|
|
Das russische „Hacken“ hat niemals stattgefunden
Von William Binney
William Binney, langjähriger technischer Direktor der NSA, berichtete in der Pressekonferenz am 23. Juli über die Ergebnisse seiner Untersuchung der angeblich von Russen gehackten E-Mails.
Vielen Dank, Dennis. Und danke, daß ich hier sein darf. Im Grunde ist das Problem, daß ich die forensischen Beweise anscheinend in kein Gericht oder in die allgemeine Debatte um Beweise zur Widerlegung des Russiagate einbringen kann.
Wir von den Veterans Intelligence Professionals for Sanity (VIPS) haben es untersucht. Unter uns sind mehrere technische Spezialisten, darunter Kirk Wiebe und ich und einige andere, und einige Partner in Großbritannien, die sich ebenfalls dem Analyseprozeß angeschlossen haben. Und wir haben uns die von WikiLeaks geposteten Dateien angesehen, denn die Behauptung lautete ja von Anfang an, Rußland hätte das DNC gehackt und die E-Mails zur Veröffentlichung an WikiLeaks gegeben – was die taten, sie haben sie veröffentlicht. Wir schauten uns also diese E-Mails an, um zu sehen, ob es dort etwas gibt, was uns eine Vorstellung davon geben könnte, wie WikiLeaks an diese Daten gekommen ist.
Nun, in allen 35.813 E-Mails, die sie in den drei Datensätzen veröffentlicht haben – einer wurde, nach dem Datum der letzten Änderung, am 23. Mai [2016] heruntergeladen, ein weiterer am 25. Mai und einer am 26. August 2016. Alle diese Dateien, alle 35.813, hatten als Zeitangabe der letzten Änderung eine geradzahlige Sekunde. Sie endeten also alle in geraden Sekunden.
Wer etwas über Datenverarbeitung und Datenspeicherung und solche Dinge weiß, kennt das: Es gibt ein Programm, das in der Vergangenheit recht gebräuchlich war, das verwendet die sogenannte FAT-Dateiformatierung, die Dateizuordnungstabelle, und diese Anwendung rundet bei der Stapelverarbeitung von Daten und ihrer Übertragung auf ein Speichergerät, wie einen USB-Stick oder eine CD-ROM, die letzte Änderungszeit auf die nächste gerade Sekunde. Das ist also genau die Eigenschaft, die wir in all den von WikiLeaks veröffentlichten Daten gefunden haben. Das heißt, ganz einfach, diese Daten wurden auf ein Speichergerät – eine CD-ROM oder einen USB-Stick – heruntergeladen und physisch transportiert, bevor WikiLeaks sie veröffentlichen konnte.
Das bedeutete also, daß es sich nicht um einen „Hack“ [Datendiebstahl durch Hacker über das Internet] handelte. Egal, wie man es auch betrachtet: Wir sehen hier forensische Beweise, die besagen, daß die E-Mails des DNC nicht gehackt, sondern heruntergeladen und physisch zu WikiLeaks transportiert wurden.
Und dann hatten wir das andere Problem mit Guccifer 2.0. Guccifer 2.0 kam heraus, kurz nachdem Julian Assange angekündigt hatte, daß er E-Mails über Hillary Clinton und das DNC usw. habe. Wir haben uns das gesamte Material angesehen, das Guccifer 2.0 veröffentlichte und von dem er sagte, „hier sind die Sachen vom DNC, die ich gehackt habe“. Er behauptete, er habe einen Hack am 5. Juli und einen weiteren am 1. September 2016 durchgeführt.
Die von ihm veröffentlichten Daten enthielten eine Reihe von Dateien mit Dateinamen, der Anzahl der Zeichen in der Datei und einem Zeitstempel am Ende der Datei; dann die nächste Datei, die Anzahl der Zeichen und den Zeitstempel und so weiter, für wer weiß wie viele Dateien, Tausende von Dateien. Wir sahen uns all diese Dateien an und ließen ein Programm laufen, um die Übertragungsrate all dieser Daten zu berechnen. Dazu muß man nur die beiden Zeitstempel, den Dateinamen und die Anzahl der Zeichen in der Datei anschauen und die Differenz zwischen den Zeiten ermitteln, und das ist die Übertragungsrate für diese Anzahl von Zeichen. Wir fanden heraus, daß die Bandbreite zwischen 14 und 49,1 MB/sec lag – das bedeutet, 19 bis 49 Millionen Zeichen pro Sekunde. Und wir sagten, daß das Internet, das World Wide Web diese Übertragungsrate nicht bewältigen könnte – nicht für jemanden, der nur ein Hacker ist, der über das Netz kommt und das versucht. Eine Übertragung mit diesem Tempo ist technisch nicht möglich.
Und einige Leute dachten, wir irrten, es sei doch machbar. Und so sagten wir: Okay, wir versuchen es. Wir organisierten einige Hacker in Europa, die versuchten, einen Datensatz aus den USA nach Europa zu übertragen, um zu sehen, wie schnell man ihn dorthin bringen könnte. Und wir versuchten das von Albanien und Serbien, einigen Orten in den Niederlanden und von einem Datenzentrum in London aus. Heraus kamen verschiedene Raten, aber die höchste Rate, die wir erhielten, war die zwischen dem Datenzentrum in New Jersey und einem in London, und das waren 12 MB/s. Das ist etwas weniger als ein Viertel der Rate, die notwendig ist, um die Übertragung mit der höchsten Rate durchzuführen, die wir bei den Guccifer-2.0-Daten gesehen hatten. Und das bedeutete: Es ging nicht über das Netz!
