So unausweichlich wie Silvesterknaller bringt das Ende eines Jahres auch den Rückblick mit sich: Allerorten wird auf die Bilder, Personen und Ereignisse des absolvierten Jahres zurück geschaut und eine Mischung aus kollektivem Wiederholungsstaunen und eigentlich verfrühter Nostalgie beschworen. Genau das soll auch hier in diesem Jahr so sein und ich präsentiere: Hacks und Headlines des Jahres 2009!

Rund um die Pirate Bay schlugen gleich in zweierlei Hinsicht Wellen der Entrüstung hoch: Erst werden im April drei der Betreiber, nämlich Fredrik Nej, Gottfrid S. Warg und Peter Sunde, sowie ihr Finanzier Carl Lundström wegen Beihilfe zu Urheberrechtsverletzungen vor ein schwedisches Gericht gezerrt. Im Laufe des Verfahrens stellt sich heraus, dass mehrere beteiligte Richter in Verbänden aktiv sind, die sich der Verschärfung des schwedischen Urheberrechts verschrieben haben. Alle Beschwerden wegen eventueller Befangenheit der Richter werden abgewiesen und die Piraten werden zu einjährigen Haftstrafen und ca. 2,5 Mio. € Schadenersatz verurteilt. Die Berufung läuft.

Dann gibt es im Juli Gerüchte um einen Verkauf der Pirate Bay: Angeblich soll die schwedische Internet-Café-Kette Global Gaming Factory X die FileSharing-Zentrale übernehmen. Ein Kaufpreis von ca. 5, 5 Mio. € wird genannt und auch im Blog der Pirate Bay wird eine "win-win-win"-Situation herbeijubiliert. Tatsächlich erfahren wir im September, dass die Global Gaming Factory X in herben Finanzschwierigkeiten steckt und von einem Kauf der Pirate Bay ist nie mehr die Rede. Quintessenz: Außer Spesen nix gewesen.

Zum Ende des Jahres hat die deutsche Polizei Kampfgeist bewiesen: Im November gelingt ihr in Kooperation mit österreichischen Behörden ein vernichtender Schlag gegen die berüchtigte 1337-Crew, eine Horde von akut- und postpubertären Scriptkiddies, die vor allem durch grobes Maulmachen und Online-Kleinkriminalität aufgefallen waren. Im Dezember schaltet dann das BKA den größeren deutschen Torrent-Tracker quorks ab und lässt das als den zweiten schweren Schlag gegen die organisierte Online-Kriminalität vermelden. Es hat aber keine drei Wochen gedauert, bis der Tracker – wenn auch eingeschränkt – wieder online war.

Bereits im Januar hat es einen ordentlichen Aufreger im Kielwasser des 25C3 gegeben: Schnurlose Telefone kann jedermann abhören. Erik Tews und Jacob Appelbaum, die an dieser Sensation Beteiligten, sind zwei Hacker-Popstars ersten Ranges. Tews war an der kryptologischen Exekution des WEP-Algorithmus beteiligt und Jacob Appelbaum friert gern RAM-Riegel ein, um deren Inhalt auszulesen. Außerdem hat er ein Rückgrat des Internets, den MD5-Algorithmus, zerpflückt und damit einer Menge Webseiten ernsthafte Sicherheitsprobleme bereitet. Doch zurück zum Thema: Mit Hilfe einer inzwischen goldwerten PCMCIA-DECT-Karte und entsprechender Treibersoftware von dedected.org lassen sich Gespräche über Schnurlostelefone mitschneiden und aufzeichnen. Und auch wenn man sich bei deDECTed Mühe gibt, allen illegalen Implikationen aus dem Weg zu gehen, dürften die Begehrlichkeiten aller Grau- und Schwarzhüte geweckt sein. Übrigens: Erik Tews hält auch auf dem diesjährigen Chaos Communication Congress einen Vortrag, in dem er die Entwicklungen des zurückliegenden Jahres rund um DECT darstellen wird.

