Die ES5-Akte
Die Tauschbörse Earth Station 5 verspricht viel – und alles gratis. Aber wo liegen die Motive und wer bezahlt für dieses Übermaß an Großzügigkeit? Wir recherchierten und stießen auf alarmierende Verbindungen zu einem verurteilten Betrüger und notorischen Spammer.
Von Mario Sixtus und Oliver Eberhardt
Als Earth Station 5 (ES5) im Sommer dieses Jahres die Spezies der Filesharing-Börsen um ein weiteres Exemplar bereicherte, sah es zunächst danach aus, als hätte jemand sämtliche Wunschzettel der P2PJünger abgearbeitet: Vollkommen anonyme Up- und Downloads sollte die Software bieten, obendrein auch noch durch Verschlüsselung glänzen und frei von Ad- oder Spyware sein. Die Medien griffen entsprechende Pressemitteilungen von ES5 auf; kurze Zeit später war die Client-Software auf sämtlichen großen Download-Sites gelistet. Ein erster Blick auf den bunten ES5-Client lieferte allerdings eher enttäuschende Ergebnisse: Allzu spärlich fielen die Suchergebnisse nach bekannten Songs oder Filmen aus. Überdies ärgerte das Programm mit Hängern und Komplettabstürzen.
Der Firmensitz und die technische Infrastruktur von ES5 befinden sich nach Angaben der Betreiber in einem Flüchtlingslager in Dschenin, innerhalb der palästinensischen Autonomiegebiete. Dadurch entgehe man dem langen Arm der US-amerikanischen Copyright-Schützer, heißt es. Per Pressemitteilungen erklärte ES5 kurzerhand den Krieg gegen RIAA und MPAA.
Unter movies.es5.com stellten die Betreiber des Systems Dutzende aktuelle Kinofilme in Streaming-Versionen bereit. Spätestens jetzt kamen Fragen nach dem Geschäftsmodell und der Finanzierung des Unternehmens auf: Wer stellt die sicherlich nicht unerheblichen Mittel für diese Infrastruktur zur Verfügung? Wie soll damit jemals Geld verdient werden? Und: Sitzen ES5-Chef Ras Kabir und seine Leute wirklich in einem Flüchtlingslager im Westjordanland, wie sie immer wieder beteuern? In einem Gebiet, in dem oft genug schon die Trinkwasserversorgung ein Problem darstellt, von Energie- und Telekommunikationsanschlüssen ganz zu schweigen?
Multikulti-Grüppchen?
Auf der Homepage von Earth Station 5 beschreibt sich das Unternehmen als ein buntes Multikulti-Grüppchen: „Einige von uns sind Juden, einige Christen, einige Hindus und andere Moslems. Wir lieben und respektieren einander.“ Und: „Unsere Familien essen zu vielen Anlässen am gleichen Tisch.“
In einem Telefonat erwies sich Ras Kabir (arabisch für „großes Oberhaupt“) als ein ausgesprochen selbstbewusster Mann, der fließend Englisch spricht. Ja, ES5 sei ein palästinensisches Unternehmen und habe Server überall in den Autonomiegebieten, „in fünf verschiedenen Büros“. Man sei über sechs unterschiedliche ISPs ans Internet angebunden und verfüge obendrein über eine eigene Satellitenanlage. 567 Mitarbeiter beschäftigt Kabir angeblich. Er selbst sei ein 40-jähriger, in Großbritannien ausgebildeter Informatiker. 14 Tage vor unserem Gespräch hatte Kabir sein Alter in einem Interview mit dem ITNews-Dienst Cnet allerdings noch mit 35 angegeben. Bemerkenswert auch: Bei einem Kontrollanruf in arabischer Sprache verstand er den Anrufer offensichtlich nicht.
Kabir ist unter einer Telefonnummer des Mobilfunkanbieters Orange Israel zu erreichen. Die
Vorwahl seines Handys wird erst seit Ende 2001 vergeben, und zwar ausschließlich an Vertragskunden. Laut Orange-Pressestelle wurden aber seit Mitte 2001 keine Verträge in den palästinensischen Autonomiegebieten mehr abgeschlossen. Dank internationalem Roaming könnte sich Kabir überall aufhalten.
