Vor ein paar Jahren haben wir das Botnet vom „Ring der Macht“ analysiert, das von dem berühmten Cyberverbrecher Sauron geschaffen wurden, der auch unter den Namen Annatar, Mairon und Nekromant bekannt ist. Allerdings enthalten die Berichte des berühmten Cybersicherheitsexperten J. R. R. Tolkien weit mehr als die Beschreibungen der Botnetmodule. Wenn es um die Völker der Mittelerde geht, bringt Tolkien oft Informationstechnologie und Sicherheitssysteme ein. Besonders detailliert werden einige Systeme der Zwerge beschrieben.
Die Backdoor „Türen von Durin“
Im Zeitalter Der Herr der Ringe ist der Zwergenstützpunkt Moria fest in den Händen von bösen Mächten. Zu einem bestimmten Zeitpunkt begannen die Zwerge wie besessen Mithril, auch Moria-Silber genannt, zu schürfen (hier handelt es sich ganz klar um Kryptowährung). In ihrem Schürfwahn vernachlässigten sie die Sicherheit und wurden unvorsichtig – sie gruben zu tief und entfesselten aus Versehen den Dämonen Balrog, ein altertümliches Rootkit.
Der Dämon mit Feuergestalt ist als Rootkit für eine APT-Kampagne zu betrachten, denn er schlummerte seit den Zeiten von Melkor in den tiefen, dunklen Abgründen des Berges. Melkor ist der namhafte Hacker und ehemaliger Anführer der Gruppe in der der oben genannte Sauron seine kriminelle Laufbahn startete. Möglicherweise war diese Gruppe auch an dem Mithril interessiert (der Balrog und der Bergbaubetrieb der Zwerge trafen schließlich nicht per Zufall zusammen), aber das wurde nicht ausdrücklich erwähnt.
Auf jeden Fall waren es die Zwerge, die die komplette Infrastruktur von Moria aufgebaut hatten, einschließlich der Hintertür, die als Westeingang zu den Minen dient und auch unter dem Namen Elbentor bekannt ist. Das Westtor war aber schon seit Jahren in Vergessenheit geraten und niemand erinnerte sich an das Kennwort, das für den Zutritt durch diese Tür erforderlich war.
Tolkien gestaltete den Vorgang zum Öffnen von Durins Tür recht humorvoll: Gandalf, der zusammen mit den Gefährten des Ringträgers an der Tür ankam, las die Inschrift „Sag Freund und trete ein“. Logischerweise lautet das Kennwort Freund. Anders ausgedrückt, haben die Zwerge den Fehler vieler Büromitarbeiter begangen und eine Haftnotiz mit dem Kennwort rechts unten am Computerbildschirm angebracht. Über die Stärke des Kennwortes brauchen wir gar nicht erst zu sprechen – Sie können sich bestimmt vorstellen, wie lange jemand zum Knacken dieser Zugangsdaten für einen Brute-Force-Angriff bräuchte.
Das Witzige an der Inschrift ist, dass genau angegeben wird, wer für den Schlammassel verantwortlich ist: „Ich, Narvi, habe sie angefertigt. Celebrimbor von Hulsten hat diese Zeichen gemalt.“ Mit anderen Worten verrät die Inschrift nicht nur das Kennwort, sondern auch noch andere Zugangsdaten, die zweifellos privilegierten Benutzern gehören. Viele Menschen verwenden dieselben Kennwörter für Konten in unterschiedlichen Systemen und es ist davon auszugehen, dass auch andere Völker diese Methode verwenden. Möglicherweise dienen dieselben Zugangsdaten auch dafür, tiefer in Morias Infrastruktur einzudringen.
Es ist nicht ganz klar, wem der Fehler zuzuschreiben ist – ob dem Zwerg, der die Tür hergestellt hat oder Celebrimbor – schließlich entstanden die „Türen“ aus der Zusammenarbeit von Zwergen und Elben. Ich persönlich würde allerdings eher auf Celebrimbor tippen, denn die Zwerge praktizieren in der Regel wesentlich bessere Sicherheitsgewohnheiten.
