https://turcopolier.typepad.com/sic_semper_tyrannis/2019/02/why-the-dnc-was-not-hacked-by-the-russians.html

 

Warum die Demokratische Partei nicht

von den Russen gehackt wurde

 

von William Binney, ehemaliger Technischer Direktor der NSA,

und Larry Johnson, Counter Terrorism und CIA

 

13.02.2019

 

 

Das FBI, die CIA und die NSA behaupten, dass die von WIKILEAKS am 26. Juli 2016 veröffentlichten DNC Mails (Anm.d.Ü.: die E-Mails aus dem Hauptquartier der Demokratischen Partei) aus einem russischen Hack stammen, aber mehr als drei Jahre nach dem angeblichen "Hack" wurden keine forensischen Beweise zur Untermauerung dieser Behauptung vorgelegt. Tatsächlich widersprechen die verfügbaren forensischen Beweise der offiziellen Schilderung, die das Leck der DNC E-Mails auf einen russischen "Einbruch" ins Internet schiebt. Die vorhandenen Beweise unterstützen eine alternative Erklärung – dass die Dateien, die zwischen dem 23. und 25. Mai 2016 aus der DNC entnommen und auf ein Speichermedium, wie beispielsweise einen USB-Stick, kopiert wurden.

 

Wenn die Russen tatsächlich einen internetbasierten Hack des DNC-Computernetzwerks durchgeführt hätten, dann wären die Beweise für einen solchen Angriff von der National Security Agency gesammelt und gespeichert worden. Die technischen Systeme zur Erfüllung dieser Aufgabe gibt es seit 2002. Die NSA hätte Gelegenheit, klarzustellen, dass es unwiderlegbare Beweise einer russischen Einmischung gibt, insbesondere in Bezug auf den DNC-Hack, als sie die "Intelligence Community Assessment“ (Einschätzung der Geheimdienste bezüglich der russischen Einmischung in die Präsidentschaftswahl 2016) aus dem Januar 2017 unterzeichnet hat:

 

Wir schätzen auch ein, dass Putin und die russische Regierung danach strebten, die Wahlchancen des gewählten Präsidenten Trump nach Möglichkeit zu verbessern, indem sie Ministerin Clinton diskreditierten und sie gegenüber Trump öffentlich ungünstig darstellten. Alle drei Agenturen stimmen diesem Urteil zu. CIA und FBI haben großes Vertrauen in dieses Urteil; die NSA hat ein moderates Vertrauen.“

 

Der Ausdruck "moderates Vertrauen" ist Geheimdienst-Sprech und bedeutet "wir haben keine sicheren Beweise". Dank der Veröffentlichungen von Edward Snowden wissen wir mit Sicherheit, dass die NSA in der Lage war, die DNC E-Mails zu untersuchen und zu analysieren. Die NSA hat routinemäßig den E-Mail-Verkehr durch die USA mit robusten Erfassungssystemen "abgesaugt" (ob jemand in der NSA nach diesen Daten gesucht hat oder nicht, ist eine andere Frage). Wenn diese E-Mails tatsächlich über das Internet abgegriffen worden wären, dann hätte die NSA auch den elektronischen Weg verfolgen können, den diese über das Internet genommen haben. Diese Art von Daten hätte es der NSA ermöglicht, ohne Einschränkung oder Vorbehalt zu erklären, dass die Russen schuldig waren. Die NSA könnte eine solche Tatsache in einer nicht als Verschlusssache eingestuften Bewertung zugeben, ohne die Quellen und Methoden preiszugeben. Stattdessen äußerte die NSA nur mitteleres Vertrauen in das Urteil über die russische Einmischung. Hätte die NSA sichere Erkenntnisse zur Untermauerung dieser Beurteilung, so wäre die Beurteilung als "volles Vertrauen" bezeichnet worden.