Im September lieferte eine Whois-Anfrage zur Domain es5.com noch den Domain-Inhaber „Earthstation V Ltd. A Vanuatu Company“. Mittlerweile hat man den Hinweis auf das Steuerersparende Inselchen im Pazifischen Ozean allerdings entfernt und durch „A Palestinian Corporation“ ersetzt. Doch im Wirtschaftsministerium von Port Vila, der Hauptstadt von Vanuatu, bestätigte man uns die Registrierung einer „Earthstation V Ltd.“ am 10. Dezember 2001.
Laut RIPE ist Earth Station 5 über den israelischen ISP Speednet ans Internet angebunden. Dieses Unternehmen findet sich allerdings weder im Telefonbuch noch in den Yellow Pages, und die im Handelsregister angegebenen Telefonnummern klingeln endlos durch. Bis vor kurzem existierte unter speed-net.com nicht einmal eine Homepage. Inzwischen
findet sich dort zwar eine Website, die Hosting- und Webdesign-Dienstleistungen anbietet, nach der Anschrift oder einer anderen Möglichkeit zur Kontaktaufnahme sucht man allerdings
vergeblich.
Gegründet wurde Speednet Ltd. laut Handelsregister von David Cohen und Motti Oran am 14. Dezember 2001, also genau vier Tage nach der Registrierung von ES5 im Inselsteuerparadies. Als Firmenanschrift wurde 25 Hasivin Street in Petach Tikwa angegeben. Dabei handelt es sich angeblich zugleich um die Privatanschrift von Motti Oran. Wir wollten dem ES5-Hoster einen Besuch abstatten. An der angegebenen Adresse findet sich allerdings lediglich das Firmengebäude des Telekommunikationskonzerns 012 Golden Lines, einem Anbieter von Telefon-, Daten- und Internet-Dienstleistungen, an dem neben anderen auch die Telekom Italia beteiligt ist.
Ein Traceroute zu den Servern von Earth Station 5 lässt sich tatsächlich bis ins Netz von Golden Lines verfolgen. Weitere Stationen werden für Traceroute geblockt. Vor Ort mit diesen Merkwürdigkeiten konfrontiert, deutete der Pressesprecher von Golden Lines die Möglichkeit an, einer oder mehrere Mitarbeiter verkauften vielleicht Connectivity unter der Hand. Er bestätigte zwar, dass die ES5-Daten über das Golden-Lines-Netz transportiert würden, aber: „Wir wissen nicht, wohin.“ Von einer Firma namens Speednet habe er noch nie etwas gehört.
Kurz nach Beginn unserer Recherche erstattete Golden Lines wegen Verdachts der Untreue und des Betrugs eine Strafanzeige gegen Unbekannt. Und auch die israelische Politik wurde auf unsere Nachforschungen aufmerksam: Eljakim Rubinstein, israelischer Generalstaatsanwalt und Regierungsberater, lud uns zu einem Gespräch ein, das dann recht einseitig verlief. Lediglich ein paar Andeutungen in Richtung möglicher Geldwäsche ließ er sich entlocken.
Multiple Persönlichkeit
Neben Ras Kabir taucht in den Pressemitteilungen von ES5 auch regelmäßig eine Figur namens Steve Taylor auf, allerdings in unterschiedlichen Funktionen: Mal als Sprecher des Providers Speednet, dann wieder als Angestellter eines „American Media Service“ und schließlich schlicht als „amerikanischer Ansprechpartner von Earth Station 5“. In einigen dieser Verlautbarungen wird seine Telefonnummer genannt, in anderen seine E-Mail-Adresse steve@17q.com Die Domain 17q.com gehört Speednet. Unter der Telefonnummer meldet sich zwar nur
ein Anrufbeantworter mit einer weiblichen Stimme und einer Standardansage, aber unter der identischen Rufnummer suchte auch ein gewisser Stephen Cohen am 17. September 2003 im Telefonie-Fachforum Telephonyindex.co.uk nach SIP-Software [1]. Im dazugehörigen Foren-Profil erfahren wir dann, dass dieser Stephen Cohen sich nach eigenen Angaben in Mexiko aufhält und die E-Mail-Adresse steve@bajacom.net nutzt.
Eine Internet-Recherche zu dieser E-Mail-Adresse führt zur Homepage der 1966er Abschlussklasse der Van Nuys High School im San Fernando Valley [3], auf der sich ehemalige Klassenkameraden eintragen können, um miteinander in Kontakt zu bleiben. Eine Fotogalerie zeigt uns den jungen Stephen Michael Cohen im Abschlussalbum 1966. Als Wohnort von Cohen wird „Rancho Santa Fe“ angegeben.
