Der Technopath aus Sofia
Hinter dem Eisernen Vorhang wurden einst die gefährlichsten Computerviren programmiert von Frank Stier
Es ist Zeit, den Kollegen Dark Avenger zu ehren. Ihm ist es zu verdanken, dass Bulgarien eine Computermacht geworden ist, ohne dass es überhaupt Internet gab“, schreibt der User „professor_glavtcho“ auf der bulgarischen Webseite android.bg. „Wir alle werden ihn ehren, wenn du uns sagst, wer er ist“, erwidert „emski_vas“. Auch nach über zwanzig Jahren ist Dark Avenger, der Autor gefürchteter Computerviren, in Bulgarien ein Mythos.
Seine Identität ist ein Rätsel, das viele gern gelöst hätten. „Ja, ich glaube ihn zu kennen. Es wäre aber nicht rechtens, seinen Namen zu nennen, weil ich es nicht beweisen kann“, sagt Wesselin Bontschew, Bulgariens prominentester Antivirenforscher. Zu Beginn der 1990er Jahre, als die New York Times Bulgarien als weltweit führende Brutstätte für Computerviren adelte, galt Bontschew als Dark Avengers Erzfeind. Zugleich stand er selbst im Verdacht, „temnijat otmestitel“ zu sein, jener „finstere Rächer“, wie die bulgarische Übersetzung von „Dark Avenger“ lautet. „Das Rätsel ist noch immer nicht gelöst“, schreibt „professor_glavtcho“. „Entweder ist es Wesselin Bontschew von der Zeitschrift Kompiuter sa vass. Oder Todor Todorov vom Nationalen Mathematischen Gymnasium.“
Bontschew hat später jahrelang im Ausland gelebt. Heute sitzt der inzwischen 53-Jährige wieder im Café Athene an Sofias Prachtboulevard Vitoscha. Warum wurde ausgerechnet das kleine Balkanland damals zum Hotspot berüchtigter Computerviren wie Old Yankee, Eddie, Anthrax oder dem polymorphen Programmgenerator MtE (Mutation Engine)? „Wir Bulgaren wollen Gesetze nicht gerade brechen, aber wir möchten sie umgehen“, versucht er sich in Nationalpsychologie.
In den 1980er Jahren schulten viele junge Rechnerfreaks ihre Programmierfähigkeiten, indem sie den Kopierschutz von Computerspielen aushebelten. „Computerviren zu schaffen, also sich selbst reproduzierende Programme, die wie Lebewesen wandern können, erschien ihnen als eine intellektuelle Herausforderung“, erklärt Bontschew. Zudem habe es zu dieser Zeit keine Unternehmen gegeben, in denen junge Computerspezialisten ihre Fähigkeiten sinnvoll hätten einsetzen und Karriere machen können.
Bontschew selbst beschäftigt sich seit 1988 mit Computerviren, zunächst als eine Art Fachberater für die Kompiuter sa vass. 1990 wurde er Gründungsdirektor des Nationalen Laboratoriums für Computervirologie an der Bulgarischen Akademie der Wissenschaften (BAW). 1991 legte er die Studie „The Bulgarian and Sovjet Virus Factories“ vor. Am Virus Test Center der Universität Hamburg machte er seinen Doktor über Computerviren und ging Mitte der 1990er Jahre zur isländischen Antivirenschmiede Frisk nach Reykjavík. Dort beteiligte er sich maßgeblich an der Entwicklung des Antivirenprogramms F-Prot antivirus. Heute arbeitet Bontschew wieder am Computervirenlaboratorium der BAW und hat sich in den letzten Jahren vor allem mit Viren für mobile Anwendungen beschäftigt.
