Durchschlagende Forensik Marc Ruef | 14.09.2008 Ich selbst sehe mich in gewisser Weise als exponierte Person im Internet: Durch meine Webseite(n) und die unzähligen Veröffentlichungen (http://www.computec.ch/mruef/?s=publikationen) werde ich Tag für Tag wahrgenommen, gelobt und kritisiert. So betreue ich seit über 10 Jahren mit computec.ch (http://www.computec.ch) ein im deutschsprachigen Raum besonders beliebtes Portal zu Computersicherheit, durch das vor allem Einsteiger mittels Dokumenten und Forum an die komplexe Materie herangeführt werden sollen. Dabei gibt es immerwieder Kritiker, die entweder nicht mit der Qualität meiner Leistungen zufrieden sind oder sich an dem mir öffentlich entgegengebrachten Vertrauen stören. Die Folgen davon können vielseitig sein. Am liebsten sehe ich natürlich fachlich fundierte Kritiken, die sich auf einer technischen Ebene abspielen und für ausnahmslos alle Beteiligten einen Mehrwert bieten können. Doch nicht jeder sieht sich dahingehend in der Lage, so dass man dann gerne auf eine primär emotionale Ebene ausweicht. Das in Umlauf bringen von Unwahrheiten oder das Vortragen öffentlicher Beschimpfungen sind bedauerlicherweise immer mal wieder zu beobachten. Eine andere beliebte Art mir das Leben schwer zu machen, sind Angriffe auf meine Webseite. Vor Kurzem haben sich eine oder mehrere Personen mit überdurchschnittlichem Aufwand daran gemacht, mich auf dieser Ebene zu beschäftigen. Ich habe diese Aktivitäten als Anlass genommen, mich einmal mehr in der Durchführung von Computerforensik und Psychopathologie zu üben. Meine Erkenntnisse in diesem Fall möchte ich gerne in diesem Beitrag vortragen. Dabei fokussiere ich mich auf eine nicht wertende Diskussion der technischen Forensik. Psychopathologische Hintergründe der involvierten Personen werden damit aussen vor gelassen. Die ganze Geschichte hat damit angefangen, dass ein langjähriger und von mir geschätzter Benutzer Blackbox (http://www.computec.ch/user.php?id.2543) am 29. August 2008 im Forum einen Beitrag (http://www.computec.ch/forum_viewtopic.php?2.18361) verfasst hat, in dem er seinen Unmut zur Webseite und meiner Person kundgetan hat. Der Grundtenor manifestierte sich dahingehend, dass die meiner Person entgegengebrachte Aufmerksamkeit aus technischen und persönlichen Gründen nicht gerechtfertigt ist. Da ich den Thread-Ersteller immer als angenehmen Zeitgenossen wahrgenommen habe, habe ich mir die Mühe gemacht in meiner Antwort meine Sichtweise darzulegen und um weitere Details für das Erarbeiten des Verständnisses des Problems nachzufragen. Direkt nach dem Absetzen des Postings von Blackbox um 23:19 Uhr hatte sich um 23:20 Uhr ein neuer Benutzer namens n00bar (http://www.computec.ch/user.php?id.3578) angemeldet. Wenige Sekunden nach dem Erstellen des Kontos hat dieser im gleichen Thread Blackbox in einem kurzen Satz bestätigt. Dies ist in zweierlei Hinsicht ein sonderbares Verhalten: Statistisch gesehen ist es aufgrund der durchschnittlichen Anzahl der Besucher um diese Uhrzeit eher unwahrscheinlich, dass a) just in diesem Augenblick eine Person ohne aktives Konto genau diesen Thread liest und b) in absoluter Weise gleicher Meinung ist. Es manifestierte sich ein erster Verdacht, dass es sich beim neuen Benutzer entweder um ein Zweitkonto von Blackbox handelt oder das sich die beiden Benutzer kennen und abgesprochen haben (beispielsweise könnte Blackbox seine Aktivität per Email oder Chat mitgeteilt haben, um damit anzugeben). Die Durchsicht von Blackbox' Posting liess mich aber schon zuvor aufhorchen. So hat der Beitrag den folgenden