte wohl keine Chance dagegen, oder?

GRIFTER: Absolut keine Chance.

JACK: Was sagst du ihnen, schaltet einfach alles ab, während wir hier sind?

GRIFTER: Ja, das machen wir tatsächlich. Wir sagen einfach: Bitte schaltet das Wi-Fi in diesen Bereichen ab.

JACK: [Lacht]

GRIFTER: Also ja, es ist eine interessante Herausforderung.

JACK: Man könnte eigentlich denken, dass sie dich beauftragen würden, ihr WLAN so einzurichten, dass es gegen solche Vorfälle geschützt ist, und dass sie dann sagen würden: „Oh, lassen Sie einfach alles so, wie es ist, wir werden es von nun an so nutzen.“

GRIFTER: Ja, sie werden besser. Das hat Jahre gedauert aber sie werden besser, nicht bis zu dem Punkt, dass wir bereit sind, sie die Dinge leiten zu lassen, weil – zum einen, wir nennen uns zwar das NOC, aber wir sind ein vollwertiges SOC. Wir haben jedes Gerät, das ein modernes Security Operations Center hat, da drin, und als wir anfingen, lief alles mit Open-Source-Hardware, Open-Source-Skripten und Software und kommerziellem Zeug, das man einfach im Laden kaufen konnte.

JACK: Ja, ihr Budget war am Anfang sehr klein. Wenn man heute zur Black Hat geht, sollte man sich auf keinen Fall die Ausstellungsfläche entgehen lassen. Ich war letztes Jahr dort und überwältigt, wie groß sie geworden ist. Das ist ein Bereich, in dem Anbieter von Cybersecuritylösungen Stände aufbauen und den Konferenzbesuchern ihre Produkte vorstellen. Ich bin durch die Halle gelaufen und habe Stunden gebraucht, um an jedem Stand vorbeizukommen und allein die Namen anzusehen. Hat Ewigkeiten gedauert. Mir schien es, als wären da alle Cybersicherheitsunternehmen der Welt vertreten, es müssen echt Hunderte gewesen sein. Je mehr das Black Hat NOC wuchs, desto ausgefeilter musste natürlich die Ausrüstung sein, und Grifter fragte sich, ob angesichts all dieser Anbieter vielleicht einer von denen die Ausrüstung für die Woche zur Verfügung stellen würde.

GRIFTER: Also dachten wir: Was, wenn wir runter zum Expo-Floor gehen und einige der Anbieter fragen: Hey, wenn ihr uns euer Equipment zur Verfügung stellt oder uns eine Software-Lizenz gebt, setzen wir euer Logo ins Programm, das zeigt, ihr habt geholfen und seid Partner vom Black Hat NOC. Wir gehen also zum ersten Anbieter und die sagten: Ja, oh, absolut. Wann? Jetzt? Wollt ihr Ausrüstung? Braucht ihr Leute? Diese Reaktioin war auf einem Level, auf das ich nicht vorbereitet war. Ich dachte: Uh, wir könnten da auf was gestoßen sein. Sie sagten: Wir würden das gerne unterstützen. Wir geben euch alles, was ihr braucht. Ich schaute Bart an und sagte: Lass uns shoppen gehen.

JACK: Er und Bart, der andere Mann, der mit ihm das NOC leitet, merkten also, dass alle Anbieter es gerne sehen würden, wenn ihre Geräte kostenlos genutzt werden, denn jeder würde gerne sagen können: „Black Hat vertraut uns.“ Wenn eine Hacker-Konferenz unsere Geräte nutzt, muss das doch etwas bedeuten. Das machte den Aufbau des Black Hat NOC noch spannender, da sie einfach den Flur entlanggehen und sich alle Geräte holen konnten, die sie zur Sicherung dieses Netzwerks benötigten. Das ist cool. Die Anbieter baten Grifter dann darum, ihre Geräte zu verwenden.

GRIFTER: Uns wurde schon Geld von Anbietern angeboten, die dann sagten: hier ist was fürs Spesenkonto für Dich, persönlich; nicht für die Black Hat. Sie sagten: Hey, Grifter, ich geb dir einen Scheck über hunderttausend, wenn du unser Zeug ins NOC stellst. Ich sagte: Warum nimmst du nicht diese 100.000 Dollar und investierst sie in dein Produkt und machst es besser, und vielleicht nehme ich es dann. Ich sage das aus zwei Gründen: zum einen, weil ich ein Arsch bin, aber auch aus Integrität. Ich hab das ja schon erwähnt. Du kannst meinen Einfluss in diesem Bereich nicht kaufen. Ich wähle die Produkte, die ich für die besten Technologien halte, um diese Aufgaben zu erfüllen, und wenn du hier rein willst, sei besser, und dann kommst du vielleicht hier rein.

