Law enforcement undermines Tor

Few weeks ago, the German political magazine Panorama and STRG_F reported that law enforcement agencies infiltrated the Tor network in order to expose criminals. The reporters had access to documents showing four successful deanonymizations. I was given the chance to review some documents. In this post, I am highlighting publicly documented key findings.

Findings

  • 2024-09-12: Telefónica implements IP Catching
    • Frankfurt District Court orders Telefónica (O2) to surveil its customers for up to three months
    • Telefónica reports all customers connecting to a specific Tor entry relay named by the German Federal Criminal Police Office (Bundeskriminalamt, BKA). This is called IP catching
    • After a few days, the measure is completed successfully
    • Data of unsuspects was allegedly deleted immediately and not transmitted to law enforcement authorities. It remains unclear how this can happen without already knowing the suspect
    • There is no legal basis for IP catching. Telefónica still claims to be obliged to implement the measure
  • 2024-09-16: First statement of the Tor Project
    • Pinpointing Tor entry relays of onion services to successfully deanonymize Tor users
    • Timing analyses in combination with broad and long-term monitoring of Tor relay
    • V2 and V3 onion addresses were affected, at least between 2019/Q3 and 2021/Q2
    • nusenu references KAX17
  • 2024-09-18: Journalists detail one case
    • Operation Liberty Lane is referenced
    • Four successful measures [=deanonymizations] in one investigation
      • 2x identification of Ricochet users
      • 2x further measures
    • Deanonymization is based on timing analysis
    • It’s not a classic software vulnerability that is exploited
    • Tor Project agrees that nothing indicates that a vulnerability in the Tor browser is exploited. Problem: The attack works even though the Tor software is working properly
    • Sources speak of widespread monitoring of Tor relays
    • Number of surveilled Tor relays in Germany has risen sharply in recent years
  • 2024-09-18: The second statement of the Tor Project gives the impression that only Ricochet is affected
  • 2024-09-25: Interview with Daniel Moßbrucker
    • More and more Tor relays in Germany are under surveillance for longer and longer periods, in such a way that apparently data has been used for timing analysis
    • Deanonymization takes some time. Tor users are not deanonymized by the authorities in the blink of an eye
    • Not only Ricochet is affected, but twice also normal v3 Onion Services
    • Timing analyses was always possible when, to put it simply, there was „little traffic“ on an onion service and only a few packets were transmitted, which could then be assigned to a specific user. On whistleblowing platforms, there is usually little traffic until a source decides to submit data
    • The journalists first reached out to Ricochet in July 2023, mentioning cases of deanonymization of Tor users by revealing their entry relays. Ricochet immediately informed the Tor Project

Media reports

Operation Liberty Lane

Operation Liberty Lane is the alleged name of what is believed to be a joint operation of the United States, UK, Germany and potentially other countries with the goal to expose Tor users of illegal onion services. This operation caught my interest in January 2024, after someone had published screenshots of case files on Reddit.

According to the Reddit user Efficient_Wish_9790, this once theoretical attack has been operationalized and has unmasked thousands of users. The NCA and FBI have jointly developed a software program called „Good Listener“ that involves LE spinning up as many guard and middle nodes as possible, and then using a timing attack to correlate the IP at the malicious gaurd to the timing at the illegal HS.“

The screenshots reference an email sent by the Chief of the Federal Criminal Police in Germany (Bundeskriminalamt).

Agents in the United States are discussing their operation with Germany in email exchanges dated June 13, June 14, June 20, June 21, and June 24 of 2019. (FOIA Response, attached as Ex. E, pp. 3-11.). On June 24, 2019, for instance the Chief of the Federal Criminal Police in Germany emailed a redacted HSI agent, saying “good job! The report will be useful for us.” (Id.) This is not a one way street.

I tried to obtain email and report. The Federal Criminal Police, however, could not find the documents I requested.

Another user compiled a list of US cases associated with this operation. The relating documents include interesting Tor-related snippets. Here are snippets from Case 1:21-cr-00007-LJV-JJM Document 112:

As an initial matter, the prosecution in this case has claimed that it does not know how the hidden IP address was recovered. The government cannot, therefore, assure this Court that the manner in which it was uncovered would not shock the conscience. It is still unknown how the IP addresses were deanonymized – an ability that only nation states appear to have. To this point, the prosecution is only saying that the UK provided a “tip” to the United States that certain IP addresses accessed certain Tor websites.

Second, we now know that the United States government was more than a passive recipient of a generous tip […]>

Other emails released in this batch demonstrate that at least as early as 2018, HSI and the FBI were working together on projects they called “good listener” and were emailing documents about “guard research.” (Id., at p. 24) In the world of Tor, the entry node is often called the guard node; it is the first node to which the Tor client connects. One email purports to show how “good listener” actually works, with sections on “Background” and “Methodology.” This document is dated September 2018, well before the United States claims to have gotten a lucky “tip.”

