Ausgelacht
Die Kurzversion: Anonymous hat eine amerikanische Sicherheitsfirma namens HBGary gehackt, die zuvor gedroht hatte, dem FBI die Namen der zentralen Personen der Organisation zu liefern. Doch die ganze Geschichte hat so viele interessante Aspekte, dass es sich lohnt, sich etwas mehr Zeit dafür zu nehmen.
Anonymous zu erklären, ist ein aussichtsloses Unterfangen. Man kann sich dem Phänomen jedoch zunächst mit der Vorstellung einer Gruppe von anonymen Internet-Aktivisten nähern. In letzter Zeit ist Anonymous vor allem durch die Unterstützung von Wikileaks aufgefallen, als sie Webseiten von Paypal, Mastercard und der Schweizer-Postfinanz-Bank durch Überlastung lahmlegten.
Bei „Operation Payback“ verwandelten tausende Sympathisanten ihre Rechner mit Hilfe einer modifizierten Version des Lasttest-Tools Low Orbit Ion Canon (LOIC) in fernsteuerbare Roboter, die dann gezielt einzelne Webseiten abschossen. Die LOIC kam bereits in den Anonymous-Aktionen gegen Scientology zum Einsatz.
Anfang Februar erklärte der Chef der US-Sicherheitsfirma HBGary Federal der Financial Times, er habe im Rahmen eines Projekts zur Erforschung der Risiken sozialer Netze Anonymous unterwandert und dabei unter anderem die Identität der führenden Köpfe aufgedeckt. „As 1337 as these guys are supposed to be they don’t get it. I have pwned them! :)“ – ich hab diese angeblich so tollen Typen gehackt, begeisterte sich Aaron Barr in einer Mail an eine Mitarbeiterin in der PR-Abteilung.
Die Namen der angeblichen Anonymous-Aktivisten veröffentlichte er zu diesem Zeitpunkt noch nicht. Das hob er sich für ein bereits geplantes Treffen mit dem FBI auf. Für die staatlichen Ermittler hatte er ein Dossier mit Online-IDs, Namen und zum Teil auch Adressen zusammengestellt. Selbst ein passender Blog-Beitrag und eine Pressemeldung waren bereits fertig: „HBGary Federal […] ließ heute seine Muskeln spielen und enthüllte die Identitäten des Top-Managements von Anonymous“, hieß es da.
Doch dazu sollte es nicht mehr kommen. Denn nur einen Tag nach dem Financial-Times-Interview ließ Anonymous der US-Sicherheitsfirma die Hosen herunter; und was dabei zum Vorschein kam, war für HBGary mehr als nur peinlich.
Der Hack
Innerhalb kürzester Zeit waren Unbekannte in die Systeme der Sicherheitsfirma eingebrochen und hatten dort unter anderem rund 60 000 E-Mails gestohlen. Der Einbruch erfolgte über die öffentliche Website von HBGary Federal. Deren Verwaltung erfolgte über ein proprietäres Content Management System, das speziell für die Firma entwickelt worden war und zu dem die wichtigsten Angestellten Zugang hatten.
Das CMS erzeugte URLs wie /pages.php?pageNav=2&page=27. Allerdings überprüfte es – Fehler Nummer eins – die Parameter nicht ausreichend. Somit war es möglich, darüber Befehle einzuschmuggeln, die das CMS an die Datenbank weiterreichte. Durch diese SQL-Injection gelangten die Angreifer an die in der Datenbank gespeicherten Passwort-Hashes.
Sie wurden mit dem kryptografischen Hash-Verfahren MD5 erstellt, aber nicht zusätzlich gesichert. Insbesondere die üblichen Verfahren zur Stärkung von Passwörtern wie das Hinzufügen eines zufälligen Salzes oder vielfaches Iterieren der Hash-Funktion kamen nicht zum Einsatz. Durch diesen zweiten Fehler war es leicht, die Klartextpasswörter mit sogenannten Rainbow Tables zurückzugewinnen.
Fehler drei bestand darin, dass die CMS-Passwörter für eine ganze Reihe weiterer Konten genutzt wurden – darunter E-Mail, Twitter und Linked-In. Das verschaffte den Angreifern unter anderem Zugang zu den E-Mail-Konten von Barr und seinem Chief Operations Officer Ted Vera.
Vera hatte darüber hinaus noch einen via SSH erreichbaren Account auf dem System support.hbgary.com, wo sich Anonymous dann mit dem gleichen Passwort anmelden konnte. Dort lief ein Linux-System, das – Fehler vier – noch anfällig für eine im Oktober veröffentlichte Sicherheitslücke im GNU-C-Loader war. Die bescherte den ungebetenen Gästen Root-Rechte auf dem System, was ihnen Zugang zu mehreren GByte an Backup- und Forschungsdaten verschaffte.