 

Wir glauben, dass Sonderermittler Robert Mueller in große Verlegenheit gerät, wenn er sich entscheidet, die von ihm eingereichte Anklage weiterzuverfolgen (in der er 12 russische GRU-Militärs und ein als Guccifer 2.0 identifiziertes Individuum für den DNC-Hack beschuldigt), weil die verfügbaren forensischen Beweise darauf hindeuten, dass die E-Mails auf ein Speichermedium kopiert wurden.

 

Laut einer Pressemitteilung des Justizministeriums über die Anklage gegen die Russen erklärt Mueller, dass die E-Mails durch einen "Spear Phishing" Angriff erhalten wurden:

 

Im Jahr 2016 begannen (russische) Beamte der Unit 26165 mit dem Spearphishing auf Freiwillige und Mitarbeiter der Präsidentschaftskampagne von Hillary Clinton, einschließlich des Wahlkampf-Vorsitzenden. Dadurch waren die Beamten dieser Einheit in der Lage, die Benutzernamen und Passwörter für zahlreiche Personen zu stehlen und diese Zugangsdaten zu verwenden, um E-Mail-Inhalte zu stehlen und in andere Computer einzudringen. Sie waren auch in der Lage, sich über diese Spearphishing-Techniken in die Computernetzwerke des Wahlkampfteams (DCCC) und des Hauptquartiers der Demokratischen Partei (DNC) einzudringen, um E-Mails und Dokumente zu stehlen, heimlich die Computeraktivitäten von Dutzenden von Mitarbeitern zu überwachen und Hunderte von Dateien mit bösartigen Computercodes einzuschleusen, um Passwörter zu stehlen und den Zugang zu diesen Netzwerken aufrechtzuerhalten.

 
Die Beamten der Einheiten 26165 und 74455 kooperierten zum Zweck der Einmischung in die Präsidentschaftswahl 2016, in der Absicht, die gestohlenen Dokumente zu veröffentlichen. Die Beklagten registrierten die Domain DCLeaks.com und inszenierten später die Freigabe Tausender gestohlener E-Mails und Dokumente über diese Webseite. Auf dieser Webseite behaupteten die Beklagten, "amerikanische Hacktivisten" zu sein und benutzten Facebook-Konten mit fiktiven Namen und Twitter-Konten, um die Webseite zu bewerben. Nach öffentlichen Anschuldigungen, die russische Regierung würde hinter dem Hacking von DNC- und DCCC-Computern stecken, erfanden die Angeklagten die fiktive Person Guccifer 2.0. Am Abend des 15. Juni 2016 zwischen 16:19 und 16:56 Uhr benutzten die Angeklagten ihren Server in Moskau, um über diesen nach einer Reihe englischer Wörter und Begriffe zu suchen, die später im ersten Blogbeitrag von Guccifer 2.0 erschienen. In der Hoffnung, von einer russischen Beteiligung abzulenken, sollte der falsche Eindruck erweckt werden, es handle sich um ein einzelnen rumänischen Hacker, der für die Hacks verantwortlich sei. (https://www.justice.gov/opa/pr/grand-jury-indicts-12-russian-intelligence-officers-hacking-offenses-related-2016-election).

 

Ungeachtet dieser Pressemitteilung des DOJ (Justizministerium) untermauert eine Untersuchung der Wikileaks DNC-Dateien nicht die Behauptung, dass die E-Mails über Spearphishing bezogen wurden. Stattdessen zeigen die Beweise eindeutig, dass vor der Veröffentlichung durch WikiLeaks die auf der Wikileaks-Seite veröffentlichten E-Mails auf ein elektronisches Medium wie CD-ROM oder USB-Stick kopiert wurden. Die auf Wikileaks veröffentlichten E-Mails wurden auf einem Medium mit FAT-Dateisystem (File Allocation Table) gespeichert.

