Wie genau hat das FBI den Silk Road-Server aufgespürt?

Der Gerichtsprozess gegen Ross Ulbricht, den mutmaßlichen Betreiber von Silk Road, wird in wenigen Wochen beginnen. Trotz veröffentlichter Gerichtsdokumente und monatelanger Ermittlungsarbeit bleibt eine zentrale Frage bis heute offen: Wie genau hat das FBI den Standort des Servers für den Deep Web-Marktplatz ermittelt?

Laut eines Artikels von Andy Greenberg in Wired hat sich die IP-Adresse des Silk-Road-Servers durch eine falsch konfigurierte CAPTCHA auf der Seite quasi selbst verraten. (CAPTCHA sind diese kleinen Web-Fenster, die ermitteln sollen, ob du Mensch oder Bot bist). Neue Belege lassen nun erhebliche Zweifel an der Geschichte aufkommen, dass das FBI ganz ohne Amtshilfe (z.B. von der NSA) seine Ermittlungserfolge erlangte.

Die Anwälte von Ulbricht haben nicht gerade einen einfachen Job. Sie tappten bisher mehr oder weniger vollkommen im Dunkeln, was die Herkunft der zentralen Beweise gegen ihren Klienten angeht. Wie das FBI den Silk Road-Server aufgespürt haben könnte, blieb lang ein gut gehütetes Geheimnis. Ulbrichts leitender Anwalt  Joshua Dratel kritisiert die löchrigen Ermittlungen daher schon lange mit dem Vorwurf, dass das FBI dabei möglicherweise Datenschutzrechte verletzt habe.

Im vergangenen Monat hat das FBI dann endlich bekannt gegeben, wie es den als Hidden Service operierenden Silk-Road-Server aufgespürt habe. Anstatt atemberaubender IT-Hexerei oder einer Entschlüsselung des Tor-Netzwerks, kam den Ermittlern angeblich ein einfacher Trick zu Hilfe: Nachdem sie „verschiedene Einträge" in das CAPTCHA-Feld der Seite tippten, verriet dieses—aufgrund eines Programmierfehlers—seine IP an einen normalen Webserver.

Als die Version von FBI-Chefermittler Christopher Tarbell publik wurde, meldeten sich schnell mehrere Experten, die sie in Zweifel zogen. Sie hielten den von Tarbell geschilderten Ermittlungsablauf für viel zu vage. Die Kritiker legten nahe, dass die Taktiken des FBIs wohl eher Hacking-Strategien ähnelten, und nicht, dass man mehr oder weniger zufällig und einfach über die IP-Adresse gestolpert sei.

Neue Indizien lassen die Geschichte nun noch unglaubwürdiger wirken. Diese jüngsten Details finden sich in Dokumenten, die die US-Regierung diese Woche veröffentlicht hat, nachdem Ulbrichts Anwälte mehr Informationen vom FBI gefordert hatten.

Die Verteidigung wollte wissen, welche Software benutzt wurde, um nachzuzeichnen, wie genau das CAPTCHA die IP-Adresse von Silk Road an die Ermittler „geleakt" hatte. Die FBI gab daraufhin an, zu dieser Frage keine weiteren Details zur Verfügung stellen zu können.

Brian Krebs, ein renommierter Journalist für Fragen der Cyber-Sicherheit, hat die Regierungsantwort ins Netz gestellt und einen weiteren Experten um seine Meinung dazu gebeten: Nicolas Weaver vom International Computer Science Institute und der University of California in Berkley, störte sich in seiner Untersuchung insbesondere an einer Konfigurationsdatei, die von den beschlagnahmten Silk-Road-Servern stammte.

Weaver weist auf den Aufbau der Silk-Road-Webseite hin: Der Deepweb-Marktplatz wurde mit einem Frontend-Server und einem Backend-Server betrieben, wobei nur die Daten aus dem Frontend-Server das Backend erreichen konnten. Damit wäre es unmöglich gewesen, den Backend-Server nur durch das Herumspielen mit dem CAPTCHA auf der Login-Seite zu erreichen.

Das FBI versuchte seine Erklärung auch mit Traffic-Logs vom Silk Road-Server zu unterfüttern, doch auch diese stellten Weaver nicht zufrieden. Er vermutete, dass die Logs nicht zeigten, wie das FBI eine IP-Adresse von einem löcherigen CAPTCHA erhielt, sondern von einer PHPMyAdmin-Konfigurationsseite.

Diese Analyse wiederum wirft eine neue Frage auf: Wenn das FBI den Server nicht aufgrund eines schwachen CAPTCHAS gefunden haben sollte, wie ist es dann auf die PHPMyAdmin-Seite gestossen?

Robert Graham von Errata Security hat sich dieser Frage in seinem Blog angenommen. Er wühlte sich durch die technischen Details der Indizien und legt nun nahe, dass die Logs auf etwas völlig anderes hinweisen: auf ein mögliches Monitoring von Internetports. Wenn das FBI oder eine unterstützende Regierungsbehörde wie die NSA die Verbindungen aus und nach Island überwachte, wo die Admin-Seiten gehostet wurden, „hätten sie ganz einfach das Passwort herausfinden können, um sich damit auf dem Server einzuloggen."

Zum Auffinden der PHPMyAdmin-Seite schreibt Graham: „Eine Möglichkeit wäre, das gesamte Internet nach SSL-Servern zu scannen und dann nach dem String „Silkroad" in den Ergebnissen zu suchen." Außerdem, so führt er weiter aus, stimmten die Logs in der neuen FBI-Antwort nicht mit den beschriebenen Seiten in Tarbell's Erklärung überein. Grahams Fazit als „Experte für Themen wie Passwort-Sniffing" ist daher eindeutig:

„Ich bin mir sicher, dass das Aufspüren der Silk-Road-Webseite durchaus im Bereich des Möglichen für die NSA liegt."

Die Staatsanwaltschaft hält unterdessen immer noch an ihrer Behauptung fest, dass das FBI den Server ohne Beteiligung der NSA gefunden habe.

Manche Experten, darunter Graham, vermuten daher, dass hier eine juristische Parallelkonstruktion am Werk sein könnte: Bestimmte Beweise werden präsentiert, um die Ermittlungen eines Prozesses zu stützen, während die entscheidenden Indizien zuvor eigentlich mit Hilfe ganz anderer Mittel beschafft worden sind.

Reuters berichtete im vergangenen Jahr von einem anschaulichen Beispiel für diese Praxis. Die DEA hatte mit Hilfe einer solchen Parallelkonstruktion versucht zu verschleiern, in welchen Fällen ihre Ermittlungen durch einen Tipp der NSA ausgelöst wurden.

Das Problem dieser Ermittlungsstrategie liegt offensichtlich darin, einen fairen Prozessablauf zu gefährden, in dem der Angeklagte weiß, wie die Beweislast gegen ihn zustande gekommen ist.

Ulbrichts Prozess beginnt im kommenden Monat. Das rechtliche Drama dürfte gerade erst angefangen haben, während andere Darknet-Marktplätze längst die Position von Silk Road eingenommen haben.