senäh

Web & Co | Teil 4 der Serie: The Geohot Aftermath: Chronik der Hackerwelle 2011

Anonymous im Chaos und die Geschichte eines einzelnen Mannes, der sich mit Anonymous anlegte

geschrieben am 12. August 2011 um 09:26 von Pipo

Serie: The Geohot Aftermath: Chronik der Hackerwelle 2011

  1. Teil 1: Am Anfang stand geohot
  2. Teil 2: Anonymous greift Sony an
  3. Teil 3: PSN is down
  4. Teil 4: Anonymous im Chaos und die Geschichte eines einzelnen Mannes, der sich mit Anonymous anlegte

Da war sie nun, diese Beschuldigung von Sony am 4. Mai: „Wir haben eine Datei namens Anonymous auf unseren Servern gefunden. Niemand anderes als Anonymous kann für den Angriff auf unser Netzwerk verantwortlich sein.“ Anstatt Sicherheitslücken zuzugeben, wurden im gleichen Zusammenhang das professionelle Vorgehen der Angreifer in den Vordergrund gestellt. Kann aber eine führerlose Gruppierung überhaupt so professionell vorgehen? Und warum sollte Anonymous für den Angriff verantwortlich sein, wo sie doch eine Involvierung in die Vorfälle bereits offiziell abgestritten haben? Warum sollte Anonymous lügen, wenn sie dies vorher (vermutlich) noch nie getan haben? Und warum sollten sie absichtlich eine Datei mit ihren Namen auf Sonys Servern hinterlassen, wenn sie sich doch sonst nicht für den Angriff bekennen?

Anonymous in einem inneren Konflikt

Möglicherweise lassen sich diese Fragen beantworten, wenn man eine der Kerneigenschaften der Anonymous-Bewegung näher betrachtet: die Hierarchielosigkeit. Während Anonymous als Kollektiv zwar führerlos agiert, ist eine weltweite Kommunikation und Koordination innerhalb der Gruppe ohne jegliche Organisation natürlich nicht möglich. Einen Großteil dieser Organisation wird über das sogenannte AnonOps gelöst. AnonOps ist eins von zwei größeren Sprachrohren innerhalb von Anonymous. Das zweite ist AnonNet. In erster Linie sind AnonOps und AnonNet IRC-Netzwerke in denen Anonymous-Mitglieder miteinander in Verbindung treten können. Während sich AnonNet thematisch hauptsächlich mit Chanology, also dem Vorgehen gegen Scientology beschäftigt, ist das Themengebiet von AnonOps breiter gefächert und politisch motiviert. Über AnonOps wurde zum Beispiel die bereits erwähnte Aktion „Operation Payback“organisiert.

Ein Beispiel für einen Aufruf von AnonOps (hier: Operation BoA)

Ein Beispiel für einen Aufruf von AnonOps (hier: Operation BoA)

Neben der Funktion als IRC-Netzwerk agiert AnonOps auch als Nachrichtensammelstelle für Anonymous. Auf ihrem Blog veröffentlichten sie am 5. Mai als Antwort auf Sonys Beschuldigungen ein erneutes Dementi:“Lasst uns klar stellen, We are legion, aber wir waren es nicht. Ihr seid inkompetent, Sony. Letzten Monat ist eine unbekannte Gruppierung in Sonys Server eingebrochen. […] Sony und andere beschuldigen uns des Überfalls.“ Für Anonymous-Anhänger gibt es zwei mögliche Ursachen für die Anonymous-Datei, die angeblich auf den Sony-Servern gefunden wurde:

  • Die eigentlichen PSN-Hacker haben diese Datei hinterlassen, um von sich ab- und den Verdacht auf Anonymous zu lenken.
  • Sony hat die Geschichte fingiert, um ihren Kunden einen Sündenbock zu geben. Dies decke sich mit dem Versuch den Angriff als überaus professionell darzustellen, anstatt über eigene Sicherheitsmängel zu berichten.

Eine dritte Möglichkeit wird allerdings von Anonymous verschwiegen:

  • Anonymous – oder ein Teil von Anonymous – ist doch für den Überfall verantwortlich.