 

Eine Untersuchung der Wikileaks DNC-Dateien zeigt, dass sie am 23., 25. bzw. 26. Mai erstellt wurden. Die Tatsache, dass sie in einem FAT-Systemformat angezeigt werden, deutet darauf hin, dass die Daten auf ein Speichermedium wie beispielsweise einen USB-Stick übertragen wurden.

 

Woher wir das wissen? Die Wahrheit liegt in den "zuletzt geänderten" Zeitstempeln der Wikileaks-Dateien. Jeder einzelne dieser Zeitstempel endet mit einer geraden Zahl. Wenn man mit dem FAT-Dateisystem nicht vertraut ist, muss man wissen, dass das FAT-Dateisystem beim Abspeichern einen Zeitstempel auf die nächste gerade Sekunde rundet.

 

Wir haben 500 DNC-E-Mail-Dateien untersucht, die auf Wikileaks gespeichert sind, und die Zeitstempel aller 500 Dateien sind gerade Zahlen. Mit einem anderen Dateisystem als FAT hätte es eine Gleichverteilung der Zeitstempel mit geraden und ungeraden Zahl gegeben. Dies ist jedoch bei den auf der Wikileaks-Seite gespeicherten Daten nicht der Fall. Alle sind geradzahlig.

 

Die DNC E-Mails kamen in drei Bündeln (die Zeitangaben sind GMT):

 

Datum            Anzahl          Min. Time       Max Time      FAT     Min Id        Max Id

 

23.05.2016     10520           02:12:38         02:45:42        x         3800         14319

 

25.05.2016     11936           05:21:30         06:04:36         x             1           22456

 

26.08.2016     13357           14:11.36         20:06:04         x       22457         44053

 

 

Die zufällige Wahrscheinlichkeit, dass FAT nicht verwendet wurde, ist eins zu zwei hoch 500. Oder ungefähr eine Chance in 10 hoch 150 – mit anderen Worten, eine unendlich geringe Wahrscheinlichkeit.

 

Diese Daten allein beweisen nicht, dass die E-Mails in der DNC-Zentrale kopiert wurden. Aber sei zeigen, dass die von Wikileaks geposteten Daten/E-Mails auf einem Speichermedium abgelegt wurden, bevor Wikileaks die E-Mails im World Wide Web veröffentlicht hat.

 

Allein diese Tatsache reicht aus, um begründete Zweifel an Muellers Anklage zu äußern, in der 12 russische Soldaten als Schuldige für die Leaks der DNC-E-Mails an Wikileaks angeklagt werden. Ein versierter Verteidiger würde zu Recht behaupten, dass jemand die DNC-Dateien auf ein Speichermedium (z.B. USB-Stick) kopiert und an Wikileaks weitergegeben hat.

 

Durch einen Vergleich der DNC-E-Mail-Dateien mit den Podesta-E-Mails (auch bekannt als die „Larter-Datei“, veröffentlicht am 21.9.2016) haben wir auch die Hypothese untersucht, Wikileaks könnte die Dateien manipuliert haben, damit es wie eine Speicherung in einem Fat-System aussieht. Das FAT-Dateiformat findet sich jedoch NICHT in den Podesta-Dateien. Falls Wikileaks ein Standardverfahren für den Umgang mit Daten/E-Mails aus unbekannten Quellen verwendet hat, sollten wir erwarten, dass die Dateistruktur der DNC-E-Mails mit der Dateistruktur der Podesta-E-Mails übereinstimmt. Die Beweise zeigen etwas anderes.

 

Es gibt weitere überwältigende technische Beweise, die die Behauptung untergraben, dass die DNC-E-Mails mittels eines Spearphishingsangriffs über das Internet heruntergeladen wurden. Bill Binney, ein ehemaliger Technischer Direktor der National Security Agency, untersuchte zusammen mit anderen ehemaligen Experten der Geheimdienstgemeinde die von Guccifer 2.0 veröffentlichten E-Mails und fand heraus, dass der Download dieser E-Mails nicht das Ergebnis einer Spearphishing-Attacke sein konnte. Das ist einfache Mathematik und Physik.

