Phineas Fisher ist die wohl berühmteste Hacker-Persönlichkeit und selbsternannte anarchistische Revolutionärin. Im Interview spricht sie über die Politik hinter ihren Angriffen auf die Überwachungsindustrie, die türkische Regierungspartei und die katalanische Polizei. Ein Rückblick auf die Heldinnentaten – und ihr ersten öffentlichen Statements seit der angeblichen Verhaftungen.
Der Text und das Interview stammen von BlackBird, die Übersetzung von Leo Thüer für netzpolitik.org.
Hacken wird oft als etwas Technisches dargestellt, als einfache Frage von Angriff und Verteidigung. Viel entscheidender sind aber die Beweggründe dahinter. Ein und dieselbe Methode kann als Werkzeug der Unterdrückung oder als Waffe der Emanzipation dienen. In seiner reinsten Form geht es beim Hacken nicht um die Ingenieursarbeit. In erster Linie geht es darum, Technologie kurzzuschließen damit Machtdynamiken ausgehebelt werden. Es ist eine Direkte Aktion für die neue digitale Welt, in der wir alle leben.
Im Schatten des Techno-Imperiums wurde die Hackerszene zunehmend zum Ziel für Vereinnahmung und Unterwanderung. Aber der Untergrund kann nicht ausgerottet werden, hin und wieder durchbricht eine neue Aktion die Oberfläche. Einige der Hacker, die wir bewundern, sind Programmierer und bauen Werkzeuge zum Schutz von Privatsphäre und Anonymität. Andere Crews erstellen und vertreiben alternative Medien. Und dann gibt es die, die zurückhacken.
Wo ist der Hacker-Untergrund?
Für die Aufmerksamen ist es kein Geheimnis: Der Hacker-Untergrund hat im andauernden Krieg lange Zeit selbst Partei ergriffen. Doch dieses unruhige Aufbrausen, das die Untergrund-DIY-Szene der letzten Jahrzehnte geprägt hat, ist abgeklungen oder zumindest weniger sichtbar.
Pessimisten befürchteten in der Zunahme von individueller Fahnenflucht den Untergang der Hacker-Community. Dem technisch-militärischen Komplex ist es gelungen, immer mehr Hacker zu Söldnern zu machen. Es scheint auch für Menschen einer ganz bestimmten Gesinnung einen Preis zu geben: Sei es Geld, Erfolg, das Gefühl von Macht oder schlicht die Begeisterung für extravagantes Spielzeug, selbst wenn man damit diejenigen jagt, die die Staatspropaganda als „Feinde“ betitelt.
Der Untergrund versuchte zwar Zonen der Undurchsichtigkeit und des Widerstands zu vervielfältigen, doch in der öffentlichen Wahrnehmung normalisierte sich die Beziehung zwischen Hacker-Attitüde und Technologie. Hacker wurden nicht mehr als rebellische und Chaos stiftende Teenager wahrgenommen (wie in Filmen der Achtziger und Neunziger Jahre, etwa War Games oder Hackers), vielmehr wurden sie zu hochspezialisierten Militäreinheiten stilisiert – oder eben in feinster Comic-Manier als deren bösartige Gegenspieler. In ihrer entpolitisiertesten Form steht die Bezeichnung „Hacker“ fast synonym für den kapitalistischen Entrepreneur, einem Mythos, der sich sehr gut in so ziemlich jedem „Hackerspace“ einer beliebigen, gentrifizierten Großstadt beobachten lässt.
Die Überwachungsindustrie war so stolz auf ihre Machenschaften, dass sie sich nicht weiter darum bemühte, sich zu verstecken. Vertreter von Militärs und Anbieter von Spionageprogrammen tauchten regelmäßig auf Hacker-Community-Events auf, um Talente zu rekrutieren. Werbevideos für eine „offensive Sicherheitsstrategie“ wurden offen verbreitet, um entsprechende Produkte unverblümt an Geheimdienste, Unternehmen und Regierungen zu verkaufen.
