Onel de Guzmán

Onel de Guzmán (* 4. April 1977 in Manila) ist ein philippinischer Informatiker.

Unter dem Pseudonym Spyder entwickelte er den Computerwurm Loveletter, der sich im Jahr 2000 Anfang Mai explosionsartig verbreitete. Weltweit verursachte Guzmán damit innerhalb von wenigen Tagen einen Schaden von über 10 Milliarden US-Dollar. Aufgrund der damals gültigen philippinischen Rechtslage hatte der Loveletter-Wurm keine strafrechtlichen Konsequenzen für ihn. Das Schreiben von Malware war grundsätzlich nicht verboten. Eine Anklage wegen Sachbeschädigung war nur bei vorsätzlichem Handeln strafbar, nicht aber bei Fahrlässigkeit. De Guzmán bestritt bei seiner Vernehmung absichtliches Handeln, laut seinen Angaben hatte er den Wurm versehentlich freigesetzt.[1][2]

Als Folge des Loveletter-Vorfalls erließ der philippinische Kongress bereits zwei Monate später mit dem Republic Act Nr. 8792 entsprechende Gesetze gegen das Programmieren von Malware und Computerkriminalität.[3]

Leben

Onel de Guzmán interessierte sich bereits seit seiner frühen Jugend für Informatik. 1996 schrieb er sich als Student am AMA Computer College in Manila ein.

1999 reichte de Guzmán eine Dissertation ein, die sich mit dem Diebstahl von Passwörtern befasste. Dazu sollte ein Programm über E-Mail verbreitet werden. Die Universität lehnte die Dissertation ab und legte de Guzmán sogar nahe, sein Studium zu beenden. Das Thema wurde von den Professoren als illegal angesehen. Einer der Dozenten informierte außerdem die Polizei über den Inhalt der Studienarbeit.[4]

Am 4. Mai 2000 geriet der Computerwurm Loveletter in Umlauf. Onel de Guzmán wurde von den Ermittlungsbehörden als Urheber des Wurms ausfindig gemacht und vorübergehend verhaftet. Zu einer Verurteilung kam es nicht, weil er gegen kein geltendes Recht verstoßen hatte. In der Hacker-Subkultur wurde Onel de Guzmán vor allem in seiner philippinischen Heimat teilweise auch bewundert. Vor allem Black Hats, die selbst keinen Schaden durch Loveletter erlitten haben, sahen ihn vereinzelt als Held an. Nach kontroverser Ansicht hatte er mit seinem Computerwurm den Beweis erbracht, dass auch die Philippinen im weltweiten Geschehen der IT-Branche eine Rolle spielen konnten. Die verheerenden Auswirkungen wurden gewissermaßen als Punktesieg gegen die technologisch fortgeschritteneren Länder angesehen. Eine derartige Meinung vertraten aber vereinzelt auch die heimischen Medien. Der Manila Standard, eine philippinische Broadsheet-Zeitung, nannte de Guzmán stolz „Den ersten Weltklasse-Hacker des Landes“.

Nachdem das Medienecho um den Loveletter-Vorfall abgeebbt war, tauchte Onel de Guzmán weitgehend unter. Er unterhielt auch keine offiziellen Profile in Sozialen Netzwerken. Vereinzelt berichteten Zeitungsartikel Gerüchte, laut denen er für die Vereinten Nationen arbeiten würde oder dass er von Microsoft eingestellt wurde. Nachdem andere Würmer mit sehr ähnlichem Quellcode auftauchten, soll de Guzmán seine Computerkenntnisse zur Verbesserung der IT-Sicherheit eingesetzt haben, unter anderem soll er für eine britische Computersicherheitsfirma tätig gewesen sein.