JACK: Grifter sieht natürlich allerhand verrückte Sachen im Black-Hat-Netzwerk. So könnten beispielsweise Referenten auf der Bühne einen Exploit vorführen – also Zugriff auf ein System erlangen und Schaden verursachen -, das würde alle möglichen Warnmeldungen im NOC auslösen. Ein normales NOC würde bei solchen Vorfällen innerhalb seines Netzwerks wahrscheinlich ausflippen, aber Black Hat weiß, dass das in Ordnung ist, da der Redner den Exploit nur auf der Bühne vorführt. Manchmal wird auch gesehen, wie ein Anbieter einen Patch veröffentlicht und die Teilnehmer versuchen, die in diesem Patch behobenen Fehler zu reverse-engineeren. Dabei entdecken sie neue Schwachstellen und beginnen also noch am selben Tag, an dem der Patch veröffentlicht wurde, damit Angriffe zu starten. Also muss alles gepatcht werden, sobald der neue Patch rauskommt. Manchmal beobachten sie auch Studenten in Vorlesungen, die illegale Dinge über das WLAN tun. Grifter geht dann hin und warnt sie: „Es, lasst das mal besser.“

GRIFTER: Dann gibt es Sachen, wo es einfach Leute sind, die denken, sie seien abgesichert, und sie tauchen bei der Black Hat auf und sind bereits kompromittiert. Wir suchen nach solchen Sachen. Das ist ein unglaublich modernes Security Operations Center. Leute kommen ins Netzwerk und sie verbinden sich sofort mit bekannten C2-Servern oder sie kommen auf bösartige Seiten oder machen was auch immer, und wir gehen los und sagen: Okay, sieht das aus, als wäre es Teil eines Labs? Ist das etwas, das passiert ist, als sie reingingen? Leute sagen oft: Oh, geh nicht ins Black Hat-Netzwerk, weil du angegriffen wirst. Dabei denke ich ganz ehrlich, dass tatsächlich mehr Leute sicher von der Black Hat kommen, als dass Leute kompromittiert werden, weil wir danach suchen. Und wenn wir irgendeine Art von Kommunikation zu bekannten C2-Servern sehen, wenn wir Crypto-Mining-Aktivität sehen oder wir Klartext-Credentials von einem Gerät kommen sehen, schicken wir ein Captive Portal an das Gerät. Das bedeutet sie bekommen ein Pop-up, das nächste Mal, wenn sie browsen, das sagt: „Hi, das ist eine Nachricht vom Black Hat NOC. Dieses Gerät zeigt Anzeichen von Kommunikation zu bekannten Command-and-Control-Servern. Wenn das erwartetes Verhalten ist, könnt ihr diese Nachricht ignorieren. Wenn nicht, kommt bitte für weitere Informationen beim NOC vorbei.“ Sie kommen vorbei und wir können ihnen Pakete oder Logs oder was auch immer zeigen zeigen, damit sie verstehen: Hey, ihr seid tatsächlich kompromittiert hier aufgetaucht.

JACK: Es waren schon Redner auf der Bühne, deren Laptops Anzeichen einer Infektion aufwiesen. Dann wurde gewartet, bis der Redner die Bühne verlassen hatte, um ihm dann zu sagen, ey, übrigens, dein Computer ist verseucht.

Urban Legends der Defcon

JACK: Okay, ich möchte dich ein paar Dinge zur Defcon fragen. Stimmt es, dass sich mal jemand vom Dach abgeseilt hat, um sich heimlich auf eine Defcon-Party einzuschleichen?

GRIFTER: Was passiert ist – das Jahr im Riv, das Jahr mit den Skyboxen, da hatten wir verschiedene Partys in verschiedenen Skyboxen, und irgendwann kam einer der Party-Organisatoren zu mir und meinte: Hey, wir haben das Schloss am Schrank geknackt und da ist ein Panel drin. Wenn du das Panel öffnest, können wir aufs Dach. Ich so: Das will ich gar nicht hören, okay? Und dann bin ich gegangen. Dann sind ein Haufen Leute aufs Dach und haben die Party praktisch aufs Dach des Riviera verlegt. Da war eine ganze Menge los oben. Wir reden hier nicht von zwanzig Stockwerken – die waren vielleicht zehn, zwölf Meter hoch, was auch immer. Und das war ein Kommen und Gehen da oben und irgendwann tauchte die Security auf. Soweit ich das verstanden habe, ist jemand vom Dach gesprungen, um der Security zu entkommen. Mehrere Leute wurden aber von der Security erwischt und mussten das Gelände verlassen. Die wurden am Samstagabend rausgeschmissen.

