Inside Anonymous: Aus dem Innenleben des globalen Cyber-Aufstands (German Edition)

seine 4.200 Freunde wurden gehackt. Andere Journalisten gaben an, ihre Blogs seien vollständig gelöscht worden, und verdächtigten die tunesische Internetagentur. Viele Tunesier behaupten, sie hätten ihre Facebook-Passwörter nicht mehr ändern können. Die Phishing-Aktion war ziemlich aufwendig, traf an nur einem Tag mehrere wichtige Ziele und wurde laut Al Jazeera mit einem Malware-Code durchgeführt; der Sender bezieht sich dabei auf »unterschiedliche Quellen«. Steve Ragan von TechHerald berichtete, er habe Beispiele des eingebetteten Skripts und des neuen Quellcodes gesehen, der in Gmail, Yahoo und Facebook injiziert wurde; vier verschiedene Experten bestätigten ihm, dass der eingebettete Code »Login-Daten abzweigte« und dass »Code-Injektionen dieser Größenordnung nur von einem ISP (Internet Service Provider) selbst stammen können«.
    Einzelheiten zu Tflows Anti-Phishing-Skript können auf der Scriptsharing-Seite http://userscript.org unter dem Usernamen »internetfeds« eingesehen werden. Sabu, Topiary und ein weiterer führender Anonymous-Unterstützer haben angegeben, dass Tflow das Skript geschrieben habe. Es handelt sich um ein JavaScript-Browser-Plugin, das den neu hinzugefügten Java-Code der Regierung wieder entfernte und die tunesischen Internetnutzer statt zu den Phishing-Servern (gefälschten Gmail-, Yahoo- und Facebook-Seiten) wieder auf die ursprünglichen, echten Hosts leitete. Um das Skript zu laden, mussten die Nutzer zunächst das Add-on Greasemonkey für den Firefox-Browser installieren. Dann brauchten sie nur noch den Browser zu öffnen, auf Tools, dann auf Greasemonkey und auf New User Script zu klicken, um den neuen Code einzufügen. Nach einem Klick auf »Okay« konnten die Tunesier dann schon nach ein oder zwei Minuten wieder Facebook, Twitter, Blogger, Gmail und Yahoo besuchen, ohne ihre Login-Daten zu enthüllen.
    Die Geschichte, wie Sabu den Rechner eines Tunesiers über das Netz steuerte, um die Webseite des Premierministers zu defacen, stammt aus Interviews mit Sabu selbst im April 2011. Es ist immer noch unklar, wie Sabu es genau angestellt hat, aber ein Experte, der ihn kennt, hat vermutet, dass es sich um eine sogenannte Smurf-Attacke handelte, um die Domain-Server der tunesischen Regierung lahmzulegen. Das ist eine bestimmte Art von Denial of Service (DoS, ohne das erste D für »distributed«), für die ein einziger Rechner genügt. Man braucht kein Botnet, sondern Server mit großer Kapazität und Geschwindigkeit, um die unerwünschten Daten zu übertragen. Eine Smurf-Attacke funktioniert nur mit Breitbandservern. Man sendet eine Ping-Anfrage an einen oder mehrere der Server und teilt dabei (fälschlich) mit, dass die IP-Rücksendeadresse das Ziel sei. Im Hackerjargon spricht man von »spoof packets«. Der Breitbandserver lässt dann sein gesamtes Netzwerk auf den Zielrechner antworten. Ein Rechner alleine kann höchstens etwa 500 Megabytes an Paketen senden, aber mit einer Smurf-Attacke hätte Sabu über etwa 40 Gigabyte verfügt. Ein Screenshot der Defacement-Botschaft auf Premierminister Ghannouchis Webseite ist online einsehbar.

Kapitel 10: Begegnung mit dem Ninja
    Die einleitenden Absätze dieses Kapitels stammen aus Online-Interviews mit Topiary. Seine Defacement-Botschaft auf den tunesischen Regierungswebseiten kann hier eingesehen werden: http://pastehtml.com/view/1cw69sc.html. Dass Internetangriffe auf die Regierungen Libyens, Ägyptens, Zimbabwes, Jordaniens und Bahrains stattfanden, beruht auf Aussagen Topiarys und wird in verschiedenen Internetmedien bestätigt. Das Defacement der Fine-Gael-Webseite habe ich selbst gesehen und den Angriff von einem Pressesprecher der Partei telefonisch bestätigt bekommen.
    Die Angaben zu Kaylas Schreibstil mit vielen »lols« und Smileys beruhen auf eigenen Beobachtungen und denen von Anonymous-Mitgliedern. Dass sie Hacken als Sucht sah, sagte sie in einem späteren Online-Interview.
    Die Internetumfrage durch Johnny Anonymous beschrieb er mir in einem Skype-Interview, das ich am 7. März 2011 mit ihm führte.
    Angaben zu den Methoden, mit denen Kayla unter allen Umständen ihre Identität geheim halten wollte, stammen aus Interviews mit Kayla, die im März 2011 hauptsächlich via E-Mail geführt wurden. Den Kontakt zu Kayla (und zu Sabu, Tflow und den anderen, die später die LulzSec-Gruppe bildeten) vermittelte mir Topiary. Schilderungen von Kaylas Erlebnissen, darunter auch dasjenige mit dem Hacker, der sie am Telefon