Operation Payback: Proteste per Mausklick

Hinter den Attacken auf Finanzdienstleister, die Konten und Transaktionen für die Whistleblower-Plattform Wikileaks sperrten, steckt die "Operation Payback", ein loser Zusammenschluss von Internet-Aktivisten aus dem Umfeld des Imageboards 4Chan und von Anonymous, die mit den Angriffen auf Server von Scientology bekannt wurde. "Operation Payback" hat sich zu den erfolgreichen Attacken mittels DDoS (Distributed Denial of Service) auf die Websites von Mastercard, der Schweizer-Postfinanz-Bank sowie der schwedischen Staatsanwaltschaft bekannt, zuletzt wurde die Website von Visa angegriffen.

Seit Beginn der Attacken ist die Website der Aktivisten ebenfalls nicht mehr zu erreichen – zwischendurch war lediglich ein Hinweis auf "heftige DDoS-Angriffe" zu lesen. Mittlerweile haben Aktivisten in "ANON OPS: A Manifesto" deutlich gemacht, ihnen gehe es mit den Angriffen nicht darum, die kritischen Infrastrukturen der betroffenen Organisationen zu stören. Vielmehr wolle man ihre Unternehmens-Websites, also ihren Auftritt in der Öffentichkeit, stören. "Anarchy for the Lulz" (sinngemäß: Anarchie aus Jux und Dollerei) sei nicht das Anliegen von "Operation Payback". Das wiederum nahm auch der Kritik von John Perry Barlow, Mitgründer der Electronic Frontier Foundation, Verfasser der legendären "Unabhängigkeitserklärung für den Cyberspace" und Wikileaks-Unterstützer, etwas den Wind aus den Segeln. Zuvor hatte er auf Twitter angemerkt: "Sorry, but I don't support DDoSing Mastercard.com. You can't defend The Right to Know by shutting someone up."

Kurz nach der Attacke auf den Visa-Webserver sperrte Twitter den Account der Gruppe, und auch Facebook machte die "Operation Payback"-Seite dicht. Zur Zeit arbeiten die Aktivisten auf Twitter unter @Op_Payback.

Die "Operation Payback"-Aktivisten nutzen für ihre DDoS-Attacken ein Tool namens LOIC ("Low Orbit Ion Cannon"), das ursprünglich für die Anonymous-Proteste gegen Scientology entwickelt wurde. Das extrem einfach zu bedienende Programm lässt sich nicht nur für manuelle DDoS-Attacken auf Webserver nutzen, sondern auch für koordinierte, gemeinsame Angriffe. Dafür geben die LOIC-Benutzer die Adresse eines "Operation Payback"-Koordinierungsservers an und überlassen die Steuerung dann der Führungsriege – vergleichbar mit einem Bot-Netz auf freiwilliger Basis. Die Windows-Version von LOIC benutzt dabei einen IRC-Server als Befehlsgeber; die für Linux- und Mac-Systeme vorgesehene Java-Version lässt sich über einen Twitter-Account fernsteuern.

Als Standardaktion öffnet das Tool eine TCP-Verbindung auf Port 80 des Zielservers und sendet über diese frei einstellbare Zeichenketten. Es spricht dabei also kein HTTP sondern überlastet den Server mit sinnlosen Anfragen. Dies äußert sich zum Beispiel mit Fehlermeldungen wie

[Thu Dec 09 13:57:05 2010] [error] [client 10.22.240.70] request failed: URI too long (longer than 8190)

in den Log-Dateien des Web-Servers. Darüber hinaus kann es aber durchaus auch gültige HTTP-Anfragen erstellen und bietet auch eine Option für UDP-Pakete. Insbesondere mit letzterer lassen sich DDoS-Angriffe realisieren, die darauf abzielen, die Netzwerk-Infrastruktur lahmzulegen.

Die "Operation" verzeichnet offenbar starken Zulauf: Während der LOIC-Rudel bei der Postfinanz-Attacke nur aus knapp 400 Rechnern bestand, waren an den Visa-Angriffen mehrere tausend Computer beteiligt. Vom frühen Morgen bis zum Vormittag fluteten die Wikileaks-Rächer Paypal.com mit Anfragen, mittlerweile wird auch die API von Paypal angegriffen. Zeitweise war aber die komplette Infrastruktur der Aktivisten ausgefallen: Sowohl der IRC-Server, auf dem die Angriffe abgesprochen wurden, als auch der LOIC-Steuerserver waren nicht mehr zu erreichen. Unter anderem ließen sich die Namen der verwendeten Server nicht mehr via DNS auflösen. Inzwischen gibt es aber auch wieder eine neue Infrastruktur für die Attacken.

Dass "Operation Payback" zumindest für den Webserver-Stillstand bei Visa verantwortlich war, ist so gut wie sicher: Genau in dem Moment – 22 Uhr deutscher Zeit –, als im gruppeneigenen IRC-Channel der Beginn des Visa-Angriffs verkündet wurde, war die Website der Firma nicht mehr zu erreichen.

Während bei den "Payback"-Helfern Einigkeit darüber herrscht, dass DDoS-Attacken auf Kreditkartenunternehmen ein probates Mittel für den Protest sind, wird gezielte Desinformation im IRC-Channel der Aktivisten kontrovers diskutiert – schließlich will man nicht, dass Wikileaks mit Lügen in Verbindung gebracht wird. Dennoch: Die "Operation Bank-Troll" verbreitet zur Zeit die Falschinformation, dass während des DDoS-Angriffs etliche Kreditkartennummern erbeutet wurden.

Wer sich an der Operation: Payback, beteiligt und andere Rechner unter Beschuss nimmt, macht sich unter anderem nach deutschem Recht strafbar; außerdem drohen ihm auch zivilrechtliche Schadensersatzforderungen. Hinzu kommt, dass Beteiligte an den DDoS-Attacken keineswegs – wie sie vielleicht glauben – in der anonymen Masse untergehen. Ihre IP-Adressen tauchen in allen Log-Files auf; die einfach gestrickten Kontrollstrukturen werden längst von allen möglichen interessierten Parteien überwacht. Wer also seinen Rechner an das Hive-Mind anschließt und die Low Orbit Ion Canon gegen missliebige Server richtet, muss mit ernsthaften Konsequenzen rechnen. (jkj)