Steganografie auf Thrórs Karte
Tolkien beschreibt im Buch Der Hobbit ein interessantes Beispiel der Schutztechnologie, die von den Zwergen angewendet wird. Als der geflügelte Feuerdrache Smaug, sinnbildlich die fortgeschrittene, andauernde Bedrohung (APT), den Berg Erebor (einsamer Berg) infizierte und die Kontrolle darüber übernahm, sahen sich die Zwerge gezwungen (erneut) von ihrem Zuhause zu fliehen. Thrór, der regierenden Zwergenkönig des Königreichs unter dem Berg, hinterließ seinen Nachkommen eine Karte mit Anleitungen für den Zugang zum Höhlensystem von Erebor durch eine Hintertür (im englischen Original buchstäblich Backdoor genannt). Er hoffte darauf, dass eines Tages ein Team aus Sicherheitsexperten die „Dracheninfektion“ ausrotten wird. Unter dem Gesichtspunkt der Cybersicherheit ist diese Karte sehr interessant.
Thrór beschrieb auf der Karte zwar ausführlich, wie man durch die Hintertür in den Berg gelangen kann, aber er schrieb es in Angerthas Erebor, um diese Informationen geheim zu halten. Selbst Mitstreitern lehrten die Zwerge ihre Sprache nur widerwillig. Darüber hinaus verwendeten sie ein komplexes Schriftsystem mit Mondbuchstaben für Inschriften. Mit dieser Methode können die Zwerge geheime Texte schreiben, die nur bei Mondlicht sichtbar sind – und längst nicht bei jedem Mondlicht, denn bestimmte Mondbuchstaben können nur gelesen werden, wenn ein Mond in der gleichen Phase am Himmel steht, wie an dem Tag, an dem sie niedergeschrieben wurden oder nur zu einer gewissen Jahreszeit.
Anders ausgedrückt, verwendete Thrór eine Art von Steganografie (Geheimschrift) mit der vertrauliche Informationen in ein Bild eingefügt werden können, in dem sie schwer zu lesen sind und von der Öffentlichkeit gar nicht erst wahrgenommen werden.
Die Hintertür des einsamen Bergs
Der Schutzmechanismus für die Hintertür ist ebenso interessant. Zum Öffnen der Tür ist ein „seltsamer Silberschlüssel mit langem Halm und komplexem Schlüsselbart“ erforderlich. Außerdem kann die Tür, laut den Anleitungen von Thrórs Karte, nur zu einem bestimmten Zeitpunkt geöffnet werden: „Steh neben dem grauen Stein, wenn die Drossel klopft und die untergehende Sonne mit dem letzten Licht von Durins Tag auf das Schlüsselloch scheint.“
Wie die Zwerge den Teil mit der Drossel in ihr Authentifizierungsvorgang implementiert haben, ist nicht bekannt – auf die Biotech-Details ist Tolkien nicht eingegangen – aber hier handelt es sich ohne Frage um eine ausgeklügelte, mehrstufige Authentifizierung. Tatsächlich klopfte am Durins Tag die Drossel, der letzte Sonnenstrahl fiel auf die Tür und ein Stück Stein brach von der Tür ab und gab das Schlüsselloch frei. In diesem Fall diente der festgelegte Zeitpunkt als zusätzlicher Sicherheitsfaktor, denn an jedem anderen Tag hätte der Schlüssel nicht viel genutzt.
Leider beschrieb Tolkien auch nicht, wie das abgebrochene Steinstück wieder über dem Schlüsselloch angebracht wird. Vielleicht kümmerte sich die Drossel darum.
Das sind natürlich nur ein paar der vielen Beispiele für Cybersicherheit und Informationstechnologie, die Tolkien in seinen Büchern beschreibt. Wie ein Leser zu Recht bemerkte, wäre es im ersten Teil auch interessant, das Telekommunikationsprotokoll der berüchtigten sehenden Steine (Palantír) zu analysieren. Leider hinterließ der Professor keine detaillierten Anleitungen und die bruchstückhaften Informationen aus seinen veröffentlichten Entwürfen werfen nur noch mehr Fragen auf. Wir werden trotzdem versuchen, das Thema in unserem nächsten Blogbeitrag zu Elben-IT einzubringen.