L0pht

L0pht (auch: L0pht Heavy Industries) war ein US-amerikanisches Hackerkollektiv mit Sitz in Boston.^[1] Es ist insbesondere bekannt für das Passwort-Recoverytool l0phtcrack für Windows. Aktiv war es in den 1990er-Jahren, die Mitglieder sind teils bis heute in der Sicherheitsindustrie tätig. Pseudonyme der bekannten Mitglieder waren Mudge, Space Rogue, Dildog, Brian Oblivion, Kingpin, Silicosis, Weld Pond, John Tan, Golgo13 und Stefan von Neumann.^[2][3][4]

Einzelne Mitglieder lernten sich Anfang der 1990er-Jahre in Boston bei den monatlichen „2600-Meetings“ kennen, die vom Magazin 2600 in größeren Städten initiiert wurden.^[4] Sie trafen sich in einem Loft eines alten Industriegebäudes, in dem Künstlerateliers eingerichtet wurden und zwei Frauen der Gruppenmitglieder ein Hutgeschäft gestartet hatten. In dem später in l33tspeak zu „The L0pht“ umbenannten Loft wurde ein Hackerspace eingerichtet.^[4]

Mit den „Advisories“ auf ihrer Webseite begannen L0pht, auf bekannte Sicherheitslücken hinzuweisen, die bis dahin hauptsächlich in einschlägigen Hackergruppen getauscht wurden. Als Motivation gaben sie an, damit tatsächliche Verbesserungen bei den Herstellern zu erzwingen, die ansonsten Hinweise auf Sicherheitslücken oft ignorierten.^[5][6] Das Vorgehen wurde als frühe Form der „Responsible Disclosure“ betrachtet.^[1]

Das bekannteste Tool von Lopht war l0phtcrack, ein Programm zum Ermitteln von Adminpasswörtern für Windows NT. 2000 attestierte Heise dem Tool, die Erfolgsquoten seien „erschreckend hoch“, erst mit Service Pack 3 sei die Sicherheit der Passwörter erheblich verbessert worden.^[7] Das Tool wurde zwischenzeitlich nicht mehr herausgegeben, 2009 wurde eine neue Version mit erweiterten Funktionalitäten veröffentlicht.^[8] Seit 2021 ist l0phtcrack in der Version 7.2 Open Source.^[9]

Am 19. Mai 1998 wurden alle Mitglieder von L0pht vor den US-Senat geladen, um ihre Einschätzung zur Sicherheit der Internet-Infrastruktur abzugeben. Die Aussage sei die bisher einzige gewesen, in denen Personen unter Pseudonym vor einem Senatsausschuss sprechen konnten, die nicht in einem Zeugenschutzprogramm waren. In der Folge berichtete L0pht, dass sie angesichts der Schwächen im Border Gateway Protocol (BGP) in der Lage seien, das komplette Internet innerhalb von 30 Minuten stillzulegen.^[1][10] Sie sprachen auch mit Richard A. Clarke, dem Sonderberater für Cybersicherheit von George W. Bush. Dieser versuchte anschließend, Hersteller von Netzwerkequipment auf die Sicherheitslücken in BGP und mögliche Folgen hinzuweisen. Er blieb zunächst erfolglos und konstatierte, CEOs wüssten nichts von einem Protokoll, welches sie massenhaft in ihren Produkten verwenden.^[11]

Zwanzig Jahre später trafen sich mehrere Mitglieder von L0pht anlässlich des Jahrestags des Hearings erneut und konstatierten, dass trotz zahlreicher Fortschritte der Sicherheitskultur und besserem Austausch zwischen den verschiedenen Akteuren nach wie vor starke Attacken stattfänden sowie die Angriffsfläche seitdem um ein Vielfaches größer sei.^[12]

2000 wurde die Securityfirma @stake gegründet und mit 10 Millionen Dollar Risikokapital ausgestattet. Die Mitglieder von L0pht wurden als Mitarbeiter übernommen.^[13] Der Umbau des Hackerkollektivs zu einem Dotcom-Unternehmen hatte zur Folge, dass das von Space Rogue gegründete Hacker News Network seinen Charakter als Hacker-Newskanal verlor,^[14] Space Rogue wurde wenig später entlassen.^[1] Der Gruppe wurde vorgeworfen, sich verkauft zu haben, was Weld Pond zynisch bestätigte:

Weitere Mitglieder verließen @stake, das erfolglose Unternehmen wurde von Symantec 2004 gekauft.^[15]

• Cris Thomas: Space Rogue: How the Hackers Known as L0pht Changed the World. 15. Februar 2023, ISBN 979-8-9870-3240-4

1. ↑ ^{a b c d} Craig Timberg: These hackers warned the Internet would become a security disaster. Nobody listened. In: Washington Post. 22. Juni 2015, abgerufen am 18. August 2024 (amerikanisches Englisch). 
2. ↑ Bruce Gottlieb: HacK, CouNterHaCk. In: The New York Times. 3. Oktober 1999, ISSN 0362-4331 (nytimes.com [abgerufen am 18. August 2024]). 
3. ↑ Tom Bearden: Online NewsHour: L0pht on Hackers. In: PBS Online. 11. März 2000, archiviert vom Original (nicht mehr online verfügbar); abgerufen am 18. August 2024 (englisch). 
4. ↑ ^{a b c d} Cris Thomas: Space Rogue: How the Hackers Known As L0pht Changed the World. 2023, ISBN 979-89-8703241-1 (englisch). 
5. ↑ Bruce Gottlieb: HacK, CouNterHaCk - NYTimes.com. 5. April 2016, S. 2, archiviert vom Original (nicht mehr online verfügbar); abgerufen am 19. August 2024. 
6. ↑ Jürgen Schmidt: Wieder Sicherheitsalarm für IE 4.0. In: heise online. 11. November 1997, abgerufen am 19. August 2024. 
7. ↑ heise online: NT-Admin-Passwort vergessen. 29. Juli 2000, abgerufen am 19. August 2024. 
8. ↑ Daniel Bachfeld: L0phtcrack ist zurück. In: heise online. 28. Mai 2009, abgerufen am 19. August 2024. 
9. ↑ L0phtCrack. L0pht, 17. Oktober 2021, abgerufen am 19. August 2024 (englisch). 
10. ↑ Kristina Beer: "Wir bringen die Band wieder zusammen": Ex-Hacker Mudge wechselt zu Google. In: heise online. 17. April 2013, abgerufen am 19. August 2024. 
11. ↑ Craig Timberg: Quick fix for an early Internet problem lives on a quarter-century later. In: Washington Post. 31. Mai 2015, abgerufen am 19. August 2024 (amerikanisches Englisch). 
12. ↑ Tim Starks: Famed hacker collective reunites on Hill today. In: Politico. 22. Mai 2018, abgerufen am 19. August 2024 (englisch). 
13. ↑ Norbert Luckhardt: Top-Job für L0pht-Hacker. In: heise online. 6. Januar 2000, abgerufen am 19. August 2024. 
14. ↑ Space Rogue. In: Forbes. 7. Februar 2000, abgerufen am 19. August 2024 (englisch). 
15. ↑ Daniel Bachfeld: Symantec kauft Sicherheitsdienstleister @stake. In: heise online. 17. September 2004, abgerufen am 19. August 2024.