Inside Anonymous: Aus dem Innenleben des globalen Cyber-Aufstands (German Edition)

Güte, erklärt jemand mal den Neulingen, wie man einen DDoS aufzieht? Und dann kommen wir vielleicht mal in die Gänge.«
    Vor dem Aufkommen von Anonymous waren DDoS-Angriffe hauptsächlich das Werkzeug Internetkrimineller gegen die Seiten von Finanzdienstleistern gewesen, von denen sie Lösegeld erpressen wollten. Im Jahr 2008 waren sie bereits dabei, eine der beliebtesten Angriffsarten von Anonymous zu werden. Zwei Jahre zuvor hatten /b/-User die Webseite des rassistischen Radiomoderators Hal Turner mit einer DDoS-Attacke zeitweise komplett lahmgelegt. Turner verklagte anschließend 4chan, ein weiteres Forum namens 7chan und eBaum’s World auf Tausende Dollar Schadenersatz wegen erhöhter Kosten für Bandbreite, scheiterte aber damit.
    Wenn man an einer DDoS-Attacke teilnehmen wollte, musste man einfach nur eines von mindestens einem Dutzend freier Programme herunterladen, die im /rs/-Forum von 4chan zur Verfügung standen. Wenn das genügend Nutzer taten und die anzugreifende Seite mit sinnlosen Anfragen überschwemmten, war der Effekt, so beschrieb es der Sicherheitsexperte Graham Cluley, als versuchten fünfzehn dicke Männer gleichzeitig, eine Drehtür zu benutzen: Alle bleiben stecken, nichts bewegt sich mehr. Als Ergebnis sahen dann legitime Nutzer der betreffenden Seite eine Fehlermeldung, oder das Laden der Seite dauerte ewig lange.
    Die Verzögerung war immer zeitlich begrenzt und eigentlich nicht schlimmer als das, was zum Beispiel ein Internetversandhändler erlebt, der 75 Prozent Rabatt auf alles ankündigt. Na und – schließlich hat jeder, der jemals im Internet unterwegs war, schon Fehlermeldungen und langsame Verbindungen erlebt! Aber wenn eine Firmenseite über Stunden oder gar Tage nicht erreichbar ist, entgehen dem Unternehmen Tausende Dollar an Einnahmen, und es muss die Mehrkosten für zusätzlich in Anspruch genommene Bandbreite tragen. Außerdem ist es einfach illegal, sich an einem DDoS-Angriff zu beteiligen; in den USA stellt es einen Verstoß gegen den Computer Fraud and Abuse Act dar, in Großbritannien gegen den Police and Justice Act von 2006; in beiden Ländern steht darauf eine Höchststrafe von immerhin zehn Jahren Haft.
    Das schreckte die /b/-Gemeinde allerdings kaum und machte die Raids eher spannender. Wenn es gegen Scientology ging, so war man sich einig, lohnte es die Mühe, auch Anfänger mit an Bord zu nehmen, um eine richtige Armee zu schaffen, und außerdem die anderen Imageboards im Netz, die sogenannten Chans, zum Mitmachen aufzurufen. Das waren vor allem 7chan, ein bei ehemaligen /b/-Nutzern beliebtes Forum, GUROchan, in dem es hauptsächlich um Splatter ging, und der inzwischen geschlossene Renchan, dessen Inhalt an Pädophilie grenzte. Ein /b/-User schrieb noch am selben Tag auf dem Scientology-Thread, 4chan brauche mindestens 1.000 Teilnehmer, und vielleicht finde man sogar 5.000, die sich für die gute Sache einsetzen wollten.
    Es ging schnell zur Sache. Als »Phase eins« schlug einer der /b/tards vor, die Dianetik-Hotline von Scientology anzurufen und sich über sie lustig zu machen oder dem Callcenter dumme Fragen zu stellen: »Warum ist auf dem Titelbild von Dianetics ein Vulkan zu sehen ... solches Zeug halt. Nervt sie, so gut ihr könnt.« Ein anderer /b/tard lieferte Anweisungen, wie man eine ganze Reihe von Scientology-Seiten mit DDoS-Angriffen überziehen konnte, und zwar, indem man auf Gigaloader.com eine Liste von URLs angab, die zu acht Bildern auf der Hauptseite Scientology.org gehörten. Die (inzwischen geschlossene) Gigaloader-Webseite war eigentlich als Stresstest-Tool für Server gedacht, aber schon 2007 hatte die Szene erkannt, wie gut sie sich für DDoS-Angriffe eignete. Man gab mehrere Webadressen für Bilder auf einer Webseite ein, und der Gigaloader fing an, diese Bilder ständig neu auf den Browser des Nutzers herunterzuladen – das belastete den Hostserver der Bilddateien sehr stark und fraß die Bandbreite der Seite auf. Dieser Effekt vervielfachte sich mit steigender Anzahl von Angreifern.
    Am besten dabei war, dass man in der Serveranfrage sogar eine Nachricht verstecken konnte. In einem anderen Fall sah der Administrator einer Webseite, die 2007 mit Gigaloader angegriffen wurde, Folgendes im Code der Anfrage:
    75.185.163.131 – - [27/Sep/2007:05:10:16 – 0400] “GET /styles/xanime/top.jpg?2346141190864713656_ANON_DOES_NOT_FORGIVE HTTP/1.1” 200 95852 “http://www.gigaloader.com/user-message/ANON_DOES_NOT_FORGIVE” “Mozilla/5.0