Satz beinhaltet: "Man braucht ja nur deinen Blog zu lesen für den du dir anscheinend so viel Zeit nimmst anstatt mal etwas anspruchsvolles zu veröffentlichen. (sic)" Wenige Tage zuvor, am 25. August 2008, hatte sich ein Benutzer mit dem Namen keksundkuchen (http://www.computec.ch/user.php?id.3577) angemeldet und Tags darauf in Kommentaren (http://www.computec.ch/comment.php?comment.news.241) zu meinem filerecon project folgendes geschrieben (28. August 2008): "Er kann viel (oder scheint dieses immer zu meinen) und mit seiner Zeit könnter er auch mal was vernünftiges, anspruchvolles fabrizieren. (sic)" Die Wortwahl ist sehr ähnlich ("etwas (...) anspruchsvolles") und auch hier manifestierte sich die Vermutung, dass dieser Benutzer irgendwas mit Blackbox zu tun haben könnte (gleiche Person oder Absprache). Eine erste technische Analyse sollte dahingehend angegangen werden, die Mailkonten (Benutzerprofile) und IP-Adressen (Webserver-Log) der Konten miteinander zu vergleichen. Ich konnte bemerken, dass alle drei eine freie Mailadresse bei web.de in Anspruch nehmen sollten. Dies ist noch kein Beweis, jedoch eine statistische Signifikanz, die man nicht von der Hand weisen kann. Der Vergleich der IP-Adressen hat weiterführend gezeigt, dass alle drei aus einem dynamischen Dialin-Bereich *.dip.t-dialin.net von T-Online stammen. In Anbetracht der über 2500 Benutzer ist die Chance lediglich bei etwa 3 %, dass ein Benutzer aus diesem Bereich kommt. Die Chancen sind damit extrem niedrig, dass zwei Benutzer in Folge den gleichen Provider benutzen. Ein weiteres statistisches Indiz, dass sich die drei Benutzer miteinander in Verbindung stehen. Im gleichen Thread tauchte nach kurzem Dialog am 31. August 2008 ein neuer Benutzer auf, dessen erstes Posting ebenfalls sehr kurz war und sich scheinbar um das Verhindern des Löschens des Threads (was jedoch nie zur Diskussion stand) bemühte. Der Benutzer Johan Meier (http://www.computec.ch/user.php?id.3581) schien einen Realnamen zu verwenden. Nur die wenigsten Benutzer auf der Webseite setzen als Benutzernamen ihren vollen Vor- und Nachnamen ein (und noch weniger greifen dann auf einen Freemailer zurück). Insgesamt sind das nur etwa 0,2 % der registrierten Benutzer (inklusive mir). Auch hier sind die Chancen gering, dass ein neuer Benutzer von sich aus diesen Weg wählt und sich dann lediglich in einem emotionalen Thread kurz zu Wort meldet (die anderen Nutzer mit dieser Namenswahl posten in der Regel zuerst umfassende technische Fragen). Viel mehr führte ich diesen Entscheid auf den folgenden Satz in meiner ersten Antwort zurück: "Im Gegensatz zu Dir scheine ich wenigstens die Eigenschaft fuer mich gewonnen zu haben, seit ueber 10 Jahren mit meinem echten Namen in der Oeffentlichkeit fuer meine (guten und schlechten) Leistungen grade zu stehen." Es schien als sei absichtlich ein Benutzer zur "bedingungslosen (Selbst-)bestätigung" eingerichtet worden, der von sich aus möglichst wenig Angriffsfläche bieten sollte (Realname und politisch korrekte Aussage). Als Mailadresse wurde web.nl verwendet. Ebenfalls ist der Vorname Johan mit einem N geschrieben vorwiegend in den Niederlande verbreitet. Die IP-Adresse des Benutzers deutete auf einen dynamisch wechselnden Tor-Node hin. Die Nutzung von Tor (http://greentea-sec.net/showthread.php?tid=25) für den täglichen Gebrauch ist aufgrund der sehr schlechten Performance nicht von echtem Nutzen. Tor wird deshalb vorwiegend nur partiell eingesetzt. Dieser Benutzer sollte also mit erheblichem Aufwand darum bemüht sein, seine Herkunft zu verschleiern. Dies ist wohl