Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Der Anonymous Hack von A. Hildmann: Analyse der Webseite und Antwort auf alle Fragen

2

Kürzlich ging die Nachricht umher, dass die Webseite sowie weitere Kommunikationskanäle von A. Hildmann gehackt wurden. Die Webseite und ihr Quellcode zeigen ein paar nette Überraschungen, auch zum Datenschutz. Außerdem liefert der Hack die Antwort auf alle Fragen.

Einleitung

Der Beitrag ist eine bloße Zusammenstellung von offensichtlichen Gegebenheiten zum Datenschutz und zur Technik. Dieser Beitrag bewertet weder den Hack an sich noch die gehackte Person.

Die Webseite ist in deutscher, englischer und russischer Version verfügbar. Sie enthält im Wesentlichen ein Video von Anonymous mit einer Botschaft an den Betroffenen. Zum Video gibt es ein Transkript, welches im Deutschen als „Transcribt“ bezeichnet wird. Ich verzeihe diesen Rechtschreibfehler, weil ich selber auch welche produziere und auf eine ähnliche Gnade bei Anonymous hoffe, falls sie meine Webseite sehen 😉

Beim Aufruf der Webseite finden eine Reihe von Datentransfers statt, die nachfolgend kurz analysiert werden. Aus Datenschutzsicht ist nicht alles gut. Vermutlich macht das bei einem Hack auch keinen wesentlichen Unterschied, weil wohl die Schwere des Datenschutzverstoßes nicht ins Gewicht fallen dürfte.

Anonymous hat die Webseite des Betroffenen mit einer eigenen Version ersetzt. Der Quellcode für den One-Pager ist minimalistisch, hält aber dennoch einige Überraschungen bereit.

Datenschutz

Auf eine Verlinkung der Webseite verzichte ich alleine schon aufgrund der Verantwortlichkeit für externe Verlinkungen, wenn das Linkziel bekanntermaßen kritische Inhalte enthält.

Beim Aufruf der Webseite, deren Adresse sich jeder leicht selber heraussuchen kann, wird Google (Universal) Analytics geladen. Bei meinem Test im Tor-Browser fand dies allerdings auf eine nicht funktionierende Weise statt. Der Datentransfer in die USA dürfte Grund genug sein, derartige Datenverarbeitungen als einwilligungspflichtig zu sehen.

Deswegen werden weder Tracking Events an Google geschickt noch technische First-Party Cookies gesetzt. Warum Google Analytics geladen und nicht funktionsfähig ist, zeigt die technische Analyse weiter unten.

Datenabrufe von den Domänen embed.ly und embed-cdn.com sorgen dafür, den Video Player zu laden.

Es ist festzustellen, dass vom Betreiber der betroffenen Webseite die nötigen Vorkehrungen gemäß Art. 32 DSGVO nicht getroffen wurden. Hier geht es um die Sicherheit der Verarbeitung und die Absicherung der Systeme gegen unbefugten Zugriff.

Wie zu lesen ist und wie im Video von Anonymous selber zu hören, wurden wohl Zugangsdaten vom Betreiber an Dritte weitergegeben. Damit wurde wohl der Hack überhaupt erst möglich. Klingt nicht einmal nach Spear Phishing, sondern nach einer gewissen Naivität der betroffenen Person.

Technische Analyse

Wenigstens das Offensichtlichste soll hier erwähnt werden. Die gehackte Webseite lädt ein Script, welches für Hilfsfunktionen gedacht ist. Das Script ist möglicherweise komplett entbehrlich (habe ich nicht genau untersucht, sondern vermute es nur). Die Animation des grünen Balkens, der farblich an den Film Matrix erinnert, wird über die eingebundene CSS-Datei bewerkstelligt. Die Animation ist wie folgt programmiert:

.overlay::before {
content: "";
pointer-events: none;
position: absolute;
display: block;
top: 0;
left: 0;
right: 0;
bottom: 0;
width: 100%;
height: 100%;
background-image: linear-gradient(0deg, transparent 0%, rgba(32, 128, 32, .2)2%, rgba(32, 128, 32, .8)3%, rgba(32, 128, 32, .2)3%, transparent 100% );
background-repeat: no-repeat;
animation: scan 7.5s linear 0s infinite;
}
@keyframes scan {
    0% {background-position: 0 - 100vh;}
    35%,
    100% {background-position: 0 100vh;}
}