JACK: Stimmt es, dass Leute in der Umgebung der Defcon bösartige Geldautomaten aufstellen, um die Leute zu bestehlen?

GRIFTER: Das ist schon passiert. Ich weiß nicht, wie oft das vorkommt, aber es ist schon passiert. Jemand hat einen Geldautomaten auf einem Rollwagen reingebracht. Also, sie haben ihn auf einem Rollwagen reingerollt und in der Lobby des Konferenzbereichs aufgestellt, um Defcon-Teilnehmer abzuzocken – das war auch im Riviera.

JACK: Stimmt es, dass da mal ein Bundesagent war, der Hacker verhaften oder ausspionieren oder von ihnen lernen wollte, aber so beeindruckt von dem war, was sie da taten, dass er seinen Job als Bundesagent kündigte und zur dunklen Seite wechselte?

GRIFTER: Nein, das hab ich noch nicht gehört. Davon musst Du mir mehr erzählen. Das ist ja verrückt.

JACK: Stimmt es, dass es einen geheimen Raum auf der Defcon gibt, wo man Sicherheitslücken, wo man Zero-Days kaufen kann?

GRIFTER: Ich glaube nicht, dass es einen geheimen Raum gibt. Vielleicht war das früher mal so. Es wäre kein geheimer Raum gewesen, sondern eher so: Du kannst mit der und der Person reden. Ich weiß, wer die Person ist, aber ich nenne den Namen nicht. Ich bin sicher, solche Sachen passieren immer noch. Alle konnten sich zusammentun und an einem Ort reden, der wie eine entmilitarisierte Zone für Hacker war.

JACK: Ja, eine entmilitarisierte Zone für Hacker, eine gute Art, das zu beschreiben.

GRIFTER: Ja.

JACK: Stimmt es, dass Hacker jedes Jahr einen Aufzug in irgendeinem Hotel übernehmen und jemanden darin einsperren?

GRIFTER: Ich glaube nicht, dass sie Leute darin einsperren. Wir haben definitiv schon öfter Aufzüge übernommen. Ich hab sogar mal Ärger bekommen von…

JACK: Oh je.

GRIFTER: Ich glaube nicht, dass sie Leute darin einsperren. Wir haben definitiv schon öfter Aufzüge übernommen. Ich hab sogar mal Ärger bekommen Das ist tatsächlich bei der Black Hat passiert. Es war kurz nachdem das Mandalay Bay die Kartenleser installiert hatte, sodass man seinen Zimmerschlüssel antippen musste, um in sein Stockwerk zu kommen. Ich hab damit rumgespielt, weil wir das halt so machen, und ich hab die Abdeckung abgemacht, und darunter war eine offene Pin-Buchse. Aber ich dachte mir: Oh cool, wir könnten uns wahrscheinlich damit verbinden und in jedes Stockwerk kommen. Das ist ja irre. Dann bin ich mit dem Daumen über die Pins gefahren, und es hat einen Kurzschluss gegeben, das Licht blinkte grün, und ich konnte jedes Stockwerk antippen. Also hab ich schnell ein Video mit dem Handy gemacht, wo ich einfach – mit dem Daumen über die Pins gefahren bin, es blinkte grün, und dann hab ich vier verschiedene Stockwerke angetippt. Das Video war wahrscheinlich sechs bis acht Sekunden lang, super kurz, und ich hab es einfach auf Twitter gepostet und geschrieben: Oh, tolles System, was sie da in den Aufzügen haben.

Im Ernst, binnen fünf Minuten klingelte mein Handy und es war der Sicherheitschef vom Mandalay Bay, mit dem wir zusammenarbeiten, weil wir im SOC sind und so. Also haben wir Meetings mit denen und erzählen ihnen, was für Zeug wir sehen und so weiter. Er so: Grifter! Du solltest auf unserer Seite sein! Kannst du das bitte löschen? Ich so: Kann ich nicht. Er so: Nein, bitte lösch das. Ich so: Tut mir leid, kann ich nicht. Ich hab das schon gepostet. Das geht gegen alles, woran ich glaube – es sollte besser sein als das hier – ihr solltet denjenigen anrufen, der das System in den Aufzügen installiert hat, und es verbessern. Er so: Ugh. Dann hat er aufgelegt, und dann hat er mich zurückgerufen und meinte: Okay, hör zu, ich hab mit der Person geredet, bla, bla, bla. Wärst du bereit, es für eine gewisse Zeit zu löschen, bla, bla, bla? Dann sagte er die Worte, die ich nicht hören wollte – er meinte: Im Rahmen der verantwortlichen Offenlegung hast du uns jetzt mitgeteilt, dass eine Schwachstelle existiert. Bitte gib uns Zeit, sie zu beheben. Ich so: Verdammt. Also hab ich den Tweet gelöscht und dann…

JACK: Er hat dein Spiel gespielt. Das ist witzig.

