LulzSec FBI nimmt mutmaßlichen Sony-Hacker fest

Neuer Rückschlag für die Hacker-Gruppe LulzSec: Das FBI hat ein weiteres mutmaßliches Mitglied festgenommen. Laut Polizei liegen Beweise für eine Beteiligung an einem Angriff auf Sony-Server vor.

Screenshot der LulzSec-Website: Nächste Festnahme

Screenshot der LulzSec-Website: Nächste Festnahme


Hamburg - Die US-Bundespolizei FBI hat am Donnerstag ein mutmaßliches Mitglied der Hacker-Gruppe LulzSec in Arizona festgenommen. Dem 23-Jährigen wird vorgeworfen, an einem unerlaubten Zugriff auf Server von Sony-Server im Mai und Juni mitgewirkt zu haben, berichtet Reuters.

Sony war im Frühjahr Ziel mehrerer Hacker-Angriffe. Die Gruppe LulzSec hatte sich zu den Attacken auf Sony Entertainment und Sony BMG bekannt. Dazu soll der jetzt Festgenommene einen Account bei dem Internet-Anonymisierungsdienst hidemyass.com angemietet haben. Dieser soll für manipulierte Datenbankabfragen, sogenannte SQL-Injections, auf Sony-Server genutzt worden sein. Anschließend seien Daten kopiert und die Tat via Twitter publik gemacht worden, heißt es in der "Wired" vorliegenden Klageschrift.

Sollte ein Gericht die Vorwürfe in einem Verfahren als bestätigt ansehen, drohen dem Verdächtigen bis zu 15 Jahre Gefängnis. Das FBI ermittelt derzeit sowohl gegen LulzSec als auch gegen Anhänger der Web-Guerilla Anonymous, die mit der Hacker-Gruppe in enger Verbindung steht. Bereits im Juli waren mehr als ein Dutzend Verdächtige festgenommen worden. Dabei soll es sich um Anonymous-Mitgliedern handeln, die sich an einer Website-Blockade gegen Paypal beteiligt haben sollen.

Den mutmaßlichen LulzSec-Mitgliedern werden hingegen Server-Einbrüche zur Last gelegt. Die Gruppe hatte bekannte Sicherheitslücken ausgenutzt, um binnen 50 Tagen eine Vielzahl von Websites zu knacken. Ende Juni stellte die Gruppe ihre Arbeit ein. In Großbritannien war da schon ein junger Mann verhaftet worden. Der Fahndungsdruck nahm zu, das FBI durchsuchte ein Rechenzentrum - und die britische Polizei setzte weitere mutmaßliche LulzSec-Mitglieder fest.

In den USA wurden nun zwei weitere Verdächtige festgenommen, wie das US-Justizministerium mitteilte. Dabei handele es sich um einen 47-Jährigen aus Mountain View in Kalifornien, der mutmaßlich als "Commander X" bei Anonymous aktiv war, sowie einen 26-Jährigen aus Fairborn in Ohio ("Absolem", "Toxic"), berichtet "Cnet". Beide sollen eine DoS-Attacke auf einen Behördenserver von Santa Cruz County am 16. Dezember 2010 ausgeführt haben.

Mit der nun erfolgten Festnahme könnten die Ermittler der Aufklärung eines Sony-Hacks näher gekommen sein. Zu dem Einbruch beim Playstation Network, bei dem mehr als 75 Millionen Kundendaten kopiert werden konnten, gibt es bisher allerdings kein Bekennerschreiben. Das Spielenetzwerk war nach dem Angriff mehr als einen Monat lang außer Betrieb.

