#Wikileaks, #Openleaks und unfähige Redakteure [UPDATE]

Ende August wurde bekannt, dass angeblich die gesamten Wikileaks Cables samt Passwort im Internet aufgetaucht sind. Nun habe ich ein paar Stunden investiert und versucht mich in dem Dickicht an Informationen und gegensätzlichen Positionen in dieser Schlammschlacht zurechtzufinden. Auf der einen Seite stehen Daniel Domscheidt-Berg und die zwei anderen Wikileaks-Aussteiger. Diese sind das Team, welches hinter OpenLeaks steht. Die Whistleblower Plattform Wikileaks hat ganz gut funktioniert, aber nur solange alle Beteiligten an einem Strang gezogen haben. Zu Problemen bei Projekten dieser Art kommt es immer wieder aufgrund der gleichen Mechanismen:

  • Monetäre Interessen rücken in den Vordergrund
  • die Wachstumskurve solcher Projekte verläuft nicht linear

und daher kommt das Projekt irgendwann an einen Punkt, an dem es das schnelle Wachstum nicht verkraftet. Zum Beispiel könnten die Egos der Verantwortlichen zu einem Problem werden, das dann plötzlich dem Projekt im Weg steht; aber auch die Tatsache, dass solche Projekte meist ein ganz kleines Kernteam haben und dieses der Informationsflut und der medialen Aufmerksamkeit, die plötzlich da ist, einfach nicht mehr gewachsen ist. Im Falle einer Whistleblower-Plattform hieße das, dass eingereichte Dokumente gar nicht schnell genug geprüft werden können. So war es wohl auch bei Wikileaks. Die Chat-Logs zwischen JUA und DDB existieren und sind teilweise bekannt. Aber ich finde das gehört nicht in die öffentliche Debatte, denn dann begeben wir uns gleich auf Bild-Zeitungs-Niveau . Es tut auch nichts zur Sache wer von den beiden sich nun schlimmer verhalten hat.

Fakt ist – es kam zum Krach und DDB und zwei weitere Aktivisten haben Wikileaks „Adieu“ gesagt. Leider läuft so eine Scheidung oft nicht ohne Beschimpfung und Streit um die Besitztümer ab. DDB hatte zum Beispiel vier Server mit Daten selbst bezahlt. Dort sollte wohl auch noch an der Software gearbeitet werden. Die beiden waren aber schon so zerstritten, dass DDB die Daten behalten hat und wohl auch Kopiert hat. Details sind müßig zu diskutieren und auch schwer nachprüfbar. Fakt ist, Wikileaks hat sehr wenige von den Cables veröffentlicht. Und geplant war wohl die Dokumente zu sichten und ggf. Namen von Informanten oder Personen, die gefährdet werden könnten unkenntlich zu machen. Das kann keine einzelne Person – zumal JUA nebenbei mit seinem Prozess zum Auslieferungsantrag von Schweden an Großbritannien beschäftigt ist. Zumindest braucht so etwas viel Zeit und Manpower. Aber hier kommt Wikileaks an seine Grenzen, denn Transparent wurde in dieser Hinsicht leider nicht gearbeitet. Es ist schwierig zu entscheiden, wie viel Information eine Whistleblower-Plattform selbst Preisgeben kann/darf/soll. Wäre es gut oder schlecht gewesen, zu sagen wir arbeiten mit folgenden NGOs zusammen um die Dokumente zu sichten und werden sie in folgenden Intervallen an dieser oder jener Stelle veröffentlichen? Ich hätte das bevorzugt, aber vielleicht hätte solches Vorgehen auch die NGO-Mitarbeiter einer Strafverfolgung ausgesetzt und die Server wären schon vor Veröffentlichung abgeschaltet gewesen?

Nun hat JUA von DDB verlangt, die Dokumente zu löschen. Das ganze riecht schon nach Kindergarten, denn selbst wenn DDB unter notarieller Aufsicht die Dokumente löscht, warum sollte nicht doch noch irgendwo eine Kopie sowohl der Datei als auch des dazugehörigen Schlüssels existieren? Wie mehrere Medien berichten soll nun auch noch eine Sicherheitslücke bei Wikileaks aufgetaucht sein. [1] DDB behauptet die Daten gelöscht zu haben, weil er es nicht verantworten könne, den Quellen, denen er Sicherheit zugesichert habe, diese nicht länger gewähren zu können. [2] Nachvollziehbar, aber sowohl die Forderung der Datenlöschung als auch nun die Aktion von DDB sind eigentlich unter dem Niveau von den beiden Herrschaften. Es geht aber noch weiter und wird leider noch viel verworrener.