GRIFTER: Ja, das hat er total. Das hat er total. Also ja, ich hab es runtergenommen und sie haben es repariert.

JACK: Stimmt es, dass jemand mal den Pool angezündet hat?

GRIFTER: Den Pool angezündet…

JACK: Ja, also da kam Rauch raus…

GRIFTER: Oh nein, nein, nein, das war kein Feuer. Das war eine riesige Menge flüssiger Stickstoff.

JACK: [Lacht]

GRIFTER: Also, das war bei Defcon 8, 9 oder 10, irgendwo da. Es war im Alexis Park. Es war Pool 2, und der Getränkekühl-Vorrichtungs-Wettbewerb hatte früher am Tag ihren Kühlwettbewerb am Pool gemacht, und viele Leute hatten flüssigen Stickstoff. Das war einfach das Mittel der Wahl, um Sachen schnell zu kühlen. Dann haben sie alle Container mit dem übrig gebliebenen Zeug in das kleine Poolhaus neben dem Pool zur Aufbewahrung gestellt, und in der Nacht, als da eine Party lief, meinte einer der Typen: Oh krass, wir haben all diesen flüssigen Stickstoff. Mal schauen, was passiert. Sie haben einfach literweise flüssigen Stickstoff in den Pool gekippt, und es war fantastisch. Es gab diesen coolen Dampfeffekt. Es gibt irgendwo da draußen ein paar Bilder davon. Im nächsten Jahr haben sie es wieder gemacht, und ein Haufen Leute haben Blöcke von Trockeneis reingeworfen, um es zu verstärken. Natürlich versuchen wir uns jedes Mal selbst zu übertrumpfen.

JACK: Nach Jahrzehnten auf Hacker-Konferenzen kennt Grifter natürlich hunderte solcher Geschichten. Man weiß nie, was einen erwartet, wenn man zu diesen Konferenzen geht.

Gegenangriff als Verteidigung

GRIFTER: Ich bin das, was ich als hochfunktionalen Introvertierten bezeichne. Also, ich kann auf die Bühne vor 10.000 Leuten stehen und Witze reißen und Spaß haben und so weiter, und das ist okay. Ich kann auf den Flur gehen und eine Schlacht mit aufblasbaren Dinosaurier mit meinen Freunden haben und hab einen Riesenspaß dabei. Ich kann mich die ganze Zeit in Vegas wie ein kompletter Irrer aufführen mit meinen Freunden, und das ist großartig. Aber dann krieche ich in eine Höhle und lade wochenlang auf oder gehe zurück in mein Hotelzimmer. Sogar während der Defcon – ich hab das dieses Jahr ein paar Mal gemacht, wo ich einfach in mein Zimmer gehe und mich aufs Bett lege. Das hab ich tatsächlich direkt vor eurer Party dieses Jahr gemacht, wo ich mir dachte: Ich gehe einfach zurück in mein Zimmer, dusche, lege mich aufs Bett und spiele ein bisschen, und dann gehe ich raus und bin sozial.

Black Hat hatte früher was, was sie Gala Reception nannten, was im Grunde nur Drinks waren, und es gab eine offene Bar für ein paar Stunden, und alle Teilnehmer waren eingeladen, und man hing einfach rum und quatschte. Ich war in meinem Zimmer, nachdem ich den ganzen Tag geholfen hatte, und dachte mir: Oh, ich will nicht zu dem Ding. Ich hab mich selbst dazu gezwungen zu gehen, und ich gehe in den Empfang und höre ein paar Typen in meiner Nähe ein Buch erwähnen, das ich gerade gelesen hatte. Ich blieb stehen und meinte: Oh, das Buch ist Mist. Der Typ kichert und meint: Oh ja? Warum? Ich so: Okay, also, die Struktur ist so, es fehlt das, es redet nicht über diese Sachen, bla, bla, bla. Dieses Buch ist besser, wenn ihr euch für das Thema interessiert. Er so: Oh, okay. Also meinte ich: Hey, es war schön, mit euch zu quatschen. War nett, euch kennenzulernen.

