Terrorism eller CIA-kampanj? Här är historien om Cicada 3301

En del säger att det rör sig om terrorister, andra tror att det är en rekryteringskampanj för CIA. Sedan 2014 sliter hackare över hela världen med att avkoda en bok med anglosaxiska runor. Café berättar historien om den hemlighetsfulla organisationen och svensken som är nära att knäcka gåtan.

Nils Ekblad | Illustration: Henric Aryee  |  Publicerad 2016-11-18 09:42  |  Lästid: 6 minuter

Under sommaren har flera meddelanden som kopplar samman Cicada 3301 med årets terrordåd dykt upp.

Joel Eriksson är på väg ut ur sin lägenhet i centrala Uppsala när jag, som avtalat, exakt kl 15.00 kliver uppför det sista trappsteget. Han hälsar förvånat på mig men erinrar sig snart vår mejlkonversation från några ­dagar tidigare. ”Just ja, jag var på väg ut för att köpa lunch, jag har inga rutiner”, säger han lite besvärat och visar in mig till köksbordet där jag får vänta medan han springer ut för att köpa en låda japanskt.

Hans inneboende ordnar en kopp kaffe till mig. Persiennerna är nerdragna denna soliga sommardag och på väggen hänger en stor tavla där solstrålar tränger igenom några trädkronor. Inredningen är pedantiskt ordnad med alla ytor fria, sånär som ett schackbräde på ett av borden. Redo för ett parti.

Han gillar spelet och klurigt problemlösande och det är därför jag är här.

Den 5 januari 2012 dök ett mystiskt meddelande i form av en bildfil upp på det ökända internetforumet 4chan. Enligt meddelandet, som signerats ”3301”, ­eftersöktes ”highly intelligent individuals”. I bilden, meddelades det vidare, fanns ytterligare ett meddelande gömt. När bilden öppnades som textfil framkom utöver källkoden texten TIBERIVS CLAVDIVS CAESAR says ”lxxt>33m2mqkyv2gsq3q=w]O2ntk”.

Caesarkod är en av de äldsta och enklaste formerna av krypterad text, vilket innebär att en text krypteras genom att bokstäverna förskjuts med ett visst antal steg i alfabetet. Tiberius var Roms fjärde kejsare och mycket riktigt förvandlade en förskjutning med fyra steg koden till en URL. På adressen fanns en bild av en gräsand och en ledtråd om att använda ­programvaran OutGuess på den första ­bilden i stället. Detta var början på något som hackare världen över skulle jobba hårt med, dag och natt.

För Joel Eriksson verkade det här då bara vara en kul ”brain-­teaser”. Han har alltid varit förtjust i sådant. 2001 hade han klarat inträdesprovet till Mensa med alla rätt på halva tiden, så någon ytterligare bekräftelse på att han var en ”highly intelligent individual” ­behövde han knappast. Att bli rekryterad av någon mystisk organisation var inte heller någonting som lockade honom.

Spekulationerna började florera. Var det den amerikanska underrättelsemyndigheten CIA som låg bakom?

tiberius-cicada
Den första ledtråden hittades när den första bilden som Cicada 3301 publicerade på 4chan öppnades i WordPad i stället för med ett bildvisningsprogram. ­Caesarchiffer är den enklaste och äldsta formen av kryptering. Den som kan sin kryptografi förstår direkt vad det handlar om och kan ta första steget in i ­utmaningen. Källa: Uncovering Cicada Wiki

Den ena ledtråden ledde till en annan och svårighetsgraden i gåtorna steg snabbt. För att komma vidare krävdes avancerade kunskaper i ­datavetenskap och matematik. Utmaningen rörde sig mer och mer mot DeepWeb, den mörka och osökningsbara delen av internet där man annars hittar vapen, knark och barnporr. Meddelanden placerades även ut i form av ­papperslappar med QR-koder upp­tejpade på telefonstolpar över hela världen som kunde hittas via GPS-koordinater som publicerades på DeepWeb.

I takt med den ökande svårighetsgraden började också spekulationerna florera. Var det möjligtvis den amerikanska underrättelse­myndigheten CIA som låg bakom 3301? Eller signal­spanarna på amerikanska försvarsmyndigheten NSA?

Den sortens spekulationer avfärdades av en del på grund av valet av anarkistiska 4chan som kanal. Det var knappast rätt ställe för att värva folk med respekt för auktoriteter.