 

Kurz nachdem Wikileaks bekannt gab, dass man im Besitz der DNC-E-Mails sei, tauchte Guccifer 2.0 auf der öffentlichen Bühne auf und behauptete, dass "er" die DNC gehackt habe und dass er die DNC-E-Mails habe. Guccifer 2.0 begann Ende Juni 2016 mit der Veröffentlichung von Dokumenten als Beweis dafür, dass "er" das DNC gehackt habe.

 

Unter der Annahme, dass man Guccifer 2.0 für bare Münze nimmt – d.h. dass er seine Dokumente über einen Internetangriff erhalten habe – führte Bill Binney eine forensische Untersuchung der Metadaten in den geposteten Dokumenten durch, die auf den Geschwindigkeiten der Internetverbindungen in den Vereinigten Staaten basiert. Diese Analyse ergab, dass die höchste Übertragungsrate 49,1 Megabyte pro Sekunde betrug, was viel schneller ist als bei einer Online-Fernverbindung. Die Geschwindigkeit von 49,1 Megabyte entspricht der Downloadrate für einen USB-Stick.

 

Binney, unterstützt von anderen Kollegen mit technischem Fachwissen, weitete die Untersuchung aus und führte verschiedene Tests aus den Niederlanden, Albanien, Belgrad und Großbritannien durch. Die höchste Übertragungsrate, die erzielt wurde – von einem Rechenzentrum in New Jersey zu einem Rechenzentrum in Großbritannien – betrug 12 Megabyte pro Sekunde, was weniger als ein Viertel der für die Datenübertragung erforderlichen Rate ist, wie sie von Guccifer 2.0 angegeben wurde.

 

Die Ergebnisse aus der Untersuchung der Guccifer 2.0-Daten und der Wikileaks-Daten beweisen nicht, wer die Informationen auf einen USB-Stick kopiert hat, aber sie liefern eine empirische alternative Erklärung, die die Behauptung des Sonderermittlers, dass die DNC gehackt wurde, untergräbt. Nach den forensischen Beweisen für die Guccifer 2.0-Daten wurden die DNC-E-Mails nicht durch einen Internet-Spearphishing-Angriff abgegriffen. Der Datenklau wurde vor Ort durchgeführt. Die Daten wurden direkt aus dem Netzwerk kopiert. Es gibt weitere Indizienbeweise, die diese Schlussfolgerung untermauern, dass der Datenklau, bei dem Daten kopiert wurden, vor Ort geschah.

 

Zunächst wären da die streng geheimen Informationen, die von Edward Snowden weitergegeben wurden. Wären die DNC-E-Mails über Spearphishing gehackt worden (wie von Mueller behauptet), dann wären die Daten von der NSA mit Hilfe des Upstream-Programms (Fairview, Stormbrew, Blarney, Oakstar) erfasst worden und die forensischen Beweise würden die Zeiten nicht verändern – die Daten würden so präsentiert, wie sie gesendet wurden.

 

Zweitens haben wir die öffentliche Berichterstattung über das DNC und Crowdstrike, die einen bizarren Zeitrahmen für das angebliche russische Hacking bieten.

 

Es war der 29. April 2016, als die DNC behauptet, sie habe erfahren, dass in ihre Server eingedrungen wurde (siehe https://medium.com/homefront-rising/dumbstruck-how-crowdstrike-conned-america-on-the-hack-of-the-dnc-ecfa522ff44f). Jedoch noch keine Behauptung dazu, wer verantwortlich sei.