Bei den Recherchen für seinen 1997 in der Zeitschrift Wired veröffentlichten Bericht über seine Reise ins „Herz der Finsternis, der heißen Zone, die Bulgariens berüchtigte Computerviren hervorgebracht hat“,1 besichtigte David S. Bennahum auch das Klassenzimmer Nr. 28 des Nationalen Mathematischen Gymnasiums in Sofia. Dort saß einst Todor Todorow. „Schwüle Luft dringt durch das geöffnete Fenster, die zerfledderten grünen Vorhänge flattern leicht im Wind. Auf zwei langen Holztischen stehen sieben IBM-PCs mit 386er Prozessoren. Die Tafel ist vollgeschrieben mit Pascal-Codes. Der Raum wirkt friedlich.“
War dies die Geburtsstätte lästiger Evilware „made in Bulgaria“? Möglich, schließlich machten hier Bulgariens talentierteste Nachwuchsprogrammierer vor und nach dem Zusammenbruch des kommunistischen Regimes ihre Fingerübungen. Damals standen hier keine IBMs, sondern die legendären Pravetz-Computer, darunter die emblematischen Pravetz 82 und 16. Heute stehen sie in der Werkstatt der Firma Laptopclean. Im vergangenen Jahr hat Laptopclean-Chef Boiko Wutschew die bulgarische Öffentlichkeit mit der „Rückkehr der Legende“ elektrisiert: Er will 2014 den von ihm entworfenen Laptop Pravetz 64M auf den Markt bringen. Dafür hat er sich die seit Anfang der 1990er Jahre verwaisten Rechte an der Marke gesichert. Die Computerteile bezieht Wutschew aus Taiwan, in Bulgarien werden sie nur zusammengebaut.
Das große Interesse an seiner Geschäftsidee hat ihn überrascht. In Bulgarien mischen sich Stolz und Ironie, wenn von den berühmten Pravetz-Computern die Rede ist. Es ist eine Geschichte der Marktführerschaft im sozialistischen Wirtschaftsraum. Aus Bulgarien kamen zeitweise 40 Prozent der im sowjetischen Einflussgebiet ausgelieferten Computer. Es ist aber auch eine Geschichte der Industriespionage, denn die bulgarischen Computer waren technisch raffinierte, vom Design etwas hausbacken wirkende Nachbauten führender westlicher Modelle.
Der 1979 hergestellte „individuelle Mikrocomputer“ Imko konnte noch als Eigenentwicklung der bulgarischen Ingenieure gelten. Doch der 1982 produzierte Pravetz 82 war bereits eine Version des Apple II. 1985 kam dann mit dem Pravetz 16 ein geklonter IBM-PC auf den Markt. „Erst mit dem Pravetz 16 begannen sich gegen Ende der 1980er Jahre die bulgarischen Computerviren auszubreiten“, erzählt Boiko Wutschew. Bis dahin seien Computer für Privatpersonen unerschwinglich gewesen und waren meist nur in Unternehmen, Schulen und Hochschulen zugänglich. Die Branche wuchs, in den 1980er Jahren arbeiteten 300 000 Beschäftigte in der Elektronikindustrie. In Spitzenzeiten sollen jährlich 60 000 Computer hergestellt worden sein.
Dann kam die 1989/90 die Wende. „Als mich damals ein Reporter zu Computerviren in Bulgarien interviewte, musste er das Gespräch abbrechen, um zur Zentrale der bulgarischen KP zu eilen, die in Flammen stand“, erinnert sich Bontschew. Der Reporter war Chuck Sudetic, Korrespondent der New York Times. In seinem Ende 1990 erschienenen Artikel wiederholt er Bontschews „eherne Gesetze der Computervirologie“: „Das erste Gesetz lautet: Kann ein Virus geschaffen werden, wird er geschaffen. Das zweite: Kann ein Virus nicht geschaffen werden, wird er dennoch geschaffen.“
Und Morton Swimmer vom Hamburger Virus Test Center wird in Sudetics New-York-Times-Artikel mit den folgenden Worten zitiert: „Die Bulgaren produzieren nicht nur die meisten Computerviren, sie produzieren auch die besten.“ John McAfee von der Computer Virus Industry Association (CVIA), selbst ein bekannter Anbieter von Antivirensoftware, berichtete, die Viren von Dark Avenger hätten gar Computer von Banken, Versicherungen und dem US-Militär befallen.
