MindestenssechszeichenWeltweiter SMS-Leak
19. Februar, 16:16 von Yhoko
Markus W. starrt fassungslos auf den Bildschirm. Er hat gerade auf einen kryptischen Link geklickt und landet auf einer düsteren Website. Dort steht in leuchtenden Lettern: "11:34 hey zuckerschnegge". Es ist die exakt letzte SMS, die er an seine Freundin geschickt hat. Ein Zufall? Er klickt weiter. Die nächste Nachricht zeigt seine E-Mail-Adresse, dann folgen seine Kontodaten und Passwörter. Markus spürt, wie ihm das Blut in den Adern gefriert. Wurde sein Handy gehackt? Sind alle seine privaten Nachrichten, Flirts, 2FA-Codes und Tagebücher plötzlich für jeden im Netz frei zugänglich?
Die Antwort lautet: Ja, aber...
Die fragliche Website heisst "SMSX" und wer die richtigen Einstellungen für die 5 Eingabefelder kennt, findet dort tatsächlich alles: Gedichte, Kochrezepte, private Chats, PIN und TAN Codes, Kreditkartendaten, die Lottozahlen von nächster Woche, usw. Hier ein paar zufällig ausgewählte Beispiele:
Abgesehen vom Daten-Super-GAU drängt sich unweigerlich die Frage auf, welche gewaltigen Speicherkapazitäten nötig sind, um ein Archiv dieser Grössenordnung aufzubauen (das letztendlich jede Nachricht der gesamten Menschheit enthält).
Die klassische SMS besteht aus maximal 160 Zeichen. Unter Verwendung des GSM-Alphabets (Gross- und Kleinsbuchstaben, Zahlen und einige Sonderzeichen) ergeben sich insgesamt etwa 137 verwendbare Symbole. Rechnet man die Kombinationsmöglichkeiten hoch (137^60) ergibt sich eine Zahl mit über 300 Stellen. Das ist eine Menge, die die Anzahl der Atome im sichtbaren Universum bei Weitem übersteigt. Eine physische Speicherung dieser Daten ist somit technisch unmöglich.
Die Lösung des Rätsels liegt in einem mathematischen Kniff: Daten müssen nicht gespeichert werden, solange sie sich rekonstruieren lassen. Ein prominentes Beispiel ist die Kreiszahl Pi. Da sie unendlich lang ist, kann sie niemand vollständig aufschreiben. Dennoch lässt sie sich über eine simple mathematische Formel jederzeit errechnen:
SMSX arbeitet nach diesem Prinzip. Die Website ist kein Datenspeicher, sondern ein Algorithmus, der nach dem Bedarfsprinzip arbeitet. Aus den fünf Einstellungen, die am Interface vorgenommen werden, wird die dazugehörige Nachricht "on demand" berechnet. Dieser Vorgang ist eindeutig und umkehrbar: Jeder Einstellung ist genau eine Nachricht zugeordnet und umgekehrt.
Das Konzept basiert auf der Library of Babel, die durch den Schriftsteller Jorge Luis Borges bereits 1941 literarisch beschrieben wurde. Die Idee: Wenn man alle möglichen Kombinationen von Buchstaben in Bücher druckt, enthält diese Bibliothek zwangsläufig jede Wahrheit, jede Lüge, jedes jemals geschriebene Gedicht und jede private Nachricht. Auf folgender bekannter Website wurde dies originalgetreu umgesetzt:
Technisch gesehen generiert SMSX also alle möglichen Datensätze mit bis zu 160 Zeichen, beginnend bei "A", "AA", "AAA" ... "B", "BA, "BAA" bis hin zu "...ZZZ". Damit das Prinzip nicht sofort als simple alphabetische Liste erkennbar ist, sorgt ein Algorithmus dafür, dass die Reihenfolge chaotisch wirkt – auf jede sinnvolle Nachricht folgt nur unlesbarer Zeichensalat.
Trotz des Schockmoments, den Markus W. erlebte, besteht kein Grund zur Panik. Zwar lässt sich tatsächlich jedes existierende Passwort in SMSX finden, aber eben auch jede falsche Variante davon. Da das Archiv buchstäblich alles enthält, ist die Information an sich wertlos, solange man nicht bereits vorher weiss, wonach man sucht, denn:
In der Praxis ist es unmöglich, durch blosses Durchprobieren der Zahlenfelder auf eine sinnvolle SMS zu stossen. Die Chance, per Zufall auch nur eine lesbare Nachricht zu finden, ist statistisch gesehen geringer, als den Lotto-Jackpot zu gewinnen – und zwar 30 Mal hintereinander. Der einzige Weg, eine sinnvolle Nachricht anzuzeigen, besteht darin, den Text selbst in das System einzugeben. SMSX generiert dann den passenden Schlüssel (SUMID), den man verschicken kann, um den Eindruck eines Leaks zu erwecken. Es ist letztendlich ein digitaler Spiegel: das Archiv liefert sinnvollerweise nur genau das, was man selbst eingegeben hat.
