Wie Terroristen (nicht) verschlüsseln

20. November 2011, 15:07
140 Postings

Forensikexperte: Öffentliche Diskussion geht vollkommen an Realität vorbei - Al Kaida nutzt Codewörter, nicht PGP

Es gehört zum Standard-Repertoire in der politischen Diskussion über Computerfragen: Verschlüsselungstechnologien - von PGP über Truecrypt und OTR - würden indirekt terroristischen Gruppen zuarbeiten, indem sie diesen helfen ihre Pläne vor den Ermittlungsbehörden zu verschleiern. Behauptungen, die allerdings üblicherweise kaum bis gar nicht einer Prüfung an der Realität unterzogen werden.

Untersuchung

Dieser Aufgabe hat sich der Forensikexperte und Journalist Duncan Campbell verschrieben - und kommt dabei zu wohl nicht von allen erwarteten Ergebnissen. Zu diesem Zweck ging er praktisch allen in den letzten Jahren in Großbritannien (und zum Teil darüber hinaus) bekannten Fällen von islamistischen Terrorzellen auf den Grund, um deren Kommunikationsstrukturen zu erforschen. Die Ergebnisse präsentierte er im Rahmen einer Keynote auf der Sicherheitskonferenz Deepsec, dies unter dem Titel "Wie verschlüsseln Terroristen?"

Codewörter statt Passwörter

Und eine Erkenntnis zieht sich dabei durch alle Anschläge bzw. deren Planung: Praktisch nie sei Verschlüsselung zum Einsatz gekommen. So hätten schon die Attentäter vom 11. September 2001 ganz offen per Mail untereinander kommuniziert, statt PGP oder anderer technischer Behelfsmittel zur Verschlüsselung habe man sich einfach gewisser Codewörter bedient, um die konkreten Pläne zu verschleiern.

Fortsetzung

Diese Vorgehensweise habe sich in Folge auch nicht geändert, so Campbell. Weder der "Shoe Bomber" Richard Reid, noch jene Gruppe, die bei Anschlägen in der Londoner U-Bahn 52 Personen ermordet haben, hätten je Methoden zur Verschlüsselung ihrer Kommunikation genutzt. Selbige Erkenntnis gelte für die "Operation Overt" aus dem Jahre 2006, die viele sicher noch deswegen in Erinnerung haben, weil sie der Auslöser für die zum Teil noch immer gültigen Einschränkungen in Bezug auf die Mitnahme von Flüssigkeiten waren. Zwei der Köpfe der Aktion hätten sich mittels im Klartext verschickten Mails mit einzeln eingestreuten Codewörtern ausgetauscht. Auch sonst erwies sich die betreffende Gruppe nicht als sonderlich Computer-affin. Um die eigenen Spuren zu verwischen hatte man bei einem Rechner das bisherige System gelöscht und ein frisches Windows aufgesetzt - ohne jedoch die Platte zu "wipen". Über eine forensische Analyse ließen sich so in Folge viele belastende Daten wieder rekonstruieren.

Web-Mail

Statt PGP oder ähnliches zu nutzen, war man über die Jahre zunehmend dazu übergangen, recht niederschwellig Informationen über Web-Mail-Services auszutauschen, indem sie einfach als Entwurf abgelegt aber nie abgeschickt werden - somit auch nicht abgefangen werden können. Jenseits der großen Anschläge gebe es zwar den einen oder anderen Beleg für die Verwendung von PGP, aber dabei handelte es sich immer um Einzelpersonen, die recht isoliert Propaganda und Dokumente verschickt haben. Ein gutes Beispiel hierfür sei ein unter dem Namen "Irhabi 007" bekannt gewordener Hacker, der Webseiten geknackt hatte, um Propaganda für die Al-Kaida zu machen. Dieser hätte zwar PGP eingesetzt, in seinem öffentlichen Keyring fanden aber lediglich die Schlüssel einiger weniger Personen.

Der Mythos der versteckten Botschaften

Auch die immer wieder durch die Medien geisternde Verwendung von steganografischen Methoden, um geheime Botschaften in Bildern zu verstecken, sei eine bis heute durch nichts belegte Behauptung. Es gebe hier genau einen Fall, in dem zwei angebliche Vergleichsbilder veröffentlicht wurden, deren Analyse durch Experten habe aber lediglich ergeben, dass das verwendete Passwort "abc" gewesen sei - Inhalt sei aber schlicht keiner enthalten gewesen. Nicht nur angesichts dessen, dass diese Geschichte gerne in Verbindung mit der angeblichen Nutzung von pornografischen Bildern erzählt wird, ist Campbell davon überzeugt, dass es sich hierbei um einen reinen Mythos handle.