Laut Freitag [3], Taz [4] und Spiegel [5] ist im Netz eine Datei mit dem Namen „cables.csv“ und der Dateigröße 1,73GB aufgetaucht. [6] Diese sei, so sind sich die drei Medien einig, einfach zu finden. Auch das Passwort zur Datei sei für jeden der Lesen kann leicht ersichtlich. Das muss man erstmal verarbeiten. Offensichtlich hat eine riesen Datei (vermutlich die Datei mit allen diplomatischen Depeschen) den Weg ins Netz gefunden. Als das Video „Collateral Murder“ von JUA vorgestellt wurde fand man bald darauf eine Datei im Netz mit dem Namen „Insurance.aes“. Diese war so gedacht, dass im Falle einer Bedrohung Assanges (seine Tötung wurde von einigen amerikanischen Politikern gefordert) Wikileaks dem nicht vollkommen machtlos gegenüber stünde.

Es wird spekuliert, dass diese Datei eventuell mit der nun aufgetauchten Datei „cables.csv“ identisch sei. Der Blogger Niqnaq [7] bezieht sich allerdings dabei auf einen Tweet [8] der am 30.08.2011 unter dem Nick ex_wl_arch gepostet wurde. Allerdings ist dies wohl ein Troll-Account, denn der eigentliche Programmierer (ex-Wikileaks, nun bei OpenLeaks aktiv) hat sich über den QuellCode von OpenLeaks zu Wort gemeldet. Dazu gleich mehr. Um die Sache noch weiter zu verkomplizieren hat sich noch ein weiterer Troll einen dem ersten Account ähnelnden Twitter-Account erstellt. Der erste Account (auf den sich Niqnaq bezieht) ist https://twitter.com/#!/ex_wl_arch. Auf diesem Account wurde ganz klar versucht, die Identität des OpenLeaks-Programmierers zu imitieren. Auf einem weiteren Account https://twitter.com/#!/ex_wI_arch wurde nun wiederum versucht die Identität des Identitäten-Diebes zu imitieren. Am Ende ist dies ein und die selbe Person – wer weiß das schon. Jacob Applebaum hat bald darauf in einem Tweet darauf hingewiesen, dass wohl beide Accounts ein Fake sind.   Auf Openleaks.org hat sich derweil der Programmierer zu Wort gemeldet. Wie glaubwürdig das wiederum ist, sei dahingestellt. Aber immerhin hat die Person Zugriff auf die Openleaks-Server. Der erste Kommentar enthält auch eine Nachricht an Jacob Applebaum, sowie auch an die Öffentlichkeit, die sich doch bitte etwas besonnener verhalten und nicht gleich jede Meldung für bare Münze nehmen soll. (Kommentar ist die grüne Schrift)

In einem zweiten Kommentar versucht der Autor den Identitätsdiebstahl zu beweisen, indem er  dem Twitterer Fragen zu Personen aus dem OpenLeaks-Umfeld stellt, die nur er als OpenLeaks-Programmierer mit persönlicher Bindung zu den Personen kennen kann.

Diese Eskapade dürfte damit wohl geklärt sein. Aber es bleiben eine Menge fragen.

OpenSource als Lösungsansatz?

Wenn OpenLeaks wirklich möchte, dass der Code von der Community unter die Lupe genommen wird, dann sollte man die Karten auf den Tisch legen. DDB hat auf einem CCC-Camp den Code prüfen lassen wollen, dies aber dermaßen ungeschickt angestellt, dass er am Ende vom Vorstand des CCC seine Mitgliedschaft entzogen bekam. Das ganze ist auch wieder etwas kindisch, aber das Argument vom CCC, dass sie kein Technik-TÜV mit Gütesiegel sind, ist nicht von der Hand zuweisen. Und Leute zu eigenen Zwecken zu instrumentalisieren, um dann zu sagen „schaut her, wir sind sicher – niemand auf den Reihen des CCC kann unseren Code knacken“ ist nicht gerade die beste Idee, die Daniel bisher gehabt hat.

@OpenLeaks: Bitte stellt doch den ganzen Code auf GitHub ein, dann kann ihn jeder anschauen und auf Schwachstellen prüfen. Wovor habt ihr Angst? Etwas das jemand eine Schwachstelle findet und euch nicht mitteilt? Klar das kann passieren, aber wenn der Code nicht veröffentlicht wird existiert die Schwachstelle ja trotzdem. Gefixt wird sie nur, wenn Menschen danach suchen können und je mehr Menschen Zugang zum Code haben, desto mehr Menschen können Schwachstellen suchen und euch mitteilen. Und langfristig dürfte dieser Ansatz weit erfolgreicher sein, als der Ansatz, Code geheim zu halten und damit einem potentiellen Angreifer weniger Angriffsfläche zu bieten. Quasi „security through obscurity“.