Was ist wahr und was nur Fake News? SMSX ist weit mehr als ein technisches Experiment; es ist ein digitales Kunstwerk. Es führt vor Augen, dass nicht die Menge an Informationen, sondern deren Qualität und Kontext entscheidend sind. Mit anderen Worten: Die Wahrheit ist da, aber man muss sie auch finden (können).
Damit macht das Projekt ein Thema greifbar, das in der heutigen Zeit der Nachrichtenflut und Desinformation eine zentrale Rolle spielt: Je mehr Lügen und je mehr Ablenkung ein Thema verstopfen, desto schwerer wird es, sich damit zu befassen. Und schliesslich demonstriert es dabei ein fundamentales Paradoxon: "Wer alles weiss, weiss letztendlich gar nichts." Oder in meinen eigenen Worten:
Markus W. jedenfalls kann beruhigt sein; seine Geheimnisse liegen zwar im Archiv offen, doch sind sie versteckt in einer quasi unendlich grossen Wüste aus chaotischen Informationen. Niemand wird sie dort je finden, solange er nicht selbst mit dem Finger darauf zeigt.
Für alle, die nun selbst ein wenig die Datenwüste durchstöbern (oder einen Freund nervös machen) wollen, ist hier der offizielle Einstiegslink:
Tipp: Am eindrücklichsten ist es, im Suchfeld etwas einzutippen – SMSX zeigt dann sofort an, in welcher Nachricht der Text vorhanden ist und hebt diesen Teil hervor.
Die fragliche Website heisst "SMSX" und wer die richtigen Einstellungen für die 5 Eingabefelder kennt, findet dort tatsächlich alles: Gedichte, Kochrezepte, private Chats, PIN und TAN Codes, Kreditkartendaten, die Lottozahlen von nächster Woche, usw. Hier ein paar zufällig ausgewählte Beispiele:
Abgesehen vom Daten-Super-GAU drängt sich unweigerlich die Frage auf, welche gewaltigen Speicherkapazitäten nötig sind, um ein Archiv dieser Grössenordnung aufzubauen (das letztendlich jede Nachricht der gesamten Menschheit enthält).
Berechnen statt Speichern
Die klassische SMS besteht aus maximal 160 Zeichen. Unter Verwendung des GSM-Alphabets (Gross- und Kleinsbuchstaben, Zahlen und einige Sonderzeichen) ergeben sich insgesamt etwa 137 verwendbare Symbole. Rechnet man die Kombinationsmöglichkeiten hoch (137^60) ergibt sich eine Zahl mit über 300 Stellen. Das ist eine Menge, die die Anzahl der Atome im sichtbaren Universum bei Weitem übersteigt. Eine physische Speicherung dieser Daten ist somit technisch unmöglich.
Die Lösung des Rätsels liegt in einem mathematischen Kniff: Daten müssen nicht gespeichert werden, solange sie sich rekonstruieren lassen. Ein prominentes Beispiel ist die Kreiszahl Pi. Da sie unendlich lang ist, kann sie niemand vollständig aufschreiben. Dennoch lässt sie sich über eine simple mathematische Formel jederzeit errechnen:
Pi = 4 * (1 - 1/3 + 1/5 - 1/7 + 1/9 + 1/11 + ...)
SMSX arbeitet nach diesem Prinzip. Die Website ist kein Datenspeicher, sondern ein Algorithmus, der nach dem Bedarfsprinzip arbeitet. Aus den fünf Einstellungen, die am Interface vorgenommen werden, wird die dazugehörige Nachricht "on demand" berechnet. Dieser Vorgang ist eindeutig und umkehrbar: Jeder Einstellung ist genau eine Nachricht zugeordnet und umgekehrt.
Die Festplatte von Babel
Das Konzept basiert auf der Library of Babel, die durch den Schriftsteller Jorge Luis Borges bereits 1941 literarisch beschrieben wurde. Die Idee: Wenn man alle möglichen Kombinationen von Buchstaben in Bücher druckt, enthält diese Bibliothek zwangsläufig jede Wahrheit, jede Lüge, jedes jemals geschriebene Gedicht und jede private Nachricht. Auf folgender bekannter Website wurde dies originalgetreu umgesetzt:
- [https] Library of Babel – Vorsicht, Ladezeit
Technisch gesehen generiert SMSX also alle möglichen Datensätze mit bis zu 160 Zeichen, beginnend bei "A", "AA", "AAA" ... "B", "BA, "BAA" bis hin zu "...ZZZ". Damit das Prinzip nicht sofort als simple alphabetische Liste erkennbar ist, sorgt ein Algorithmus dafür, dass die Reihenfolge chaotisch wirkt – auf jede sinnvolle Nachricht folgt nur unlesbarer Zeichensalat.