De Guzmán wollte keine öffentliche Aufmerksamkeit. Sein letzter bekannter öffentlicher Auftritt war auf der Pressekonferenz 2000, bei der er sein Gesicht verdeckte und seinem Anwalt erlaubte, die meisten Fragen zu beantworten. Sein Aufenthaltsort blieb 20 Jahre lang unbekannt. Im Mai 2020 gab der investigative Journalist Geoff White an, bei der Recherche seines Cybercrime-Buches Crime Dot Com, dass er Onel de Guzmán an einem Reparaturstandort für Mobiltelefone in Manila gefunden hatte. Im Gespräch gab de Guzmán zu, dass er das Virus nicht nur erstellt, sondern auch freigesetzt hatte. In diesem Interview räumte er erstmals unbeschönigt ein, dass er Loveletter ursprünglich gezielt entwickelt hatte, um Passwörter für den Internetzugang zu stehlen, da er es sich nicht leisten konnte, für den Zugang zu bezahlen. Dass er der alleinige Täter sei, hatte er den Ermittlern gegenüber damals nur behauptet, um seine zwei Mittäter zu schützen.[5][6]

Der Loveletter-Vorfall

Screenshot eines E-Mail-Clients mit dem Loveletter-Wurm als Attachment

Loveletter wurde von de Guzmán in der Skriptsprache Visual Basic Script geschrieben. Es handelt sich somit um ein vergleichsweise einfaches Programm, das aber in der VBScript-Laufzeitumgebung ausgeführt werden muss. Die Datei hatte den Namen LOVE-LETTER-FOR-YOU.txt.vbs. Zur Verbreitung wurde der Wurm vor allem als Anhang von E-Mails versendet. Die Betreffzeile solcher Mails lautete ILOVEYOU, sie enthielten den Satz kindly check the attached LOVELETTER coming from me. Da die Dateiendung VBS des Attachments bei Standardeinstellungen ausgeblendet wird, sah der Dateiname auf den ersten Blick trügerischerweise nach einer harmlosem Textdatei aus. Bei den damaligen Versionen von Outlook gab es die Möglichkeit, das Attachment einer geöffneten E-Mail automatisch auszuführen. Vorfälle wie Loveletter waren für Microsoft der Grund, diese Funktion in späteren Outlook-Versionen aus Sicherheitsgründen zu entfernen. Loveletter konnte nur auf Windows-PCs aktiviert werden und benötigte für seine volle Funktion zusätzlich das E-Mailprogramm Microsoft Outlook. Außerdem musste Windows Scripting Host (WSH) installiert sein, was allerdings seit Windows 98 SE und Windows 2000 standardmäßig der Fall war. Die Einstellungen eines Windows-Systems erlauben es normalerweise nicht, dass durch ein Skript Veränderungen an Dateien vorgenommen werden. Der Wurm öffnete daher den Internet Explorer und blendete einen Text ein, laut dem die Htm-Datei ein ActiveX-Steuerelement benötigen würde. Ließ der User dies zu, wurden der Payload und die Verbreitungsroutine von Loveletter ausgeführt. Bei einer Ablehnung wurde die Meldung allerdings sofort erneut aufgerufen.

Waren alle Voraussetzungen erfüllt, konnte Loveletter seinen vollen Effekt entfalten. Der Wurm generierte mit Hilfe der OLE-Automatisierung für jede in Outlook gespeicherte Adresse eine weitere E-Mail und verschickte Kopien von sich selbst. Loveletter war nicht nur ein E-Mail-Wurm, er konnte sich zusätzlich auch über das IRC-Netz per DCC verbreiten. Nach der Aktivierung durchsuchte er die Festplatte nach dem IRC-Client mIRC. Wurde er fündig, überschrieb er die Datei script.ini mit einer neuen Version, die Loveletter automatisch an alle anderen User im Channel versendete. Der dritte Infektionsweg, den er ausnutzte, waren aktive Logins in der Microsoft-Netzwerkumgebung. Auf den Festplatten und den verbundenen Netzlaufwerken eines infizierten Rechners wurden alle Dateien mit den Dateiendungen .jpg, .jpeg, .vbs, .vbe, .js, .jse, .css, .wsh, .sct und .hta gegen gleichnamige VBS-Dateien ersetzt. Bei diesen Basic-Skripts handelte es sich um weitere Kopien des Wurms. So verursachte Loveletter nicht nur massive Datenverluste, sondern begünstigte auch seine mehrfache Ausführung. Dateien mit den Endungen .mp2 und .mp3 wurden lediglich als versteckt markiert, aber auch in diesem Fall wurde eine gleichnamige Kopie des Wurms als VBS-Datei angelegt. Bei größeren Datenmengen auf den Festplatten konnte der Payload von Loveletter mehrere Minuten Zeit in Anspruch nehmen. Weitere Auswirkungen des Wurms sind signifikante Änderungen am System und am damals verbreiteten Internet Explorer.[2]