darauf zurückzuführen, dass ich im Thread bei Blackbox nachgefragt habe, ob er und keksundkuchen sich kennen. Seine Antwort war überdurchschnittlich emotionsgeladen und liess meinen Verdacht nur noch erhärten: "Noch zu der sache mit keksundkuchen, ich bin es nicht gewesen. und das musst du ja selber wissen. du logst ja schließlich wie schäuble himself. (sic)" Da man sich spätestens jetzt des Loggings auf dem Webserver bewusst war, erscheint die Wahl von Tor nachvollziehbar, ja schon fast unausweichlich. Es wurde später am 02. September 2008 ein zusätzlicher Benutzer mit dem namen rümpfor (http://www.computec.ch/user.php?id.3586) eingerichtet, der ebenfalls ausschliesslich über Tor daherkam. Die statistischen Signifikanzen in der ganzen Betrachtung häuften sich in nicht mehr rechtfertigbarer Weise. Ich hatte damit schon vier Benutzer, die ich in irgendeiner Weise miteinander in Verbindung bringen konnte. Mit jedem zusätzlichen Benutzer liessen sich die zuerst vagen Indizien erhärten oder erweitern. Als weitere Massnahme betrachtete ich den genutzten Webbrowser dieser. Als HTTP_USER_AGENT wurde jeweils folgender String verwendet: commandMozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16/command Die Nutzung von Mozilla Firefox 2.0.0.16 konnte durch browserrecon (http://www.computec.ch/projekte/browserrecon/) quergeprüft werden konnte. Das Bevorzugen von Mozilla Firefox ist in Fachkreisen keine Besonderheit. Doch die Versionsnummer stach heraus. Es gibt zwei Hauptgruppen von Firefox-Benutzern: Die einen halten ihren Browser stets auf dem neuesten Stand (aktuell 3.0.1) und die anderen installieren ihn einfach, ohne sich um eine Aktualisierung zu kümmern. Zur gegebenen Stunde verwenden nur die wenigsten Benutzer eine Version wie 2.0.0.16 (auf meiner Seite warens im August 2008 weniger als 1%). Es erschien einerseits erstaunlich andererseits aufgrund vorangegangener Vergleiche eben doch nicht, dass die miteinander in Verbindung gebrachten Konten den gleichen seltenen Browser verwenden sollten. Damit liess sich der Benutzer also ohne eindeutige Identifikation der IP-Adressen wegen der Kaskadierung mit Tor einschränken. Spätestens jetzt war mir klar, dass sich hier durch 2 oder 3 Personen ein persönlicher Rachefeldzug abspielen sollte. Im Mittelpunkt dessen sollte Blackbox stehen, weshalb sein Pseudonym als Grundlage für erste weitere Abklärungen herhalten sollte. Nach seinem Bruch mit computec.ch tauchte er auf einem neu gegründeten (http://szeneblog.biz/?p=1270) (erstes öffentliches Posting (http://www.greentea-sec.net/showthread.php?tid=4) vom 27. August 2008) und durch ihn (http://www.greentea-sec.net/member.php?action=profile&uid=4) mitbetreuten Security-Forum namens Green Tea (http://www.greentea-sec.net/) auf. Die Führung dessen übernimmt eine Person mit dem Pseudonym GanjaDude (http://www.greentea-sec.net/member.php?action=profile&uid=1). Dies war ebenfalls der Benutzerteil einer der Mailadressen, die für eine Anmeldung eines der zuvor diskutierten Konten benutzt wurde (es wurde nach dem ersten Login wieder geändert). Handelt es sich bei ihm um die gleiche Person, die die besagte Domain registriert hat, ist er in den Niederlande wohnhaft. Dies lässt vermuten, dass er oder der Benutzer Le_Chiffre (http://www.greentea-sec.net/member.php?action=profile&uid=10) (einer seiner Klassenkameraden) mit der Registrierung auf web.nl in Verbindung steht. Ich habe die Doppelkonten auf meiner Seite absichtlich nicht oder nur nach gewisser Zeit gelöscht. Ich wollte, dass mehr Aktivität generiert wird, um die Auswertung zu erleichtern. Aus