Entwarnung
Trotz des Schockmoments, den Markus W. erlebte, besteht kein Grund zur Panik. Zwar lässt sich tatsächlich jedes existierende Passwort in SMSX finden, aber eben auch jede falsche Variante davon. Da das Archiv buchstäblich alles enthält, ist die Information an sich wertlos, solange man nicht bereits vorher weiss, wonach man sucht, denn:
In der Praxis ist es unmöglich, durch blosses Durchprobieren der Zahlenfelder auf eine sinnvolle SMS zu stossen. Die Chance, per Zufall auch nur eine lesbare Nachricht zu finden, ist statistisch gesehen geringer, als den Lotto-Jackpot zu gewinnen – und zwar 30 Mal hintereinander. Der einzige Weg, eine sinnvolle Nachricht anzuzeigen, besteht darin, den Text selbst in das System einzugeben. SMSX generiert dann den passenden Schlüssel (SUMID), den man verschicken kann, um den Eindruck eines Leaks zu erwecken. Es ist letztendlich ein digitaler Spiegel: das Archiv liefert sinnvollerweise nur genau das, was man selbst eingegeben hat.
Fazit
Was ist wahr und was nur Fake News? SMSX ist weit mehr als ein technisches Experiment; es ist ein digitales Kunstwerk. Es führt vor Augen, dass nicht die Menge an Informationen, sondern deren Qualität und Kontext entscheidend sind. Mit anderen Worten: Die Wahrheit ist da, aber man muss sie auch finden (können).
Damit macht das Projekt ein Thema greifbar, das in der heutigen Zeit der Nachrichtenflut und Desinformation eine zentrale Rolle spielt: Je mehr Lügen und je mehr Ablenkung ein Thema verstopfen, desto schwerer wird es, sich damit zu befassen. Und schliesslich demonstriert es dabei ein fundamentales Paradoxon: "Wer alles weiss, weiss letztendlich gar nichts." Oder in meinen eigenen Worten:
Der Allwissende ist der Nichtswissende.
Markus W. jedenfalls kann beruhigt sein; seine Geheimnisse liegen zwar im Archiv offen, doch sind sie versteckt in einer quasi unendlich grossen Wüste aus chaotischen Informationen. Niemand wird sie dort je finden, solange er nicht selbst mit dem Finger darauf zeigt.
Für alle, die nun selbst ein wenig die Datenwüste durchstöbern (oder einen Freund nervös machen) wollen, ist hier der offizielle Einstiegslink:
Tipp: Am eindrücklichsten ist es, im Suchfeld etwas einzutippen – SMSX zeigt dann sofort an, in welcher Nachricht der Text vorhanden ist und hebt diesen Teil hervor.
Fakten für Nerds
- Das Projekt wurde an einem Tag realisiert. Es basiert rein auf HTML, CSS und JavaScript und benötigt keine externe Datenbank oder Server-Abfragen.
- Die gesamte Logik befindet sich in einer einzigen HTML-Datei. Sogar das Favicon ist als Base64-Code direkt integriert, sodass die Seite komplett lokal und offline funktioniert.
- Die Nachrichtenlänge beträgt 160 Zeichen, das verwendete Alphabet umfasst 83 Zeichen. Dies ergibt über 10^300 Nachrichten, die über einen 128-Byte Schlüssel adressiert werden.
- Die 83 Zeichen: a-z0-9 .,:;!?+-*\/()[]{}<>='"äöüàèéñß&#¥€$£%@|^_~¡¿¤§
- Die Schlüssel werden als Braille-Symbole dargestellt, da es 255 dieser Zeichen gibt und sie eine einheitliche Breite haben.
- Begriffe wie "MX Mode", "SSID" oder "Port" auf der Website haben keine echte Bedeutung. Auch ihre Zahlenbereiche wurden willkürlich gewählt.
- Bei "Fingerprint" steht zwar x128, dabei handelt es sich aber um die gesamte Schlüssellänge. Korrekt wäre daher x124 (die übrigen 4 Zeichen verteilen sich auf die anderen Eingabefeldern).
- Trivia: Das "X" in SMSX steht für "Explorer".