Der Angriff auf die Sony-Server steht zwar im Gegensatz zu der von Anonymous geführten Politik, aber die angesprochene Hierarchielosigkeit und das dezentrale Handeln machen es für Anonymous selbst sehr schwer einzelne Mitglieder zu kontrollieren. Anonymous wurde nie im eigentliche Sinne gegründet und so gab es nie einheitliche Ziele für das Kollektiv. Das Kollektiv hat sich über einen längeren Zeitraum durch ähnlich denkende Personen herausgebildet, aber dadurch sind die Ziele von Anonymous auch erst spät aus sich heraus gewachsen und stellen damit immer nur eine Schnittmenge der Ziele aller Mitglieder da. Es gibt Mitglieder, die nur einen Teil der Ziele von Anonymous aktiv unterstützen (daher auch die verschiedenen IRC-Netzwerke) und es gibt Mitglieder, die noch ganz andere Ziele verfolgen, welche auch mit Anonymous Idealvorstellungen konkurrieren können. Genau diese Tatsache schien in den nächsten Tagen einige Konflikte innerhalb von AnonOps hervorzurufen. So berichtet Ars Technica am 9. Mai von „einem Krieg zwischen mehreren Fraktionen innerhalb von Anonymous„. Während dieser Auseinandersetzung soll „Ryan“, einer von mehreren Moderatoren von AnonOps, die Kontrolle über eben dieses IRC-Netzwerk für längere Zeit an sich gerissen haben. Die anderen Moderatoren namens „shitstorm“, „Nerdo“, „blergh“, „Power2All“ und „Owen“ konnten daraufhin nicht mehr auf das Netzwerk zugreifen. Owen wurde zwischenzeitlich als einer von drei Führern von Anonymous gehandelt. Ein direkter Angriff gegen ihn wäre sehr gefährlich, sollte er wirklich eine Führungsposition besitzen – vorausgesetzt Anonymous wäre nicht ganz so führerlos, wie sie es nach außen hin zeigen. Ironischerweise soll die führerlose Struktur von AnonOps laut den anderen Moderatoren einer der Gründe von Ryans Angriff auf das IRC-Netzwerk gewesen sein. Ryan änderte die Überschrift eines der beliebtesten AnonOps-Channels zu „anonops dead go home“ und legte mehrere AnonOps-Server mittels DDoS-Attacken lahm. Außerdem bereinigte er die IP-Adressen und Passwörter von mehreren AnonOps-Servern inklusive dem Hub, wie Owen und die anderen Moderatoren in einer offiziellen Stellungnahme berichten. Dies soll er durch den Bot „Zalgo“ geschafft haben. Anschließend leitete er alle Zugriffe auf anonops.ru und anonops.net, welche er vor kurzem erhalten hatte, da deren ehemalige Besitzer Probleme mit der Polizei bekamen. Ein Anonymous-Aktivist behauptete in einem Kommentar unterhalb der offiziellen Stellungnahme von Owen und den anderen, dass ein weiteres Mitglied namens E den Bot Zalgo steuere und das Zalgo gar keine Passwörter auslesen könne. Er warf den Moderatoren vor nur die halbe Wahrheit zu erzählen. Weitere Anonymous-Mitglieder sprachen allerdings von einer angeblichen Freundschaft zwischen Ryan und E und einer möglichen Zusammenarbeit zwischen beiden. (Anmerkung: Leider konnte ich die originalen Kommentare nicht mehr finden. Anscheinend wurden sie auf message.anonops.in und anonnews.org veröffentlicht, welche nicht mehr erreichbar sind. UPDATE: Zumindest anonnews.org scheint mittlerweile bemüht wieder online zu kommen. Anscheinend haben sie Probleme bei einem Serverumzug.) Die genauen Abläufe und Hintergründe  zu Ryans Angriff bleiben also unklar. (Wahrscheinlich) noch am gleichen Tag wurden die angeblichen Kontaktdaten (Adresse, Skypename, Telefonnummer, Mail, IP-Adresse, Lebensdaten) von Ryan durch den Hacker #krack veröffentlicht, welche ihn als 17jährigen Briten namens Ryan Cleary auszeichnen. Angeblich hätte Ryan 808chan, einer 4chan Splittergruppe, angehört, welche zu großen Teilen die Operation Payback Angriffe ausgeführt haben soll. Laut encyclopedia dramatica hat sich 808chan mit AnonOps im April verstritten und wurde am 2. Mai von diesen lahmgelegt. Ein weiterer Grund für Ryans Angriff? 808chan soll neuer Nutzer bei ihrer Aufnahme auf ihre technische Versiertheit untersucht haben, so dass sie ihre DDoS-Attacken untersützen konnten. Parallel zu diesen Mutmaßungen existieren noch zahlreiche andere Gerüchte über Ryans Motive: dazu zählen Racheaktionen, weil ihm angeblich die Moderatorrechte entzogen wurden, aber auch komplett entgegengesätzte Gründe zu den oben genannten wie z.B. nicht die fehlende Führung, sondern eine geheime Fühurng innerhalb von AnonOps. So sollen sich die anderen Moderatoren in privaten Chats organisiert und abgesprochen haben.

