Distributed Denial of Secrets: Fragen für ein exklusives Interview gesucht!

Komisches Kollektiv…
noch nie etwas von denen gehört…

Server steht bei: orangewebsite.com
Server IP: 82.221.129.17

ich würde tatsächlich sagen sehr gut abgesichert LOL

Okay, ab jetzt bitte Fragen und keine Aussagen.

Dann eben nochmal so, warum ist eurer Server so schlecht abgesichert?
Server IP und Hoster sind im obrigen Beitrag zu finden!

Ich weiß ja nicht, warum du deren Hosting für unsicher erachtest?? Aber für das, was die machen als Whistleblower, sind die ganz gut vernetzt!!
Für die ist der Standort Island mit einem isländischen Hoster enorm wichtig - denn Island garantiert, als einer der wenigen, echtes „Freedom Of Speech“!!
Desweiteren stehen alle isländischen Server im Thor Datacenter von „Advania Island ehf“. Und wer ThorDC kennt, weiß auch, dass dies eine sichere Kiste ist!!

Letzt endlich liegt auch nur das quasi Frontend in Island, also Webhosting und z.B. Mailing über Ice-Networks…Die gesamte Struktur ist eigentlich sehr weitläufig aufgeteilt, so das man beim Thema Sicherheit erstmal alles beleuchten muß, bevor man solch eine Behauptung aufstellt!!

data.ddosecrets.com - 188.40.57.120 - 95.216.171.179 - 95.216.35.95
www.ddosecrets.com - 82.221.129.17 - 198.54.117.212 - 198.54.117.215
whispers.ddosecrets.com - 95.217.13.131
mail.ddosecrets.com - 172.86.75.88 - 188.40.57.120 - 82.221.129.17
xray.ddosecrets.com - 95.217.165.39 - 185.21.217.34
hunter.ddosecrets.com - 188.40.57.120
ashmod.ddosecrets.com - 95.217.135.77

Nun mal zu den Fragen:

  • Da man euch den Daten-Server bei Hetzner in Frankfurt abgeschaltet hat, laufen die meisten DirectDownloads ja nicht mehr! Gibt es schon konkrete Pläne, um diesen zu ersetzen?
  • Bekommt ihr eure Leaks nur von außen durch Dritte angeliefert?
  • Wie verifiziert ihr die Leaks, die euch zugespielt werden auf Echtheit aus technischer Sicht?
  • Könnt ihr ausschließen, dass eure Quellen nicht eventuell staatlich gelenkte Dienste enthalten, die zu ihrem eigenen Vorteil agieren?
  • Die aktuelle „Wunschliste“ auf eurer Site ist recht lang! Habt ihr wirklich null Kontakt zu den entsprechenden Releasern?
  • Habt ihr zukünftig vielleicht vor, euch selber um die Beschaffung der gewünschten Daten-Leaks zu kümmern? Mit einer Gruppe aus den eigenen Reihen?
1 Like

Ich vermute mal, dass die wirklich brandgefährlichen Infos, nicht vernetzt gelagert werden. Auf einem (offenbar) so leicht zu findenden Server… Unwahrscheinlich, das was relevantes drauf ist.
Zugegeben, ich hab auch noch nicht von denen gehört aber das sehe ich eher als was positives. Der Name der Gruppe zeugt auf jeden Fall von Einfallsreichtum. Ziemlich Markengeeignet.

Meine Frage:
Angesichts der fortschreitenden „degeneration der Authentizität der Information“, (u.a. Fake-News, vorsätzliche desinformation bzw. Propaganda, Internetzensur, steigende Zahl an Verschwörungstheorien & Anhänger dieser „Philosophie“) wie wollt Ihr für den Wahrheitsgehalt eurer geleakten Informationen garantieren? Heute sowie in Zukunft.

Nicht falsch verstehen! Ich bin absolut Pro solcher Organisationen. Nur gibt es bereits eine große Anzahl Menschen, die schon jetzt, absolut zuverlässige Quellen anzweifeln.

Edit: Ah und danke, für die Möglichkeit fragen zu stellen!