Handbuch ohne Tipps

Ein Blick auf die aus Al-Kaida-Kreisen publizierten Texte zeichnet ein ähnliches Bild: Das "Jihad Handbuch" sei über die Jahre in zahlreichen immer neuen Auflagen erschienen, Verschlüsselung spiele darin aber bis zuletzt keinerlei Rolle. Selbiges gilt für die diversen einschlägigen Online-Foren und Magazine, die über die Jahre auf unterschiedlichsten Plattform veröffentlicht wurden.

Software

Entsprechend gibt es auch an konkret verwendeter Software nur wenig zu berichten. Die auffälligste Veröffentlichung ist hierbei ein 2005 erstmals aufgetauchtes Programm namens "Mujahideen Secrets" (ASRAR), das zur Verschlüsselung von Botschaften gedacht ist. Bei etwas näherer Betrachtung dürfte es sich dabei um ein simples grafisches Frontend für die freie PGP-Lösung GPG handeln, das allerdings noch die eine oder andere zusätzliche Manipulation vornimmt. Dass dieses Programm auch tatsächlich eingesetzt wurde, ist hingegen bis dato durch nichts belegt.

Erkenntnis

Ganz im Gegenteil zeigt die Auswertung der "Operation Clutch", bei der im Jahr 2010 ein IT-Bediensteter der British Airways verhaftet wurde, der an der Planung von Anschlägen beteiligt gewesen sein soll, dass man ASRAR in Al-Kaida-Kreisen selbst misstraute. Deswegen erfand man eine eigene "Verschlüsselung" namens "Tadpole", deren Analyse Aufschlussreiches zu Tage gefördert: Ver- und Entschlüsselung waren als Makros in einem Excel-Sheet implementiert, der "Algorithmus" war in Wirklichkeit nicht mehr als eine simple Tabelle von auszutauschenden Buchstaben. Damit wäre die Al-Kaida im Jahre 2010 also dort angekommen, wo die Römer schon 400 Jahre vor unserer Zeitrechnung waren, erlaubt sich Campbell einen Seitenhieb.

Festplatte

Die Verwendung von Festplattenverschlüsselung zur Sicherung der lokalen Daten haben bei solchen Gruppen ebenfalls eine sehr geringe Bedeutung. Der erste konkrete Fall der Verwendung von Truecrypt datiere ins Jahr 2007 zurück - und das noch dazu unter etwas seltsamen Rahmenbedingugnen: Dabei sei ein Computer beschlagnahmt worden, bei dem der Verdächtige bereits einen Teil des Passworts - noch dazu sichtbar - eingetippt hatte. Obwohl anhand dieses Schnippsels "! Th3 P4th" relativ klar war, dass das Passwort eine Mischung aus "Leet-Speak" und religiöser Phrase darstellte, konnte der Zugang offenbar nicht geknackt werden. Campbell war damals selbst als Forensiker an dem Fall beteiligt, und nachdem das Knacken am gezogenen Festplatten-Image nicht funktionierte, wollte man noch einmal Zugriff auf den Original-Laptop haben, um einen Kopierfehler auszuschließen - nur um festzustellen, dass dieser mittlerweile von der Polizei vernichtet wurde, da er eine "biologische Gefahr" ("Biohazard") darstelle.

Zusammenfassung

Als Fazit zieht der Forensiker, dass sich Terroristen in ihrer Nutzung von Verschlüsselung praktisch nicht von der breiten Masse unterscheiden: Sie verwenden sie wenig, und wenn dann sehr schlecht. Die gesamte politische Diskussion zu diesem Thema sei seit Jahrzehnten von Technikangst und Panikmache getragen, wohl nicht zuletzt mit dem Hintergedanken gesetzliche Verschärfungen durchtzusetzen. Immerhin wollte die US-Regierung ja schon in den Neunziger Jahren ein Backdoor für alle Verschlüsselungsoft- und -hardware erzwingen, dies mit dem Hinweis auf allerlei sonst unzweifelhaft drohendes Ungemach. Doch auch solch eine Regelung hätte keinen einzigen der Anschläge der letzten Jahre verhindert, dabei aber massive Einschnitte in die Privatsphäre alle ComputernutzerInnen gebracht. (, derStandard.at, 20.11.11)

Link

Deepsec

  • Artikelbild
    grafik: archiv
Share if you care.