Jonathan Joseph James (* 12. Dezember 1983 in Miami; † 18. Mai 2008 ebenda) war ein US-amerikanischer Black-Hat-Hacker. Unter dem Nickname c0mrade erlangte er große Bekanntheit, als er im Alter von nur 15 Jahren unter anderem in Server des Verteidigungsministeriums der Vereinigten Staaten eindrang.
Leben
Hacker-Laufbahn
„Ich habe mich nur umgeschaut, habe rumgespielt. Was mir Spaß gemacht hat, war die Herausforderung, zu sehen, was ich zustande bringen kann.“
Im Alter von sechs Jahren begann James am heimischen PC zu spielen; in der Middle School war er in der Lage, das Betriebssystem seines eigenen Computers von Microsoft Windows auf Linux zu wechseln.
Zwischen dem 23. August und dem 27. Oktober 1999 drang James – der zu diesem Zeitpunkt in Pinecrest, Florida, lebte – in diverse Computersysteme ein, darunter jene der Holdinggesellschaft BellSouth und der Schulbehörde des Miami-Dade County. Durch einen Hack in das System der Defense Threat Reduction Agency (DTRA) rückte er ins Blickfeld der Bundesbehörden: Er hatte auf einem Server in Dulles, Virginia, eine Backdoor installiert, die er dazu nutzte, einen Sniffer zu platzieren. Dieser erlaubte es ihm, über 3300 ein- und ausgehende vertrauliche Nachrichten DTRA-Angestellter sowie zahlreiche Benutzernamen und Passwörter weiterer Beschäftigter – davon mindestens zehn auf offiziellen Militärcomputern – abzufangen.
Darüber hinaus gelang es ihm im Januar 2000 auch, in das Netzwerk des Marshall Space Flight Center einzudringen und damit verbunden die geschützte Umgebungskontroll-Software im Wert von 1,7 Millionen US-Dollar herunterzuladen, die Temperatur und Luftfeuchtigkeit an Bord der Internationalen Raumstation kontrolliert. Nach der Aufdeckung des Hacks sah sich die NASA gezwungen, ihre Computer für drei Wochen stillzulegen. Die Sicherheitsupdates kosteten die Luft- und Raumfahrtbehörde 41.000 US-Dollar. James gab später zu Protokoll, dass er die Software lediglich zur Weiterbildung in der imperativen Programmiersprache C heruntergeladen habe und führte aus: „Der Code an sich war beschissen…sicherlich nicht 1,7 Millionen US-Dollar wert, wie sie behaupteten.“ Ferner äußerte er: „Die Regierung hat auf den meisten ihrer Computer nicht allzu viele Sicherheits-Maßnahmen ergriffen. Ihnen fehlt ernsthafte Computer-Sicherheit. Ich kenne Unix und C wie meine Westentasche, weil ich all diese Bücher gelesen habe und so lange am Computer war. Aber der schwierige Part ist es nicht, reinzukommen. Schwierig ist es, zu verstehen, was das eigentlich ist, das man da tut.“
Verhaftung und Prozess
Am Morgen des 26. Januar 2000 durchsuchten Agenten des Verteidigungsministeriums und der NASA sowie örtliche Polizeibeamte in einer koordinierten Aktion James’ Elternhaus und beschlagnahmten Beweismaterial. Sechs Monate später wurde er offiziell angeklagt, bevor er am 21. September mit dem Staatsanwalt Guy Lewis eine Verständigung aushandelte: Er bekannte sich in zwei Punkten der Jugendkriminalität für schuldig und erhielt dafür lediglich eine milde Strafe. James wurde zu sechs Monaten Hausarrest verbunden mit einer bis zu seinem 18. Geburtstag laufenden Bewährungszeit verurteilt. Darüber hinaus erhielt er ein Verbot, Computer zu Freizeitzwecken zu nutzen und wurde angewiesen, Entschuldigungsbriefe an die NASA und das Verteidigungsministerium zu schreiben. Er war damit der erste Jugendliche in den Vereinigten Staaten, der für Computerkriminalität mit Freiheitsentzug bestraft wurde. Rechtsexperten merkten an, dass ihm auf Grund des Umfangs seiner Vergehen eine Freiheitsstrafe von mindestens zehn Jahren hätte drohen können, wenn er nach Erwachsenenstrafrecht verurteilt worden wäre. Sowohl der anklagende Staatsanwalt Guy Lewis als auch die damalige United States Attorney General Janet Reno gaben nach der Verhandlung Statements ab, in denen sie betonten, dass dieser Fall nachhaltig beweise, dass das Justizministerium gewillt sei, jugendliche Computerkriminelle unnachgiebig und empfindlich zu bestrafen.
