Jacob Appelbaum

Jacob Appelbaum auf der H.O.P.E.-Konferenz in New York City 2008

Jacob „Jake“ Appelbaum (* 1983) ist ein US-amerikanischer Internetaktivist und Spezialist für Computersicherheit.^[1] Er ist aktuell beim Tor-Projekt beschäftigt.^[2]

Appelbaum ist vor allem bekannt durch seine Forschung an der Kaltstartattacke.^[1][3]

Aktivitäten[Bearbeiten]

Appelbaum als Sprecher auf dem 29C3

Auf dem 22C3 hielt Appelbaum zwei Vorträge. In seinem Vortrag Personal experiences bringing technology and new media to disaster areas berichtete er über seine Reise in den Irak im April 2005 und seine Reise nach New Orleans nach dem Hurrikan Katrina. Seine Motivation für die Reisen war sein kranker Vater, der im Dezember 2004 ermordet wurde.^[4] Über beide Reisen bloggte er, wobei er den Fokus auf Videos und Interviews legte. Seine Fotos veröffentlichte er dabei unter einer Creative-Commons-Lizenz. Sein zweiter Vortrag A discussion about modern disk encryption systems war eine Übersicht über verschiedene Festplattenverschlüsselungsmethoden in verschiedenen Betriebssystemen, sowie der rechtliche Status in Deutschland, dem Vereinigten Königreich und den USA. Dabei zeigte er, dass Apples FileVault unsicher ist und man mit wenig Aufwand die verschlüsselten Container auslesen kann.^[5]

Auf dem 25C3 hielt er zusammen mit David Molnar, Marc Stevens, Arjen Lenstra, Benne de Weger, Alexander Sotirov, Dag Arne Osvik einen Vortrag mit dem Titel MD5 considered harmful today: Creating a rogue CA Certificate, in dem er einen erfolgreichen Angriff auf das X.509-Zertifikatssystem demonstrierte. Mittels eines Kollisionsangriffs auf die Hash-Funktion MD5 war es möglich, ein gefälschtes CA-Zertifikat zu erstellen, das von der Zertifizierungsstelle Equifax (vermarktet als RapidSSL) als vertrauenswürdig eingestuft wurde. RapidSSL hatte in einem automatischen Vorgang ein harmloses Zertifikat der Angreifer signiert, dessen MD5-Hash jedoch identisch zu einem gefälschten CA-Zertifikat war.^[6][7] Mit einem CA-Zertifikat lassen sich neue SSL/TLS-Zertifikate auf beliebige Namen ausstellen, um so etwa vermeintlich sichere HTTPS-Verbindungen zum Angreifer umzuleiten. Das Verfallsdatum des CA-Zertifikats war absichtlich auf das Jahr 2004 eingestellt, damit das Zertifikat über den Proof of Concept hinaus nicht für tatsächliche Angriffe verwendet werden konnte. Als Reaktion auf den Angriff wechselten RapidSSL und andere X.509-Zertifizierungsstellen zur Hash-Funktion SHA-1.

Auf dem 29C3 in Hamburg hielt Appelbaum die Keynote, in der er sich gegen staatliche Überwachung aussprach und zur Teilnahme am Tor-Netzwerk aufforderte.^[8]

Appelbaum ist Gründer des Hackerspace „Noisebridge“ aus San Francisco, als Fotograf tätig^[9], sowie Repräsentant der Künstlergruppe „monochrom“. Daneben war er bei Greenpeace, der Ruckus Society und dem Rainforest Action Network aktiv.^[10][11]

Unterstützung für WikiLeaks[Bearbeiten]

Weiterhin gilt Appelbaum als freiwilliger Unterstützer von WikiLeaks. Bereits Anfang 2010 war er der Gruppe bei der Vorbereitung der Isländischen Initiative zu modernen Medien behilflich.^[12] Er vertrat Julian Assange im Juli desselben Jahres bei einem Vortrag auf der Hackerkonferenz „H.O.P.E.“ in New York City.^[13] Die Organisatoren der Konferenz meldeten, dass vier Beamte des Ministeriums für Innere Sicherheit dort nach Assange gesucht hätten.^[14] Nach dem Vortrag lenkte ein Doppelgänger die Konferenzbesucher ab, er selbst entwich zum Flughafen.^[13]

Am 29. Juli 2010 wurde er bei der Wiedereinreise in die USA von einem Mitarbeiter der U.S. Immigration and Customs Enforcement, einer dem Ministerium für Innere Sicherheit unterstellten Behörde, und einem Mitglied der US Army festgesetzt und verhört.^[13] Sein Laptop wurde zunächst beschlagnahmt, aber er bekam diesen kurze Zeit später wieder zurück, da dieser anscheinend keine unverschlüsselte, durchsuchbare Festplatte enthielt.^[15] Als Grund für die Festsetzung wurde die Teilnahme an der Hackerkonferenz „H.O.P.E.“ genannt.^[13] Die Vernehmung dauerte drei Stunden, bei der sich die US-Behördenvertreter unter anderem über den aktuellen Aufenthaltsort von Assange erkundigten.^[16] Seinen Anwalt durfte Appelbaum in dieser Zeit nicht anrufen.^[16] Bei seinem Vortrag auf der DEF CON am 31. Juli erwähnte er, dass seine Mobiltelefone beschlagnahmt wurden. Nach dem Vortrag wurde er von FBI-Agenten befragt.^[17]

Ungefähr zur selben Zeit veröffentlichte WikiLeaks auf der Afghan-War-Diary-Webseite sowie über BitTorrent eine 1,4 GB große Datei mit dem Namen insurance.aes256 (englisch insurance – Versicherung).^[18] Der Inhalt und ob die Datei tatsächlich mit AES256 verschlüsselt ist, ist bisher unbekannt.

