Inside Anonymous: Aus dem Innenleben des globalen Cyber-Aufstands (German Edition)

allgemeine Regel für IT-Sicherheit gilt, dass jedes Passwort eine Schwachstelle darstellt, wenn es nicht aus einer Kombination von Buchstaben, Zahlen und Symbolen besteht. »###Crack55##@@« oder »this is password 666« sind äußerst schwer zu knacken, aber trotzdem einigermaßen gut zu merken. (Ganze Sätze sind am schwersten zu entschlüsseln, aber leichter zu merken.)
    Nachdem jemand die gesamte Datenbank der Nutzer heruntergeladen und in eine einfache Textdatei konvertiert hatte, lud Sabu die fünfundzwanzig Prozent der Password-Hashes, die das Team nicht geknackt bekam, in das Internetforum für Passwortknacker, das er schon beim Angriff auf HBGary Federal genutzt hatte: Hashkiller.com. Die Site wurde manchmal von Kids benutzt, die sich verschlüsselte Botschaften zuschickten, um sie spaßeshalber zu knacken. Wenn Hacker in übler Absicht in die Nutzerbasis einer Webseite einbrachen, gingen sie typischerweise so vor, dass sie alle sogenannten MD5-Hashes in eine Datenbank herunterluden, die leichtesten selbst knackten und die Nutzer des Forums von Hashkiller den Rest erledigen ließen.
    Ein MD5-Hash war eine Verschlüsselung, die Wörtern oder Dateien entsprach und in einem typischen Fall so aussah:
    11dac30c3ead3482f98ccf70675810c7
    Diese Kette aus Buchstaben und Zahlen entsprach zum Beispiel »parmy«, sodass das Ergebnis auf der Site so aussehen würde:
    11dac30c3ead3482f98ccf70675810c7:parmy
    Die Information wurde dann in der Datenbank von Hashkiller gespeichert, sodass jemand, der das Passwort »Parmy« zu knacken versuchte und über den MD5-Hash verfügt, dies sofort tun konnte. Das Ergebnis von Hashkiller.com sah dann so aus:
    Cracking hash: 11dac30c3ead3482f98ccf70675810c7
    Looking for hash …
    Plain text of 11dac30c3ead3482f98ccf70675810c7 is parmy
    So einfach war das. Deswegen war es eine schlechte Idee, ein nur aus einem Wort bestehendes Passwort wie »parmy« – oder, noch schlechter, ein allgemein bekanntes Wort wie »shithead« ‒ zu verwenden. Jedes Passwort hatte stets denselben MD5-Hash. Und wenn es erst einmal in Hashkiller.com gespeichert war, konnte jedermann darauf zugreifen. Bei fehlendem Kontext blieb die Sache relativ geheim: Jeder konnte die Hashes und geknackten Passwörter im Klartext sehen, aber eben nicht mehr. Die Nutzung der Site war kostenlos. Sabu konnte sich zurücklehnen und einfach abwarten, bis freiwillige Helfer die Passwörter für ihn knacken würden.
    Sobald jemand das Passwort des Admin – es lautete überraschend einfach »st33r!NG« – geknackt hatte, richtete Sabu eine Webseite ein, die er heimlich an die Website für Infragard Atlanta anheftete, eine sogenannte Shell. Es war die gleiche Art Seite, welche die Administratoren der Site zur Überprüfung ihres Inhalts verwendeten, um neue Seiten hinzuzufügen oder zu entfernen. Von Sabus Seite wussten sie natürlich absolut nichts. Da xootsmaster als Seite für das ursprüngliche Control Panel gedient hatte, benannte Sabu seine neue Shell-Seite /x==PS.php. Er hätte einfach über das Main Control Panel gehen können, da er ja das Passwort hatte, hätte sich dann aber durch eine Reihe von Optionen und eine lange Liste von Verzeichnissen klicken müssen. Die Shell war eine einfacher ausgelegte Seite, mit deren Hilfe man schneller und leichter an den Dingen herumbasteln konnte.
    Einige Wochen lang lag das Team auf der Site auf der Lauer, während es über ihre gesamte Datenbank an Nutzernamen und Passwörtern verfügte: 25.000 E-Mails der persönlichen Konten der Nutzer der Sites, die sich aus Sicherheitsberatern und FBI-Agenten zusammensetzten. Topiary und seine Freunde verfügten über ihre sämtlichen Passwörter, vollständigen Namen und E-Mails. Wäre Topiary böswillig gewesen, hätte er sich in die PayPal-Konten eines Nutzers der höheren Chargen einloggen und mit dessen Geld um sich werfen können. »Das wäre schlecht«, sagte er damals.
    Sie hatten einen Zugang, mit dem sie die Website in Sekundenschnelle defacen konnten, wollten aber abwarten. Das Team stand immer noch unter dem Eindruck des HBGary-Angriffs, der Weitergabe des #HQ-Logs und von Backtrace und wusste noch nicht so recht, was es anstellen sollte. Also verlegten sie sich darauf, die Gmail-Accounts der Nutzer auszuspionieren, und beobachten einfach, wie diese vorüberzogen. Sie diskutierten nichts Erhebliches, legten aber fest, dass sie alles veröffentlichen würden, sollte ein Mitglied ihrer Gruppe verhaftet werden.
    »Die meisten