Sie sind seit dem Hack von Carders am 19. Mai 2010 nahezu jedem in der Szene ein Begriff: Die Happy Ninjas.
Danach wurde es still um sie, doch um Weihnachten 2010 kam nochmal ein Hammer dazu: FreeHack, Carders, Ettercap, Offsec und inj3ct0r auf einen Schlag gehackt, VPN24 und Swissfaking folgen knapp ein Monat darauf und um n!sk aka Debian aka „Pro of Szene“ das Geschäft zu vermiesen, auch noch die HBA-Datenbank vor einigen Wochen.
Interessant zu beobachten ist, welches Ansehen die Ninjas in der Kiddieszene so erworben haben. Schon nach dem ersten Hack (der anscheinend nicht wirklich herausfordernd war) wurden die Unbekannten in die Wolken gelobt und vergöttert. Sprüche wie „Die Ninjas ownen euch eh bald“ machen seitdem die Runde und plötzlich sind Hacks wieder eine Alternative zu DDoS und infecten. Doch woher kommt diese Faszination und wer sind die Ninjas? Fragen, die ich hier so gut es möglich ist beantworten möchte:
Zum einen bauen die Happy Ninjas schon eine Art Aura mit ihrem bloßen Auftreten auf. Im Gegensatz zu anderen szenebekannten „Hackergruppen“ (auch aus dem arabischen Raum) gibt es keine krasse Homepage, keine ultimativen Defaceseiten mit Youtubeframes, keine Nicknamen, kein Twitteraccount oder ähnliches, sondern einfach nur jeweils ein ziemlich ausführliches (englischsprachiges) Ezine zu jedem durchgeführten Hack, in dem die mangelhafte Serversicherheit bloßgelegt wird und der ganze Server im Grunde gläsern gemacht wird. Gespickt wird dies mit bissigen, teils ironischen Kommentaren und der eigenen Ansicht der Dinge – aber doch alles recht schlicht.
Als Leser dieser Ezines bleiben viele Fragen offen: Was genau war die Lücke, wie sind die Ninjas eingedrungen, wie lange waren sie schon auf dem Server, warum haben es die Serveradmins nicht gemerkt und vor allem: Wer sind diese Leute? Das alles lässt natürlich enorme Gerüchte aufkommen, die durch die allgemeine Unwissenheit noch angeheizt werden:
Die Happy Ninjas bestehen nur aus einem einzelnen begabten Hacker, der sein Unwesen treibt und sich einen Spaß aus schlechten Serveradmins macht
Die Ninjas sind eigentlich gar nicht so gut. Die haben einfach nur die richtigen Exploits gekauft
Die Ninjas sind ein Verbund aus früheren Mitgliedern der Szene, denen Fraud auf den Sack geht und die größten Boards dafür zur Rechenschaft ziehen wollen, um die alte Szene wieder aufleben zu lassen
Die Ninjas haben gute Kontakte zu bekannten Szenehostern ala Heihachi, 2×4, wahome etc und bezahlen Geld für Serveraccess
Die Ninjas sind eigentlich erfahrene IT-Kriminalbeamte, die über einen eigentlich verbotenen Hack an die DBs von Boards kommen wollen, um IPs und andere Beweise zu sichern
Die Happy Ninjas stammen von Back2Hack, eventuell auch aus der Administrationsriege
An dieser Stelle mache ich mal Schluss, denn es gibt noch viele andere Vermutungen, doch einige Gerüchte kann man recht leicht aus der Welt schaffen.
Zu 1: Es wäre durchaus möglich, würde aber wenig Sinn machen. Nicht umsonst bestehen viele (auch legale) Hackerteams aus mehreren Leuten, da sich so Aufgaben viel besser aufteilen lassen und mehr Wissen zur Verfügung steht.
Zu 2: Das mag bei vBulletinboards sein, aber was ist mit Ettercap, Offsec und inj3ct0r? Die hatten keine fertigen Exploits und außerdem sprechen weitere Indizien in den Ezines eher für breites Securitywissen
Zu 3: Schon eher möglich, allerdings halte ich diese „alte Experten kommen zurück und wollen alles revolutionieren“-Sache für unwahrscheinlich
Zu 4: Siehe 2. Wie sollen sie an die professionellen Hoster von anderen Zielen gekommen sein?
Zu 5: Selbst dann würden DBs nicht als Beweis dienen. Außerdem wäre dann das Releasen von Ezines absolut sinnbefreit
Zu 6: Back2Hack ist immerhin noch eines der erfahrensten Securityboards in der deutschen Szene, außerdem ist der Admin „Administrator“ ein komplett unbeschriebenes Blatt. Wahrscheinlicher wäre eher, dass zumindest einige Mitglieder der Ninjas dort als normale User aktiv sind
Diese Gerüchte sind also alle recht unbrauchbar, also muss man noch ein paar weitere Hinweise sammeln. Ich muss zugeben, dass mich diese Gruppe schon seit dem ersten Hack brennend interessiert und mittlerweile habe ich auch einige Indizien gefunden, die auf ein paar teils bekannte, teils unbekannte User schließen lassen. Einige waren auf FreeHack aktiv, andere sind es auf Back2Hack bzw. bestimmten IRC-Channels. Viele der mutmaßlichen Mitglieder sind junge Leute, etwa in Studentenalter, haben auch Kontakt zur bekannteren Szene, aber soweit mir bekannt kaum auf Kiddieforen unterwegs.
Klar ist, dass die Ninjas defintiv keine Freunde von Fraud und der Kiddieszene sind, jedoch ist auch anzunehmen, dass sie nicht, wie mehrfach vermutet und befürchtet, nun enorm aktiv sein werden und einen Riesenhack durchführen wollen, der die ganze Fraudszene im Mark erschüttert, da sie wahrscheinlich auch gemerkt haben, dass der Hack von Carders.cc alles andere als negativ auf die Fraudszene gewirkt hat. Ebenfalls kann man davon ausgehen, dass die Ninjas sich keinem Board anschließen wollen oder ein eigenes gründen werden. Die DBs und etwaige Inhalte wie PSC oder UKash-Codes werden wahrscheinlich ebenfalls nicht zur finanziellen Selbstbereicherung genutzt.
Ich habe schon oben von bestimmten Usern gesprochen, die mir aufgefallen sind. Ich habe lange überlegt, diese hier zu posten oder meine oben genannten Indizien offen zu legen, mich aber dagegen entschieden. Zum einen ist es eben immer noch unbestätigte Spekulation, zum anderen würde es aber auch ein baldiges Ende der Happy Ninjas herbeiführen können, wenn denn wenigstens ein paar der Nicknamen stimmen. Ich stehe zwar zu lückenlosem Journalismus, aber die Happy Ninjas sind immer noch erfahrene Securityspezialisten, die in meinen Augen die richtigen Ziele haben, die auch schützenswert sind.
Entschuldigt diese Selbstzensur, ich hoffe dennoch, dass ich ein paar der Gerüchte mit ein paar Fakten wiederlegen konnte oder zumindest zum Selbstnachdenken anregen konnte.