Ich würde gerne einige 0815 Fragen stellen und hoffe mal auf eine Antwort dazu;

– Wie gehen die meisten vor wenn es darum geht ein Botnet aufzubauen?
Nutz ihr Provider, welche euch Rechner zur Verfügung stellen?
Wird noch Mirai verwendet und wieso? Geht es noch oder ist das schon vorbei?
https://de.wikipedia.org/wiki/Mirai_%28Malware%29
Oder wird das auch unterschwellig vorbereitet, ich habe mal für ein Projekt bei einer Flugsesselschaft gearbeitet, dabei wurden Rechner mit Win10 aufgesetzt und ich hatte die Möglichkeit während der Installation eine weitere Software aufzuspielen oder gar eine RAT… kommt sowas auch zum Einsatz für ein Botnet?

– Wie plant man ein DOS/DDOS wenn es zb. darum geht nicht verfolgt werden zu können oder für den Fall, dass man ausfällt durch irgendein Ereignis… ? Wer sind die Controller, wenn es mehrere gibt?
Kann man auch dafür sorgen, dass Behörden während eines DDOS irgendwie blockiert oder getäuscht werden, dass man deren Gegenmaßnahme stört zb. oder in die Irre führt, sodass der eigene Angriff länger vollzogen werden kann?

– (unübliche Frage) Kann man helfen… indem man irgendwie sich selbst als Plattform anbietet oder mal eben jemanden als „Opfer“ nutzt und von dem Knotenpunkt es weitergehen kann?
Ich denke daran, dass man irgendwo ein Spalt offen lässt, wo dann zb. der Aktivist das Netzwerk nutzen kann um sich zu verbreiten… Meine Freinde wäre bestimmt damit einverstanden natürlich gegen deren Ahnung :stuck_out_tongue:

– Einige Fragen danach, ob und wie die Leaks von den jeweiligen Aktivisten auf Seriosität überprüft werden können… kann das auch der Endnutzer machen, wenn man selbst auf diese Daten Zugang hat also wie kann ICH wissen, dass eure Leaks echt sind die IHR (oder eine andere Gruppe) für die Öffentlichkeit zur Verfügung stellt?

Kann es eventuell sein, dass du hier etwas mißverstanden hast?? Denn die Fragen beziehen sich doch eher auf Hacker-Gruppen bzw. deren Helfer (DDoS/DOS)…?
Distributed Denial of Secrets sind REINE Whistleblower, sie veröffentlichen also nur Daten, die andere zuvor „organisiert“ haben, wie Wikileaks halt auch!! Die selber haben so rein gar nichts mit Botnetzen und / oder DDoS-Angriffen zu schaffen!!! :thinking:

OOF…

Ich hab den Artikel kurz durchgelesen/überflogen und dann später den Text verfasst aber irgendwie…
Muss da was schief gelaufen sein im Gedanke/Speicher…

/ignore pls

…TEMPERATURSCHOCK… i know what you mean!!
Hättest aber nicht alles löschen müssen! :wink: Ich meine sogar, dass der letzte Teil gepasst hätte…?!
:warning: :radioactive:

Finger weg von Wire, die sind alles andere als safe, ich zitiere

Good app, but major security flaws

This is a nice, well-designed app, but unfortunately it has major security flaws. Wire keeps logs of any contact you’ve ever contacted saved on their servers forever. Even your account password is insecurely handled. Security auditor CrySP noted: “The Wire client authenticates with a central server in order to provide user presence information. (Wire does not attempt to hide metadata, other than the central server promising not to log very much information.) The Wire whitepapers spend an unusual amount of space discussing the engineering details of this part of the protocol. However, the method of authentication is the same as it is on the web: the Wire client sends the unencrypted, unhashed password to the central server over TLS, the server hashes the plaintext password with scrypt, and the hash is compared to the hash stored by the server. This process leaks the user’s password to the central server; the server operators (or anyone who compromises the server) could log all of the plaintext passwords as users authenticate.” I don’t know why an app that is allegedly security-focused leaves such huge compromises to basic account security.

Ich empfehle Wickr.

Haste dich im Thema vertan? Oder doch Temperatur-Overkill ?!? :rofl: :rofl:

Ich frage, weil es hier um das Interview mit DDoSecrets geht und das Wort „Wire“ hier nicht einmal gefallen ist!!!

if you have access to any confidential info, documents, binaries or source code, which you think should be made available to the public, please reach out to me via DMs (you can ask for Signal), or at @deletescape on Telegram, Wire or Keybase so we can discuss safely releasing it.

— Tillie 1312 Kottmann #BLM :yellow_heart::white_heart::purple_heart::black_heart: (@deletescape) July 22, 2020

Doch steht da :wink:

Übrigens hat Twitter den Account von Tillie 1312 Kottmann mittlerweile gesperrt.

