Enttarnt

Strafermittler im Tor-Netzwerk

Trends & News | News

In den USA sind Internet-Nutzer angeklagt, sich kinderpornografische Inhalte über das Anonymisierungsnetzwerk Tor verschafft zu haben. Sie tappten in eine vom FBI errichtete Falle. Nun wird um die Rechtmäßigkeit der Aktion gestritten – was auch das mögliche Vorgehen deutscher Ermittler in den Fokus rückt.

Wer über das Tor-Netzwerk surft, verschleiert seine IP-Adresse. Dafür mag es gute Gründe geben – und das nicht nur in Ländern, in denen autoritäre Regimes die Internet-Nutzung staatlich überwachen lassen, um die Opposition zu kontrollieren und zu identifizieren. Es gibt aber auch einen Missbrauch dieser Technik, wenn Drogen bestellt werden und Kinderpornografie ausgetauscht wird. Das FBI hat Nutzern im Tor-Netzwerk eine Falle gestellt – ob es rechtmäßig war, dafür Malware an die User zu verteilen, ist jedoch sehr umstritten, auch in Deutschland.

Dass Tor nicht unbedingt verlässlich schützt, bewies schon die Hackergruppe Anonymous – und die Aktionen der Hacktivisten scheinen das FBI erst auf die Idee gebracht zu haben, wie man Tor für eigene Zwecke nutzen könnte. Anonymous gab am 15. Oktober 2011 in einer Mitteilung die Existenz einer Operation „Darknet“ bekannt: Anonymous veröffentlichte die Namen von 1500 Personen, die ein Kundenkonto bei kinderpornografischen Angeboten wie „Lolita City“ hatten oder „Handy Candy“ im Hidden Wiki tauschten.

Darknet

All den Angeboten gemein war die Tatsache, dass die entsprechenden Dateien bei einem Provider namens Freedom Hosting gespeichert waren. Anonymous erklärte Freedom Hosting zum „Enemy Number One“ und startete eine ganze Serie von Attacken mit dem Ziel, über 40 solcher Angebote zu zerstören. Allein „Lolita City“ soll 100 GByte kinderpornografisches Material gehostet haben.

Die Aktion von Anonymous wurde heftig diskutiert. Die unbekannten Aktivisten verteidigten sich mit dem Argument, dass Kinderpornografie niemals unter das Recht der freien Rede fallen könnte, das Kinderporno-Nutzer für sich reklamierten. Diese schrieben 2011 zurück:

„It is our GOD given right that we can choose to have our sexual preferences for youth. It is the same for the any other porn community. It is not what we choose to become, it is who we are. You Anonymous aka #OpDarknet do not have the right to censor us.“

Wenige Wochen nach der Operation „Darknet“ waren die besonderen Dienste von Freedom Hosting wieder verfügbar, das Interesse der Strafverfolger war jedoch geweckt. Im Juli 2013 konnte auf Veranlassung des FBI in Irland Eric Eoin Marques, der Betreiber von Freedom Hosting, verhaftet werden. Marques wurde in die USA ausgeliefert, wo derzeit ein Strafverfahren wegen des Besitzes und Vertriebs von Kinderpornografie gegen ihn läuft.

Gekapert

Doch die Verhaftung von Marques war noch lange nicht alles: In der Zusammenarbeit mit französischen Ermittlern gelang es dem FBI, die Serverdienste von Freedom Hosting unter Kontrolle zu bekommen, die bei einem französischen Provider gehostet wurden. Das FBI schaltete die Serverdienste nicht einfach ab, sondern verlegte sie auf einen Rechner im US-Bundesstaat Maryland, wo die Ermittlungen gegen Marques angesiedelt sind.

Dort präparierte man die Server so, dass sie bei Besuchern der Webseiten von Freedom Hosting eine Lücke in Firefox ausnutzten und ein Javascript-Programm namens Magneto auslieferten. Magneto verbindet sich mit einem einfachen HTTP-Request zu einem Server in Maryland (65.222.202.54:80) und schickt diesem den Namen des Computers sowie dessen MAC-Adresse (via SendARP und gethostbyname()->h_addr_list).

Damit setzte das FBI eine Technik ein, die erstmals im Jahre 2007 durch den US-Journalisten Declan McCullagh beschrieben wurde. Unter dem Kürzel CIPAV (Computer and Internet Protocol Address Verifier) besitzt das FBI eine Reihe von Programmen, die Internet-Nutzer „verifizieren“ sollen. Mit CIPAV darf das FBI Adressen mitschneiden, nicht aber den Inhalt der Kommunikation. Als die CIPAV-Methode das erste Mal eingesetzt wurde, schränkte der zuständige Untersuchungsrichter die Methode zeitlich ein.

