Hat man am 2. Oktober 2013 seinen Tor Browser geöffnet und den kryptischen .onion URLeingegeben. Bekam man eine Warnung zu sehen. Ein Bildschirmfüllendes Bild, welches mit den Embleme des US Department of Justice (Justizministerium) und seiner nach geordneten Dienstbehörde, dem FBI, geziert war. Außerdem prangten noch drei Dienstmarken, nämlich die von der DEA, Homeland Security und des Ermittlungsstabes des Finanzamtes. Den meisten Usern wird dabei wohl ein Schreck durch die Glieder gefahren sein, als sie das sahen. Ist der Besitz, der Handel und oft auch der Konsum von BtM in den meisten Staaten doch illegal. Geschürt wurde diese Angst sicher auch von den fehlenden Informationen. Erst später kamen die Informationen, dass das kein normaler Hack war, sondern bittere Wahrheit.
Ich habe mich schon im letzten Jahr gefragt wie die das hinbekommen haben. Eigentlich galten die im Hidden Web (oder Deep Web) gehosteten Inhalte ja als nahezu bombensicher. Also wie haben die es angestellt. Schnell wurden Spekulationen im Web verbreitet, eine große Diskussion erfasste die Gemeinden, aber das Deep Web und seine manchmal zwielichtigen Schwarzmärkte waren nun auf einen Schlag bekannt. Das Problem hat sich schnell einfach verlagert. Wie immer, wenn der Krieg gegen die Drogen, den die USA nun schon seit Anfang der 70er Jahre führen, einen vermeintlichen Drogensumpf ausgetrocknet hat. Das Phänomen gibt es ja auch in Berlin ganz praxisnah und in der nichtvirtuellen Welt zu sehen. Der Zoo ist nun nicht mehr der Ort an dem Süchtigen sich verdingen und Beschaffungskriminalität herrscht, nun ist es das Kottbusser Tor. Das Problem ist also lediglich verlagert. Wie eben auch in dem oben geschilderten Falle um die Deep Web Silkroad. Man ist einfach und das recht schnell auf andere Märkte ausgewichen – Händler wie Kunden. Einige Tage später meldete sich dann die Silkroad 2.0 und schien den selben Code zu nutzen. Die Oberfläche war ganz genau gleich, nur die virtuellen Regale waren noch etwas leer. Sicher auch, weil einige einen Honeypot der US Ermittler befürchteten. Aber der Handel pendelte sich schnell wieder ein und gratis Publicity gab es auch noch. Mittlerweile findet man wahrscheinlich mehr Märkte u. A. im Tor Netzwerk als vor dem Bust.
Wie haben die Ermittler den versteckten Server gefunden?
Da ich mich wie bereits erwähnt schon im vergangen Oktober für die technische Umsetzung um das Schnappen des Ross Ulbricht interessierte, habe ich immer mal wieder die Höllenmaschine Google dazu ausgefragt. Schnell bekam ich mit, dass die Ermittler einen Cookie verfolgt haben – nämlich den Google PREF Cookie. Dabei haben sie festgestellt, dass ein Nutzer des Google-Dienstes Gmailimmer wieder zur selben Zeit online war, wie ein Nutzer der das Tornetz ansurfte und dort die Silk Road aufrief.
Diese Methode ist an sich bekannt gewesen, denn ein theoretisches Angriffsszenario war das aufzeichnen des gesamten Tor-Datenverkehrs. Das allerdings galt immer als unmöglich. Edward Snowden hat uns gezeigt, dass das machbar ist und auch teilweise umgesetzt wurde. Auf jeden Fall wurde es lang genug umgesetzt um einen Zusammenhang zwischen dem Tor-Nutzer und dem Google Gmail-Konto zu erkennen. Die Ermittler verfolgten die Spur weiter und fassten Ulbricht dann in einer öffentlichen Bibliothek, während er auf dem Silkroad-Server eingeloggt war. Das war er nicht als irgendein Nutzer, nein, er hatte einen direkten Zugriff – also ohne Tor – auf den Server und den Adminbereich. Das Szenario fand ich an sich schon spannend und beunruhigend genug, aber mehr Informationen zum Ablauf standen noch nicht bereit. Also befragte ich Google immer weiter und bekam ein etwas detaillierteres Bild.
Google als Verhängnis für den Dread Pirate Robert
Im FBI wurde man nun so langsam aufmerksam auf den Silk Road Marketund überlegte wie man den Betreiber der Seite ermitteln könnte, der sich mit dem Pseudonym Dread Pirate Robert (DPR) bezeichnete. Dabei kamen die Ermittler auf die Idee, dass man herausfinden müsste wer als erstes über den Silk Road Marketim Web sprach.
