HBGary Federal zeigte zwar anderen Firmen, wie man sich vor Internet-Angriffen schützte, war aber selbst anfällig für eine einfache Form der Attacke namens SQL-Injection. Der betroffenen Firma konnte ein solcher Angriff sehr schaden. Wenn DDoS ein bloßer Faustschlag war, dann glich eine SQL-Injection der Entfernung lebenswichtiger Organe im Schlaf. Nachdem die Hacker sich einmal Zutritt verschafft hatten, forschten sie nach Namen und Passwörtern von Administratoren des Servers wie Barr und Hoglund. Wieder ein Treffer: Sie fanden eine Liste mit Nutzernamen und Passwörtern von HBGary-Mitarbeitern. Aber es gab eine Schwierigkeit: Die Passwörter waren verschlüsselt.
Sabu suchte sich drei zerhackte Passwörter aus, lange Reihen von Zufallszahlen und -buchstaben, die den Passwörtern von Aaron Barr, Ted Vera und einem anderen Manager namens Phil Wallisch entsprachen. Er stellte sie in ein Internet-Forum für Passwortknacker – Hashkiller.com. In wenigen Stunden hatten zufällig eingeloggte anonyme Freiwillige alle drei geknackt. Das Ergebnis:
4036d5fe575fb46f48ffcd5d7aeeb5af:kibafo33
Hinter der verschlüsselten Zeichenfolge erschien Aaron Barrs Passwort. Als das Team versuchte, mit „kibafo33“ die auf Google Apps gespeicherten Firmen-E-Mails von HBGary Federal abzurufen, gelang das problemlos. Die Hacker wollten ihren Augen nicht trauen. Am Freitagabend konnten sie schon live mitverfolgen, wie der ahnungslose Barr fröhliche E-Mails mit seinen Kollegen über den Artikel in der „Financial Times“ wechselte.
Barrs' Kardinalfehler
Nur mal so, weil es einen Versuch wert war, probierten sie „kibafo33“ auch bei Barrs anderen Accounts aus. Unglaublicherweise hatte Barr, immerhin ein Internet-Sicherheitsexperte, der es mit Anonymous aufnehmen wollte, bei fast allen dasselbe Passwort verwendet – Twitter, Yahoo, Flickr, Facebook, sogar bei World of Warcraft.
Die Gruppe beschloss, an diesem Tag noch nicht gegen Barr loszuschlagen. Sie wollten sich das Wochenende über Zeit nehmen und alle E-Mails herunterladen, die er während seiner Tätigkeit für HBGary Federal je gesendet oder empfangen hatte. Beim Lesen merkten sie allerdings, dass es doch ein bisschen dringender war: Schon am Montag hatte Barr einen Termin beim FBI. Als das Team alles mitgenommen hatte, was es finden konnte, wurde entschieden, dass der Anstoß des Super-Bowl-Spiels am Sonntag das Signal zum Losschlagen sein sollte. Das war in 60 Stunden.
Es war ein ganz normaler Samstag für Barr. Er war zu Hause bei seiner Familie und sendete und empfing beim Frühstück E-Mails über sein iPhone. Er hatte keine Ahnung, dass ein sieben Mann starkes Anonymous-Team dabei war, seine E-Mails zu durchsuchen, und dass die Hacker ziemlich aufgeregt über das waren, was sie soeben gefunden hatten: Barrs Anonymous-Recherchen.
Verhängnisvolles PDF-Dokument
Es handelte sich um ein PDF-Dokument, das mit einer ordentlichen, kurzen Erläuterung begann, worum es sich bei Anonymous handelte. Dann folgten Listen von Web-Seiten, eine Zeittafel kürzlicher Internet-Angriffe und jede Menge Spitznamen, denen Klarnamen und Adressen zugeordnet waren. Die Namen Sabu, Topiary und Kayla tauchten nicht auf. Doch langsam wurde den Hackern klar, wie Barr mithilfe von Facebook versucht hatte, Spitznamen und echte Namen zu verknüpfen.
In der Zwischenzeit hatte Tflow Barrs E-Mails auf seinen Server geladen. Er wollte die Daten auf der beliebtesten aller Web-Seiten für Online-Datentausch einstellen: Pirate Bay. Das hieß, schon sehr bald würde jeder Interessierte über 40.000 Mails von Barr herunterladen und lesen können. Am Sonntagmorgen, etwa elf Stunden vor dem Anstoß, hatte Tflow die Arbeit an den E-Mails von Barr, Vera und Wallisch abgeschlossen; die Pirate-Bay-Datei war fertig zur Veröffentlichung. Jetzt kam das Vergnügen, Barr zu sagen, was ihm bevorstand.