diesem Grund habe ich auch sehr umfangreich auf an mich gerichtete Private Messages (PM) reagiert, in denen sich darüber beschwert wurde, dass Postings entfernt wurden. Einmal habe ich sofort nach Absetzen eines Posts durch rümpfor eben dieses gelöscht. Als sich der Benutzer darüber beschwert hat, habe ich zurückgeschrieben, dass ich es nach wie vor sehen kann und wohl ein Problem auf seiner Seite vorliegen wird (Browser oder Proxy). Kurz darauf (wenige Sekunden nach meiner Antwort) hat sich ein anderes der verdächtigen Konten sowie Blackbox selbst eingeloggt. Es schien als hätte man wahrhaftig das Problem herausfinden wollen. Dabei ist GanjaDude ein elementarer und oft begangener Fehler unterlaufen: Bei einer Session auf meiner Webseite hat er vergessen Tor zu aktivieren. Dieser Fehler passiert typischerweise, wenn man Tor nur sporadisch mittels Torbutton (https://addons.mozilla.org/en-US/firefox/addon/2275) in Firefox nutzt (vielleicht wollte er auch nur Prüfen, ob es am Proxy liegt, dass er das Post nicht sieht). Die Folge davon war, dass ich seine echte Quell-IP-Adresse einsehen können sollte. Diese stammte aus den Niederlande und stützte damit meine bisherigen Vermutungen. Mitunter liess sich darüber seine Schule und anhand der whois-Informationen (Name und Anschrift (http://whois.domaintools.com/greentea-sec.net)) aus seiner Domain seine Schulklasse ausmachen. Zudem sollte das Green Tea Forum eine gute Grundlage für eine weitere Querprüfung darbieten. Ich arbeite seit geraumer Zeit an einem Projekt namens textrecon (http://www.computec.ch/projekte/textrecon/). Dieses versucht anhand statistischer Auswertungen von Texten einen Fingerabdruck des Schreibstils des Autors anzufertigen (z.B. durchschnittliche Satzlänge, typische Satzstruktur, bevorzugte Wörter/Zeitformen, wiederkehrende Schreibfehler, etc). Damit lassen sich zum Beispiel Plagiate identifizieren oder - wie in diesem Fall - anonyme Schriften zuweisen. Da GanjaDude ein Mehr an Posts (http://www.greentea-sec.net/search.php?action=finduser&uid=1) in seinem eigenen Forum vorgenommen hat, konnte ich diese nun mittels einer ersten privaten Implementierung von textrecon mit den Posts auf meiner Seite vergleichen. Sofern die aktuelle Fassung von textrecon das beurteilen kann, stammen über 82 % der anonym platzierten Postings von ihm. Zu einem späteren Zeitpunkt sollte ich rein interessehalber textrecon auf alle jemals auf computec.ch verfassten Posts anwenden, um weitere potentielle Doppelkonten von Blackbox zu entdecken. Zu meinem Erstaunen musste ich feststellen, dass er schon länger aktiv war und zuerst als Benutzer jo.kah (http://www.computec.ch/user.php?id.936) agierte (von 25. September 2005 bis 14. Juli 2008). Die Diskussion der psychopathologischen Hintergründe seines Handelns würde diesen Beitrag bei weitem sprengen. Zwischenzeitlich wurden auf meiner Seite erneut Benutzer angelegt, die die gleichen Identifikationen mittels Tor und Browser zulassen sollten. Als Benutzernamen wurden persönliche Beleidigungen gegen mich sowie Todesdrohungen gegen Teile meiner Familie eingebracht. Die ganze Geschichte hat für mich damit den moralischen Tiefpunkt erreicht und sich selbst dadurch jeglichen Niveaus beraubt. Die Folge davon war eine für mich bedauerliche Änderung der Seiten-Regeln (http://www.computec.ch/comment.php?comment.news.243) sowie zukünftig die härtere Durchsetzung dieser: Die Freiheit von Störenfrieden muss manchmal eingeschränkt werden, um die Freiheit der restlichen Gesellschaft wahren zu können. Die identifizierten Benutzer sind sporadisch ebenfalls