Appelbaum gehört zu den Personen, die von einem Auskunftsersuchen der US-Regierung an Twitter betroffen sind. Seit Dezember 2010 bemüht sich das amerikanische Justizministerium, von Twitter persönliche Daten über Unterstützer von WikiLeaks zu erhalten.^[19] Dabei blieb es bis Oktober 2011 erfolglos, im November entschied ein Bundesbezirksgericht in Virginia jedoch, dass Twitter die Daten herausgeben müsse.^[20]

Der Internetprovider Sonic.net Inc. gab auf Druck der US-Regierung Informationen über Appelbaum preis.^[21][22]

Werk[Bearbeiten]

•  Jacob Appelbaum, Julian Assange, Andy Müller-Maguhn, Jérémie Zimmermann: Cypherpunks. Freedom and the Future of the Internet. OR Books, New York 2012, ISBN 978-1-939293-00-8.

Literatur[Bearbeiten]

• Jacob Appelbaum: "Benutzt am besten gar keine Mobiltelefone" in DIE ZEIT vom 8. Februar 2012.

Weblinks[Bearbeiten]

 Commons: Jacob Appelbaum – Sammlung von Bildern, Videos und Audiodateien

• Archiv seiner persönlichen Website (englisch)
• Twitter
• Archiviertes Blog
• How to bypass FileVault, BitLocker security auf CNET (englisch)

Einzelnachweise[Bearbeiten]

1. ↑ ^{a b} John Markoff: Researchers Find Way to Steal Encrypted Data. The New York Times, 22. Februar 2008, abgerufen am 2. August 2010. 
2. ↑ Tor-Projekt-Website
3. ↑ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, Edward W. Felten: Lest We Remember: Cold Boot Attacks on Encryption Keys. Princeton University, 21. Februar 2008, abgerufen am 2. August 2010. 
4. ↑ Jacob Appelbaum: Personal experiences bringing technology and new media to disaster areas. 28. Dezember 2005, abgerufen am 5. August 2010 (MK4-Datei, 482,5 MB, englisch). 
5. ↑ Jacob Appelbaum: A discussion about modern disk encryption systems. 30. Dezember 2005 (MK4-Datei, 437,7 MB, oder PDF-Datei, 549 kB, englisch).
6. ↑ Christiane Rütten: 25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem. Heise online, 30. Dezember 2008, abgerufen am 2. August 2010. 
7. ↑ Jacob Appelbaum, David Molnar, Marc Stevens, Arjen Lenstra, Benne de Weger, Alexander Sotirov, Dag Arne Osvik: MD5 considered harmful today: Creating a rogue CA Certificate. 30. Dezember 2008 (auch als MK4-Datei, 473,4 MB).
8. ↑ Stefan Krempl (Heise): 29C3: Aufruf zum Widerstand gegen den Überwachungsstaat, 27. Dezember 2012. Abgerufen am 10. Januar 2013.
9. ↑ Ingmar Zahorsky: Talk w/ Jacob Appelbaum. 24. Oktober 2006, archiviert vom Original, abgerufen am 2. August 2010. 
10. ↑ The American Wikileaks Hacker. Abgerufen am 2012-27-11 (englisch). 
11. ↑ TEDxFlanders 2012 Introspection: Jacob Appelbaum, abgerufen am 10. Januar 2013.
12. ↑  Marcel Rosenbach, Holger Stark: Staatsfeind WikiLeaks. Wie eine Gruppe von Netzaktivisten die mächtigsten Nationen der Welt herausfordert. S.114–116. Deutsche Verlags-Anstalt, München 2011, ISBN 9783421045188.
13. ↑ ^{a b c d} Marcel Rosenbach: Konflikt um Afghanistan-Protokolle: US-Behörden setzen WikiLeaks-Aktivisten unter Druck. Spiegel Online, 1. August 2010, abgerufen am 1. August 2010. 
14. ↑ US-Behörden machen ernst: Jagd auf Wikileaks. Frankfurter Rundschau, abgerufen am 2. August 2010. 
15. ↑ Rob Beschizza: Wikileaks volunteer detained. Boing Boing, 31. Juli 2010, abgerufen am 3. August 2010. 
16. ↑ ^{a b} Werner Pluta: Afghanistan-Dokumente: US-Beamte verhören Wikileaks-Mitarbeiter. Golem.de, 1. August 2010, abgerufen am 1. August 2010. 
17. ↑ Elinor Mills: Researcher detained at U.S. border, questioned about Wikileaks. CNET, 31. Juli 2010, abgerufen am 2. August 2010. 
18. ↑ Kim Zetter: WikiLeaks Posts Mysterious ‘Insurance’ File. Wired, 30. Juli 2010, abgerufen am 1. August 2010. 
19. ↑ Spiegel online am 8. Januar 2011: US-Justizministerium verlangt Zugriff auf Twitter-Daten. Abgerufen am 9. Januar 2011. 
20. ↑ Forbes am 10. November 2011: Court Rules Against WikiLeakers: Twitter Data Isn't Secret, Government Orders Are. Abgerufen am 11. November 2011 (englisch). 
21. ↑ Spiegel Online am 10. Oktober 2011: Anordnung der US-Regierung. Internetfirmen sollen WikiLeaks-Helfer bloßstellen. Abgerufen am 10. Oktober 2011. 
22. ↑ The Wall Street Journal am 10. Oktober 2011: Secret Orders Target Email. WikiLeaks Backer's Information Sought. Abgerufen am 10. Oktober 2011 (englisch).