US-Justiz streitet um Tor-Browser-Exploit

Das US-Justizministerium beantragt, Details geheim zu halten, wie die Polizeibehörde FBI Nutzer des auf Firefox basierenden Tor-Browsers ausspioniert hat. In dem Fall geht es um Besucher einer Darknet-Site für Kinderpornografie. Richter Robert J. Bryant hatte es eine „berechtigte Frage“ der Verteidigung genannt, wie die Polizei denn bitte die anonymen Besucher identifiziert habe.

Das Justizministerium möchte diese Zugriffsmöglichkeit lieber geheim halten, wie es in einem diese Woche eingereichten Antrag erklärt. Es schlägt vor, die verwendete Technik unter Ausschluss der Öffentlichkeit und der Verteidigung dem Richter zu erklären.

Wie Motherboard zusammenfasst, hält die Verteidigung es für denkbar, dass die Ermittlungen nicht durch eine Genehmigung eines Richters gedeckt war. Um dies zu überprüfen, müsste aber das genaue Angriffsverfahren bekannt sein. Mit Vlad Tsyrklevich hat die Verteidigung des im Juli 2015 verhafteten Jay Michaud aus Vancouver in Washington sogar einen Malware-Experten in ihre Reihen geholt.

In dem konkreten Fall geht es um eine vom FBI im Februar 2015 beschlagnahmte Darknet-Site, die Kinderpornografie anbot. 13 Tage lang betrieb die Polizei sie mit eigenen Servern weiter, um an die Nutzer zu kommen. Dazu setzte sie ein von ihr „Network Investigative Technique“ (NIT) genanntes Hackerwerkzeug ein, das ihr ermöglichte, trotz Anonymisierung die IP-Adressen der Besucher zu ermitteln.

Teile des NIT-Codes wurden im Lauf des Verfahrens verfügbar gemacht, nicht aber der eigentliche Exploit – und damit die angegriffene Schwachstelle des Tor-Browser-Programms. Tsyrklevich sagt, ohne diesen Teil könne man nicht sagen, ob das FBI seine Befugnisse überschritten habe. Ihm widerspricht Special Agent Daniel Alfin fürs FBI, der den Fall mit einem Einbruch vergleicht: „Zu wissen, wie jemand die Eingangstür aufgesperrt hat, liefert keine Informationen darüber, was die Person nach Betreten des Hauses getan hat.“ Relevant sei daher nur, was das NIT auf Michauds Computer tat – und nicht, wie es darauf gelangte.

Der vorgelegte Code zeigt, dass der vom FBI manipulierte Browser über ein Flash-Applet eine direkte Verbindung herstellte, statt wie vorgesehen ein Routing über Tor-Knoten zu initiieren. Es wäre nicht das erste Mal, dass das FBI Code eines NIT offenlegen müsste. 2012 wurde auf diese Weise bekannt, dass die US-Polizei den Hackerbaukasten Metasploit nutzte.

2013 wurde durch Unterlagen aus dem Fundus von Edward Snowden bekannt, dass der Auslandsgeheimdienst FBI Mühe hat, Tor-Nutzer zu identifizieren. Sicherheitsexperte Bruce Schneier berichtete nach einer Analyse der Papiere, dass die Geheimdienstler Tor nicht wirklichen „knacken“ konnten, sondern Umwege nutzen mussten, um einzelne Nutzer zu enttarnen. „Tor ist ein gut konzipiertes und robustes Werkzeug für Anonymität, und es ist schwierig, es erfolgreich anzugreifen. Die NSA-Attacken, die wir fanden, griffen Tor-Nutzer einzeln an, indem sie Schwachstellen in ihren Firefox-Browsern nutzten, und nicht die Tor-Anwendung selbst.“

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.