Redakteure unfähig oder einfach nur unwissend?

Einen Punkt möchte ich nicht unerwähnt lassen. Die Qualität der Berichterstattung läßt wirklich zu wünschen übrig. Eine Zeitung schreibt etwas, die anderen schreiben ab oder plappern nach ohne zu reflektieren – zumindest habe ich diesen Eindruck. Freitag, Taz und auch Spiegel berichten alle darüber, dass das Passwort zu der angeblich so einfach zu findenden Datei nicht temporär war. „Wichtiges Passwort war nicht temporär“ titelt die Taz in einer von zwei Zwischenüberschriften. Auch auf Netzpolitik.org wird das von den Nutzern in den Kommentaren thematisiert. Offenbar weiß kein einziger der Redakteure, dass es keine temporären Passwörter bei rar oder zip archieven gibt. Recherchiert hat dies niemand, aber trotzdem ist das Fakt. Warum dies hier vorwurfsvoll einen ganzen Abschnitt des Artikels einnimmt ist mir rätselhaft.

In diesem Kontext ist auch zu erwähnen, dass Taz und Freitag beides Medienpartner von OpenLeaks sind. Damit will ich ihnen nicht unsachliche Berichterstattung vorwerfen. Die Frage, ob sie noch vollkommen unabhängig über dieses Thema berichten können, müssen sie sich aber schon gefallen lassen.

Password aus Versehen preisgegeben?

Warum gerade den Medien-Partnern von OpenLeaks sowie dem Spiegel die Datei und das Passwort vorliegt hinterläßt einen komischen Nachgeschmack. Auch hier glaube ich sogar, dass es nicht DDB war, der das Passwort preisgegeben hat. Es scheint irgendwo im Netz zu kursieren (vielleicht in einem Chat-log oder sonst irgendwo etwas versteckt) und JUA schreibt in einem Tweet das das Passwort wohl unbeabsichtigt preisgegeben wurde von einem unachtsamen (Ex?)Mitarbeiter.

Aus dem Taz Artikel:

Der Freitag sprach mit einer „Person, die das Passwort von [Julian] Assange erhalten haben will und es inzwischen veröffentlicht hat“. Die Person „sei davon ausgegangen, dass es sich bei der von Assange übergebenen Phrase um ein temporäres Passwort gehandelt habe, das nach einer Zeit seine Gültigkeit verliere“ – was jedoch keineswegs der Fall ist, das Passwort funktioniert, so der Freitag.

Abgesehen von der Tatsache, dass es keine temporären Passwörter für Archive gibt (was wohl auch jedem, der mit Wikileaks involviert ist oder war, klar sein dürfte) ist es doch verwunderlich, dass diese hahnebüchene Erklärung herhalten muss, um die Veröffentlichung des Passworts im Netz zu rechtfertigen. Temporär oder nicht – ein Passwort ins Netz zu stellen und meinen, dass schon nichts passiert ist unglaublich dämlich. Absicht zu unterstellen ist hier naheliegend.

Es bleiben für mich viele offene Frage. Aber ich habe nun keine Zeit mehr weiter zu schreiben. Vielleicht bald noch ein Nachtrag. Und wer die Datei gefunden hat kann das ja mal in den Kommentaren posten. Muss ja nicht der Direktlink sein. Aber bisher habe ich nur von Leuten gehört, die die Datei nicht gefunden haben. Geschweige denn das dazugehörige Passwort.

[1]https://netzpolitik.org/2011/leck-bei-wikileaks/

[2]http://www.golem.de/1108/85879.html

[3]nerds-ohne-nerven (26.08.2011)

[4]http://www.taz.de/!76938/ (26.08.2011)

[5]http://www.spiegel.de/netzwelt/web/0,1518,782923,00.html (28.08.2011)

[6]http://thepiratebay.org/torrent/5723136/WikiLeaks_insurance (28.07.2010)

[7]http://niqnaq.wordpress.com/2011/08/30/cables-csv-insurance-aes6/ (30.08.2011)

[8]https://twitter.com/#!/ex_wl_arch/status/107949222980096001 (30.08.2011)

UPDATE: Der Troll war tatsächlich ein Troll und der angebliche Ex-Wikileaks-Architekt auch. Dieser hat aber via Pastbin noch eine Erklärung abgegeben, warum er das überhaupt getan hat. Er schreib u.a.