Dark Avenger und Commander Tosh
Die Initialzündung für Bulgariens Entwicklung zur führenden Exportnation von Schadprogrammen gab ein im April 1988 in Kompiuter sa vass erschienener Artikel über das Phänomen des Computervirus. „Der Artikel kam ursprünglich von der deutschen Zeitschrift Chip und wurde von jemandem übersetzt, der zwar gut Deutsch konnte, aber von Computern keine Ahnung hatte“, erinnert sich Wesselin Bontschew. Die Redaktion bat Bontschew, den übersetzten Artikel zu überarbeiten. So begann er sich für das Thema zu interessieren.
Damals waren in Bulgarien einige wenige ausländische Viren verbreitet, wie der aus Österreich stammende Vienna, der italienische Ping Pong, und Cascade aus Deutschland. Bontschew fiel auf, dass Vienna und Cascade lediglich .com-Dateien infizierten. Gegenüber einem Freund vermutete Bontschew, die Infektion von .exe-Dateien sei erheblich schwieriger. Diesen Freund packte der Ehrgeiz, und bald hatte Bulgarien seinen eigenen Virus: Der Old Yankee brachte Computer dazu, die Melodie des „Yankee Doodle“ zu spielen.
Im Frühjahr 1989 tauchte dann ein Virus auf, der seine Herkunft durch eine Copyright-Zeile verriet: „This program was written in the city of Sofia (C) 1988–89 Dark Avenger“. Er begründete den Ruhm seines Autors. Wenn dieser auch als Eddie bekannte Virus in den Speicher eines Computers gelangte, infizierte er sowohl .com- als auch .exe-Dateien. „Dies war der bis dahin scheußlichste Virus überhaupt. Er infizierte Dateien nicht nur, wenn sie geöffnet, sondern auch, wenn sie nur kopiert wurden. Das machte ihn so ansteckend“, erklärt Bontschew. Seinen Namen erhielt er durch die auf dem Bildschirm erscheinende Textzeile „Eddie lives … somewhere in time!“, eine Reminiszenz an das Maskottchen der Rockgruppe Iron Maiden.
„Copy me, I want to travel“, lautete eine Zeile im Code von Dark Avengers Eddie-Variation V2 000, eine weitere Schöpfung, die sich durch Originalität und Destruktivität auszeichnete. In dem Virus manifestierte sich zudem eine ausgeprägte Aversion gegen Wesselin Bontschew. V2 000 behauptete, „written by Wesselin Bontchev“ zu sein, und fror den Computer ein, sobald ein Antivirenprogramm verwendet wurde, dessen Copyright Bontschews Namen enthielt. Personalisiert war auch Dark Avengers 1992 geschaffene Mutation Engine (MtE), einer der ersten polymorphen Programmgeneratoren. Er konnte selbst einfachste Viren derart verändern, dass sie für Antivirenprogramme kaum mehr zu erfassen waren.
Doch nicht alle bulgarischen Virenschreiber hätten ihn gehasst, sagt Wesselin Bontschew. „Manche wollten mir sogar ihre Werke zeigen. Sie dachten, ich könne sie am besten beurteilen.“ Zwar seien die meisten unverantwortlich und kindisch gewesen, es habe aber auch Programmierer gegeben, die darauf achteten, dass ihre Kreationen keinen Schaden anrichteten. „TP“ zum Beispiel, der anonyme Autor des Virus Vacsina, der nur „neue Ideen“ habe ausprobieren wollen.