Das Video als Hauptbestandteil wird über ein IFRAME von der Domäne streamable.com geladen. Streamable bietet die Möglichkeit, Videos hochzuladen und per Streaming bereitzustellen. Streamable ist dafür verantwortlich, dass Google Analytics geladen wird. Dabei werden die bekannten Cookies _ga und _gid in der zugehörigen Domäne gesetzt. Dies bedeutet, dass nur die Einwilligung als Rechtsgrundlage infrage kommt. Bei Einbindung über IFRAMES haftet mindestens der Verantwortliche der einbindenden Webseite für die Einhaltung der Datenschutzregeln.

Streamable lädt selber den geeigneten Video-Abspieler. Die genannten Datentransfers von den Embed-Domänen sind also hierüber veranlasst.

Ein Blick in den Quelltext der gehackten Webseite lässt vermuten, dass Anonymous es entweder eilig hatte oder absichtlich leicht vermeidbare Formfehler eingestreut hat oder diese Fehler toleriert hat, weil sie letztendlich keinen Unterschied machen. Zumindest ist das für alle leistungsfähigen Browser anzunehmen, denen man Microsoft Edge oder Internet Explorer nicht unbedingt zurechnen kann.

Der HTML-Quellcode der Landing Page besteht in allen drei Sprachen aus 61 Zeilen:

Quellcode der gehackten Webseite (englische Landing Page, Stand: 14.09.2021).

Im Quellcode sind vom Browser die nicht formvollendeten Stellen mit rot markiert. Konkret sind dies die drei Anweisungen “</br>”, die für einen Zeilenvorschub sorgen. Die Norm wäre “<br/>” oder “<br>”. Die vorgefundene Ausprägung könnte man für einen kleinen Gag halten. Immerhin verstehen wohl die meisten Browser diesen Formfehler und fügen die gewünschten Zeilenvorschübe ein. Zumindest im Tor-Browser und anderen Browsern mit demselben Engine ist es so.

Die folgende Anweisung ist allerdings eher ein Flüchtigkeitsfehler, der wahrscheinlich wegen zu schnellen Tippens aufkam:

Moderne Browser sind schon was Feines. Sie erkennen solche Fehler im Programmcode, zeigen sie im Quellcode sogar an und ignorieren sie wohlwollend bei der Anzeige der aufgerufenen Webseite. Allerdings führt das ungewollte Zusatzzeichen zu einem Darstellungsfehler:

Die letzte Anweisung im Quellcode ist ebenfalls nicht formvollendet:

Hier fehlt die schließende spitze Klammern. Die Anweisung wäre allerdings nicht nötig gewesen, weil das Ende des Dokuments erreicht wurde, was der Browser selber sieht. Vielleicht ist es auch ein kleiner Gag, das letzte Zeichen wegzulassen, wer weiß.

Weitere Beobachtungen

Das Video ist in einem Container eingebunden, der eine technische Identifikation erhalten hat. Derartige Identifikatoren helfen beim Programmieren, sind aber an sich oft nicht notwendig. So scheint es auch in diesem Fall.

Jedenfalls ist der Video-Container mit dem Label defacer versehen, was für Verunstaltung steht.

Das Script Red.min.js basiert auf einem JavaScript-Framework bzw. sieht genauso aus. Die Konzepte Route, Module und andere bekannte werden verwendet. Immerhin gibt es ein Node.js Framework namens redjs, das womöglich Vorbild war.

Die Webseite zeigt einen sogenannten Scroller oder Scrolltext, den viele sicher von früher kennen. Insbesondere in den Anfängen der Home Computer wurden solche Stilelemente häufig verwendet. Beispielsweise in Spielen, in Intros, sogenannten Demos (technischen Demonstrationen des eigenen Könnens und zur Vorstellung der eigenen Techie-Person oder Gruppe).