Weil Barr gleichzeitig Administrator des HBGary-Zugangs zu Google Apps war, konnte er die Mail-Passwörter anderer Mitarbeiter ändern. Das gab Anonymous dann Zugriff auf die Mailbox von Greg Hoglund – seines Zeichens Rootkit-Experte und Mitgründer der Mutterfirma HBGary. In Hoglunds Mailbox fand sich – Fehler fünf – das Root-Passwort für die von ihm betriebene Security-Website Rootkit.com. Mit dessen Hilfe gelang es dann, einen anderen Administrator zu überreden, dass er ein Loch durch die Firewall bohrte und Hoglunds angeblich vergessenes Benutzerpasswort änderte – fünfeinhalb, denn immerhin kamen die E-Mails vom richtigen E-Mail-Account und der Absender kannte bereits das Root-Passwort. Über den SSH-Zugang kam Anonymous dann an den Server und die Daten der Foren-Accounts. Auch hier kamen wieder ungesalzene und damit ruck, zuck geknackte MD5-Hashes zum Einsatz.
Insgesamt war das Sicherheitsniveau bei der Sicherheitsfirma erschreckend niedrig. Einfach zu vermeidende Fehler wie recht offensichtliche SQL-Injection-Lücken auf der Website, ungesalzene Passwörter, die für viele Dienste parallel genutzt werden, und ungepatchte Server werfen kein gutes Licht auf eine Firma, die ihr Geld mit Sicherheits-Software und -Beratung verdient. Doch es kam noch schlimmer.
Denn nach einem gescheiterten Schlichtungsgespäch im Internet Relay Chat (IRC) veröffentlichte Anonymous nicht nur das Dossier über die angeblichen Identitäten der Köpfe, sondern auch die kompletten HBGary-E-Mails. Und während sich die angeblich so brisanten Daten über Anonymous als weitgehend substanzlos erwiesen, zeichnen die im Internet veröffentlichten Mails ein sehr exaktes Bild der Köpfe der amerikanischen Security-Firma und ihrer Geschäfte. Allerdings sollte man dabei im Hinterkopf behalten, dass diese Mails manipuliert sein könnten, auch wenn die durchgeführten Plausibilitätschecks keine Hinweise darauf ergaben.
Heiße Luft
Genau genommen geht es um zwei Firmen, die zwar eng miteinander verbandelt sind, sich aber substanziell unterscheiden: HBGary und HBGary Federal. Die Tochter HBGary Federal hat sich unter Leitung von Aaron Barr vor allem auf die Analyse sozialer Netze spezialisiert. Da sie wenig Handfestes vorzuweisen hat, versucht Barr offensichtlich auch schon mal, Luft zu erwärmen, um voranzukommen.
In letzter Zeit war er auf der Suche nach einem potenten, sprich zahlungskräftigen Auftraggeber, der ein System zum Management von Online-Marionetten und dem Analysieren und Einsammeln von Daten finanziert. Der US-Firma Mantech unterbreitete er ein Angebot, für etwa 100 000 US-Dollar einen Prototyp zu entwerfen, mit dem man solche Personas erstellen und warten kann. Mantech bezeichnet sich als Technologielieferant für US-Geheimdienste, -Armee und -Strafverfolgung. Auf der Kundenliste finden sich unter anderem Navy, Air Force, FBI, NSA und das Department of Homeland Security.
Wie man solche Personas dann richtig etablieren könnte, skizzierte Barr in einem kleinen „Nebenprojekt“. Er wollte mit einer Persona die Low Orbit Ion Canon manipulieren und verteilen. Eine zweite sollte diese trojanisierte Version dann „finden“ und anprangern. Damit wäre zwar die erste Persona verbrannt, aber der vorgebliche Finder hätte in der Szene Prestige gesammelt. Zumindest die E-Mail-Kommunikation zu diesem Projekt endet allerdings damit, dass sich der von Barr beauftragte Entwickler rundweg weigerte: „I’m not compiling that shit on my box!“
Dass Barr bei der Wahl seiner Mittel nicht zimperlich ist, illustriert auch eine Analyse der „Bedrohung Wikileaks“, die HBGary Federal zusammen mit den Firmen Palantir und Berico erstellt hat. Eine der Handlungsempfehlungen in Bezug auf positiv über Wikileaks berichtende Journalisten lautet: „Diese Form der Unterstützung muss zum Erliegen gebracht werden“. Wie sich das bewerkstelligen ließe, erklärte die Analyse ebenfalls: Profis wie der namentlich erwähnte Glenn Greenwald hätten zwar oft linksliberale Tendenzen. Vor die Wahl zwischen beruflicher Karriere und ihren Idealen gestellt, würden sie sich aber letztlich für die Karriere entscheiden.
Rootkits, Trojaner und 0-Days
Skrupel kann man auch der Mutterfirma HBGary nicht nachsagen, bei der Greg Hoglund das Sagen hat. Dafür hat HBGary reale Produkte und konkretes Know-how, das sie gezielt zu Geld machen. Das bekannteste Produkt ist der HBGary Responder, mit dem sich der Arbeitsspeicher von Windows-Systemen untersuchen lässt. Es kommt oft bei Strafverfolgungsbehörden als Forensik-Tool zum Einsatz, lässt sich aber auch zur Schädlingserkennung einsetzen.