Eine alte Leier: Staaten erkaufen sich Legitimität, indem sie vorgeben solche Verbrechen zu bekämpfen, die nur wenige überhaupt zu diskutieren wagen – Kinderpornographie, Menschenhandel, Terrorismus. Doch sobald die Waffen der Überwachung in ihren Arsenalen sind, richten sie diese gegen die gesamte Bevölkerung.
Doch inmitten der andauernden Unterwanderung der Hackerwelt musste der Überwachungskomplex einen wichtigen, doch bisher unsichtbaren, Gegenschlag einstecken. Eine Einzelperson – oder vielleicht eine Gruppe – hat zurückgeschlagen, indem sie Spyware-Firmen gehackt und Information über ihre geheimsten Machenschaften veröffentlicht hat. Wenn man gegen eine Industrie kämpft, die in hohem Maße von Geheimhaltung abhängig ist, kann die Veröffentlichung interner Kommunikation und Tools eine sehr effektive Strategie sein.
Der Gamma Hack
Im August 2014 wurde Gamma gehackt, ein deutsch-englischer Anbieter von Spionageprogrammen. Es wurden 40 GB an Informationen befreit. Nach diesem Hack gab es keine Geheimnisse mehr über Gamma, alles war öffentlich zugänglich: Kunden, Produktkataloge, Preislisten, die Software selbst und sogar Schulungshandbücher.
Das bekannteste Produkt der Firma, das Programm FinFisher, wurde an mehr als 30 Regierungsbehörden und Polizeikräfte verkauft, um Journalisten, Aktivisten und Regimekritiker auszuspionieren. Im Zuge des sogenannten Arabischen Frühlings hatte das Unternehmen Andersdenkende in Ägypten und Bahrain infiziert. In der Regel wurden die Ziele durch Social Engneering dazu verleitet, die Schadsoftware zu installieren.
Einmal im Visier des Unternehmens, muss das Ziel nur noch den Anhang oder Link aus einer Mail öffnen und schon ist FinFisher installiert. Von dort an haben die Kunden, die die Schadsoftware von dem Unternehmen gekauft haben, die Kontrolle über den infizierten Computer oder das Smartphone und somit uneingeschränkten Zugriff auf Mikrofone, Nachrichten, Mails sowie Standortdaten.
Unmittelbar nach dem Hack begann jemand, mit einem Account zu twittern, der sich als „Gamma PR“ ausgab. Doch die bloße Enthüllung der Informationen war noch nicht genug: Ein Hacker mit dem Namen Phineas Fisher veröffentlichte eine einfache Textdatei, in der ein Tutorial mit Details über den Angriff auf Gamma enthalten war:
Ich schreibe das nicht, um anzugeben, was für ein cooler Hacker ich bin und welche krassen Fähigkeiten ich eingesetzt habe, um Gamma bloßzustellen. Ich schreibe das, um Hacken zu entmystifizieren und um zu zeigen wie einfach es ist. Und hoffentlich um euch zu informieren und zu inspirieren raus zu gehen und zu hacken.
Der Name dieser Datei war „Hack Back! Ein Do-it-yourself-Guide für alle, die keine Geduld haben, auf Whistleblower zu warten“. Innerhalb der geschwächten Hacker-Community haben die ursprünglichen Werte wie Solidarität, individuelle Freiheit und offener Informationsaustausch an Boden verloren gegenüber der zunehmenden Kommerzialisierung von Wissen durch den freien Markt und das Imperium. Diese Aktion war ein Hauch von frischer Luft – und vielleicht der Beginn einer Bewegung.
HackedTeam
Du willst mehr. Du musst dein Ziel hacken. Du musst Verschlüsselung überwinden und relevante Daten aufzeichnen und dabei listig und unauffindbar sein. Genau was wir machen.
Diese Worte lassen sich dem Werbeclip für das Produkt „Da Vinci“ entnehmen, einem „Fernsteuerungssystem“, das von einer italienischen Firma namens Hacking Team weltweit verkauft wurde.
