Praetox war ein begeisterter Softwareentwickler; unter anderem schrieb er Cheats für das Online-Rollenspiel Tibia und ein Programm, das die übereinanderliegenden Fenster auf dem Desktop durchscheinend machte. Außerdem war er in der Chan-Kultur zu Hause und benutzte das Cartoonbild eines Schilds „Der Pool ist geschlossen“ für seinen YouTube-Account. Der Name LOIC ist von einer imaginären Waffe aus dem Videospiel Command and Conquer übernommen. Von allen seinen Schöpfungen sollte diese Praetox’ Vermächtnis werden.
Ursprünglich scheint er die LOIC als Open-Source-Projekt geschrieben zu haben; jeder Nutzer konnte also den Quellcode verbessern. Ein Programmierer mit dem Spitznamen NewEraCracker brachte einige Veränderungen ein, damit die LOIC auch sinnlose Anfragen oder „Pakete“ an einen Server schicken konnte, womit sie ihre heutige Form hatte. Damals waren Pakete die Grundlage des Internets. Besuchte man eine Webseite oder versendete man eine E-Mail, so verschickte man eine Reihe von Paketen. Sie umfassten gewöhnlich 1000 bis 1500 Bytes und entsprachen etwa einem adressierten Briefumschlag in der gewöhnlichen Post. „Paketschnüffeln“ bedeutete, dass man versuchte, aus der „Beschriftung“ des Pakets auf seinen Inhalt zu schließen. Die Daten, die es enthielt, konnten verschlüsselt sein, aber das Paket selbst nannte immer Absender und Empfänger.
Eine DDoS-Attacke kann man etwa mit der Absendung Tausender von Reklamebriefen an jemanden vergleichen, der gezwungen ist, sie alle zu öffnen und zu lesen. Eine mögliche Abwehrstrategie ist das „Filtern“, vergleichbar etwa einer Anweisung an den Pförtner, Post eines bestimmten Absenders nicht anzunehmen. Aber DDoS-Schutz kostet Geld, und es ist schwierig, die LOIC-Pakete herauszufiltern, weil sie von vielen verschiedenen Absendern stammen. Wenn sich genug Nutzer zusammenfanden und das Programm gleichzeitig gegen dieselbe Webseite einsetzten, konnten sie diese mit unerwünschten Anfragen so überladen, dass sie offline gehen musste. Die Wirkung ähnelte also einem Botnet, aber anstelle infizierter Rechner von Unwissenden waren hier Freiwillige am Werk.
Ein großer Unterschied lag in der Effektivität. Die Auswirkungen eines LOIC-Angriffs waren viel unberechenbarer als die eines traditionellen Botnets, weil hier auch Beliebtheit und menschliches Versagen eine Rolle spielten. Vielleicht brauchte man 4000 Nutzer, um eine große Firmenwebseite lahmzulegen, ungefähr so, wie man auch 4000 Pistolenschützen brauchte, um ein Haus zum Einsturz zu bringen. Für die selbst gemachte kleine Webseite eines einzelnen Internet-Users genügen bereits einige Hundert. Der Vorteil der LOIC war, dass man sie umsonst und leicht bekam – von einer Torrent-Webseite oder aus dem /rs/-Forum von 4chan selbst.
Teil einer Rebellenarmee
Einer der mehreren Hundert Menschen, die sich die LOIC für eine der ersten spontanen Scientology-Aktionen herunterluden, war ein College-Student der Iowa State University namens Brian Mettenbrink – achtzehn Jahre alt, zerzaustes braunes Haar, Bartträger. Im Januar 2008 saß er eines Tages in seinem Wohnheimzimmer am Rechner, als er auf seiner Lieblingswebseite 7chan einen Post über den Scientology-Raid entdeckte. Die Scientologen waren ihm gleichgültig, aber die Welt der IT-Sicherheit interessierte ihn, und er glaubte, dass er viel über die andere Seite seines Geschäfts lernen könne, wenn er selbst an einem Angriff teilnahm. Außerdem waren schließlich so viele Leute dabei, dass ihn niemand erwischen würde.
