Der folgende Text betrifft die vor ein paar Tagen aufgetauchten “Leaks” der britischen Sicherheitsfirma (?) Britam und stammt größtenteils vom Kollegen eines Kollegen. Eigentlich kann jeder, der eine Datei mit einem Editor (statt mit Outlook) öffnen kann, zu denselben Schlüssen kommen.
Und wieder einmal Trubel im Internetz, der mich dazu veranlasste, die veröffentlichten Archive herunterzuladen, um sie mir einmal anzuschauen und zu sehen, wie das denn nun eigentlich aussieht, wenn man so einen privaten Sicherheitsdienst mit militärischen Ambitionen knackt. Wohlan, entpacken wir das Archiv, und was haben wir – drei Verzeichnisse namens “!!Syria”, “Iran” und “Iraq”.
Das erste, worauf der Einleitungstext des “Hackers” sogleich die Aufmerksamkeit lenkt, ist natürlich Syrien. Alle sind schockiert! Nun kann man allerdings nach dieser anfänglichen Schocktherapie mal sein Hirn einschalten und schauen, was denn wirklich in diesen Verzeichnissen ist. Aha – persönliche Angaben über Mitarbeiter, Berichte über irgendwelche Maßnahmen, Dokumente zur Methodik der Durchführung selbiger, Organigramme und Netzwerkpläne (Stand Juli 2012). Dateien gibt es haufenweise, aber Zeit hat niemand. Wozu also irgendwas beweisen, wenn man die “E-Mail” schon da hat, da steht es doch schwarz auf weiß, Katar und Washington, und die Ukrainer und alle anderen!
Schauen wir mal. Erstmal ist es wunderlich, dass ein solches Unternehmen einfach mir nichts, dir nichts Geheimdokumente im offenen Netz aufbewahrt und die Sicherheit ihrer Mitarbeiter gefährdet. Da kommen die ersten Zweifel. Warum liegen beide Schemata, also Organigramm und Netzwerkpläne, im gleichen Ordner? Das Hauptquartier teilt den Angestellten in den Filialen mit, welche inneren betrieblichen Strategien es verfolgt? Ach was. Es gibt ein grundlegendes Verständnis davon, wie man vertrauliche Daten aufbewahrt und generell mit Sicherheitsfragen im Netz umgeht. Und Britam hat wohl keine Sysadmins, die davon eine Ahnung haben?
Etwas genauer zum Inhalt. Im Verzeichnis “!!Syria” gibt es eine einzige E-Mail-Datei, die scheinbar aus Versehen dahinein geraten ist. Und sie heißt “Sirian Issue.eml”. Sirian, genau. Außerdem eine Paßkopie und den CV des Absenders, als ob dieser sich gerade um einen Job bewirbt. Dabei gehören Mitarbeiterdaten ja doch woanders hin. Die E-Mail selbst hat kein Attachment.
Im Verzeichnis “Iran”, das kaum jemand beachtet hat, gibt es eine einzige E-Mail folgenden Inhalts:
Aus welchem kühlen Grunde sollte David plötzlich den öffentlichen Fileserver eines Drittanbieters (mbf.cc = “mailbigfile”) für Geheimdaten benutzen? Was gibt’s noch: hypothetische Einsatzpläne für gewisse Maßnahmen: ANNEX A OPLAN, ANNEX B OPLAN usw., alle mit dem Codenamen “Ruhayyat”. Logischerweise assoziiert man das mit dem Namen des Ordners “Iran”. Folglich wird wohl eine Militäroperation gegen den Iran gemeint sein.
Und das dritte Verzeichnis – “Iraq”. Dort befindet sich der Großteil der Dateien mit Berichten über Einsätze.
Scans von Ausweisdokumenten, Listen und persönliche Angaben von Bediensteten, Zugangsdaten für Accounts samt Passwörtern, Berichte über Vorfälle an Objekten, der tägliche Wachablauf und… eine E-Mail, in der es um einen Vorfall geht, bei dem mit Dokumenten zur Sicherheit eines Kunden nicht sorgfältig umgegangen worden ist. Angeheftet ein Dokument mit einem Bericht zu dem Vorfall.
Wenn man all den Schotter aus dem Verzeichnis “Iran” nach “Iraq” kopiert, dann ergibt sich ein einigermaßen glaubwürdiges Bild. Britam beschäftigt sich mit Wachschutz und mit entsprechenden Methoden unter Kriegsbedingungen, instruiert Armeeeinheiten oder private Sicherheitsfirmen aller möglicher Auftraggeber. Routine-Dokumentation, die komplett die Arbeit im Irak betrifft.
Eine Suche nach den Stichworten “Iran” und/oder “Syria” in allen Dateien – keine Treffer. Bis auf die beiden E-Mails.
Diese E-Mails sind, bis auf den Textkörper und eine offensichtliche Manipulation am Datum, komplett identisch:
diff Iranian\ Issue.eml Sirian\ Issue.eml
24,25c24,25 < for ; Thu, 16 Oct 2012 23:57:18 +0800 (SGT) < Received: (qmail 18137 invoked from network); 16 Oct 2012 15:57:27 -0000 --- > for ; Mon, 24 Dec 2012 23:57:18 +0800 (SGT) > Received: (qmail 18137 invoked from network); 24 Dec 2012 15:57:27 -0000 30,31c30,31 < Subject: Iranian Issue < Date: Thu, 16 Oct 2012 15:57:16 -0000 --- > Subject: Syrian Issue > Date: Mon, 24 Dec 2012 15:57:16 -0000
Einziger Unterschied: eben das Datum (16. Oktober / 24. Dezember). Die Zeit ist bis auf die Sekunde genau gleich.
Die Prozess-ID des E-Mail-Programms (Qmail) ist bei beiden E-Mails identisch (18137). Die Chance, dass diese pid von zu verschiedenen Zeitpunkten gesendeten E-Mails übereinstimmen, ist verschwindend gering. Also: eine oder beide E-Mails sind Fälschungen.
Fazit: die Dateien und Dokumente mögen echt sein, gehören aber allesamt zur Arbeit von Britam im Irak. Zum Schein wurden ein paar davon in neue Ordner – “!!Syria” und “Iran” – gelegt und zwei E-Mail-Dateien gefälscht. Plump und unbeholfen gemacht, hat aber seinen Effekt in einem Milieu, dass sich auch mit HAARP und Chemtrails beschäftigt.