ore



insgesamt 7 Beiträge
Alle Kommentare öffnen
Seite 1
RedSpy 24.09.2011
1. Bekannte Sicherheitslücken?
Es handelte sich nicht um "bekannte Sicherheitslücken", sondern um leicht auffindbare Anfängerfehler in der Implementierung. Wären die konkreten Sicherheitslücken bereits bekannt gewesen, hätte Sony nicht nur grobe Fahrlässigkeit, sondern auch Vorsatz und pflichtwidrige Unterlassung vorwerfen können. Kriminelle Hacker hätten die Daten für sich behalten und in aller Ruhe missbraucht, und wer weiß, ob nicht zuvor schon jemand über die SQL-Injection-Lücke gestolpert war. Durch die Veröffentlichung der Daten wurden die Kunden gewarnt und die Öffentlichkeit über die unglaubliche Schlamperei von Sony informiert. Eventuelle Schäden sind nicht erst durch die Veröffentlichung der personenbezogenen Daten entstanden, sondern bereits durch deren Kompromittierung infolge der Missachtung elementarer Mindeststandards beim Umgang mit personenbezogenen Daten durch Sony. Das FBI sollte lieber die Konten der verantwortlichen Sicherheitsbeauftragten und Projektleiter bei Sony einfrieren, die durch grobe Fahrlässigkeit zu diesem Debakel beigetragen haben. Die Geschichte erinnert stark an Fukushima, wo nicht etwa die fehlerhafte technische Auslegung, menschliches Versagen (manuelle Abschaltung der Notkühlung durch das Personal), Krisen-Missmanagement (es wurden z. B. keine Mi-26S von Indien und China angefordert, um etwa Stromgeneratoren einzufliegen) und Korruption ("nuclear village") für die größte nukleare Katastrophe der Menschheit verantwortlich gemacht werden, sondern die unbändige Natur.
plastikjute 25.09.2011
2. Das Opfer ist selber schuld oder: Blödheit als fünfte Dimension
Kriminelle sabbern gern und viel. Der Mörder erklärt: Wenn ich gewusst hätte, dass die Familie zu Hause ist, wäre ich doch da nie eingebrochen, dann wäre auch nichts passiert. Mich jetzt 20 Jahre einzusperren, finde ich echt übertrieben! Die Typen von LulzSec sind eben keine Hacker, sondern Kriminelle auf einem Feldzug gegen Sony. Es ging LulzSec niemals darum, auf Sicherheitslücken aufmerksam zu machen, sondern Sony massiv wirtschaftlich zu schaden! Wer anderes behauptet, hat keine Ahnung (und sollte dann besser schweigen) oder er lügt. Das haben diese Kriminellen auch geschafft und direkt und indirekt Schäden in zwei- oder gar dreistelliger Millionenhöhe angerichtet. Wie viele Menschen dadurch ihren Arbeitsplatz in Japan verloren haben, darüber will ich gar nicht erst nachdenken. Es wird trotzdem noch Leute geben, die diese Kriminellen dafür in den Himmel loben. Oder gerade deshalb! Und manche Leute in der Szene sind sich nicht zu dumm und erklären, Sony sei selbst schuld. Klar, ein Kioskbesitzer ist ja auch selber schuld, wenn er ausgeraubt wird. Er hätte ja eine Knarre kaufen können! Es ist die Schuld des Opfers, wenn es ausgeraubt wird. - Kleiner Hinweis: Systeme wasserdicht zu machen, das gelingt nicht mal Sicherheitsfirmen des Pentagon! Programmierfehler sind IMMER lächerlich dämlich, wenn man nur den Codeausschnitt betrachtet! Jeder Programmierfehler sieht da wie ein Anfängerfehler aus! Komplexe Systeme kranken aber nie an großen Fehlern, sondern immer an Kleinigkeiten mit großen Wirkungen. Aber um das zu verstehen, sollte man vielleicht mal an Projekten mitarbeiten, die über ein paar Tausend Programmzeilen hinausgehen. ;) Nebenbei: Zu behaupten, dass das schwerste Erdbeben, das Japan je getroffen hat und ein Riesentsunami nicht ursächlich für Fukushima waren, das ist schlicht und ergreifend Blödsinn. Dass solche Leute bei den Katastrophen in Japan nur an Fukushima denken und nicht an die über 20.000 toten Menschen, zeigt aber schon, wes Geistes Kind sie sind. Denen kommen die Toten allenfalls noch recht für ihre zynischen Kommentare.
dockelgockel 26.09.2011
3. Warum?
Über die Verhaftung eines EINZELNEN und MUMASSLICHEN Aktivisten schreibt der SPON einen seitenfüllenden Artikel. Über die Verhaftung von mittlerweile über HUNDERT Aktivisten, die an der Wallstreet unter dem Motto #occupywallstreet gegen unhaltbare Zustände friedlich protestieren und nach Videos in YouTube, Berichten auf Twitter und Fotos von Zeitzeugen von der Polizei wie Vieh zusammengetrieben werden und willkürlich mit Pfefferspray bedacht werden, schreibt der SPON nicht. Sicherlich sind die Sichtweisen auf Dinge immer subjektiv und einseitig. Natürlich ist "News via Blog und Web 2.0" stark durch die Perspektiven der Autoren betrachtet. Trotzdem beginne ich mich langsam immer mehr zu fragen, ob jene, die von einer de facto ideologischen Gleichschaltung der Medien faseln, vielleicht recht nahe an einem tatsächlichen Phänomen liegen.