Tatsächlich waren die Übertragungsraten, die wir erreichen konnten, also von der maximalen Rate weit entfernt. Und so sagten wir: OK, wenn jemand eine Möglichkeit hat, das zu erreichen, laßt es uns wissen, und wir werden Ihnen dabei helfen, das zu versuchen.“ Und bis jetzt hat sich niemand gemeldet, der die Fakten über die Zeiten der zuletzt geänderten DNC-Daten oder die Übertragungsraten für Guccifer 2.0 in Frage gestellt hätte.
Außerdem gibt es noch einen weiteren Faktor, genau genommen sogar noch zwei weitere. Wenn man bei den Guccifer-2.0-Dateien, den Dateien vom 5. Juli und den Dateien vom 1. September, Datum und Uhrzeit ignoriert, dann ergänzen sie sich wie ein Kartenspiel, das gemischt wurde. Die Löcher in den Dateien vom 5. Juli wurden durch die Dateien vom 1. September gefüllt! Das sagte uns, daß Guccifer 2.0 mit den Daten herumgespielt hat; er hat sie in zwei Datensätze aufgeteilt, behauptete dann, er habe zwei verschiedene Hacks durchgeführt, und nahm bei dem einen Datensatz eine Änderung an Datum und Stunde vor. Für uns war das also auch ein Hinweis auf eine Fälschung von Guccifer 2.0.
Dann gab es noch einen weiteren Faktor: Als Guccifer 2.0 am 15. Juni 2016 einige Dateien mit russischen Signaturen veröffentlichte, fanden unsere Kollegen in Großbritannien bei der Durchsicht der Daten mindestens fünf dieser Dateien – ich weiß nicht, ob es sich dabei um eine gründliche Durchsicht handelte, aber sie fanden fünf Dateien, die Guccifer 2.0 am 15. Juni 2016 mit russischen Signaturen veröffentlichte, von denen es aufgrund dieser Signaturen hieß, die Russen steckten dahinter. Sie fanden die gleichen fünf Dateien unter den Podesta-E-Mails, die von Wikileaks veröffentlicht wurden – und die hatten keine russischen Signaturen. Das bedeutete also, daß Guccifer 2.0 nachträglich russische Signaturen eingefügt hat, um es so aussehen zu lassen, als hätten die Russen den Hack gemacht.
Wenn man nun noch einmal zur Vault-7-Veröffentlichung von WikiLeaks zurückgeht, zu den CIA-Dokumenten, und sich das anschaut: Die haben dieses Programm Marble Framework, das die Dateien so modifiziert, daß sie aussehen, als hätte jemand anderes den Hack durchgeführt. Und wer waren die Länder, für die das im Rahmen des Marble-Framework-Programms möglich war? Nun, eines war Rußland, die anderen sind China, Nordkorea, Iran und arabische Länder. Die fälschliche Einfügung russischer Signaturen bedeutet, daß jemand die Datei modifiziert hat, was so aussieht, als wäre es FITS gewesen – die Marble-Framework-Definition für derlei Aktivitäten. Und das heißt, daß das ganze Guccifer-2.0-Material auf die CIA als Ursprung hindeutet.
Das sind die grundlegenden Beweise, die wir haben, und nichts davon deutet auf Rußland. Tatsächlich können wir überhaupt nichts finden, was auf Rußland hinweist. Als der Mueller-Bericht und die Rosenstein-Anklage einige angebliche „Trolle“ für die russische Regierung namentlich nannten – die IRA, die Internet Research Agency aus St. Petersburg in Rußland, sie wurde in einem Gerichtsdokument genannt –, da sagte die IRA dort drüben, wir sind in keiner Weise mit der russischen Regierung verbunden, und sie schickten ihre Anwälte, um dies vor einem Gericht hier in den USA anzufechten! Und das Gericht forderte die US-Regierung auf, es zu beweisen, und sie konnten es nicht, sie konnten überhaupt nichts beweisen! Und so hat der Richter sie im Grunde genommen getadelt und gesagt, daß sie die Firma IRA nie wieder in irgendeiner Weise mit der russischen Regierung in Verbindung bringen dürfen! So fiel ihre ganze Klage auseinander! Alles. Es sieht so aus, als ob die Guccifer-2.0-Dateien eine Fälschung waren – der angebliche Hack und so weiter, alles Fälschungen.
Sogar wenn man sich einige der Zeugenaussagen des CrowdStrike-Chefs – ich glaube, sein Name ist Shawn Henry – anschaut, da sagte er, wir haben keine Hinweise auf eine Exfiltration [der Dateien], aber wir haben Beweise dafür, daß sie exfiltriert wurden. Nun, wenn er von den Zeitstempeln der letzten Änderung spricht, als Hinweis auf eine Exfiltration der Daten, das war es auch. Aber es geschah nicht durch einen Hack, sondern durch einen Download!
Dieser Download ist also ein Hinweis darauf, daß das lokal durchgeführt wurde, genau wie die Guccifer-2.0-Daten, die nicht über das Netz laufen konnten. Es war ein lokaler Download, all diese Dinge geschahen vor Ort. Tatsächlich wiesen die meisten Daten auf dem Guccifer-2.0-Material Zeitstempel auf, die darauf hinweisen, daß es an der Ostküste der Vereinigten Staaten gemacht wurde. Wir hatten einen in der Central-Time-Zone und einen an der Westküste, aber die meisten fielen an die Ostküste. Das deutete also darauf hin, daß all diese Dinge an der Ostküste geschahen, und auch das deutete für uns direkt auf die CIA als Ursprung dieser ganzen Fälschung hin.