Nach einer intensiven Suche im Web haben die Bundesagenten einen Post vom 28. Januar 2011 im Board „Shroomery“ (Post im Internet Archive) als erste Erwähnung ausgemacht. Der Wortlaut war
I came across this website called Silk Road. It's a Tor hidden service that claims to allow you to buy and sell anything online anonymously. I'm thinking of buying off it, but wanted to see if anyone here had heard of it and could recommend it. I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the real site at http://tydgccykixpbu6uz.onion.
Let me know what you think...
und wurde von einem User mit dem Pseudonym altoid verfasst. Dieser User hat gerade mal einen einzigen Post, also diesen Beitrag, verfasst. Nun hatten die Ermittler eine Spur. Nicht die einzige. Ross Ulbricht beging einige Fauxpas.
Aber wer war altoid? Acht Monate später erstellte er einen weiteren Beitrag im Forum BitCoin Talk um einen IT Profi in der BitCoin Community zu finden. Blöderweise meldete er sich dort mit seiner echten eMail Adresserossulbricht@gmail.com an. Aber damit nicht genug. Ross erstellte ein Benutzerkonto im bekannten Coding Forum StackOverflow und nutze als Benutzernamen „Ross Ulbricht“ und registrierte sich mit seiner Gmail Adrese. Erpostete eine Frage, nämlich wie er mittels PHP und cURL eine serverseitige Uplink-Verbindung zum Tor Netzwerk herstellen könnte. Ihm schien schnell bewusst geworden zu sein welch Dummheit er beging, denn eine Minute später änderte er die eMailadresse und ein wenig später auch den Username in frosty. Der Post beinhaltete ein paar Codezeilen, welche sich auch im Silk Road Codefanden. Nun hatten die Feds also einen Namen. Aber noch keine harten vor Gericht bestehenden Beweise. Also legten sie sich auf die Lauer und fragten bei Google die Nutzerdaten zum angegebenen Account ab. Ross besaß einen Google+ Account und ein Youtube-Konto. Unter seinen Video Favoriten ließ sich ein Film finden, der einen Bezug zu dem Film The Princess Bride aufwies, aus dem der Charaktername für sein Pseudonym entnommen ist – Dread Pirate Roberts. Außerdem ließen sich Posts finden, die auf Wirtschaftstheorien verwiesen, die er auch im Silk Road Manifest thematisierte.
Nach der Grundlagenforschung kommt die Anwendung
Ab hier wurde das FBI anfangs sehr geheimniskrämerisch. Mittlerweile ist aber bekannt, dass am 10. Juli 2013 eine Wahrensendung aus Kanada im Rahmen einer Routinekontrolle an der kanadisch-amerikanischen Grenze abgefangen wurde. Das Paket enthielt die neun Ausweisdokumente, die Ulbricht sich beschafft hatte. Natürlich alle mit einem anderen Namen, aber seinem Bild.
Zwei Wochen später fand das FBI heraus, dass die Silk Road Server in vier Staaten stehen. Auffällig war von Beginn an die zeitliche Nähe zur Beschlagnahme und Schließung der Freedom Hosting Server. Freedom Hostingstellte Rechenzentren für das Deep Web zur Verfügung. Das FBI hatte einen Honey Pot in die Startseite der dort gehosteten Deep Website Tor Mail eingebau, mit dieser wurden die Besucher via Java Script getaggt. Ein gutes Beispiel dafür, dass man auch und gerade im Tor Netzwerk den Scriptblocker eingeschaltet lassen sollte. Der Tor Mail Server sendete nun die IP Adresse über ein 1x1 Pixel großes Inline-Frame zu zunächst unbekannten Servern. Nach kurzer Zeit fand man heraus, dass die Adressen zu FBI Rechenzentren gehören.
Das FBI betont, dass es zu diesem Zeitpunkt keinen Exploit (Sicherheitslücke) gab und die Tor User über ander Methoden identifiziert wurden. Nicholas Weaver, ein Sicherheitsanalyst, stellte die Vermutung auf, dass das FBI das Login-Interface gehackt hat und die Server IP am Tor Netzwerk vorbei nach Hause funkte und nun das Land der Serverstandorte kontakierte und Amtshilfe ersuchte um eine Kopie der Serverdaten (Image) zu bekommen. Das ersuchen wurde von Homeland Security (US Heimatschutzbehörde) am 23. Juli 2013 gestellt und danach an das FBI übergeben.
Mittlerweile ist bekannt, dass Ulbricht eine Software als Unterbau für seineSilk Road benutzt hat die nicht für die Anwendung im Anonymisierungsdienst Tor gedacht war und darüber eine Sicherheitslücke bereitstellte. Der Server stand inIsland, da dort kein Amtshilfeabkommen mit den USA bestand war Island ein beliebter Standort für Deep Websites.