– För mig är det absurt. Eftersom den ideologiska aspekten är motsatsen till vad underrättelsetjänster vill ha, säger Joel Eriksson.

Men historiskt har sådana organisationer använt sig av liknande gåtor för att värva smarta medarbetare. Alan Turing, den ­brittiske datapionjären och kryptoanaly­tikern som knäckte tyskarnas Enigmakod under andra världskriget, hade bland annat sökt medarbetare till det hemliga projektet genom komplicerade korsordsgåtor i tidningarna. Så kunde han få tag på folk med rätt sorts begåvning. Och liknande taktiker används fortfarande.

Det enda som kan sägas om människorna bakom är att de tycker att vi andra ska skydda våra identiteter på nätet.

Den första utmaningen var över på en månad, och efter 11 månaders tystnad lades i januari 2013 en ny bildfil med vit text mot svart bakgrund upp på 4chan. Jakten på intelligenta individer fortsätter, var budskapet. Genom att, liksom föregående år, köra bildfilen genom programvaran OutGuess gavs en ledtråd som pekade mot en bok av den ökände ockultisten Aleister Crowley.

Genom ett klassiskt så kallat bokchiffer fick man fram en webbadress som ledde vidare till nya ledtrådar. Vid denna tid hade spekulationerna om vilka som låg bakom signaturen vuxit sig vilda.

Dagen innan 2013 års gåta lagts upp hade en varning dykt upp av någon som utgav sig för att varit delaktig i rörelsen bakom utmaningarna. ”Håll er borta”, var bud­skapet. 3301 hade nu också fått uppmärksamhet i media. Bland annat hade Rolling Stone ett reportage där vinnande deltagare från 2012 intervjuades, och Washington Post listade fenomenet som ett av internets fem kusligaste mysterier. Organisationen har kommit att kallas ”Cicada 3301” eftersom de ofta använder en stiliserad bild av en cikada som signatur.

– Det som har varit utmärkande för dem är att de har haft väldigt bra sinne för detaljer, säger Joel Eriksson. De har lämnat väldigt lite åt slumpen. Och det kräver i sin tur mycket tid och eftertanke. Jag skulle tro att de ändå har förberett sig åtminstone ett halvår innan tävlingen. Planeringen och detaljsinnet indikerar att det tog så lång tid.

cicada-cia-terror

2014 kom den sedvanliga svartvita hälsningsbilden via Twitter i stället för 4chan. Via flera ytterst komplicerade steg lämnades deltagarna med en bok med titeln Liber primus – 58 sidor med anglosaxiska runor. Bara en liten del har kunnat avkodas och det verkar handlar väldigt mycket om avancerad matematik med fokus på primtal.

­Eftersom 2014 års gåta aldrig löstes presenterades ingen ny 2015. 2016 kom via Twitter en hälsning som förklarade att deltagarna ska fortsätta ägna sig åt den märkliga boken Liber primus. Trots att hackare över hela världen jobbar aktivt med det och varje dag byter spekulationer och teorier över nätet har inga framsteg gjorts sedan våren 2015, enligt ”brotherBox”, en tysk hackare som administrerar chattkanalen #cicada­solvers och en Cicada-wiki.

Joel Eriksson var en av de del­tagare som kom längst i 2012 års utmaning. Han låg dock dessvärre och sov när de andra deltagarna plötsligt fick möjlighet att registrera sina mejladresser på en sajt som 3301 lagt upp. Han missade därför tillfället att komma vidare i tävlingen.

– Men jag var ju aldrig intresserad av att joina Cicada. Jag var bara intresserad av att lösa en utmaning. Sen har jag blivit kontaktad av ett antal personer som har sagt att de är Cicada, men jag tror att de i regel varit troll. Ibland har de kommit med någon typ av utmaning, men inte lika raffinerad som jag förväntar mig av Cicada. Så jag har inte lagt ner någon energi på det.

cicade-message
Efter att det börjat florera falska Cicadagåtor signerades gåtorna med PGP (Pretty Good Protection). En PGP-signatur genereras ur själva meddelandet och avsändarens hemliga nyckelkod. Signaturen kan sedan verifieras med avsändarens publika nyckelkod. Meddelandet kan alltså inte ändras utan att signaturen ändras. ”No PGP, no Cicada” har blivit något av ett mantra bland hängivna deltagare. Källa: Uncovering Cicada Wiki