Eine Firma mit einem so schamlosen Namen wie „Hacking Team“ entsteht, wenn eine lokale Polizeibehörde zwei Hacker-Söldner zur Zusammenarbeit einlädt. Die Einheit für „Cyberkriminalität“ der Mailänder Polizei war der Meinung, dass passive Überwachung für ihre Zwecke nicht ausreiche. Um also ihr Bedürfnis nach Offensive zu befriedigen, baten sie Alor und Naga, zwei berühmte italienische Hacker, um Hilfe. Ein bekanntes Hacking-Tool, das die beiden entwickelt hatten, sollte an neue Zwecke angepasst werden.
Wer ihre Kunden waren und wie sie es geschafft haben, ihre Opfer zu infizieren und auszuspionieren, blieb bis zum Juli 2015 ein Geheimnis. An diesem Tag gab der Twitter-Account des Unternehmens bekannt: „Da wir nichts zu verbergen haben, veröffentlichen wir alle unsere E-Mails, Dateien und Quellcodes“. Es wurden Links zu mehr als 400 Gigabyte Daten bereitgestellt. Wie üblich behauptete das Unternehmen zunächst, dass der Leak aus falschen Informationen bestehe, doch das Fälschen einer so großen Menge an Daten wäre eine fast unmögliche Leistung.
Diejenigen, die vermuteten, dass der Angriff eine vertraute Unterschrift trug, lagen nicht ganz falsch. Wieder einmal steckte der sarkastische Spitzname Phineas Fisher hinter den Enthüllungen.
Durch die Veröffentlichung all der internen Informationen – gefolgt von weiteren Anleitungen mit technischen Details und der politischen Motivation hinter dem Angriff – offenbarte Phineas Fisher der Welt die unbestreitbaren Beweise über die Arbeit der 70 Kunden von Hacking Team. Die meisten dieser Kunden waren Militärs, Polizeikräfte oder Bundes- und Landesregierungen. Der Gesamtumsatz belief sich auf über 40 Millionen Euro. Die vollständige Liste der Kunden findet sich auf Wikipedia.
Die Enthüllungen bestätigten, dass es sehr gute Gründe für die weltweite Forderung nach mehr Schutz von Privatsphäre und Anonymität gibt. Neben den Snowden-Enthüllungen gaben uns die Einblicke in die schmutzigen Geheimnisse von Hacking Team eine Vorstellung von dem enormen Ausmaß, mit dem sich Regierungen und Unternehmen für gezielte Überwachung einsetzen. Wir wissen heute, dass es viele andere skrupellose Firmen gibt, die von illegalen Spionageoperationen profitieren – zum Beispiel lockte die israelische NSO-Gruppe kürzlich Journalisten, die das Massaker von Iguala in Mexiko untersuchten, in eine Falle und lies ihre Geräte eigenhändig infizieren.
Die anonyme Demaskierung von Hacking Team war eine brillante Operation mit globalen Auswirkungen.
Ein Markt für Geheimnisse
Unternehmen wie Gamma und Hacking Team sind auf Geheimhaltung angewiesen. Um ihre Ziele zu infizieren, werden sogenannte „Zero Days“ eingesetzt. Ein „Zero Day“ ist eine Sicherheitslücke in einem Computerprogramm, die noch nicht öffentlich bekannt gemacht wurde und von jedem, der sie kennt, ausgenutzt werden kann, um Programme, Daten oder Netzwerke anzugreifen. In vielen Fällen wird dadurch eine vollständige Fernsteuerung ermöglicht.
Der Überwachungskapitalismus hat unlängst ein Netz von Unternehmen geschaffen, die als Broker agieren und diese Schwachstellen auf schwarzen und grauen Märkten einkaufen. Der Preis für einen einzelnen „Zero Day“ kann zwischen 10.000 und 300.000 Dollar oder sogar einer Million liegen. Um mehr über Software-Schwachstellen und den von Regierungen geführten „Cyberwar“ zu erfahren, schaut Euch die Doku „Zero Days“ an.