:metal: :+1:

Werden vor Veröffentlichung auch Inhalte daraufhin geprüft, welche Folgen sich für Menschen ergeben könnten, also beispielsweise bei Veröffentlichung von Adressen, und wird dann möglicherweise auch auf Veröffentlichung verzichtet?

Sehr gute Frage. Das war Julian Assange nämlich schei*egal, ob jemand dadurch zu Schaden kommt. Man könnte die Daten ja auch schwärzen, das wäre natürlich mit einem erheblichen Aufwand verbunden, statt einfach alles unverändert zu publizieren.

1 Like

Danke

Morgen fasse ich die Fragen zusammen. Hat noch jemand Ideen?

#DDoSecrets How many people are part of the collective? It looks like Till Kottmann is the only representative.

Why exactly did you choose to host BlueLeaks data on a German server? Was it some kind of joke/provocation or no specific reason?

1 … Since they shut down your data server at Hetzner in Frankfurt, most DirectDownloads are no longer running! Are there already concrete plans to replace it?

2 … Do you only get your leaks from outside through third parties?

3 … How do you verify the leaks that are delivered to you for authenticity from a technical point of view?

4 … Can you rule out that your sources may not contain government services that act for their own benefit?

5 … The current „wish list“ on your site is quite long! Do you really have zero contact to the respective releasers?

6 … Do you plan to take care of getting the desired data leaks yourself in the future? With a group from your own members?

7 … In view of the progressive „degeneration of the authenticity of information“, (including fake news, deliberate disinformation or propaganda, internet censorship, increasing number of conspiracy theories & followers of this „philosophy“) how do you want to guarantee the truth of your leaked information? Today and in the future.

8 … Before publication, are contents also checked to see what consequences could arise for people, for example, when publishing addresses, and is publication possibly waived?

9 … How can we help?

10 … whether and how the leaks can be checked for seriousness by the respective activists?

11 … How many people are part of the collective? It looks like Till Kottmann is the only representative.

12 … Why exactly did you choose to host BlueLeaks data on a German server? Was it some kind of joke/provocation or no specific reason?

  1. In context to a recent incident, i was wandering what does it actually feel like when publishers/communities use the blueleak contents & fails to give credit ?

Fragen an Distributed Denial of Secrets

Entstehung

Wann und wie ist es zu eurer Gruppierung gekommen? Mit welcher Motivation führt ihr dieses Projekt durch? Wie viele Personen waren in etwa an der Gründung beteiligt? Wie viele davon sind heute noch aktiv?

Wie viele Personen gehören dem Kollektiv an? Es sieht so aus, als sei Tillie Kottmann der einzige Vertreter. Oder ist nur er als Sprecher alleine sichtbar?

Welche Rolle spielte oder spielt die isländische Politikerin Birgitta Jónsdóttir bei Distributed Denial of Secrets?

Durchführung

Ein Teil der benutzen Server steht beim isländischen Anbieter Orangewebsite.com, die Server IP lautet 82.221.129.17. Warum habt ihr euren Serverstandort so wenig abgesichert? Oder spielt das in Island keine große Rolle wegen der umfassenden Presse- bzw. Meinungsfreiheit?

Da man euch den Daten-Server bei Hetzner in Frankfurt abgeschaltet hat, laufen die meisten DirectDownloads ja nicht mehr! Gibt es schon konkrete Pläne, ob bzw. wie man diesen ersetzen wird?

Warum habt ihr euch dafür entschieden, die BlueLeaks-Daten ausgerechnet auf einem deutschen Server zu hosten? War das eine Preisfrage, oder eine Art Scherz bzw.Provokation? Oder gab es dafür keinen speziellen Grund?

Wie wäre es als Kooperationspartner, einen Dienst wie Anonfiles.com zu nutzen, der grundsätzlich auf keine Löschaufforderungen reagiert?

Bekommt ihr eure Leaks nur von außen durch Dritte zugespielt?

Wie verifiziert ihr die Leaks, die euch zugespielt werden auf Echtheit aus technischer Sicht? Viele agieren zur reinen Desinformation, Propaganda oder zur Verbreitung ihrer Verschwörungstheorien.