Why u no use brain?

Why u no use brain?

Könnte eine kleine Gruppe von Anonymous-Mitgliedern also doch für den PSN-Hack verantwortlich sein? Könnte, ja. Es kann nicht ausgeschlossen werden, dass einzelne Mitglieder anonym innerhalb von Anonymous eigene Pläne schmieden und durchführen.

Ein kurzes Intermezzo: Die Geschichte des Aaron Barr

Als ich schrieb, dass Owen kurzzeitig als ein möglicher Führer von Anonymous gehandelt wurde, beruhte das hauptsächlich auf den Aussagen von Aaron Barr. Aaron Barr war der CEO der Technik-Sicherheitsfirma HBGary Federal und behauptete in einem am 4. Februar in der Financial Times veröffentlichten Artikel, dass er die Führer von Anonymous gefunden hätte. Er schätzte die Führerriege auf eine Gruppe von ca. zehn Personen von denen er ihre Aliasse und teilweise ihre realen Namen gesammelt hätte. So nannte er u.a. Owen als einen möglichen Führer, von dem er annahm, er würde in New Work wohnen. Andere Führer befänden sich in Kalifornien, aber auch in Großbritannien, Deutschland, den Niederlanden, Italien und Australien. Nach eigenen Angaben führte er seine Untersuchungen nicht durch, um die Namen der Polizei zu überreichen, sondern um die Methodik des Social Engineering bzw. Social Hacking zu studieren. Social Engineers sammeln Daten von Personen über soziale Netzwerke wie Twitter und Facebook. Durch diese Daten können Social Engineers Rückschlüsse auf Verbindungen zwischen verschiedenen Personen ziehen und fremde Identitäten annehmen, um noch mehr personenbezogene Daten zu sammeln (= Übergang zum Social Hacking). Dass er die Daten unrechtmäßig gesammelt hatte, war ein weiterer Grund diese nicht der Polizei zu übergeben. Dabei suchte die Polizei und das FBI in diesem Zeitraum mit allen Mitteln nach den Drahtzieher von Operation Payback – die Festnahmen von fünf Verdächtigen im Alter von 15 bis 26 Jahren in Großbritannien waren die Folge. Nach Barrs Behauptungen könne die Polizei jedoch die Führerriege von Anonymous festnehmen – wenn sie denn im Besitz seiner Daten wäre. Laut Ars Technica stand Barr aber durchaus im Kontakt mit dem FBI und ließ sich sogar von ihnen bezahlen. Und auch wenn er die Daten nicht der Polizei übergeben wollte, so wollte er einige dieser Daten im Laufe des Monats während einer Sicherheitskonferenz in San Francisco publik machen.

Eine Antwort von Anonymous erfolgte bereits einen Tag nach der Veröffentlichung des Artikels in der Financial Times am 5. Februar. In einer Presseerklärung gaben sie bekannt: „Anonymous wurde geschlagen. [Aaron Barr] hat es geschafft, erfolgreich in unsere nicht-öffentliche IRC-Höhle einzudringen. […] Er fand heraus, dass wir letzten Donnerstag von Q gegründet wurden. […] Anonymous Mitgründer Justin Bieber verschwand daraufhin. […] Dies ist ein neuer Tiefpunkt für die Official Anonymous Organization, Inc. und ihre Aktieninhaber. […] Zu diesem Zeitpunkt können wir ziemlich sicher annehmen, dass auch unsere Server unterhalb des Nordpols angegriffen wurden. Ihr solltet Backups von all euren Pornos machen.“ Falls ihr die volle Presseerklärung lesen wollt, folgt einfach dem oben genannten Link.

