News & Trends
Tech-telmechtel Folge 255: Disney+-Abmahnung, CIA-«Star Wars»-Webseite, «Lilo & Stitch», «Cash Cleaner Simulator»
von Philipp Rüegg
Eine Star-Wars-Website für CIA-Agenten war nur oberflächlich eine gute Idee
28.5.2025
Um 2010 herum nutzte die CIA schlampig programmierte Websites als Kommunikationsnetzwerk für ihre Auslandsquellen. Jetzt werden hunderte dieser Seiten bekannt.
Die Rechercheergebnisse des brasilianischen Webentwicklers Ciro Santilli lesen sich wie ein Spionage-Krimi. Es geht um die CIA, ihre Agenten im Nahen und Fernen Osten und um eine Star-Wars-Website. Und am Ende sterben Menschen.
Offenbar hat die CIA, der Auslandsgeheimdienst der USA, um das Jahr 2010 hunderte News- und Fan-Websites zur getarnten Kommunikation mit ihren Quellen vor Ort genutzt. Durch nachlässiges Programmieren und Hosten der Websites konnten gegnerische Geheimdienste diese aufdecken und inländische Agenten enttarnen. Das ist zwar schon mehr als ein Jahrzehnt her, doch erst jetzt wird der Umfang dieses Kommunikationsnetzwerks öffentlich.
Die CIA und ihre Star-Wars-Fanseite
Santilli begab sich auf die Suche nach den versteckten CIA-Websites und stieß unter anderem auf eine Fanseite über Star Wars. Sie war unter der Adresse starwarsweb.net erreichbar. Heute leitet die URL auf die Startseite der CIA weiter. Für seine Recherche nutzte Santilli öffentlich verfügbare Informationen, unter anderem das Online-Tool Wayback Machine, mit dem sich frühere Versionen verschiedenster Websites ansehen lassen.
Vom 30. Dezember 2010 existiert ein Abbild von starwarsweb.net, das noch immer zugänglich ist. Die Seite scheint keinen großen Mehrwert zu bieten. Es handelt sich um eine Linksammlung und Empfehlungen zu Star-Wars-Themen, zum Beispiel «Master Yoda’s favourite games». Mehr Tiefe musste die Seite nicht bieten, denn sie sollte nur den oberflächlichen Schein wahren. Tatsächlich diente sie der Kommunikation zwischen Quelle und CIA-Kontakt.
Quelle: starwarsweb.net/Wayback Machine
Enttarnt durch den öffentlich sichtbaren Quellcode
Bereits 2018 hatte ein Bericht von Yahoo darauf aufmerksam gemacht. 2022 folgte eine Reuters-Reportage, die deutlich macht, wie die Enttarnung der Agenten gelang. Sie zeigt auf, dass durch die Nachlässigkeit der CIA zwischen 2010 und 2013 die Identität von Agenten im Iran aufgedeckt wurde. Sie hatten Informationen über die Standorte von Urananreicherungsanlagen im Iran an die US-Behörde weitergegeben. Nach ihrer Festnahme folgten langjährige Haftstrafen oder gar Exekutionen.
Im Zentrum dieser Nachlässigkeit stehen die CIA-Websites. Das Kommunikationssystem funktionierte offenbar unter anderem so: Auf den Websites gab es ein Suchfeld, das jedoch eigentlich als Eingabefeld für ein Passwort diente. Durch das korrekte Login konnten die Quellen in einem neu geöffneten Feld Nachrichten eingeben, die an die Websitebetreiberin – die CIA – übermittelt wurden.
Das Problem: Der Seitenquellcode, der für jeden einsehbar ist, macht den wahren Zweck der Suchleiste klar. Im Quellcode ist als Eingabetyp für die Suchleiste «password» hinterlegt. Damit weiß der Server, dass es sich bei der Eingabe nicht um Suchbegriffe handelt, sondern um einen Login-Versuch.
Für Außenstehende besucht der Agent lediglich eine beliebige Website. Doch wer deren Zweck kennt, kann durch die Passworteingabe Zugriff auf die Kommunikationskanäle erlangen. Aus Sicht von Sicherheitsexperten ist das eine Katastrophe. In China führte die Enttarnung zur Tötung zahlreicher Agenten.
Weitere Indizien für die Verifizierung von CIA-Websites
Santilli zeigt auf, dass das Suchfeld nur eine von mehreren Indizien ist, die die Nutzung einer Seite im Dienste der CIA nahelegen. Die Star-Wars-Seite hat zum Beispiel gar kein Suchfeld. Die Seite weist aber mehrere Merkmale auf, die mit denen anderer CIA-Seiten übereinstimmen, etwa ein ähnlicher Aufbau, Gemeinsamkeiten beim Domainnamen sowie bei den genutzten Kommunikationsmechanismen Java JAR, JavaScript, Adobe Flash SWF und CGI.
Das gravierendste Betriebsicherheitsversagen der CIA ist laut Santilli die Verwendung von aufeinanderfolgenden IP-Adressen für mehrere Websites. Ist eine Seite erst einmal enttarnt, lassen sich im benachbarten IP-Bereich ebenfalls mögliche CIA-Kandidaten finden.
Während seiner Recherche fand Santilli hunderte weitere Internet-Adressen, die sich dem Kommunikationsnetzwerk zuordnen lassen. Die Liste der Websites sowie sein Vorgehen sind hier dokumentiert. Anhand der Sprache der Website lässt sich eingrenzen, wo die involvierten Quellen tätig waren – unter anderem im deutsch- und italienischsprachigen Raum.
Titelbild: starwarsweb.net/Wayback Machine
Fühlt sich vor dem Gaming-PC genauso zu Hause wie in der Hängematte im Garten. Mag unter anderem das römische Kaiserreich, Containerschiffe und Science-Fiction-Bücher. Spürt vor allem News aus dem IT-Bereich und Smart Things auf.
Filme und Serien
Folge Themen und erhalte Updates zu deinen Interessen
6 Kommentare
later