Ganska tidigt började falska meddelanden florera, vilket gjorde att 3301 började signera sina meddelanden med PGP-kod, vilket gör det omöjligt att ta miste på om ett meddelande är genuint eller inte. Trots detta är det inte ovanligt med meddelanden och gåtor som saknar PGP-­signatur från människor som utger sig för att vara 3301. Dessa gåtor är relativt enkla och använder en del kulturhistoriska referenser som påminner om 3301. De använder också den karakteristiska Cikadabilden och har fått viral spridning via bland annat Reddit, Facebook, bloggar och suggestiva hemmagjorda videor på Youtube där mystiken runt organisationen dras till sin spets. Under sommaren 2016 har flera meddelanden som bland annat kopplar samman Cicada 3301 med årets terrordåd dykt upp, särskilt på Youtube.

Förutom ledtrådar till gåtorna är dock den enda informationen som 3301 officiellt släppt en dementi om påstådd inblandning i ett hackerangrepp mot Planned Parenthood-rörelsen. I detta meddelande tar de också uttryckligt avstånd från olaglig verksamhet. Därtill har några mejl till utvalda deltagare läckt ut, där gruppen svepande beskriver sig som en internationell tankesmedja med fokus på frågor om nätintegritet.

cicada-cafe-3301
Cicada använder sig gärna av skolboks­exempel på kryptografi. 2013 års utmaning började med en ­klassisk bokkod där varje rad pekar ut bokstäver i en viss text. ”I:10:26” syftar till exempel på den tjugosjätte ­bokstaven i det första kapitlets tionde rad. I det här fallet gällde det Aleister Crowleys The book of the law. Resultatet blev en http-adress där en ny gåta väntade. Källa: Uncovering Cicada Wiki

D

e mystiska gåtorna har fått många oväntade ringar på vattnet. Amerikanska flottan lanserade till exempel Project Architeuthis för två år sen: en rekryteringskampanj som uttryckligen inspirerats av 3301. Några av de deltagare som kom längst i 2012 års utmaning började utveckla ­CAKES, ett system som ska hjälpa visselblåsare att publicera känsliga uppgifter automatiskt om visselblåsaren själv  blir hindrad. Även det talar emot miss­tankarna om att någon underrättelsetjänst ska ligga bakom.

— Om man ska spekulera i nyttan för människorna bakom Cicada så är det väl att de vill ha personer som har kompetens som är relevant för dem och sådana som delar deras ideologi. Och den handlar om rätten att kunna kommunicera anonymt och krypterat. De använder ju till exempel TOR-tjänster och PGP.

Utvecklarna av CAKES verkar dock ha tappat kontakten med 3301 och projektet är lagt på is. Ett annat stor­slaget projekt som är på gång i kölvattnet av 3301-utmaningen är ett nytt verktyg som kan leta upp hemliga sidor på DeepWeb. De fragment av runtexten som deltagarna lyckats tyda antyder nämligen att det finns en hemsida på DeepWeb som deltagare bör söka upp.

Vilka som ligger bakom gåtorna kommer förmodligen att förbli en hemlighet. Det enda som kan sägas säkert om människorna bakom 3301 är att de tycker att vi andra bör tänka på att skydda våra identiteter på nätet. Men en som säger sig ha varit i ­kontakt med gruppen har gissat på att 3301 är ett nätverk som har minst åtta med­lemmar.

— Jag skulle tro att de är färre än så, säger Joel Eriksson. Så fort man blandar in fler än en person så är det svårt att hålla saker hemliga. Det kan mycket väl vara något slags kärna på upp till åtta personer, men i så fall tror jag inte att de känner till varandras verkliga identitet. Den verkliga kärnan kanske snarare är runt tre. Förmodligen med en huvudsaklig eldsjäl i grunden. De som har blivit antagna av Cicada har kommunicerat anonymt så de har inte behövt uppge sina verkliga identiteter för varandra. Och om kärnan som samarbetade för att sätta upp den första utmaningen var fler än tre så tror jag inte att de kände till varandras identiteter.

I dag driver Joel företaget Clevcode och är konsult för det internationella IT-­säkerhetsbolaget Cycura. Innan jag går måste jag fråga: ”Cycura startades 2013, är det en slump att Cycura låter kusligt likt ­Cicada?”  Joel skrattar hemlighetsfullt:

– Ja, det är en ren slump.

Dela på Facebook
Tweeta
Uppdaterad 2023-09-06 08:56