Der Typ meinte: Warte, ich will Dir meine Karte geben. Er gibt mir seine Karte und er war der Vizepräsident des Verlags, dessen Bücher ich gerade die letzten fünfundvierzig Minuten zerfetzt hatte. Ich schaute ihn einfach an und meinte: Ohh – und er so: Ohh, und er meinte: Hey, hör zu, Mann, ich schätze wirklich all das ehrliche Feedback. Ich will dich auf eine Liste setzen, damit wir dir automatisch jedes neue Buch nach Hause schicken. Du sagst mir, was du davon hältst oder was auch immer. Wärst du dabei? Ich so: Absolut.

JACK: Die Verbindung zwischen Grifter und dem Verleger wurde immer enger, bis der Verleger schließlich fragte: „Wenn du ein Buch schreiben würdest, wovon würde es handeln?“ Grifter meinte, dass es ein Buch darüber geben sollte, wie man sein Netzwerk verteidigt, indem man Angreifer zurückschlägt – was ich für albern halte. Verteidiger können nicht in die Offensive gehen. Sie können nicht aggressiv sein. Aber dem Verleger gefiel die Idee.

GRIFTER: Ich meinte: Hör zu, Kumpel, ich weiß nicht, wie man ein Buch schreibt. Ich weiß nicht, wie das geht oder was auch immer. Er meinte: Das ist okay. Wir haben Lektoren. Wir bringen es dir bei. Warum machst du es nicht mit ein paar anderen Autoren? Einfach als Co-Autor, dann könnt ihr es in Stücke aufteilen. Du fungierst als technischer Lektor und stellst sicher, dass alles stimmt. Ich sagte: Ja, das würde ich gerne machen. Gut, machen wir es. Dann hab ich ein paar meiner Freunde ausgesucht, mit denen ich das umsetzen wollte, und als ich ihm die Liste der Freunde gab, meinte er: Das sind ziemlich schwere Geschütze. Kriegen wir diese Leute?

Ich so: Das sind einfach meine Freunde. Ich weiß nicht. Also waren es Dan Kaminsky, Bruce Potter, Pyro, Chris Hurley. Er so: Okay, mal sehen, was wir machen können. Alle stimmten zu, und dann haben wir ein Buch rausgebracht. Aber das Ding mit dem Buch war, ich dachte mir: Soll ich wirklich einfach Grifter auf das Cover setzen? Ich kann doch kein Buch veröffentlichen und meinen Namen nicht draufsetzen. Für mich persönlich war es so: Ich will es im Regal einer Bibliothek sehen und sagen können: Das da ist meins. Also entschied ich, dass ich Neil Wyler, alias Grifter, drauf.

JACK: Das Buch heißt „Aggressive Network Self-Defense“, also Aggressive Netzwerk-Selbstverteidigung. Ich war ja zehn Jahre lang als Netzwerk-Sicherheitstechniker tätig und habe in dieser Zeit allerhand Bücher gelesen, aber das ist nie auf meinem Schreibtisch gelandet. Liegt wahrscheinlich daran, dass ich mich nicht für aggressive Selbstverteidigung interessierte …

GRIFTER: Richtig.

JACK: …eines Netzwerks. Das ist crazy. Das ist ein Crazy-Buch; aggressive Selbstverteidigung im Netzwerk-Stil.

GRIFTER: Ja, weil…

JACK: Was steht drin?

GRIFTER: Nun, es war im Wesentlichen so – es gibt diese Sache, mit der wir als Sicherheitsexperten in diesen Unternehmen, für die wir arbeiten, oder auch als Einzelpersonen umgehen, wo man ständig angegriffen wird, und man denkt sich: Wann darf ich zurückschlagen? So wie ich aufgewachsen bin, eben so wie ich war, wollte ich zuschlagen, verstehst Du? Also mochte ich die Idee nicht, dass wir in dieser defensiven Position waren, wo jemand uns nicht nur in die Brust stößt, denn ein Port-Scan ist quasi wie geschubst zu werden. Ist keine große Sache. Jemand schaut dich schief an, wirft dir einen bösen Blick zu. Aber es ist eben nicht nur angestupst werden. Sie greifen dich voll an, und du musst einfach sagen: Nun, wie blockiere ich das? Wie stoppe ich das? Wie mache ich was auch immer? Oder sie brechen ein und du sagst einfach: Oh, ich muss sie rausbekommen. In meinem Kopf dachte ich mir: Stopp sie für immer.