Könnt ihr ausschließen, dass eure Quellen nicht eventuell staatlich gelenkte Dienste enthalten, die zu ihrem eigenen Vorteil agieren? Der russische Geheimdienst hat ja Wikileaks schon häufiger zu ihren und Trumps Gunsten eingespannt…

Bleiben wir mal bei Julian Assange: Werden vor Veröffentlichung auch Inhalte daraufhin geprüft, welche Folgen sich für Menschen ergeben könnten, also beispielsweise bei Veröffentlichung von Adressen? Verzichtet ihr dann auf die Veröffentlichung, wenn jemand dadurch geschadet wird? Oder schwärzt ihr das Material, was sehr zeitaufwändig ist.

Was hat Assange richtig gemacht? Wo seht ihr Fehler, die Wikileaks begangen hat? Diese Enthüllungsplattform ist ja mittlerweile völlig unbedeutend. Früher haben sich die Medien wie verrückt auf die neusten Enthüllungen von dort gestürzt.

Die aktuelle „Wunschliste“ auf eurer Webseite ist recht lang! Habt ihr wirklich null Kontakt zu den entsprechenden Releasern?

Habt ihr zukünftig vielleicht vor, euch selber um die Beschaffung der gewünschten Daten-Leaks zu kümmern? Mit einer Gruppe (Hackern) aus den eigenen Reihen?

Wie fühlt es sich an, wenn Journalisten über eure Leaks berichten, ohne euch namentlich zu erwähnen?

Gehört eine illegale Buchveröffentlichung wie das aktuelle E-Book von John Bolton wirklich zu den Leaks, um die man sich kümmern sollte? Oder stand die Kritik an Trump dabei möglicherweise im Vordergrund?

Ausblick

Wo steht ihr in 10 Jahren? Verhaftet, wie Assange? Oder von den Medien ignoriert, wie Wikileaks? Seid ihr dann noch aktiv? Welches Ziel wollt ihr denn letztlich mit eurem Projekt erreichen?

Und wie sieht das Internet in 10 Jahren aus? Noch mehr Überwachung? Noch mehr Kommerz?

bzw. in Englisch:

Questions to Distributed Denial of Secrets

Origin

When and how did your grouping come about? With what motivation do you carry out this project? How many people were involved in the foundation? How many of them are still active today?

How many people belong to the collective? It looks like Tillie Kottmann is the only representative. Or is he the only visible spokesperson?

What role did or does the Icelandic politician Birgitta Jónsdóttir play in Distributed Denial of Secrets?

Realization

Some of the servers used are located at the Icelandic provider Orangewebsite.com, the server IP is 82.221.129.17. Why do you have so little security at your server location? Or does it not play a big role in Iceland because of the extensive freedom of the press and freedom of speech?

Since they shut down your data server at Hetzner in Frankfurt, most DirectDownloads are no longer running! Are there already concrete plans if and how this will be replaced?

Why did you decide to host the BlueLeaks data on a German server? Was that a price question, or a kind of joke or provocation? Or was there no special reason for it?

As a cooperation partner, how would it be to use a service like Anonfiles.com, which basically does not react to deletion requests?

Do you only get your leaks from outside through third parties?

How do you verify the leaks that are sent to you for authenticity from a technical point of view? Many people act for pure disinformation, propaganda or to spread their conspiracy theories.

Can you rule out that your sources may not contain government services that act for their own benefit? The Russian secret service has often used Wikileaks for their and Trump’s benefit…

Let’s stay with Julian Assange: Do you check the content before publishing it to see what consequences it might have for people, for example if addresses are published? Do you refrain from publishing content if someone is harmed by it? Or do you blacken the material, which is very time-consuming.

What did Assange do right? Where do you see mistakes that Wikileaks has made? This disclosure platform has become completely insignificant. In the past, the media used to go crazy over the latest revelations from there.

The current „wish list“ on your website is quite long! Do you really have zero contact to the respective releasers?

Do you plan to take care of getting the desired data leaks yourself in the future? With a group (hackers) from your own ranks?

How does it feel when journalists report about your leaks without mentioning you by name?

Does an illegal book publication like the current e-book by John Bolton really belong to the leaks that should be taken care of? Or was the criticism of Trump possibly the main focus?

Outlook

Where will you be in 10 years? Arrested, like Assange? Or ignored by the media, like Wikileaks? Will you still be active then? Which goal do you want to achieve with your project?

How will the internet look like in 10 years? Even more surveillance? Even more commerce?

1 Like