Drei Tage später statten Ermittler derHomeland Security der 15. Straße in San Francisco einen kleinen Besuch ab. Sie fanden dort Ulbricht und seine Mitbewohner kannten ihn unter dem Namen Josh. Er bezahlte die Miete in Höhe von $ 1'000 immer in Bar und sagte den beiden Mitbewohnern, dass er kein Telefon habe. Außerdem erhielt er sein Image als armer Student aufrecht und wurde im Nachhinein bei einem Interview von den Zweien als ein bescheidener Kerl bezeichnet, der außer seinem Notebook und ein paar Kleidungsstücken nicht viel besaß. Er verbrachte die meiste Zeit zu Haus in seinem Zimmer und das tat er sogar am 4. Juli, dem US Nationalfeiertag.
Breaking Bad
Der im echten Leben so wunderbar ruhige und zurückhaltende, ja unscheinbare, junge Mann war in den Tiefen des Internet eine große Nummer. Er machte am Tag durchschnittlich circa $ 20'000 Umsatz, denn alle Verkäufe die über den Silk Road Market getätigt wurden waren für den Verkäufer natürlich Provisionspflichtig. So kam schnell ein vermögen zusammen. Ein Rekordtag riss die Marke von über 10'000 Transaktionen.
Natürlich rief solch ein Erfolg auch Neider und Schmarotzer auf den Plan. So haben die Ermittler Tabellen-Kalkulationen gefunden, die die Umsätze und Ausgaben deklarierten. Dread Pirate Roberts hatte unter anderem einen Posten für Hacker berücksichtigt, damit diese die Silk Road nicht angreifen - quasi Schutzgelder. Doch er hatte einen Kumpanen im Silk Road Team, der damit drohte, dass er die Klarnamen und Adressen von zehntausend Nutzern preisgäbe. Dafür, dass er dies nicht täte würde er von ihm $ 500'000 verlangen. Das wollteDPR nicht zulassen und heuerte laut Staatsanwaltschaft einen Kopfgeldjäger für $ 150'000 an. Dieser meldete nach 24 Stunden Vollzug mit den Worten
Your problem has been taken care of... Rest easy though, because he won't be blackmailing anyone again.
Neben der Leiche sollte der Killer eine Karte mit einer Zufallszahl platzieren, die DPR generiert und ihm gegeben hatte. Der Chefermittler im FBI fragte in Kanada nach ob ein solcher Fall bekannt sei. Die Kanadier sagten, dass kein solcher Fall bekannt sei. Ob DPR betrogen wurde ist unbekannt. Der Auftragsmörder schickte Dread Pirate Roberts das verlangte Bild am 5. April 2013 und DPR kommentierte es mit der kurzen Mitteilung, dass er das Bild empfing und sich für die schnellen Maßnahmen bedanke.
Received the picture and deleted it. Thank you again for your swift action.
Ungefähr zwei Wochen später kontaktierte er einen anderen Auftragskiller um einen weiteren Konkurrenten aus dem Wege zu räumen. Diesmal hat er weniger gezahlt. Die beiden einigten sich auf die Summe von $ 80'000 für den Hit. Allerdings war dies kein „gewöhnlicher“ Auftragsmörder, sondern ein FBI Agent. Er wollte aber nicht nur einen einfachen Mord in Auftrag geben, sondern seinen Gegner foltern lassen. Diesmal ging es nicht um die Daten von Nutzern sondern um gestohlene BitCoins (ca. $ 27'000 für betrügerische Cocaingeschäfte). Ein Silk Road Mitarbeiter hatte offenbar Silk Road Kunden im großen Umfang betrogen, da die Silk Road einen eingebauten Betrugsschutz für die Kunden hatte wollte Ulbricht das Geld zurück haben und natürlich andere davor warnen ähnliches zu tun. Er behauptete, dass er vorher noch nie getötet hätte, aber in diesem Falle sei es der richtige Weg. Er fürchte, dass der ehemalige Mitarbeiter nach einer Festnahme einknicken würde.
„Can you change the order to execute rather than torture?“
„Was on the inside for a while, and now that he's been arrested, I'm afraid he'll give up info.“
„Never killed before, but it is the right move in this case.“
Die Festnahme
Am 1. Oktober 2013 fassten die Feds den Dread Pirate Roberts der von nun an wieder Ross Ulbricht sein wird. Sie kamen in ziviler Kleidung um 15:15 Uhr Ortszeit (0:15 MESZ) in die Glen Park Bibliothek in San Francisco und stellten den Gesuchten dort in der SciFi Abteilung der Bibliothek. Er arbeitete gerade am Server und war dort als „admin“ direkt eingeloggt. Die Ermittler machten direkt Bildschirmfotos und sicherten die Beweise auf der Platte des PC.