Durchsucht man die Telefonverzeichnisse von Kalifornien nach einem Stephen M. Cohen, findet man exakt einen Eintrag: 4650 Border Village Raod in San Ysidro, direkt an der mexikanischen Grenze. Ein Reverse Lookup zu der angegebenen Rufnummer sorgt schließlich für einen „Bingo“-Effekt: Neben dem zu erwartenden Stephen M. Cohen finden sich noch folgende Einträge auf der Liste: Ocean Fund, Omnitec International, Pac Net International, Sand Man International of Mexico, und schließlich auch die Domain sex.Com. Allesamt mit identischer Anschrift in San Ysidro.
Die Bedeutung dieser Entdeckung verdeutlicht ein Rückblick ins Jahr 1994: Als das Web noch jung war, registrierte der damalige Stanford-Student Gary Kremen gleich Dutzende von Domain-Namen. Unter anderem jobs.com, match.com und eben auch sex.com. Kremen konzentrierte sich danach auf den Aufbau seiner Dating-Community Match.com und beachtete sein Namensdepot zunächst nicht weiter. So konnte im November 1995 der mehrfach vorbestrafte Stephen M. Cohen die wertvolle Domain durch gefälschte Briefe an den Registrar Network Solutions (NSI) unter seine Kontrolle bringen. Cohen war erst im Frühjahr 1995 nach einer zweijährigen Haftstrafe entlassen worden, die er wegen Konkursbetrugs, Falschaussage und Behinderung der Justiz im Gefängnis von Lompoc, Kalifornien, absitzen musste.
Obwohl Gary Kremen eindeutig nachweisen konnte, dass Cohen sich die Domain widerrechtlich angeeignet hatte, weigerte sich NSI, sex.com zurück zu übertragen. Im Sommer 1998
verklagte Kremen schließlich Cohen wegen Betrugs und forderte die Herausgabe der Domain. Erst im November 2000 wurden dem ursprünglichen Besitzer die Rechte an sex.com zugesprochen. Das Gericht verurteilte Cohen zur Zahlung von 65 Millionen Dollar Schadenersatz. Dieser entzog sich der Zahlung allerdings durch Flucht nach Mexiko. Seit Anfang 2001 wird er per Haftbefehl von den US-amerikanischen Strafverfolgungsbehörden
gesucht. Fünf Jahre Besitz von sex.com hatten Cohen offenbar ausgereicht, um mit der Dreibuchstaben-Domain viele Millionen Dollar zu erwirtschaten. Medienberichten zufolge brachte die Pornosite hinter sex.com in ihren besten Zeiten allein durch Bannerwerbung eine Millionen Dollar pro Monat und verfügte obendrein über neun Millionen registrierte Kunden, die je zehn Dollar im Monat zahlten.
Schon früh schaffte Cohen sich in Mexiko mit dem Unternehmen Sand Man International eine zweite Schaltzentrale. Sand Man agierte nach außen als rechtschaffener Internet-Service-Provider, verdiente sein Geld aber offensichtlich auch durch das Aussenden von Spam, zumindest aber durch die Bereitstellung von Spam-freundlichen Mailservern. Nach der Flucht Cohens wurde die Firma liquidiert und unter gleicher Unternehmensanschrift, 10105 Paseo de los Héros, Tijuana, im Juni 2001 die Pac Net S.A. ins Leben gerufen. Neben der identischen Büroadresse existieren auch deutliche personelle Verquickungen zu Cohens ehemaligem Firmenkonglomerat. Pac Net macht dort weiter, wo Sand Man aufgehört hatte: mit dem Aussenden von Massen-Werbemails für Viagra und Eigenheimhypotheken. Ab Herbst 2001 häuften sich die Beschwerden in den einschlägigen Antispam-Foren.