Spyware-Unternehmen wie Hacking Team machen diese Sicherheitslücken zu Waffen, verkaufen Lizenzen an Repressionsbehörden und ermöglichen diesen ein kinderleichtes „click and spy“. Je nach Bedürfnis des Kunden werden auch maßgeschneiderte Lösungen angeboten, um in Systeme von ausgewählten Opfern einzudringen.
Günstige Gelegenheiten, um diese „Zero Days“ auszunutzen, werden mit der Zeit seltener. Je öfter eine Sicherheitslücke ausgenutzt wird, desto höher ist die Wahrscheinlichkeit, dass der Angreifer auffliegt und die Löcher gestopft werden. Ebenso steigt die Wahrscheinlichkeit, dass andere Gruppen die gleiche Sicherheitslücke entdecken. Wenn das Gerät der Zielperson einen Patch bekommt, der die Fehler behebt, hat der Angreifer seine Chance vertan. Deshalb ist es so wichtig, stets die aktuellsten Updates auf unseren Geräten zu installieren. Es gibt jedoch Fälle, in denen Hersteller Updates erschweren oder gar unmöglich machen.
Schwachstellen-Broker und Spyware-Anbieter erlauben es technisch inkompetenten Menschen, Ziele zu infizieren, auszuspionieren und Daten abzugreifen. Dazu müssen lediglich Formulare ausgefüllt und in einer Web-Anwendung herum geklickt werden. Das haben Analysen von Software wie XKeyscore oder der Galileo-Suite von Hacking Team gezeigt.
Ironie ist, dass der Verkauf von idiotensicheren Spionage-Tools, etwa an die Polizei, oft ein falsches Gefühl von Sicherheit verleiht. Phineas hat gezeigt, dass die von ihm kompromittierten Systeme absolut lahme Passwörter wie „P4ssword“, „Wolverine“ oder „Universo“ hatten. Den Grundregeln der Betriebssicherheit kann sich niemand entziehen.
Türkei und Kurdistan
Ein weiterer Vorteil des Internets ist, dass man ein Ziel auf der anderen Seiten der Welt angreifen, die Reise dorthin aber sparen kann. Man muss nicht mal aus dem Bett aufstehen, auch wenn das zuträglich ist, um die Sache ausgeglichen anzugehen.
„Ich habe die AKP gehackt“, verkündigte Phineas 2016, nachdem er die Server der türkischen Regierungspartei gehackt hatte. Ein Auszug von mehr als 100 Gigabyte Daten und Mails der AKP wurde an die revolutionären Kräfte in Kurdistan weitergegeben. Phineas musste sich beeilen, denn WikiLeaks veröffentlichte die Informationen, noch bevor er überhaupt alle Daten heruntergeladen hatte.
Doch nicht nur die Informationen sind in Kurdistan angekommen: Phineas hat auch eine Schwachstelle in den Sicherheitssystemen einer unbekannten Bank ausgenutzt, um 10.000 Euro in Bitcoin an „Rojava Plan“ zu überwiesen, eine internationale Unterstützergruppe der autonomen Region Rojava.
Katalonien und Sündenböcke
Im Mai 2016, inspiriert durch den Dokumentarfilm Ciutat Morta, überlegte sich Phineas einen einfachen Angriff auf die katalanischen Polizeikräfte. Die Doku erzählt die Geschichte eines berüchtigten Zwischenfalls in der Geschichte Spaniens, dem sogenannten „4F-Fall“: Mehrere junge Leute aus Südamerika werden von den Repressionskräften eingesperrt und gefoltert, als Akt der Vergeltung für einen Polizisten, der im Zuge von Verhaftungen in Barcelona ins Koma gefallen war.