Dark Avenger hingegen sei ein „Technopath“ gewesen, dessen erklärte Absicht es war, Daten zu zerstören. „Vielleicht hasste er mich auch, weil ich an seinem Ruhm teilhatte“, mutmaßt Bontschew über Dark Avenger. „Er machte die Arbeit, aber ich schrieb darüber und wurde dadurch bekannt. Er wollte der beste Virenschreiber sein, aber meine Antivirenprogramme machten seine Werke schadlos.“ Nur ein einziges Mal traf Bontschew seinen Widersacher persönlich. „So um 1990/91 hielt ich an der Universität von Sofia eine Vorlesung. Im Publikum war eine Gruppe von Freunden, von denen sich einer mir gegenüber besonders feindselig verhielt: ‚Du verstehst überhaupt nichts, es ist alles Unsinn, was du redest‘, pöbelte er mich an.“ Wo Dark Avenger heute steckt? Bontschew weiß es nicht.
Vor der allgemeinen Verbreitung des Internets konnten Computer nur über Mailboxen miteinander kommunizieren, die sie über Telefonverbindungen anwählten. Mailboxen wurden neben der Weitergabe infizierter Disketten zum zweiten Verbreitungsweg für Evilware. Todor Todorow, auch genannt „Commander Tosh“, war damals noch Informatikstudent an der Universität Sofia, als er 1990 das weltweit erste auf Viren fokussierte Bulletin Board System (BBS) programmierte: Sein Virus eXchange BBS wurde zum wichtigsten Diskussions- und Austauschforum für Virenschreiber und Antivirenprogrammierer. Wer wollte, konnte in diese Mailbox neue Viren einspeisen oder bekannte Viren zur Untersuchung oder Weiterverarbeitung entnehmen – es war die virtuelle Virenuniversität von Sofia.
Dark Avenger nutzte das BBS, aber auch andere Kanäle. Dann kam er mit der US-amerikanischen Computerspezialistin Sarah Gordon in Kontakt, die später im Magazin Virus News International ihre Mail-Korrespondenz mit Dark Avenger veröffentlichte. Dort kann man auch seine Gesetze zur Computersicherheit nachlesen: „1. Kaufe dir nie einen Computer! 2. Wenn du ihn dir doch gekauft hast, schalte ihn nicht ein!“ In dem Briefkontakt mit Gordon erzählte der „finstere Rächer“, dass er im September 1988 beschlossen habe, einen eigenen Virus zu schreiben: „Ich fügte in ihn einen Code ein, der darauf abzielte, Daten zu zerstören. Das tut mir leid.“
Wesselin Bontschew glaubt, die Reue ist nur vorgetäuscht. Denn an anderer Stelle habe Dark Avenger auf die Frage, warum seine Viren so zerstörerisch seien, geantwortet: weil ihm die Vernichtung von Daten Vergnügen bereite, weil er es liebe, das Werk anderer zu zerstören. Auch die gelegentlich verlautete Spekulation, die Beziehung zu Gordon habe Dark Avenger dazu gebracht, mit dem Virenschreiben aufzuhören, bezweifelt Bontschew. „Ich bin mir zwar nicht sicher, warum er 1993 aufgehört hat. Die Version, er habe es Sarah Gordon versprochen, kann ich aber nicht glauben.“
Solange die Identität Dark Avengers nicht zweifelsfrei geklärt ist, wird auch der Verdacht nicht aus der Welt zu schaffen sein, die beiden unversöhnlichen Antipoden Dark Avenger und Wesselin Bontschew seien in Wahrheit ein und diesselbe Person. So schreibt etwa der anonyme User „V12“ im bulgarischen Onlineportal Kaldata-Forum: „Der bekannteste bulgarische Virologe Wesselin Bontschew schrieb Antivirenprogramme am Laboratorium für Virologie der BAW. Gleichzeitig schrieb er unter dem Pseudonym Dark Avenger Viren, die sein eigenes Antivirenprogramm eliminierten. Und er führte sogar mit sich selbst eine Polemik in der Zeitschrift Kompiuter sa vass.“ Beweise dafür bleibt auch er schuldig.