Mit dem nun bekannt gewordenen „Drive-by-Download“ ist eine Diskussion darüber entbrannt, ob die Verbreitung von Malware durch eine Polizeibehörde überhaupt rechtmäßig sein kann. Nach Angaben der Zeitschrift Wired führte der Einsatz dieser Methode bislang zu einer einzigen Anklage.

Ungezielt

Nun muss festgestellt werden, ob die vom FBI eingesetzte Technik rechtmäßig ist. Chris Soghoian, ein IT-Experte der Bürgerrechtsbewegung ACLU, forderte eine sorgfältige Untersuchung. Es sei eine Sache, einen einzigen Computer zu untersuchen. Etwas ganz anderes sei es, die IP-Adressen aller möglichen Computer abzufragen, ohne dass man weiß, wie viele es sind und aus welchen Ländern sie überhaupt kommen, erklärte Soghoian.

Ähnlich sieht das der Tor-Experte Frank Puschin, beim LKA Niedersachsen Sachgebietsleiter der Abteilung „Anlassunabhängige Recherche im Internet“. Für die deutsche Polizei sei eine solche Vorgehensweise nicht denkbar und rechtlich nicht abgedeckt, erklärte Puschin: „Die Anpassung von Internetseiten mit Wissen des Seitenbetreibers beziehungsweise durch den Seitenbetreiber mit dem Ziel der Ermittlung einer IP-Adresse ist für die Polizei durchaus durchführbar – denkbar ist zum Beispiel eine Logging-Funktion, wenn diese nicht vorher schon aktiviert war. Auf diesem Weg allerdings einen Exploit zu platzieren und eine Schwachstelle in Firefox auszunutzen, fällt aus meiner Sicht in einen rechtlichen Bereich, der so nicht machbar ist.“

Puschin ergänzt: „Mir ist persönlich kein Fall aus dem Bereich der Verbreitung von Kinderpornografie bekannt, in dem eine solche Vorgehensweise durch die Polizei gewählt wurde. Problematisch ist hier sicherlich auch, dass ein unbestimmter Personenkreis mit einer Schadsoftware infiziert wird und nicht ein spezieller, ausgewählter Täter.“

Keine Bedenken hätte Puschin hingegen bei einer anderen Aktion des FBI, die unter dem Namen Operation „Torpedo“ zu mehreren Anklagen wegen Verbreitung von Kinderpornografie geführt hatte. Dabei nutzte das FBI den Umstand aus, dass bei einem Tor-Server namens „Pedoboard“ der administrative Zugang nicht durch ein Passwort geschützt war. Das FBI schaute sich um und entdeckte nicht nur den Klarnamen des Admin, der drei Angebote mit kinderpornografischen Inhalten betrieb, sondern auch den Standort des Servers im US-Staat Nebraska.

Über zwei Wochen loggte das FBI mit richterlicher Genehmigung alle IP-Adressen mit, die das „Pedoboard“ besuchten. Am Ende der Aktion hatte man 25 Adressen von Besuchern, die die Strafverfolger nach der Provider-Auskunft eindeutig US-Bürgern zuordnen konnten. Gegen diese Besucher wurde Anklage erhoben.

Treffer

Der prominenteste Fall bei der Operation „Torpedo“ sorgte in den letzten Tagen für Schlagzeilen: Ermittelt wurde der Chef der IT-Abteilung des US-amerikanischen Department of Homeland Security (DHS), Timothy DiFoggi. Der Sicherheitsexperte, der nach einem Organigramm des DHS direkt dem Chief Information Officer (IT-Leiter) der Behörde unterstand, soll Tor regelmäßig zwischen vier und sechs Uhr morgens genutzt haben, um via Pedoboard Kinderpornografie zu verbreiten beziehungsweise zu tauschen.

Als die FBI-Beamten in aller Frühe vor seinem Haus erschienen, konnten sie DiFoggi an seinem Rechner verhaften, während dieser ein Video aus einem „Onion Pedo Video Archive“ speicherte. Der Prozess gegen DiFoggi, der sich ziemlich sicher fühlte und gegenüber anderen mit seinen Computerkenntnissen prahlte, soll im November beginnen.

LKA-Fahnder Puschin erklärte gegenüber c’t zu diesem Fall des behördlichen Einloggens in einen ungeschützten Admin-Zugang: „Dies wäre aus meiner Sicht auch für deutsche Behörden durchaus denkbar, da die Daten nicht besonders gegen Zugriff gesichert sind und somit keine Zugangssperre überwunden wird, um an die Daten zu kommen. Aber wie gesagt, bedarf das einer Einzelfallprüfung durch die Staatsanwaltschaft. Vom Gefühl her würde ich mich dort einloggen.“ (jk)

Artikel kostenlos herunterladen

Anzeige
Anzeige