Wer das Tor-Netzwerk nutzt, möchte sich weitestgehend anonym im Internet bewegen. Ist das Browser-Bundle installiert und eingerichtet, können die Nutzer ihre IP-Adresse verschleiern und auf versteckte Dienste und .onion-Seiten im Deep Web zugreifen. Das Tor-Netzwerk gilt als prinzipiell sicher und anonym, was aber nicht bedeutet, dass es unangreifbar ist. Seit Jahren versuchen verschiedenste Akteure, die Nutzer des Dienstes zu deanonymisieren.

Viele dieser Versuche sind vor allem theoretischer Natur, doch zumindest für einen kurzen Zeitraum scheint es gelungen zu sein. In einem neuen Blogpost auf der Seite des Projekts schreibt der Tor-Entwickler Roger Dingledine, dass IT-Forscher der Carnegie Mellon Universität aus Pittsburgh hinter einem Angriff auf das Tor-Netzwerk steckten – und, das macht die Sache noch brisanter, dafür vom FBI bezahlt wurden.

Konkret geht es um den Zeitraum zwischen Januar und Juli 2014. Anfang Juli vergangenen Jahres entdeckten die Tor-Entwickler, dass es zahlreiche Knoten im Netzwerk gab, die offenbar versuchten, kriminelle Nutzer versteckter Dienste (zum Beispiel Schwarzmärkte) zu enttarnen. Die Entwickler vermuteten schon damals, dass Forscher des Computer Emergency Response Team (CERT) der Carnegie Mellon Universität damit zu tun haben könnten. Die sollten nämlich auf der Hacker-Konferenz Blackhat einen Vortrag über die Deanonymisierung von Tor-Nutzern halten, sagten diesen aber kurzfristig ab. Auf Wunsch ihrer Anwälte, wie es offiziell hieß.

In der Szene sorgte die überraschende Absage in Verbindung mit der zuvor veröffentlichten Entdeckung der Tor-Entwickler für Diskussionen. Bürgerrechtler vermuteten, die Forscher hätten die Nutzer ohne Einwilligung für ihre Studie überwacht und somit gegen die ethischen Grundregeln der Universität verstoßen. Andere brachten Behörden und Geheimdienste wie die NSA und das FBI ins Spiel, die schon länger daran interessiert sind, die Anonymität im Internet und Tor-Netzwerk zu unterwandern – auch wenn das Projekt offiziell von der US-Regierung unterstützt wird.

Die Jagd auf Silk Road lieferte Hinweise

Möglicherweise hatten beide Seiten Recht. Jetzt gibt es nämlich neue Erkenntnisse, die auf die Zusammenarbeit zwischen den Akademikern und den Behörden hindeuten. Und nicht nur das: Sie könnten auch einige offene Fragen über Operation Onymous beantworten, die bis dato größte Schwarzmarkt-Razzia im Deep Web.

Die neuen Hinweise stammen aus Dokumenten im Fall von Brian Richard Farrell. Der Mann aus Seattle wurde im Januar dieses Jahres verhaftet, weil er als mutmaßlicher Mitstreiter des Deep-Web-Schwarzmarkts Silk Road 2.0 den Verkauf von Drogen gefördert haben soll. Zur Erinnerung: Silk Road war bis 2013 der größte illegale Marktplatz im Netz, ehe das FBI den mutmaßlichen Gründer und Betreiber Ross Ulbricht auf die Spur kam. Der Nachfolger Silk Road 2.0 ging im November vergangenen Jahres im Zuge der Operation Onymous offline: Insgesamt wurden damals 410 versteckte Dienste hochgenommen und 17 Menschen verhaftet. Bislang gab es nur Vermutungen darüber, wie das FBI den Beteiligten genau auf die Schliche kam.

Der Website Motherboard ist jetzt der FBI-Durchsuchungsbefehl für die Wohnung von Farrell in die Hände gefallen. Dort heißt es, eine FBI-Quelle habe zwischen Januar und Juli 2014 "zuverlässige IP-Adressen für Tor und Hidden Services wie Silk Road 2.0 geliefert". Dies habe zur Identifizierung von "mindestens 17 Schwarzmärkten im Tor-Netzwerk geführt". Das entspräche nicht nur der Breite von Operation Onymous, sondern auch genau dem Zeitraum, in dem Tor möglicherweise Angriffen ausgesetzt war.

Viele Spuren führen zu einer Universität

Ein weiteres Puzzlestück befindet sich in einem Antrag von Farrells Verteidigern, der vergangene Woche dem Richter vorgelegt wurde. Dort heißt es: "Mr Farrells Mitwirken an Silk Road 2.0 wurde auf Basis von Informationen eines 'universitätsbasierenden Forschungsinstitut' identifiziert, das seine eigenen Computer im Tor-Netzwerk unterhält." Farrells Anwälte fordern die Staatsanwaltschaft auf, zu erklären, wie genau und auf welcher Rechtsgrundlage dieses Institut die Nutzer einen anonymen Website enttarnen konnte – bislang erfolglos.

Zwar erwähnen die Dokumente nicht explizit die Forscher der Carnegie Mellon Universität. Doch sowohl der Zeitraum, die Art des Angriffs auf das Netzwerk und die Informationen über den Inhalt des abgesagten Blackhat-Vortrags stimmen überein. Nicholas Weaver, Sicherheitsforscher an der Universität Berkeley, sagte im Gespräch mit Motherboard, dass es deshalb "mit ziemlicher Sicherheit" seine Berufskollegen des CERT gewesen seien.