Despite my inhonourable appearance during the last 48 hours, I am still supportive of the idea of a whistleblowing-project. I wasn’t trying to put more fuel to the fire. Maybe my approach was not the best. However, it was not an attempt to troll or put any (more) damage to WikiLeaks‘ and OpenLeaks‘ repution. Neither did I intent on social engineering @ioerror (I seriously had no idea you were close to the „architect“, Jacob!) nor to harm @cryptodotis reputation (they’re committed to transparency [see: https://blog.crypto.is/some-clarifications/%5D, check their project out!). Sorry to anyone involved, if I caused you any harm or inconvenience whatsoever. I was only hoping for some clarifications in reaction to my allegations.

Die Sache mit dem Passwort hat sich geklärt. Julian hat dem Guardian Journalisten David Leigh das Passwort für die Cablegate-Datei gegeben. Dieser hat das Passwort in seinem Buch „Inside Julian Assange’s War on Secrecy“ veröffentlicht.

Leigh beruft sich darauf, dass Assange ihm gesagt hätte, dass das Passwort nur temporär gültig gewesen sein soll. Ob das so stimmt wissen nur David Leigh und Julian Assange. Aber Julian Assange wußte auch, dass es keine temporären Passwörter für ZIP-Dateien gibt und eine solche war die Cablegate-Datei. Dass Leigh tatsächlich glaubte, dass Passwort sei nur temporär ist durchaus möglich. Er hatte vorher auch noch nie von der Verschlüsselungs-Software PGP oder als OpenSource-Version GnuPG gehört. Auch mußte er nach Installation der Software noch mal quer durch London zu Assange fahren damit ihm dieser dann das 7z-Archiv entpackt. Das ist zwar kein ZIP-Archiv aber ein anderes Archiv-Format was die meisten entpacker problemlos entpacken können. Hier wird klar David Leigh ist vorallem Journalist und kein Computer Fachmann – sondern wohl eher ein Computer-Leihe.

Wieder bei Pastbin ist die vorige Info zu finden. Hier der ganze Text:

  1. Truth from Berlin…
  2. A Guardian editor, David Leigh, who had a legal run in with WikiLeaks last year, betrayed the entire Cablegate decryption password in his book. Page 135-139 of „Inside Julian Assange’s War on Secrecy“:
  3.         [Leigh] asked Assange to stop procrastinating, and hand over the biggest trove of all: the cables. Assange said, “I could give you half of them, covering the first 50% of the period.”
  4.         Leigh refused. All or nothing, he said. “What happens if you end up in an orange jump-suit en route to Guantánamo before you can release the full files?” In return he would give Assange a promise to keep the cables secure, and not to publish them until the time came. Assange had always been vague about timing: he generally indicated, however, that October would be a suitable date. He believed the US army’s charges against the imprisoned soldier Bradley Manning would have crystallised by then, and publication could not make his fate any worse. He also said, echoing Leigh’s gallows humour: “I’m going to need to be safe in Cuba first!” Eventually, Assange capitulated. Late at night, after a two-hour debate, he started the process on one of his little netbooks that would enable Leigh to download the entire tranche of cables. The Guardian journalist had to set up the PGP encryption system on his laptop at home across the other side of London. Then he could feed in a password. Assange wrote down on a scrap of paper:
  5.         ACollectionOfHistorySince_1966_ToThe_PresentDay#. “That’s the password,” he said. “But you have to add one extra word when you type it in. You have to put in the word ‘Diplomatic’ before the word ‘History’ Can you  people to theremember that?” “I can remember that.” Leigh set off home, and successfully installed the PGP software. He typed in the lengthy password, and was gratified to be able to download a huge file from Assange’s temporary website. Then he realized it was zipped up – compressed using a format called 7z which he had never heard of, and couldn’t understand. He got back in his car and drove through the deserted London streets in the small hours, to Assange’s headquarters in Southwick Mews. Assange smiled a little pityingly, and unzipped it for him.
  6. No-one took note of the Leigh book since where the encrypted file was located was a mystery! Enter the 2nd bad guy of our story: Daniel Domscheit-Berg. DDB said he didn’t know the password before reading the Leigh book, but apparently *did* know the hidden file name on Bittorrent. Using this these two facts (pw+hidden file location), he then went around ingratiating himself with various players by handing them the entire Cablegate archive under the mutually deniable cover of „warning“ them about the Leigh book. Enraged after being expelled from the CCC he „gave“ the cables in this way to more and more people in exchange for alliances and positive spin culminating with the now infamous Freitag and Information.dk articles and now the thing is fucking everywhere…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s