Unter Ausschluss der Öffentlichkeit verkaufen Hoglund & Co aber offenbar maßgeschneiderte Trojaner, Rootkits und andere Spionage-Programme. So bot HBGary für 60 000 Dollar Lizenzen der „HBGary Rootkit Keylogger Platform“ an. Dieses selbstgeschriebene Kernel-Rootkit spioniert Windows-Rechner unentdeckt von AV-Software, Rootkit-Tools und Personal Firewalls aus. Im Preis enthalten ist der Quelltext, damit der Kunde eigene Anpassungen vornehmen kann.
Aktuelles Lieblingsprojekt des Sicherheitsexperten, der sich schon mal großmäulig als „serious bad ass“ bezeichnet, ist ein neuartiges Rootkit-Konzept mit den Codenamen 12 Monkeys beziehungsweise Magenta. Es soll allen Schutzprogrammen durch die Maschen gehen, weil es nicht mehr mit konkreten Prozessen oder Datenstrukturen assoziiert ist, sondern permanent im Speicher herumhüpft. Für die Entwicklung eines Prototyps veranschlagte HBGary rund 280 000 Dollar. Fast fertig ist offenbar ein Framework namens Task B, mit dessen Hilfe man Computer über einen kurzzeitigen Zugang zum USB-, Firewire- oder PC-Card-Port kompromittieren kann; eine iPod-Version ist noch in der Diskussion.
Darüber hinaus hatte HBGary natürlich auch sogenannte 0-Days im Angebot – also Exploits für Sicherheitslücken, für die es noch keinen Patch gibt. Ähnlich wie Drogendealer vermieden die Eingeweihten allerdings den verräterischen Begriff; man sprach statt dessen von „Juicy fruits“. Konkret verkauft hat HBGary unter anderem Früchte für VMware, Java und Flash.
Während das Forensik-Tool Responder auch bei deutschen LKAs zum Einsatz kommt, hat sich HBGary mit seinen inoffiziellen Aktivitäten weitgehend auf den amerikanischen Markt spezialisiert. Besonders gern machte man Geschäfte mit dem Rüstungskonzern General Dynamics, der wiederum an US-Militär und -Geheimdienste weiterverkauft. Kontakte mit deutschen Behörden, die auf eine Mitarbeit an Bundes- oder Landes-Trojanern schließen ließen, fanden sich in den E-Mails nicht.
Wir sind Anonymous
Durch den Einbruch bei der amerikanischen Sicherheitsfirma zeigt das Internet-Phänomen Anonymous eine neue Facette seiner amorphen Existenz. Auch wenn er sich nicht als schwarze Hacker-Magie erwies, war der Hack doch das Werk von Experten mit sehr ausgeprägten Fähigkeiten im Security-Bereich.
Das hat nichts mehr mit DDoS-Angriffen auf Webseiten zu tun und erst recht nichts mit den schrägen Scherzen der 4chan-Community. Im Gespräch mit heise Security erklärten zwei offenbar beteiligte Anonymous-Aktivisten denn auch, dass sie mit 4chan nichts am Hut hätten – das sei vor ihrer Zeit gewesen. Bei dem Einbruch ging es ihnen zwar auch um die legendären „lulz“ – das oft mit Schadenfreude gemischte Lachen. Die Mails habe man jedoch erst veröffentlicht, nachdem die Gruppe zur Auffassung gelangt sei, dass man dazu verpflichtet sei, diese Aktivitäten ans Licht der Öffentlichkeit zu bringen.
Man sollte sich Anonymous nicht als völlig ungeordnete Masse vorstellen, die mehr oder weniger blind wenigen Führungspersonen hinterherläuft. Wie bei den amorphen Stoffen der Chemie bildet Anonymous ein unregelmäßiges Muster, bei dem es zwar keine erkennbare Fernordnung gibt – aber durchaus eine Nahordnung. Der aktive Teil organisiert sich in Gruppen, die sich dann ihre eigenen Spielregeln geben. Während der Operation Payback wurde zur Entscheidungsfindung über passende Ziele abgestimmt; andere arbeiten eher nach einem Konsensprinzip.
Die politischen Aktionen rund um Wikileaks, aber auch die Unterstützung der Aufstände im arabischen Raum haben Anonymous nicht nur eine wachsende Fan-Gemeinde beschert. Sie führen auch dazu, dass das Internet-Phänomen vermehrt Zulauf aus der klassischen Hacker-Community erhält, die den billigen Scherzen aus 4chan-Zeiten wenig abgewinnen kann, Scientology eher gleichgültig gegenüber steht und DDoS-Attacken als Vandalismus ablehnt.
So erklärte einer der HBGary-Aktivisten heise Security, dass er erst vor etwa vier Monaten im Rahmen von OpTunisia und OpEgypt bei Anonymous aktiv geworden sei. Im Gespräch entpuppte er sich als freundlicher, aufgeschlossener Mensch, der das Internet noch aus den Zeiten von vernetzten Bulletin Boards und Gopher kennt. Aber natürlich ist das auch wieder nur eines der Gesichter hinter der Maske. Als Ganzes bleibt Anonymous unberechenbar, schließlich kann jeder als Anonymous auftreten. (ju)
