0tt0 und ich haben in der letzten Woche einen öffentlich zugänglichen Vortrag an unserer örtlichen Universität besucht, in dem es um die Gefahren des Cyberkriegs gehen sollte. Ein pensionierter Politiker, der in seiner aktiven Zeit bei verschiedenen Geheimdiensten und als Berater der Regierung tätig war, schilderte dem zahlreich versammelten Publikum die Gefahren des Krieges im Internet.

Nun sind wir – jedenfalls sehen wir das gern so – auf professioneller Ebene mit der IT-Sicherheit befasst. Wir erhofften uns also eine sachkundige und -dienliche Analyse der Gefährdungslage im Netz. Stattdessen wurden wir mit rhetorisch brillanter Panikmache konfrontiert. Die westliche Welt sei abhängig von vernetzten Systemen, Angreifer würden ausnahmslos immer ihre Einbruchsziele erreichen und die Zahl und das technische Niveau der Angriffe würden nur noch weiter steigen. Man konnte meinen, die Apokalypse stünde unmittelbar bevor und so guckten am Ende des Vortrags einige Teilnehmer ihre Handys, Tablets und Laptops an, als seien das Giftschlangen.

0tt0 und ich waren dementsprechend enttäuscht vom Vortrag. Auf dem Heimweg machten wir uns unter anderem über die stakkatoartige Verwendung des unsäglichen Halbwortes "cyber" Luft, mit dem ja wohl so ungefähr alles gemeint sein kann, was mal neben einem Computer gelegen hat. Trotzdem mussten wir anerkennen, dass die Angstmache des Berufspolitikers deutlich wirkungsvoller war als alle Ermahnungen und Erklärungen, mit denen wir unsere User bisher behelligt haben. 0tt0 fasste es zusammen: "Man erreicht Menschen nicht über Logik. Man erreicht sie über Angst. Wenn ich jemanden erschrecken will, stelle ich mich ja auch nicht vor ihn und sage: 'Ich könnte ein Monster sein!'. Nein, ich sage: 'Buh!'"

Die Pornobranche ist ja eigentlich für ihre Zeigefreudigkeit bekannt. Das Einzige, was noch von einem Mantel des Geheimnisvollen bedeckt wird, sind die wahren Namen der Darsteller. Das ist natürlich auch verständlich, denn selbst im zurückhaltungslosen Heute könnte es immer noch peinlich sein, als Mitwirkender in Werken wie "Auf Schloss Bumms klappern die Nüsse" bloßgestellt zu werden. Selbst die weltoffenste Oma dürfte bei solcherlei Enkelenttäuschung den Rotstift am Testament ansetzen.

Nun beschäftigt sich eine US-amerikanische Webseite schon seit Längerem damit, auch noch dieses letzte Geheimnis des bekleidungsarmen Filmschaffens zu lüften. In einigermaßen abfälligem Ton werden die Damen und Herren der "Industry" porträtiert und eben auch mit ihren realen Namen präsentiert. Für dieses an sich schon verwerfliche Treiben hat die genannte Webseite nun noch weitere Munition bekommen: Allem Anschein nach ist die Datenbank eines medizinischen Instituts, das die meisten HIV-Tests der kalifornischen Nacktdarsteller durchführt, gehackt worden. Der Inhalt der Datenbank, inklusive der Testergebnisse, scheint der Vollentblößungs-Webseite zugespielt worden zu sein.

Bisher wurden zwar keine medizinischen Unterlagen – sprich: Infektionen mit sexuell übertragbaren Krankheiten – kolportiert, aber allein die Drohung, die da im Raum steht, bringt die Branche in Aufruhr. Und dieser Aufruhr zeigt bereits eine Wirkung: Die SQL-Datenbank der Antiporno-Seite verweigert inzwischen den Dienst, es sind keine Enthüllungen mehr abrufbar. Ob diese Downtime übermäßigem Publikumsverkehr oder einem erfolgreichen Hackerangriff zuzuschreiben ist, kann vorerst nur spekuliert werden.

In jedem Fall ist die Downtime zu begrüßen: Auch wenn Hacker im Allgemeinen und auch ich im Besonderen eigentlich keine Befürworter von Informationskontrolle sind, sollten die Realnamen von Pornodarstellern deren Geheimnis bleiben. Nacktfilme sind das Rückgrat des Internets, mehr oder weniger erotische Inhalte machen circa ein Drittel des gesamten Weltnetzes aus. Damit sind die Darsteller dieser Filme so etwas wie die Pateneltern des Internets und sollten unter Artenschutz stehen.

SQL-Datenbanken in aller Welt, so unterschiedlichen Inhalts sie sind, haben eins gemeinsam: Für ihre Sicherheit zu sorgen, ist eine ewige Sisyphusarbeit. Selbst die Eltern von SQL kommen da nicht hinterher: Die Datenbank von MySQL.com wurde gehackt. Eine SQL-Injection-Lücke würde von einem Angreifer mit dem Pseudonym "Jack haxor" ausgenutzt und dieser Angreifer hat erbeutete Benutzernamen und Passwörter auf einer Mailingliste veröffentlicht.

Nun ist der tausendunderste SQL-Hack des Jahres nicht unbedingt erwähnenswert, aber ein Einbruch in die SQL-Datenbank von MySQL.com ist schon etwas Besonderes. Außerdem belegen die erbeuteten Passwörter mal wieder eins der Axiome der IT-Sicherheit: Selbst Profis benutzen schlechte Passwörter. Die Logins bei MySQL.com waren mit so schwierigen Passwörtern gesichert wie "qa" oder "1234". Das lässt sich durch das Cracken der veröffentlichen Hashes ermitteln. Und wenn sich sogar die SQL-Datenbank von MySQL.com hacken lässt und solche Passwörter zu Tage kommen, ist das schon irgendwie deprimierend.

Einem Report der Sicherheitsexperten von Websense zufolge wurden in der letzten Woche Hunderttausende Webseiten von einer SQL-Injektions-Attacke getroffen. Der Angriff schleust eine URL-Umleitung in die betroffenen Webseiten ein und lenkt Besucher auf eine Scareware-Seite um. Dort wird dann eine Antivirus-Software vertickt, die natürlich als ersten Arbeitsschritt eine apokalyptische Virusinfektion behauptet, damit der ahnungslose User die eigentlich nutzlose Antivirus-Lösung kauft.

Damit kommen die Angegriffenen eigentlich noch glimpflich davon, denn die Installation der Scareware lässt sich einfach ablehnen. Würde die Umleitung auf einen aktuellen Browserexploit führen, hätte der Nutzer keine Chance, die Infektion des eigenen Rechners zu verhindern. Dann würde aus den Hunderttausenden kompromittierten Webseiten innerhalb weniger Tage ein beachtliches Botnetz entstehen.

Eine Google-Suche nach der SQL-Injektion liefert gegenwärtig etwa 1,8 Millionen Ergebnisse. Naturgemäß erscheinen viele dieser Resultate mehrfach und auch Nachrichtenmeldungen tauchen als Suchergebnisse auf. Darum ist die Google-Zahl deutlich zu hoch gegriffen. Trotzdem dürfte es sich um eine der größten SQL-Masseninjektionen der jüngeren Geschichte handeln. Wer also demnächst überraschend aufgefordert wird, eine eigenartige Antivirus-Software zu installieren, sollte mit aller Entschlossenheit und wiederholt auf "Abbrechen" klicken.