Auswirkungen

Am Donnerstag, den 4. Mai 2000, startete de Guzmáns Computerwurm von Makati City aus und verbreitete sich nach dem Schneeballsystem mit nie zuvor erreichter Geschwindigkeit. Loveletter erwies sich als Malware mit verheerenden Auswirkungen. Er verursachte weltweit Schäden von über 10 Milliarden US-Dollar durch Serverausfälle und Datenverluste. In nur 6 Stunden verteilte sich der Wurm in ganz Amerika und Europa. Das in Washington ansässige NIPC gab um 11:00 Uhr Eastern Time eine Warnung aus. Die URL, die Loveletter nutze, um weitere Malware nachzuladen, wurde noch am selben Tag deaktiviert. Erste Fälle wurden aus Hongkong gemeldet. Weltweit könnten etwa 45 Millionen Rechner betroffen gewesen sein. Die Angaben der verschiedenen Quellen schwanken hier stark, da teilweise auch Mehrfachinfektionen in die Zählung aufgenommen wurden. Einen vergleichbaren Vorfall mit Malware hatte es bis dahin nur mit dem Virus Melissa ein Jahr zuvor gegeben. Der Loveletter-Wurm verbreitete sich aber um einiges drastischer als Melissa. Er beherrschte weltweit die Schlagzeilen und war das Hauptthema sämtlicher Nachrichtensendungen. Betroffene Institutionen waren unter anderem das Pentagon, das britische Parlament, das NASA Space Center in Houston, der Automobilhersteller Ford, der Telekommunikationskonzern Vodafone, die niederländische High-Tech-Firma Philips, die US-Armee und die Walt Disney Company.[1][2][4]

In der zeitgemäßen Presse wurde Loveletter überwiegend fälschlich als Virus bezeichnet und mit Melissa verglichen. Computerwürmer waren dem Mainstream im Jahr 2000 noch kein Begriff, Malware aller Art wurde meist pauschal als Virus bezeichnet. Das änderte sich in den folgenden Jahren, als Vorfälle mit Würmern häufiger wurden.

Juristische Folgen

Ermittlungen

Zu Beginn hatten die Ermittler eine 23-jährige Informatikstudentin im Verdacht, zu deren Rechner sich der Wurm zurückverfolgen ließ.[7] Doch das E-Mail-Konto spyder@super.net.ph enthielt einige Merkmale de Guzmáns, die seine Identifizierung in recht kurzer Zeit möglich machten. Es war schnell klar, dass der Autor des Wurms anscheinend männlich und philippinisch war und am 4. April 1977 geboren wurde. Man hatte zudem bereits vor einem Jahr den Hinweis seiner Universität erhalten, dass er sich mit dem Diebstahl von Passwörtern befassen würde. Aufgrund dieser Informationen war es für den Leiter der Ermittlungsabteilung einfach, Onel de Guzmán aufzuspüren. Hilfreich zur Identifizierung de Guzmáns waren vor allem die ersten beiden Zeilen des Skripts, der Autor verwendete das Pseudonym „Spyder“ und gab Manila als Heimat an. Der Code war auf den März 2000 datiert. Ein weiterer Kommentar im Programm lautet: „Ich hasse es, zur Schule zu gehen“.

rem barok -loveletter(vbe) <i hate go to school>
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Philippines

Neben der genannten E-Mail-Adresse spyder@super.net.ph hatten die Ermittler auch noch mailme@super.net.ph als Hinweis auf den Urheber. An diese Adresse wurden die ausgespähten Passwörter der infizierten Rechner gesendet.