JACK: [Lacht]

GRIFTER: Also, zieh ihnen den Boden unter den Füßen weg. Greif das an, womit sie dich angreifen. Ich bekam so viel Gegenwind von Leuten deswegen, weil sie meinten: Nun, du weißt nicht, ob du tatsächlich den Computer von irgendeiner Oma angreifst, denn das ist ja nur eine Sprungstation. Es ist unwahrscheinlich, dass die Person, die du angreifst, dass das wirklich ihr Gerät ist. Ich so: Ja, aber dann lass uns ihnen die Ressourcen kappen. Wenn wir die Maschine, die den Angriff durchführt, offline nehmen, dann stoppt der Angriff.

Das ist das, was mich beschäftigt, denn die kosten uns Geld, indem sie diese Angriffe gegen uns starten – sie kosten uns Zeit, sie kosten uns Stress und all diese anderen Sachen. Und es ist mir dann auch egal, ob das der Computer von irgendeiner Oma ist. Ich will, dass er aufhört, mein Netzwerk anzugreifen, denn er frisst Bandbreite. Er frisst Zyklen meines Analysten. Er frisst all dieses Zeug. [Musik] Es ist so: Okay, du hast die Kontrolle über dein Gerät verloren, und ich will, dass diese Maschine aufhört, mich anzugreifen. Also schicke ich sie auf den Grund des digitalen Ozeans. Das Buch ist inzwischen zwanzig Jahre alt, also ist es nutzlos, aber es war spaßig zu machen.

JACK: All die Erfahrungen, die er bei der Leitung des Black Hat NOC gesammelt hat, haben ihm außergewöhnliche Fähigkeiten verliehen. Damit kann er die heftigsten Angriffe überhaupt erkennen und stoppen. Die ehrenamtliche Tätigkeit dort war also fantastisch für ihn und hat ihm großartige Karrierechancen eröffnet.

GRIFTER: Also, ich hab kürzlich eine Position bei einer Firma namens Coalfire als VP of Defensive Services angenommen. Davor war ich drei Jahre bei IBMs X-Force und hab deren globales Threat-Hunting-Programm geleitet. Die sieben Jahre davor, war ich bei RSA Security, wo ich deren Threat-Hunting-Programm weltweit gestartet und geleitet habe. Also hab ich mich viel von den letzten – über 10 Jahren hauptsächlich auf Threat Hunting fokussiert, darauf, reinzugehen und Angreifer zu finden, nachdem sie bereits die Sicherheit umgangen haben und in der Umgebung sind. Also bin ich in Unternehmen gegangen und hab mich mit deren Sicherheitsteam hingesetzt, und gefragt: Erzählt mir von eurer Umgebung.

Sie sagen dann: Nun, wir haben diese Technologien. Sie werden auf diese Weise eingesetzt. Unser Netzwerk ist so aufgebaut. So machen wir diese und jenes. Das ist so segmentiert. Wir haben das, wir machen das, bla, bla, bla. Ich sage: Okay, großartig. Wenn ich es wäre, der euch angreift, würde ich euch hier, hier und hier treffen. Also lasst uns mal schauen, ob das jemand getan hat. Dann gehen wir und schauen und an, ob sie irgendwo angegriffen oder irgendwo gehackt wurden. In dem guten Jahrzehnt, seitdem ich mich aufs Jagen fokussiert habe, haben wir noch immer etwas gefunden, ob es ein aktiver Angriff ist oder Beweise für einen früheren Angriff oder ein Mitarbeiter, der gegen Richtlinien verstößt oder was auch immer.

JACK: Na klar wollte ich eine Geschichte über eine der Bedrohungen hören, die er im Netzwerk gefunden hat.

GRIFTER: Wir hatten einen Einsatz, wo wir gebeten wurden, in eine wirklich große Finanzorganisation zu kommen, und ich und ein anderer Hunter, Pope – Du kennst Pope. Pope und ich gingen zu diesem Hunting-Einsatz.

JACK: Ich kenne Pope. Er ist der Organisator der Saintcon in Utah – auch eine fantastische Konferenz! Solltet ihr mal in Utah sein, geht da unbedingt hin.

Pope und er gehen also zu diesem Kunden, ein wirklich großes Unternehmen mit riesigen Sicherheitsteams. Es werden keine Kosten gescheut, um den Ort zu sichern. Das muss latent stressig sein, wenn man ein Unternehmen mit diesem Sicherheitsniveau betritt und von einem erwartet wird, da Dinge zu finden, die noch niemand gefunden hat. Er setzt sich mit dem Sicherheitschef zusammen und überprüft den Datenverkehr, sucht nach Protokollen, die nicht vorhanden sein sollten, oder nach Auffälligkeiten. Dabei entdeckt er FTP-Datenverkehr. FTP steht für File Transfer Protocol. Es ist lediglich eine Methode, um Dateien von einem Ort zum anderen zu verschieben. Allerdings ist es unsicher und wurde mittlerweile größtenteils durch sicherere Protokolle ersetzt.