auf anderen Foren (z.B. Gamer-Boards) anzutreffen, wie mittels Google herausgefunden werden konnte. Durch das Einbringen sogenannter Webbugs in diesen Foren konnte ich teilweise die Eingrenzung von IP-Bereichen noch verfeinern und fehlerhafte Implikationen ausschliessen. Die zusammengetragenen Indizien hätten sich spätestens mit Social Engineering noch weiter erhärten lassen können. Hätte man über längere Zeit eine Vertrauensbasis aufgebaut, wäre sicher irgendwann wegen kindlicher Naivität mit den zwielichtigen Tätigkeiten geprahlt und sich selber damit belastet worden. Als finalen Schritt habe ich die als MD5-Hashes in der Datenbank gespeicherten Passwörter der ausgemachten und mittlerweile gesperrten Benutzerkonten exportiert. Diese habe ich einem Berufskollegen aus dem militärischen Umfeld geschickt und ohne weitere Erklärung zum Fall um Folgendes gebeten: Er sollte ohne das Wissen um die Tathintergründe mittels Bruteforce bzw. Rainbow-Tables die Passwörter identifizieren. Diese sollte er mir jedoch nicht mitteilen. Stattdessen sollte er schauen, ob es eine offensichtliche Verbindung zu den Benutzernamen oder Passwörtern der unterschiedlichen Konten (z.B. Wahl von Worten aus dem gleichen Fachbereich als Passwort) gibt. Nach einigen Tagen konnte er mir bestätigen, dass sich mindestens drei der schlussendlich sechs ausgemachten Konten so miteinander in Verbindung bringen lassen (z.B. das Passwort des einen Kontos war der Benutzername eines anderen Kontos). Wie diese Verbindungen im Detail aussehen, ist mir jedoch aufgrund der bewussten Informationstrennung nicht bekannt. Diese forensische Untersuchung hat mir offenkundig gezeigt, dass der Weg der Computerkriminalität nicht einfach zu begehen ist. Auch erfahrene Angreifer müssen eine Vielzahl an Massnahmen und Vorkehrungen treffen, um sich nicht identifizieren zu lassen. Das Wahren von Perfektionismus von Anfang bis zum Schluss ist schlichtweg unmöglich. In diesem Fall hätte die Diffamierung über einen längeren Zeitraum mit möglichst zufälliger Wahl von Posts geschehen müssen, die für die Registrierung verwendeten Mailadressen hätten ebenfalls zufällig gewählt und unterschiedlichen Providern zugewiesen werden müssen, der Einsatz eines Proxies hätte konsequenz durchgesetzt und nicht nur auf Tor festgelegt werden dürfen, die Wahl des Browsers sowie der Schreibstil hätte bei jedem Benutzer unterschiedlich aber bei diesen stetig gleich ausfallen müssen. Gerade letzteres ist, so weiss die Kalligrafie schon lange zu berichten, nicht einfach. Der Aufwand des Perfektionismus ist für eine substanzlose Verleumdung wie die Geschilderte schnell nicht mehr rechtfertigbar. Die Anschriften aller involvierten Personen sind mir bekannt und bei einer Weiterführung der zweifelhaften Tätigkeiten würde ich mich nicht scheuen, es zu einer Strafanzeige wegen Bleidigung und Drohung kommen zu lassen. Meine Anwälte sind diesbezüglich informiert und haben die dafür notwendigen Vorbereitungen getroffen. Ich wünsche dem Green Tea Forum viel Glück und hoffe, dass sie sich in Zukunft von derlei Aktivitäten bzw. den dafür verantwortlichen Personen (http://szeneblog.biz/?p=517) distanzieren können. Einen ersten Schritt haben sie schon getan, als sie eine ursprünglich inhaltslose und emotionsgeladene Kritik (http://www.greentea-sec.net/showthread.php?tid=49 ) gegen mich aus der Feder von Blackbox am 04. September 2008 selbstständig zuerst geschlossen und dann gelöscht haben. Ich selbst halte gar nichts von solchem "kindischen Szene-Gehabe" - Man kann seine Zeit nämlich in vielerlei Hinsicht sinnvoller nutzen.