Phineas neuester Hack nutze eine bekannte Schwachstelle, um auf der Website der katalanischen Polizeigewerkschaft mit einem ironischen Manifest zu verkünden, die Gewerkschaft habe sich „zugunsten der Menschenrechte neu gegründet“. Ein Auszug personenbezogener Informationen von etwa 5.000 Polizisten wurde veröffentlicht, zusammen mit einer 40-minütigen Anleitung, in dem die von Phineas verwendeten Techniken erklärt wurden.
Kurz darauf führte die Polizei mehrere Razzien in Sozialen Zentren und Hacklabs in Barcelona durch und behauptete, den berüchtigten Hacker erwischt zu haben. Journalisten berichteten allerdings nur wenige Stunden später, sie seien von eben dieser Person kontaktiert worden, sie sei „frei und guter Dinge“. Die Polizei habe nur einen Sündenbock verhaftet, der lediglich die Informationen aus dem Hack vertwittert hatte.
Nachdem weitere Razzien der katalanischen Polizei erfolglos blieben, stimmte Phineas Fisher einem Interview mit Vice Motherboard zu, unter der Bedingung, dass seine Antworten von eine Puppe präsentiert werden.
Person und Persona
Eine der interessantesten Konsequenzen der Aktionen von Phineas Fisher ist der Ausdruck in den Augen deiner Hacker-Kollegen, wenn du das Thema mit ihnen diskutierst. Chilenen sind überzeugt, Phineas sei ein Latino. Hausbesetzer in Barcelona schwören, dass ihnen sein Ton vertraut ist. Auch Italiener behaupten das Gleiche. US-Amerikaner denken, sie oder er spricht wie einer von ihnen. Und dann gibt es die gesunde Annahme, dass Phineas wie jeder gute Hacker Russe sein muss – einer jener Russen, die überraschend gut Spanisch sprechen.
Es steckt in der Tat etwas Vertrautes in den Handlungen dieses Phantoms. Ein tiefes Gefühl von Gerechtigkeit und Internationalismus sowie der starke Eindruck, dass seine Handlungen auch weiterhin unter dem Radar bleiben werden. Wie in der Vergangenheit will niemand wahr haben, dass ein stinknormaler Mensch hinter solchen Taten steckt, der ansonsten ein ganz gewöhnliches Leben führt.
Die Wahrheit ist, dass es niemanden interessiert – außer vielleicht die Cops, denen es schwer fällt, diese Persona nur anhand ihrer inhärenten Widersprüche und stilistischen Analysewerkzeuge zu identifizieren. Uns hingegen interessiert die Identität der Persona nicht. Es ist am Ende egal, denn wenn diese Identität verbrannt werden sollte, erscheint eine neue. Wer sich von Persönlichkeitskult lossagen kann, gewinnt Freiheit.
Viel entscheidender ist: Wer auch immer Phineas Fisher wirklich ist, er ist einer von uns – und seine Taten zeigen uns, welche Macht wir haben.
Die direkten Aktionen zeigen, dass zwar eine Menge Hingabe erforderlich ist, um gewisse Fähigkeiten zu erlernen, dafür aber in den meisten Fällen nichts weiter Außergewöhnliches notwendig ist. Vielleicht seid ihr technisch nicht besonders versiert, dafür aber gut im Umgang mit Menschen – oft braucht es gar nicht mehr für einen fantastischen Hack. Auch wenn ihr keinen technischen Hintergrund habt, eine spielerische Beharrlichkeit kann oft mehr erreichen als jede formale Ausbildung, wenn es darum geht, einen Keil in die Reihen der Bürokraten zu treiben, denen es nur um die Umsetzung von irgendwelchen Politiken geht, unabhängig davon wofür diese stehen.