„Steve Taylor“, der Sprecher der Tauschbörse Earth Station 5 beziehungsweise deren Provider Speednet, nutzt also eine Telefonnummer, die ebenfalls bei Stephen M. Cohen in Gebrauch ist, einem per Haftbefehl gesuchten Kriminellen. Einen weiteren Hinweis auf die Verbindung zwischen der Tauschbörse ES5 und dem Spammer Pac Net lieferte eine genauere Untersuchung des Headers einer E-Mail von Ras Kabir: Der Präsident der Tauschbörse, angeblich aus dem Flüchtlingscamp in Palästina, verwendet ausgerechnet einen SMTPServer von Pac Net in Tijuana. Durchsucht man die öffentlichen PGP-Keyserver nach „Stephen Cohen“, schließt sich der Kreis endgültig: Ausgerechtet die altbekannte Adresse steve@17q.com ist dort angegeben, die bereits „Steve Taylor“ für Pressemitteilungen im Zusammenhang mit ES5 nutzte.
In Usenet-Postings zum Thema ES5 taucht überdies häufiger ein „Steven Martinez“ auf, welcher der Einfachheit halber ebenfalls mit steve@17q.com unterschreibt, wenn er den Ruf von Earth Station 5 verteidigt. Allerdings verwendet er dabei einen Account, der auf steve@omnitec.com lautet. Auch Omnitec gehört zu Cohens ehemaligen Firmen. Diese Adresse verwendet „Martinez“ wiederum in Antispam-Gruppen, wenn er um ein De-Blacklisting der Pac-Net-Mail-Server bittet.
Fazit
Unseren Recherchen nach handelt es sich bei dem kleinen bunten Hacker-Grüppchen aus dem Nahen Osten um eine Gruppe unter Führung eines gesuchten US-Amerikaners. Über die Motive, den ES5-Client mit dubiosen Marketing-Kampagnen weltweit Nutzern unterjubeln zu wollen, kann nur spekuliert werden.
Im Oktober gelang es einem findigen Hacker, Teile des ES5-Clients zu disassemblieren. Er fand bösartigen Code im Suchservice-Teil der Software. Ein entfernter Angreifer hätte das Programm dazu veranlassen können, sämtliche Dateien auf dem Windows-Rechner zu löschen, indem er ein bestimmtes Paket an den ES5-Client schickte. Der Hacker wies in der Security-Mailingliste Full-Disclosure darauf hin, dass der Code eindeutig absichtlich eingebaut wurde.
Ob der ES5-Client auf heimischen PCs noch andere Hintertüren platziert, ist bisher nicht bekannt. Im Forum von Slashdot.org beispielsweise begann man sich rasch auszumalen, was passieren würde, wenn viele tausende Privat- und Arbeitsplatz-PCs gleichzeitig formatiert würden. Auch Spekulationen darüber, ob ES5 ein trojanisches Pferd der Urheberrechtsschützer ist, mit dem auf einen Schlag sehr viele illegale Dateien ferngesteuert vernichtet werden könnten, sprossen schnell.
Vielen Berichterstattern, die im Sommer euphorisch über die angeblich palästinensische Tauschbörsen-Revolution schrieben, war die Entdeckung der Trojaner-Funktion nicht einmal mehr eine Fußnote wert. Daher kann man annehmen, dass der ES5-Client nach wie vor auf abertausenden Anwender-PCs lungert. Bis Ende November wurde das Programm beispielsweise bei download.com 45.101-mal heruntergeladen.
Indes scheinen Cohens gute Verbindungen in Mexiko an ihre Grenzen zu stoßen: Kürzlich entzog das mexikanische Fernmeldeministerium Pac Net die Lizenz, Telekommunikationsdienstleistungen anzubieten. Auf Nachfrage teilte man uns mit, dass dies eine Reaktion auf zunehmende Beschwerden über Spam-Aktivitäten sei. Nahezu zeitgleich mit den Pac-Net-Servern verschwanden interessanterweise auch die Streaming-Movies aus dem ES5-Angebot. Angeblich sind diese momentan offline, da „noch mehr Filme“ hinzugefügt
würden.
Ungereimtheiten bleiben: Obwohl der israelische Provider Golden Lines seit nunmehr zwei Monaten über das angebliche „Leck“ in den eigenen Datenleitungen informiert ist und obwohl der Inlandsgeheimdienst Shin Beth mittlerweile Ermittlungen aufnommen hat, fließen die Earth-Station-Daten immer noch fröhlich durch das Golden-Lines-Netz.
[1] http://www.telephonyindex.co.uk/message.aspx?message_id=7307
[2] http://www.telephonyindex.co.uk/profile.aspx?page=43
[3] http://www.vannuys66.com/vnhs66-names-w.html
Kurze Werbeunterbrechung:
Jetzt kommentieren!
Aus der gleichen Publikation:
RSS Weblog