nixda 26.09.2011
4. ja aber klar doch
Zitat von RedSpyEs handelte sich nicht um "bekannte Sicherheitslücken", sondern um leicht auffindbare Anfängerfehler in der Implementierung. Wären die konkreten Sicherheitslücken bereits bekannt gewesen, hätte Sony nicht nur grobe Fahrlässigkeit, sondern auch Vorsatz und pflichtwidrige Unterlassung vorwerfen können. Kriminelle Hacker hätten die Daten für sich behalten und in aller Ruhe missbraucht, und wer weiß, ob nicht zuvor schon jemand über die SQL-Injection-Lücke gestolpert war. Durch die Veröffentlichung der Daten wurden die Kunden gewarnt und die Öffentlichkeit über die unglaubliche Schlamperei von Sony informiert. Eventuelle Schäden sind nicht erst durch die Veröffentlichung der personenbezogenen Daten entstanden, sondern bereits durch deren Kompromittierung infolge der Missachtung elementarer Mindeststandards beim Umgang mit personenbezogenen Daten durch Sony. Das FBI sollte lieber die Konten der verantwortlichen Sicherheitsbeauftragten und Projektleiter bei Sony einfrieren, die durch grobe Fahrlässigkeit zu diesem Debakel beigetragen haben. Die Geschichte erinnert stark an Fukushima, wo nicht etwa die fehlerhafte technische Auslegung, menschliches Versagen (manuelle Abschaltung der Notkühlung durch das Personal), Krisen-Missmanagement (es wurden z. B. keine Mi-26S von Indien und China angefordert, um etwa Stromgeneratoren einzufliegen) und Korruption ("nuclear village") für die größte nukleare Katastrophe der Menschheit verantwortlich gemacht werden, sondern die unbändige Natur.
alle Opfer sind selber Schuld (aber auch nur in Ihrer kleinen kranken Welt) - Die Juden hätten sich einfach nur besser schützen sollen. - Jedes Vergewaltigungsopfer soll sich einfach besser schützen. Was gehen die auch ohne Keuschheitsgürtel aus dem Haus? Wer Kriminelle zu Helden erklärt sollte eigentlich selbst auch dran kommen.
RedSpy 27.09.2011
5.
Zitat von nixdaalle Opfer sind selber Schuld (aber auch nur in Ihrer kleinen kranken Welt) - Die Juden hätten sich einfach nur besser schützen sollen. - Jedes Vergewaltigungsopfer soll sich einfach besser schützen. Was gehen die auch ohne Keuschheitsgürtel aus dem Haus? Wer Kriminelle zu Helden erklärt sollte eigentlich selbst auch dran kommen.
Was ist das denn für eine krude Analogie? Lesen Sie meinen Beitrag bitte noch einmal richtig, es gibt da offensichtlich erhebliche Verständnisprobleme. Opfer sind die Kunden, deren personenbezogene Daten kompromittiert wurden, und die sind keinesfalls Schuld an der Schlamperei bei Sony. Meine personenbezogenen Daten waren vom Sony-Hack auch betroffen, daher mein Zorn auf diesen Sauladen. Sie haben offenbar ein Problem damit, dass ich den für den sorgsamen Umgang mit meinen persönlichen Daten verantwortlichen Konzern den Daten-GAU übler nehme als den Kindern, die ohne Aufsicht im Internet gespielt haben. Ich habe Anonymous nicht in Schutz genommen, und ich spiele die Folgen auch nicht herunter. Ich stelle lediglich fest, dass der Schaden bereits durch die Kompromittierung der Daten entstanden ist, und *nicht erst durch deren Veröffentlichung*. Ich kann als zahlender Sony-Kunde erwarten, dass meine personenbezogenen Daten wenigstens gemäß den aktuell geltenden Industriestandards geschützt werden -- das ist in diesem Fall PCI-DSS, da auch Kreditkartendaten verarbeitet wurden. PCI-DSS schreibt vor, dass Passwörter nicht im Klartext, sondern als *gesalzene Hashes* abzulegen sind. Genau das hat man bei Sony leider nicht beherzigt. Durch die unglaubliche Schlamperei bei Sony sind Millionen von Kundenpasswörtern kompromittiert worden. Ein Schild "Hacken verboten" kann die Einhaltung von IT-Sicherheitregeln nicht ersetzen. Ein Hacker kann erst nach Entdeckung eines Einbruchs überführt werden, die meisten Einbrüche werden aber gar nicht erst entdeckt. Sony war mit den rohen Eiern seiner Kunden auf einem Rugby-Feld herumgelaufen und schreit jetzt im Angesicht von Rührei nach einem starken Staat und mehr Überwachung. Nach Ihrer Logik hingegen bräuchte man keine Airbags und Anschnallgurte in Autos, weil Unfälle nach der Straßenverkehrsordnung auszuschließen sind. In meiner "kleinen kranken Welt" werden sensible IT-Systeme alle 6 bis 12 Monate einem Security-Audit unterzogen, damit grobe Fehler entdeckt werden, bevor sie zu Schäden führen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.