Natürlich blieb es nicht bei ein paar sarkastischen Äußerungen. (Ach, die waren sarkastisch gemeint!? Und ich dachte Justin Bieber steckt wirklich mit in der Geschichte.) Ganz im Gegenteil! Nach Anonymous Motto „Wir vergeben nicht. Wir vergessen nicht. Erwartet uns.“ starteten sie einen Großangriff um Aaron Barr zu ruinieren. Was bedeutet ein Großangriff in der Sprache von Anonymous? Nichts anderes als die Infiltrierung der Internetseite von HBGary Federal, dem Raub von Barrs Dokumenten über Anonymous und die Veröffentlichung von 60.000 firmeneigenen E-Mailadressen auf BitTorrent – der Schaden wird auf mehrere Millionen Dollar geschätzt. Soweit zum finanziellen und Imageschaden der Firma HBGary Federal. Von Barr selbst übernahm Anonymous den Twitter- und LinkedIn-Account, veröffentlichten darüber obszöne Nachrichten und persönliche Daten wie seine Hausadresse, sowie seine Sozialversicherungsnummer. Außerdem löschten sie aus der Ferne seinen iPad- und iPhone-Speicher und gaben die Namen seiner World of Warcraft Charaktere bekannt. Am 28. Februar hatte Barr keine andere Wahl mehr als von seiner Position als CEO zurückzutreten, „um sich seiner Familie zu widmen und sein Ansehen wiederherzustellen“.

"forever barrlone" - Barrs gehackter Twitter-Account (Quelle: arstechnica.com)

"forever barrlone" - Barrs gehackter Twitter-Account (Quelle: arstechnica.com)

In einer E-Mail vor dem 4. Februar schrieb Barr zu einen Freund „As 1337 as these guys are suppsed to be they don’t get it. I have pwned them! :)“. [Anm.: 1337 bedeutet Elite. Rechtschreibfehler übernommen.] Außerdem schrieb er scherzhaft zwei Freunden „Oh fuck!  The internet is here.“  ohne zu diesem Zeitpunkt zu wissen, was es wirklich bedeutet, wenn das Internet da ist…

Oh fuck! The internet is here!

Oh fuck! The internet is here!

Wer noch viel mehr über diese Geschichte lesen möchte (z.B. Auszüge aus privaten E-Mails, welche Barrs überhebliches Vorgehen und die Zweifel seiner Mitarbeiter dokumentieren), dem empfehle die sechsteilige Serie von Ars Technica über Aaron Barr. Sie enthalten auch IRC-Protokolle in denen Barr verzweifelt versucht Anonymous zu beschwichtigen, um mit den Angriffen aufzuhören. Wer mehr über die technischen Hintergründe erfahren möchte, die es Anonymous ermöglichten die HBGary Federal Seite zu knacken (Stichwort: SQL-Injections und die Folgen ein und das selbe Passwort für mehrere Accounts zu verwenden), dem empfehle ich einen sehr ausführlichen Artikel von c’t, welcher zusätzlich einiges an Hintergrundwissen von HBGary Federal vermittelt.

Wo ist nur die Zeit geblieben?

Ich muss zugeben dieser Teil der Serie hat sich komplett anders entwickelt als ich angenommen hatte. Eigentlich wollte ich chronologisch gesehen mit diesem Artikel schon viel weiter sein (zur Erinnerung: wir befinden uns jetzt beim 9. Mai), aber die Namen der AnonOps-Moderatoren brachten mich auf die mir bis dato unbekannte Geschichte von Aaron Barr, über die ich einfach schreiben musste. Ich hoffe, ich habe mich richtig entschieden und ihr fandet den kleinen Abschweifer genauso spannend wie ich.

Ob Barr wirklich an Daten über Anonymous gelangte? Ich vermute nein. Irgendwie wären irgendwo Kopien seiner Daten an das FBI gelangt, was sie vermutlich auch sind, aber dadurch haben sich meines Wissens nach keine weiteren Handlungen ergeben. Ganz im Gegensatz zu den veröffentlichen Daten über die angebliche Identität von Ryan… Aber darüber mehr beim nächsten Mal.



Kommentare (0)

Kommentare sind geschlossen.