GRIFTER: Es gibt da nicht allzu viele FTP-Sessions, also könnten wir die ziemlich schnell durchgehen. Er meint: Oh, wir nutzen kein FTP. Ich so: Nun, großartig. Das ist dann ein gutes Beispiel, denn wir können das wirklich schnell durchgehen. Er meinte: Nein, du verstehst nicht. Wir erlauben kein FTP. Es gibt keine Klartext-Protokolle. Ich so: Okay. Nun, das ist großartig, aber es ist hier. Also, ich kann – es ist hier. Ich kann es sehen. Also, warum schauen wir es uns das nicht einfach an? Er so: Okay. Wir schauen da also rein und es ist FTP-Traffic, der zu einem Hostnamen geht, nicht mal zu einer IP-Adresse, sondern zu einem Hostnamen, der auf .ru endet. Die versuchen nicht mal, es zu verstecken. Und ich meinte: Ist das normal? Er so: Nein. Ich so: Okay, dann lass uns das genauer anschauen. Denn es sieht aus, als würden diese Dateien um 1:00 morgens rausgehen. Willst du sehen, was gesendet wird?

Er so: Ja. Also haben wir einfach eine Dateiextraktion gemacht. Das war sogar eine Zip-Datei, nicht mal ein verschlüsselter Container irgendeiner Art, einfach eine Zip-Datei. Ich so: Nun, ich kann sie nicht öffnen, denn es ist nicht mein Unternehmen, aber du kannst sie öffnen, wenn du willst. Also öffnet er sie und schaut sich das Dokument an, und dann klang es, als hätte ihn jemand geschlagen. Dieser Laut kam aus ihm raus wie dieses hnggh, als wäre ihm gerade die Luft rausgeschlagen worden, und dann schloss er das Dokument und sagt: Das hast du nicht gesehen. Ich so: Okay, nun, nur aus Neugier, was hab ich nicht gesehen? Er meinte: Das ist jede Finanztransaktion und jeder Handel, den wir in den letzten vierundzwanzig Stunden gemacht haben. Ich so: Oh. Also, schlecht. Er fragt: Wie lange geht das schon so? Ich so: Okay, lass uns schauen. Wir fangen an, in den Logs zu graben, und sie hatten nur sechs Monate Logs, was verrückt ist.

Diese Verbindung zu einem FTP-Server in Russland – die IP-Adresse war auch in Russland geortet. Also dachten wir: Okay, es sieht aus, als ginge es dorthin. Das passierte jede Nacht um 1:00 morgens sechs Monate lang, und das war nur so lange, wie wir Logs hatten. Also dachten wir: Wer weiß, wie lange das schon passiert? Das ist eine Organisation, die hunderte Leute in ihrem Sicherheitsteam hat, über dreißig Leute, die aktiv in einem SOC gleich den Flur runter arbeiten, all die verschiedenen Technologien, die man sich nur wünschen könnte, aber sie hatten Tunnelblick, weil sie dachten: Wir nutzen das nicht, also schauen wir nicht mal hin.

JACK: Wenn FTP in ihrem Netzwerk nicht erlaubt ist, sollte es eine Firewall geben, die es blockiert. Das ist genau der Job einer Firewall, Netzwerktraffic zu blockieren, der nicht erlaubt ist. Wer weiß, vielleicht haben sie irgendwann mal eine Blockierung eingerichtet, aber jetzt gab es die nicht. Vielleicht hat eine neue Regel die FTP-Blockierungsregel überschrieben oder jemand hat versehentlich diese Regel entfernt. Diese Firewalls können Hunderte von Regeln enthalten, die festlegen, was erlaubt ist und was nicht. Es kann daher manchmal schwierig sein, genau zu wissen, was sie tun.

Noch wichtiger ist aber die Frage: Wie wurden diese Dateiübertragungen ausgelöst? Jemand muss in dieses Netzwerk eingedrungen sein und ein Skript eingerichtet haben, das die Daten automatisch extrahiert und versendet.

Es ist schon etwas beängstigend, dass jemand das in Ihrem Netzwerk getan hat – direkt unter den Augen der dreißig Ingenieure, die alle nach einer Bedrohung gesucht hatten. Wie ist dieser Hacker reingekommen und wie kriegen sie ihn wieder raus? Wenn man sowas entdeckt, gibt es Millionen von Dingen, die man machen muss, und es fühlt sich nicht gut an, das zu erleben. Es fühlt sich wie ein Schlag in die Magengrube an.