Damals, im Jahr 1992, veröffentlichte ich einen sogenannten Bildschirmverzerrer in der Zeitschrift CPC Amstrad International und erhielt dafür 100 DM.

https://dr-dsgvo.de/wp-content/uploads/2020/12/grafik-5.png
Mein Beitrag aus dem Jahr 1992 in der Zeitschrift CPC Amstrad International. Rechts unten im Bild der animierte Effekt als Momentaufnahme meines Programms.

Der Bildschirmverzerrer nutzt Hardware-nahe Programmierung in Assembler, um einen Wobbel-Effekt zu erreichen (siehe rechts unten im Bild). Das Konzept dahinter ist die Beeinflussung des Raster-Elektronen-Strahls. Deshalb wurde es oft als Raster-Programmierung bezeichnet. Links im Bild ist zufällig ein Programm für eine überdimensionale Laufschrift abgebildet. Damals hatten 8-Bit Prozessoren wie die des CPC Amstrad nur 4,77 MHz bei einem Hauptspeicher von 128 KB (aufgeteilt in zwei Bänke zu jeweils 64 KB beim CPC 6128) oder 64 KB (CPC 464 und 664).

Das Transkript zum Anonymous-Video ist per Link auf der gehackten Webseite verfügbar. Der Link zeigt auf die Domäne pastebin.com. Der englische Text ist 42 Zeilen lang. Vielleicht eine kleine Hommage an Douglas Adams und die Antwort auf alle Fragen. Der Text wurde am 5. September 2021 erstellt und bisher 976 Mal angesehen (Stand: 14.09.2021, 10 Uhr meiner Zeit). Um 15:48 Uhr waren es 1260 Ansichten, also kaum mehr, und das trotz dieses spektakulären Vorfalls. Bei einer angenommenen Konvertierungsrate von einem Prozent (Klick eines Besuchers auf den englischen Link) wären innerhalb von ca. 6 Stunden somit allerdings knapp 30.000 Besucher rein rechnerisch vorhanden.

Das deutsche Transkript war zu diesem Zeitpunkt nicht mehr auf Pastebin verfügbar, weil es wohl von Pastebin-Mitarbeitern entfernt wurde.

Die deutsche Stimme im Anonymous-Video erscheint mir zugleich dem Anlass passend und markant. Trotz der Verfremdung könnte ich mir vorstellen, dass eine Analyse durch einen Experten Rückschlüsse auf den Urheber zulässt.

Update 16.09.2021: Die Videos (deutsch, englisch) wurden auf Streamable entfernt und sind somit auf der gehackten Webseite nicht mehr zu sehen. Die Transkripte wurden erneuert. Der deutsche Text war zwischenzeitlich weg und ist somit wieder da. Der englische Text ist neu eingesetzt worden, was aus den Zugriffszahlen abgeleitet werden kann.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Arno Nym

    Ist Google Analytics nicht nötig, damit die Seiten nicht nach und nach in der Suche verschwinden?
    Das Defacement hat im Englisch-sprachigem Raum halt kaum Beachtung gefunden, interessieren sich grade alle für OpEpikFail.
    Was Rasterszrahl programmierung auf 8 bittern angeht, fasziniren mich besonders die Atari Modelle, die Displaylists machen das ganze frikelige timmen wie bei Commodore und Armstrand überflüssig.

    • Dr. DSGVO

      Danke für Ihre sehr interessante Rückmeldung!
      Das Laden von Google Analytics ist NICHT notwendig, um die Sichtbarkeit einer Seite aufrechtzuerhalten. Höchstens die Auswertung der erhobenen Daten samt konstruktiver Maßnahmen (SEO etc.) wären eine Möglichkeit. Google Analytics wird von vielen vielen Webseiten eingesetzt, alleine somit ist es kein Vorteil und kann keiner sein.

      OpEpikFail: guter Hinweis!
      Atari: Kenne ich mich leider nicht aus, aber ich weiß von früher, dass auf dem Commodore C64 (“Brotkasten”) vieles möglich war, und auf dem Amiga wegen entsprechender Hardware noch mehr. Damals blühte deswegen insbesondere auf dem Amiga die Szene, die sehr beeindruckende Intros und Demos programmierte.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

WhatsApp (Facebook): Hintergründe und Erkenntnisse zur Geldstrafe über 225 Millionen Euro durch die irische Datenschutzaufsicht