Sicherheit ist keine absolute Qualität. Im Netz wird es nie eine absolute Macht geben. Um Phineas zu zitieren: „Darin liegen Schönheit und Asymmetrie des Hackens: Mit 100 Stunden Arbeit kann eine einzelne Person mehrere Jahre Arbeit eines millionenschweren Unternehmens zunichte machen. Hacken gibt den Underdogs die Chance zu kämpfen und zu gewinnen.“
Die Taten eines bescheidenen, aber motivierten Hackers können die aufgeblasenen Egos der Cyber-Sicherheitsindustrie oder die Akademiker, die es nicht wagen, über den Tellerrand zu schauen, mit Leichtigkeit in den Schatten stellen. Und dabei sind es nicht immer die großen Hacks, die die Realität verändern: Jemand, der lernt, anonym zu bleiben, also keine Angst aber die Disziplin hat, Details zu seiner Person beisammenzuhalten, ist stets im Vorteil. Dabei gilt außerdem: Wer ständig sein Ego füttern muss, wird es schwerer haben, seine individuellen Freiheiten zu bewahren.
Em Ende ist Phineas verstummt. „Ich habe die Accounts gelöscht, weil ich nichts mehr zu sagen hatte.“ Und wahrscheinlich war es genug. Manchmal braucht es ein wenig Action, damit sich die kollektive Stimmung ändert und wir uns unserer eigenen Macht bewusst werden.
Stille Jahre der individuellen Wiederaneignung
Phineas Fisher ist tot. Es war mehr als nur ein Name, es war die Spitze eines Untergrund-Netzwerks von Praktiken und Wünschen. Es war nicht nur eine, sondern mehrere Aktionen. Kybernetische Guerilla: Hit and Hide.
Wer an die Hackback-Mail-Adresse schreibt, kann bezeugen, dass Phineas noch immer die Freiheit genießt. In einer charmanten Unterhaltung zeigt er oder sie, dass der Staat eben keine absolute Kontrolle hat. Wie er immer wieder gerne betont: „Es ist immer noch möglich, das System anzugreifen und damit durchzukommen.“
Phineas ist weiterhin beschäftigt. Er mag es, aus dem Schatten zu sprechen, wie er uns mitteilt:
Individuelle Wiederaneignung hat sicherlich materielle Auswirkungen, aber sie ist eigentlich eine ideologische Waffe. Die Regeln dieses Systems sind keine unveränderlichen Fakten, sondern von einer Minderheit auferlegte Regeln, die wir in Frage stellen, ändern und sogar brechen können. Wenn jemand eine Bank ausraubt, gibt der Staat riesige Mittel aus, um dem Raub nachzugehen. Nicht weil es ökonomisch sinnvoll ist, 100.000 Dollar auszugeben, um einen 3.000-Dollar-Raub zu untersuchen, sondern um die kollektive Illusion von Privateigentum zu schützen. Der Staat versucht, jeden rebellischen Geist auszulöschen, der außerhalb seiner Regeln spielt.
Er ergänzt:
Man braucht kein Informatikstudium, um an dem teilhaben zu können, was der ehemalige NSA-Chef Keith Alexander als verantwortlich für den größten Transfer von Reichtum in der Weltgeschichte bezeichnet. In diesem großen Projekt wird die meiste Arbeit nicht von Hackern gemacht, sondern von Laien, die wissen, wie man Adressen findet, wie man Post und Pakete erhält, wie man gefälschte Dokument überzeugend einsetzt und wie man ein Wegwerfhandy benutzt. Mehr muss man nicht können, um einen Handyvertrag abzuschließen, Bankkonten zu eröffnen und nach Krediten zu fragen, Online-Einkäufe zu tätigen und diese zu erhalten. Jeder kann lernen, wie man den Tor-Browser und Bitcoin benutzt, um an Darknet-Märkten teilzunehmen. Die Mafia und das organisierte Verbrechen haben diesen Wandel erkannt, aber Anarchisten, die für Illegalismus und Wiederaneignung zu haben sind, haben noch nicht erkannt, dass wir nicht mehr in der Vor-Internet-Zeit leben und dass es bessere Taktiken gibt, als eine Bank mit einer Waffe auszurauben. Wir leben einen einzigartigen Moment in der Geschichte, und wir haben eine großartige Chance.
In der Tat. Lang lebe das Hacken und alle individuellen Wiederaneignungen, die noch kommen werden.