Was muss das für ein Gefühl für den Physikstudenten gewesen sein? Er wird wohl nicht damit gerechnet haben und schwer überrascht worden sein. Sicher hat ihn die Situation überfordert nun als Schwerverbrecher behandelt zu werden und inhaftiert zu werden. Aber offenbar hat Ulbricht sich über ein solches Szenario Gedanken gemacht. Man hat Dateien auf seinem Computer gefunden mit einer Verfahrensliste für den Fall dass er flüchten müsste. Er wollte in einen Inselstaat einreisen und von dort eine Staatsbürgerschaft bekommen.
Ross Ulbrichts bester Freund, René Pinnell, sagte in einem Interview, dass die beiden sich seit dem sie Kinder waren aus Austin, Texas, kennen.Er wisse nicht wie die Ermittler ihn gekriegt haben und er wisse auch nicht wie Ross Ulbricht sich darin verwickeln konnte. Das sagte er in einem Interview mit dem US Online Magazin The Verge.
I don't know how they messed it up and I don't know how they got Ross wrapped into this, but I'm sure it's not him.
Wenn uns diese Geschichte eines lehrt, dann dass es keine technischen Hintertüren in der Software braucht, sondern lediglich gute Polizeiarbeit und offenbar eine Suchmaschine. Aber es lehrt uns auch, dass Datensicherheit und Privatsphärenschutz zu einem sehr großen Teil vom jeweiligen Benutzer abhängt. Also frei nach dem geflügelten IT’ler Wort: Der Fehler sitzt meistens vor dem Bildschirm.
Menschen kann man einsperren, Ideen nicht;
oder: Das Dilemma der Behörden
Das eigentliche Dilemma ist eigentlich nicht, dass es diesen Onlinehandelsplatz gab und noch immer –oder wieder – gibt. Das Problem ist der verfehlte gesetzgeberische Ansatz. Mit ihrem War on Drugs haben die US Behörden nichts gewonnen. Den „Drogensumpf austrocknen“ wird man nicht mit diesen Methoden können. Wenn freie und mündige Menschen etwas wollen, dann finden sie in der Regel eine Möglichkeit zu ihrem begehrten Gut kommen. Und da macht es wenig Sinn mit reiner Repression zu arbeiten und Menschen, die in die Suchtfalle geraten sind zu kriminalisieren. Der Reiz wird beim Verbotenen nur größer und wer diesem Reiz erlegen ist, der hat es schwer sich helfen zu lassen. Alkoholiker bekommen Hilfe, erleiden aber keine Kriminalisierung. Beschaffungskriminalität ist ein Problem in Bezug auf Drogen, aber das ist kein Problem was mit Repressionen beseitigt werden kann. Ich will nicht die bedingungslose Freigabe von allen Drogen, aber ich bin der festen Überzeugung, dass eine Freigabe unter bestimmten Umständen sinnvoll ist.
Mittlerweile ist eine Suchttherapie mit Reinstoffen beim Diamorphin (Heroin) erlaubt, aber nicht sofort, sondern wenn drei klassische Behandlungsversuche gescheitert sind. Außerdem gibt es ein Hypothesenpapiervon der Professorin für Rechtswissenschaften, Judy Aldridge, an der Universität von Manchester das vermutet, dass der Onlinedrogenhandel die Gewalt in diesem Business gemindert hat.
Auch die Ideologie von Wikileaks überschneidet sich doch stark mit denen der Deep Web Gemeinde. Die Äußerungen die DPR machte sind idealistisch, obgleich sie nicht auf ihre Konsistenz prüfbar sind. Allerdings muss ich sagen, dass mir die Texte auf der Silk Road weitaus ehrlicher vorkommen als zum Beispiel die auf solchen Seiten wie kino.to oder movie4k. Im Gegensatz zu den Schriften von Ross Ulbricht sind diese polemisch und lieblos hingekliert. Also vielleicht können wir aus diesem kleinen und recht spannenden Krimi ja noch etwas wertvolles lernen ...
>> Hier geht es weiter in dem Reallife-Krimi.
Dieser Beitrag ist am 04.11.2014 auf Teleschirm.info erschienen.
Siehe auch
- Anklageschrift USA vs. Ross Ulbricht (Archive)
- Gerichtsbeschluss zur Inhaftierung auf Antrag von Christopher Tarbell beim Bezirksgericht Süd New Yorck (Archive)
- Legendäres Interview mit DPR im Forbes Mag vom Sommer 2013
[Edit: Mit Feds sind umgangssprachlich FBI Agenten (Federals) gemeint.]
Dieser Beitrag ist schon etwas älter, aber immernoch akutell.
Was ist Ihre Meinung?
Kommentare einblendenDiskutieren Sie mit.