Später verletzte Jonathan James seine Bewährungsauflagen, als man ihn positiv auf Drogenkonsum testete. Er wurde daraufhin vom United States Marshals Service in Gewahrsam genommen und in eine Justizvollzugsanstalt nach Alabama geflogen. Dort saß er sechs Monate in Haft.
Tod
Am 17. Januar 2007 gab der Einzelhandelskonzern TJX Companies bekannt, Opfer einer groß angelegten Intrusion geworden zu sein. Die Hacker hatten ein System infiltriert, das Daten und Nummern von Kredit- und Debitkarten, Schecks und Umtauschtransaktionen verwaltet. Insgesamt waren etwa 45,7 Millionen Kunden betroffen. Zusätzlich zu den Nummern wurden auch persönliche Informationen wie beispielsweise die Sozialversicherungsnummer der jeweiligen Kunden sowie 451.000 Führerscheinangaben heruntergeladen. Möglich war der Hack dank eines nicht abgesicherten Wireless Local Area Network in einem der Läden. Im Laufe der folgenden Monate wurde ein mindestens 13-köpfiger Hackerring um den Anführer Albert Gonzalez zerschlagen. Die Gruppe soll auch für weitere Intrusionen bei diversen Einzelhandels- und Restaurantketten sowie bei Barnes & Noble verantwortlich sein.
James – der zu diesem Zeitpunkt seinem Vater Robert zufolge an Depressionen litt – war mit einigen der involvierten Hacker, unter anderem mit Christopher Scott, befreundet und geriet so ebenfalls wieder in das Visier der Ermittler. Obwohl er sämtliche Vorwürfe abstritt, erfolgte Anfang Mai 2008 eine Durchsuchung sowohl seines Hauses als auch der Häuser seines Bruders und seiner Freundin durch den United States Secret Service. Bei ihm wurden ein Abschiedsbrief und eine legal registrierte Feuerwaffe gefunden; beides wurde vor Ort belassen. Weniger als zwei Wochen nach der Hausdurchsuchung erschoss sich Jonathan James am 18. Mai 2008 in seiner Dusche. Er hinterließ einen neuen, fünfseitigen Abschiedsbrief, in dem er nochmals nachdrücklich seine Unschuld im TJX-Fall beteuerte. Dennoch – war er sich sicher – würden die Bundesbehörden ihn zum Sündenbock machen. Weiterhin schrieb er:
- „Ich habe keinen Glauben in das ‚Justiz‘-System. Vielleicht senden meine Taten heute und dieser Brief eine stärkere Botschaft an die Öffentlichkeit. So oder so, ich habe die Kontrolle über diese Situation verloren und dies ist mein einziger Weg, die Kontrolle wiederzuerlangen.“
Die im United States District Court for the District of Massachusetts archivierten Prozessakten beschreiben jedoch einen nichtangeklagten Mittäter, der direkt mit Scott zusammengearbeitet habe, von dem allerdings lediglich die Initialen J.J. bekannt sind. Robert James glaubt, dass diese auf seinen Sohn Joseph hindeuten. Die Vorwürfe besagen, dass Scott und J.J. im Jahr 2004 vor einer OfficeMax-Filiale (Einzelhandel für Bürobedarf) in Miami geparkt und deren WLAN angezapft hätten. Dabei hätten sie eine nicht genannte Anzahl an Kredit- und Debitkarten-Magnetstreifen abgefangen – einschließlich der Bank Identification Numbers und verschlüsselter persönlicher Identifikationsnummern. Diese hätten beide direkt an Gonzales weitergeleitet, dem mit einem anderen Hacker die Entschlüsselung der PIN-Codes gelang.
Einzelnachweise
- 1 2 3 Wegen seiner damaligen Minderjährigkeit anonymisiertes Interview mit Jonathan James durch den Public Broadcasting Service im Jahr 2001, auf pbs.org (Public Broadcasting Service). Abgerufen am 23. Januar 2013
- ↑ Kevin Poulsen: Former Teen Hacker’s Suicide Linked to TJX Probe, am 7. September 2009 auf wired.com. Abgerufen am 26. Januar 2013