Mettenbrink, seit seinem fünfzehnten Lebensjahr ein regelmäßiger Gast auf 4chan, holte sich also im /rs/-Forum dieser Seite die LOIC-Software. Das dauerte nur einige Sekunden, und in Gestalt einer Readme-Datei war auch eine Bedienungsanleitung dabei. Das Programm vermittelte den Eindruck, als werde der Nutzer zum Teil einer Rebellenarmee. Als Mettenbrink das LOIC-Programm öffnete, erschien ein Fenster im Star-Wars-Design mit dunkel- und hellgrünen Textkästchen und einem manipulierten Bild der Anti-Orbital Ion Cannon aus dem Film Star Wars: The Clone Wars, die einen breiten grünen Laserstrahl gegen einen Planeten abfeuerte.
Es gab eine Option „Zielauswahl“ – dazu musste man die gewünschte URL eingeben – und einen Button „Zielerfassung“. Hatte man das Ziel erfasst, zeigte ein großes Kästchen in der Mitte die IP-Adresse des Servers, und das Programm bereitete sich auf den Angriff vor. Dann erschienen ein Button „LASER WIRD GELADEN“ und Optionen für die Konfiguration des Angriffs. Während der ersten Angriffe auf Scientology war die LOIC immer im „manuellen“ Modus, was bedeutete, dass die Nutzer selbst entschieden, wohin und wann sie feuerten und welche Art Pakete sie senden wollten.
Lief der Angriff, erschien ganz unten eine Statusleiste, die zeigte, ob das Programm wartete, eine Verbindung herstellte, Daten anforderte, Daten herunterlud oder stillstand. Wenn es Daten anforderte, erschien eine rasch ansteigende Zahl. Wenn diese nicht mehr wuchs, war entweder die LOIC abgestürzt oder die Zielwebseite zusammengebrochen. Das konnte man überprüfen, indem man dort nachsah – bekam man die Meldung „Zeitlimit überschritten“, war die Mission geglückt.
Riskante Aktionen der Ahnungslosen
Mettenbrink fühlte sich nicht besonders heldenhaft, als er die LOIC zum ersten Mal gegen Scientology.org abfeuerte, insbesondere, weil das Programm sofort abstürzte. Er überprüfte die Konfigurationen, startete es neu, minimierte das Fenster und kehrte zu seiner alten Beschäftigung zurück, nutzlos auf 7chan herumzuhängen. Anders als Gregg Housh war Mettenbrink kein engagierter Chanology-Teilnehmer. Er machte sich nicht die Muhe, einen IRC-Chatroom wie #xenu zu besuchen oder sich zu informieren, was Anonymous als Nächstes vorhatte. Stattdessen ließ er die LOIC einfach mehrere Tage und Nachte im Hintergrund laufen und vergas sie schließlich ganz. Erst als ihm auffiel, dass sie seine Internetverbindung verlangsamte, schaltete er sie ab – nach etwa drei Tagen.
„Ich bin nicht verantwortlich dafür, wie du mit diesem Tool umgehst“, hatte der LOIC-Programmierer NewEraCracker in einem Warnhinweis geschrieben, als er seine veränderte Version ins Netz stellte. „Gib also nicht mir die Schuld, wenn du geschnappt wirst, weil du Server angegriffen hast, die dir nicht gehören.“ Es war eigentlich unbedingt erforderlich, die LOIC nur über ein anonymisierendes Netzwerk wie Tor zu betreiben, um die eigene IP-Adresse vor dem Angriffsziel und der Polizei zu verbergen. Aber es gab jede Menge Ahnungslose wie Mettenbrink, die die LOIC direkt von ihrem Schreibtischrechner aus betrieben, ohne sie irgendwie zu maskieren, entweder weil sie nicht wussten, wie man es anstellte, oder weil ihnen nicht klar war, dass der Einsatz der LOIC illegal war.