 

Laut CrowdStrike-Gründer Dimitri Alperovitch entdeckte sein Unternehmen am 6. Mai 2016, dass die Russen auf dem DNC-Server herumlungerten. Ein Nachrichtenanalytiker von CrowdStrike soll Alperovitch folgendes erzählt haben:

 

Falcon hatte nicht nur einen, sondern zwei russische Eindringlinge identifiziert: Cozy Bear, eine Gruppe, von der die Experten von CrowdStrike glauben, dass sie mit dem FSB, dem russischen Pendant der CIA verbunden war, und Fancy Bear, den sie mit dem GRU, dem russischen militärischen Geheimdienst, in Verbindung bringen.“

 (https://www.esquire.com/news-politics/a49902/the-russian-emigre-leading-the-fight-to-protect-america/)

 

Und was hat CrowdStrike dagegen unternommen? Nichts. Laut Michael Isikoff behauptete CrowdStrike, dass ihre Untätigkeit ein bewusster Plan war, um die Russen nicht zu informieren, dass sie "entdeckt" worden seien. Das ist Unsinn. Wenn eine Sicherheitsfirma einen Dieb entdeckt hat, der in ein Haus einbricht und dessen Inhalt stiehlt, welche vernünftige Firma würde dem Kunden raten nichts zu tun? Um zu vermeiden, den Dieb zu alarmieren?

 

Aus der Untersuchung der Wikileaks-Daten wissen wir, dass die letzte aus dem DNC-Netzwerk kopierte Nachricht mit Mi, 25. Mai 2016 08:48:35 datiert ist. Nach diesem Datum wurden keine DNC-E-Mails mehr entnommen und an Wikileaks weitergeleitet.

 

CrowdStrike wartete bis zum 10. Juni 2016, um konkrete Schritte zur Säuberung des DNC-Netzwerks zu unternehmen. Alperovitch sagte Esquire's Vicky Ward:

 

Letztendlich haben die Teams entschieden, dass es notwendig sei, die Software auf jedem Computer der DNC zu ersetzen. Bis das Netzwerk sauber war, war Geheimhaltung unerlässlich. Am Freitagnachmittag, dem 10. Juni, wurden alle DNC-Mitarbeiter angewiesen, ihre Laptops im Büro zu lassen.

https://www.esquire.com/news-politics/a49902/the-russian-emigre-leading-the-fight-to-protect-america/

 

Warum wartet ein Cybersicherheitsunternehmen 45 Tage lang, nachdem es angeblich einen massiven russischen Angriff auf den DNC-Server aufgedeckt hat, um konkrete Maßnahmen zur Sicherung der Integrität der auf dem Server gespeicherten Informationen zu ergreifen? Das ergibt keinen Sinn.

 

Eine plausiblere Erklärung ist, dass festgestellt wurde, dass E-Mails vom Server heruntergeladen und etwa mit einem USB-Stick auf ein Gerät kopiert wurden. Aber der Täter war noch nicht identifiziert. Eines wissen wir mit Sicherheit – CrowdStrike ergriff erst 18 Tage nachdem die letzte E-Mail vom Server kopiert wurde, Schritte, um das DNC-Netzwerk herunterzufahren und zu reparieren,

 

Die letzte Kuriosität ist, dass das DNC dem FBI nie Zugang zu seinen Servern gewährt hat, damit qualifizierte FBI-Techniker eine gründliche forensische Untersuchung hätten durchführen können. Wäre es ein echter Internet-Hack gewesen, so hätte die NSA sehr leicht herauszufinden können, wann die Informationen aufgenommen wurden und auf welchem Weg sie sich nach dem Hacken vom Server bewegt haben. Die NSA verfügte über die technischen Sammelsysteme, damit Analysten das Datum und die Uhrzeit der Nachrichten auslesen können. Aber das ist nicht geschehen.

 

Insgesamt ergeben diese unterschiedlichen Indizien ein Bild, das angebliche russische Hacker entlastet und Personen in unserer Strafverfolgungs- und Geheimdienst-Gemeinschaft in eine Kampagne aus Fehlinformation, Betrug und Inkompetenz verwickelt. Es ist kein schönes Bild.

 

Kommentare: 0