Im März folgte dann eine Sensation, die eigentlich gar nichts mit PCs zu tun hatte: Der erste Botnetz-Trojaner wurde entdeckt, der es gar nicht auf ausgewachsene Rechner, sondern auf DSL-Router abgesehen hat. Psyb0t – so heißt der Übeltäter – hatte sich bereits auf über 80.000 anfälligen DSL-Routern verbreitet, bevor er entdeckt wurde. Damit stand ein Botnetz von mehr als beachtlichem Ausmaß und vor allem beneidenswerter Verfügbarkeit unter der Kontrolle seines Meisters. DSL-Geräte laufen nämlich, anders als PCs, oft rund um die Uhr und stehen für Cyber-Schandtaten in viel größerer Zahl bereit als in einem vergleichbar großen PC-Botnetz. Glücklicherweise hat Psyb0ts Meister, der unter dem Nick DSR firmierte, nach seiner Enttarnung angekündigt, das Botnetz offline nehmen zu wollen und den Wurm nicht weiter zu verbreiten.

Der dritte große Hack des Jahres wurde im August von Itzik Kotler und Tomer Bitton präsentiert: Mit ihrem Tool IPPON kapern sie Updateprozesse zahlreicher gängiger Desktopanwendungen und schieben dem nichtsahnenden User so statt einer Softwareaktualisierung Trojaner und Malware auf den Rechner. Allgegenwärtige Tools wie Alcohol 120 %, Skype und der Adobe Reader gehören zu den Opfern von IPPON. Seit IPPON ist also auch eine aus Sicherheitssicht zu befürwortende Maßnahme, nämlich das regelmäßige Aktualisieren der eigenen Software, zu einem Sicherheitsrisiko geworden. Man kann einfach niemandem mehr trauen….

So hat auch das Jahr 2009 gezeigt, was wir schon vorher wussten: Egal, wie sicher man zu sein glaubt, man ist es nie. Alles ist hackbar. Und das wird auch so bleiben, im Jahr 2010 und danach. In diesem Sinne: Einen guten Rutsch!

Google – der Datenkrake. Dieses Bild wird nicht zuletzt deshalb so oft verwendet, weil Google schon lange nicht mehr nur eine Suchmaschine ist, sondern seine unzähligen Arme in viele andere Bereiche des PC-Lebens austreckt. Vom E-Mail-Konto über eine Desktop-Suche bis hin zu den Google Apps reichen die langen Finger des "Don't be evil"-Konzerns. In all diesen Anwendungen identifiziert sich der Nutzer üblicherweise mit seiner Google-ID, also mit seiner Mail-Adresse und seinem immer gleichen Google-Passwort.

An dieser Stelle dürfte das Interesse des sicherheitsaffinen Lesers geweckt sein: Ein Single Point of Failure! Da muss man doch etwas machen können! Man kann, und zwar mit dem GooglePasswordDecryptor, sinnfälligerweise so benannt, weil alle Google-Applikationen das Passwort verschlüsselt speichern. Das Tool ermöglicht trotzdem die Wiederherstellung des eigenen, vergessenen Google-Passworts, aber eben auch das Auslesen eines fremden solchen. Man muss dazu nur kurz Zugang zum entsprechenden Fremdrechner haben. Es handelt sich nämlich um eine einzelne exe-Datei, die bequem auch vom USB-Stick ausgeführt werden kann. Passwörter zu klauen ist aber natürlich illegal und ich rate davon ab.

Unermüdlich warne ich vor den Gefahren der modernen Plauderplattformen wie Twitter, Facebook und MySpace. Abgesehen vom immer drohenden Privatdaten-Verlust durch eigene Unachtsamkeit oder den jüngsten Hack geht auf den Social Networks vor allem eins unweigerlich vor die Hunde: Die eigene Zeit. Zwischen sinn- und belanglosen Kommentaren, Tweets und Posts verrinnt eine um die andere Stunde. Doch was hilft es, wenn man das begriffen hat? Wie löst man sich aus den Fesseln des Web 2.0?

Eine drastische Antwort gibt die Web-2.0-Selbstmordmaschine. Sie automatisiert den digitalen Suizid und kann den reumütigen Nutzer aus Facebook, MySpace, Twitter und LinkedIn herauskillen. Über 500 User haben bereits den Web-Freitod gewählt und schwelgen jetzt in ihrer zurückeroberten Offline-Freizeit. Ich kann das nur empfehlen: Tötet euch selbst! Zerschlagt euren Web-2.0-Spiegel!