Bereits am 5. Mai 2000 konnten die zwei philippinischen Programmierer Reonel Ramones und Onel de Guzmán sicher identifiziert und als Hauptverdächtige ausgemacht werden. Eine strafrechtliche Untersuchung durch das National Bureau of Investigation (NBI) der Philippinen wurde eingeleitet. Der philippinische Internetdienstanbieter Sky Internet hatte die Ermittlungsbehörden auf die beiden aufmerksam gemacht. Loveletter wurde erstmals über die Server des Anbieters gesendet. De Guzmán versuchte zwar, seinen Computer und andere Beweismittel aus seiner Wohnung zu entfernen, vergaß dabei aber einen Datenträger, der den Wurm enthielt. Die Polizei fand zudem Informationen, die auf einen Mittäter namens Michael Buen hinwiesen. Er hatte auffällige Telefonkontakte zu de Guzmán und Ramones, daher wurde auch bei ihm eine Wohnungsdurchsuchung angeordnet. Reonel Ramones konnte sofort verhaftet werden. Onel de Guzmán war vorerst nicht aufzufinden und wurde in Abwesenheit angeklagt. Als man ihn schließlich auch festnahm, wurde Untersuchungshaft angeordnet.[2]

Strafverfahren

Bereits zu diesem Zeitpunkt war sich die NBI nicht sicher, wegen welchem Tatvorwurf man die Programmierer nun anklagen könne. Das Programmieren von Malware stellte nach damaligem philippinischen Recht keinen Straftatbestand dar. Eine Option war eine Anklage wegen einem Verstoß gegen das Republic Act 8484. Das war ein Gesetz, das hauptsächlich zur Bestrafung von Kreditkartenbetrug gedacht ist. Onel de Guzmán und Reonel Ramones verwendeten legal gekaufte Prepaid-Internetkarten für die Verbreitung des Wurms. Da sich diese Anklage nicht durchsetzen ließ, wurde geprüft, ob man die beiden wegen mutwilliger Sachbeschädigung verurteilen könne. Dieser Paragraph setzte neben dem entstandenen Sachschaden aber auch vorsätzliches Handeln für eine Verurteilung voraus.[1][2]

De Guzmán hatte während der Vernehmungen ausgesagt, dass er alleine den Wurm unabsichtlich freigesetzt habe. Bei einer von seinem Anwalt am 11. Mai 2000 organisierten Pressekonferenz antwortete er auf die Frage, ob es ein Versehen gewesen sei: „Es ist möglich“.[2]

Die Staatsanwaltschaft konnte im Endeffekt keine Anklage erheben. Reonel Ramones und Onel de Guzmán wurden aus der Untersuchungshaft entlassen.[8][9] Spezielle Gesetze gegen Cyberkriminalität gab es nach philippinischer Rechtslage vom Jahr 2000 noch nicht. Bereits zwei Monate später schuf man ein Gesetz gegen das Programmieren von Malware. Der philippinische Kongress erließ im Juli 2000 das Republic Act Nr. 8792 als Reaktion auf den Loveletter-Vorfall.

Trivia

  • Die Ereignisse inspirierten den Song „E-Mail“ auf dem Album Release, das die britische Band Pet Shop Boys im Jahr 2002 veröffentlichte. Der Text basiert thematisch auf den menschlichen Wünschen, die den durchschlagenden Erfolg dieser Art der Computerinfektion ermöglichten.
  • 2012 ernannte das Smithsonian Institut den Loveletter-Wurm zum zehnthäufigsten virulenten Malwareprogramm in der Geschichte.

Siehe auch

Einzelnachweise

  1. a b c heise.de Vor 20 Jahren: Ein verliebter Wurm umrundete die Welt
  2. a b c d e f wired.com The 20 year hunt for the man behind the love bug virus
  3. lawphil.net Republic Act Nr. 8792
  4. a b vpnoverview.com The ILOVEYOU Computer Virus, 20 Years On – What happened to Onel de Guzman?
  5. bbc.com Love Bug's creator tracked down to repair shop in Manila
  6. noypigeeks.com Iloveyou virus 20 years Onel de Guzman
  7. zdnet.de Loveletter-Autorin auf der Flucht
  8. spiegel.de "I love you!"-Prozess Onel de Guzman ist frei!
  9. spiegel.de "I love you" Reonel Ramones gilt als entlastet

Weblinks

Auf dieser Seite verwendete Medien