Es ist eine dieser typischen „Hab ich auf der Defcon gehört”-Storys, die mir Grifter erzählt hat, aber es ist auch eine, die nie öffentlich erzählt wurde. Ein großes Finanzunternehmen wurde gehackt und alle Finanztransaktionen wurden von einer ausländischen Organisation ausspioniert.

Das klingt nach einer großen Sache. Ich frage mich, welche Folgen es hätte, wenn diese Geschichte an die Öffentlichkeit käme. Würde es zu Gerichtsverfahren kommen? Würde die Regierung Geldstrafen verhängen? Wenn man sich vor Augen hält, wie sehr dieses Unternehmen verhindern will, dass diese Geschichte an die Öffentlichkeit kommt, und zu welchen drastischen Maßnahmen es greifen könnte, um sie zu vertuschen, dann … Ich habe einen Traum was diese Show hier angeht: Eines Tages erzählt mir jemand eine sensationelle Geschichte, die eine echte Nachricht wäre, wenn sie veröffentlicht würde – so etwas wie eine wilde Whistleblower-Geschichte. Das wäre super, oder? Und e sist ja so, ich habe schon einige ziemlich verrückte Geschichten gehört, die wirklich große Schlagzeilen machen würden, wenn sie veröffentlicht würden. Aber ich hab den Leuten, die sie mir erzählt haben, versprochen, dass ich’s niemals weitergeben würde. Aber es ist wohl nur eine Frage der Zeit, bis eine Geschichte in dieser Show auftaucht, die wirklich Wellen schlägt. Eines Tages.

GRIFTER: Das Threat-Hunting-Ding war großartig. Ich hab am Ende ein Framework mit einem Freund geschrieben und das schuf einige wirklich coole Möglichkeiten. Wir haben den Kongress und die NATO beraten. Ich durfte ausländische Regierungen beraten, einige der größten Unternehmen der Welt…

JACK: Der InfoSec-Bereich ist ein echt schräger Bereich, denn wir haben es da mit kriminellen Hackern zu tun. Du warst selbst ein solcher Hacker und bist dann Berater für den Kongress und Regierungen geworden, um die Bösen zu stoppen und Bedrohungen abzuwehren. Gleichzeitig gehst du zur Defcon, wo du noch mehr Hacker und noch mehr kriminelle Hacker triffst. Ich kenne nichts Vergleichbares: Wir sind zu den Bösen genauso freundlich wie zu den Guten, so ist es in der Cybersicherheit nun einmal üblich.

GRIFTER: Ja, es ist eine Art – es ist eine seltsame Welt, in der wir leben, und ich denke, letztendlich ist das, was alles zusammenhält, dass wir gerne lernen, wir mögen die Jagd, wir mögen die Verfolgung. Cybersicherheit ist ein unglaublich stressiges Feld, aber es ist auch unglaublich befriedigend wegen des Katz-und-Maus-Spiels, das wir spielen, wegen der Möglichkeiten, neue Sachen zu lernen, darüber, wie man morgens aufwacht und alles ist in Ordnung, und am nächsten Tag kommt eine Schwachstelle raus und jemand hat binnen Stunden Exploit-Code dafür und allen stehen die Haare zu Berge. Wenn diese Sachen passieren, wenn diese Momente kommen und alle ausflippen, ich weiß nicht, etwas an dieser Situation gibt mir das Gefühl: Okay, Game on. Ich hatte wirklich, wirklich Glück; das Ding, das ich angefangen hab zu machen, als ich elf Jahre alt war, weil ich dachte, es wäre cool, wurde zu einer Laufbahn, die es mir erlaubt, für meine Kinder Essen auf den Tisch zu bringen, ein Dach über ihren Köpfen zu haben, und die es mir erlaubt hat, an all die Orte zu reisen, die ich als Kind nur digital besucht habe, weil ich dachte, ich würde nie dorthin kommen.

JACK (Outro): Ein großes Dankeschön an Grifter, dass er so großzügig und freundlich war, mir seine Zeit in seinem vollen Terminplan zu geben und so mit uns zu reden. Er hat so viele weitere interessante Geschichten, und ich hab das Gefühl, wir haben kaum angefangen. Ey, ich hab schon ein paar Mal mit ihm zu Abend gegessen und so viele weitere gehört, und sie sind herrlich. Ihr könnt euch all die Streiche vorstellen, die jedes Jahr auf der Defcon und Black Hat passieren. Er hat unzählige Vorträge auf Konferenzen gehalten, also wenn ihr mehr von ihm hören wollt, schaut mal bei YouTube. Da findet ihr viele Sachen, die er gemacht hat.

(igr)