Since January 2024, Operation Liberty Lane was discussed in multiple relay operator meetups. Until recently, no one was able to confirm or to debunk the suspicions. In recent news on law enforcement agencies undermining Tor anonymization, the Tor Project claims it is just speculation. For me, it’s sufficient to question if I should continue to recommend the use of onion services to journalists or whistleblowers. First I need to understand in more detail how the attacks are carried out and whether Iran or China, for example, could also carry out these attacks.

Wifi without internet on a Marabu flight

Just as james vaughan, I spent a recent flight finding out what I could do with a connection to the flight’s wifi, but without access to the internet. After reading james‘ blogpost, I decided to share my story ‒ I found more data 🙂

I was on my way to Greece, a direct flight from Hamburg to Lefkada. It’s a long flight. Marabu’s wifi is not for browsing the Internet but for accessing the inflight entertainment system only. I was bored, did not like the movie selection, so I opened up my browser’s network dev tools to see if I could figure out what was going on.

Citing james,

I used my browser’s “Copy as cURL” feature to quickly get a command to hit the endpoint. As an aside, this feature is present in Firefox and all chromium-based browsers and it’s really handy if you ever need to reply requests made by your browser and want to send all the same headers.

The information the API returned in the beginning were not too interesting. I cannot provide an example response from one of those first requests. If I remember correctly, the responses showed only data that drives the inflight wifi portal’s flight status screen, showing our plane’s location, air speed, etc.

However, since this was one of the few things I could access on this network, I decided to make the most of it. The following API endpoint is what caught my eye: https://marabu.everhub.aero/monitor/status?path=/system/net/.

„Wifi without internet on a Marabu flight“ weiterlesen

Verhaltensüberwachung am Hansaplatz

flamenc, Neue Hansaplatz 2011, CC BY-SA 3.0
flamenc, Neue Hansaplatz 2011, CC BY-SA 3.0

Die Hamburger Polizei experimentiert am Hamburger Hansaplatz mit einer Verhaltenserkennung. Offenbar genügt die Kameraüberwachung nicht mehr, um Personen auf die angrenzenden Spielplätze zu verdrängen. Die Polizei rüstet also auf. Ohne vorherige Ausschreibung investiert sie in intelligente Überwachungssensoren, die Menschen „digital skelettiert“. Die Bewegungen der Skelette werden anschließend analysiert. Skelette, die sich nicht angepasst und unauffällig verhalten, lösen einen Alarm aus.

Das System, das vom Fraunhofer IOSB entwickelt wird, funktioniert nicht. Deren Pilotprojekt in Mannheim soll mangels Lerndaten verlängert werden. Das System soll Schwierigkeiten haben, Umarmungen von „kriminalistisch bedeutsamen Handlungsabläufen“ zu unterscheiden.

Inzwischen gibt es zu dem Thema auch allerlei Anfragen (und einen Antrag) in der Bürgerschaft:

Weitergabe und biometrische Verarbeitung von Bildern aus INPOL-Z

Im Jahr 2019 wurde das Fraunhofer-Institut für graphische Datenverarbeitung (IGD) vom Bundeskriminalamt (BKA) beauftragt, einen leistungstechnischen Vergleich von markterhältlichen Gesichtserkennungssystemen vorzunehmen. Vier Systeme verschiedener Hersteller sollten hinsichtlich ihrer Erkennungsleistung evaluiert werden. Hierfür stellte das BKA verschiedene Bildersammlungen, insgesamt ca. 8 Millionen Gesichts- und Halbprofilbilder, aus INPOL-Z zur Verfügung. Die INPOL-Datei enthält vorwiegend Bilder aus erkennungsdienstlichen Behandlungen. Viele Bilder werden rechtswidrig gespeichert. Der von Fraunhofer angefertigte Evaluationsbericht wurde mit FragDenStaat befreit und kann hier abgerufen werden.

Seit April 2021 prüft der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), ob die Weitergabe der Bilder und die mit dem Test einhergehende Verarbeitung biometrischer Daten datenschutzrechtlich zulässig war. Weitergabe und die biometrische Verarbeitung waren jedoch nicht Gegenstand seiner INPOL-Z-Prüfung im Oktober 2021. Auch im April 2022 sollte die Prüfung noch andauern.

Gesichtsbilder von Personen, die zwischen 2012 und 2019 zu einer erkennungsdienstlichen Behandlung gezwungen wurden, könnten also zu Forschungszwecken an das Fraunhofer-Institut gelangt sein. Die mutmasslich Betroffenen können ihr Beschwerderecht gemäß Art. 77 DSGVO nutzen, um sich beim BfDI, der datenschutzrechtlichen Aufsichtsbehörde des BKAs, zu beschwerden, auch online.

Handheld Interagency Identity Detection Equipment

Verschiedene Quellen berichten, dass die Taliban Geräte zur biometrischen Datenerfassung und Identifikation des US-Militärs, sog. HIIDE (Handheld Interagency Identity Detection Equipment), erbeutet haben. Solche Geräte wurden zuvor genutzt, um potentiell gefährliche Personen und auch Verbündete oder Beschäftigte über einen Abgleich mit biometrischen Datenbanken identifizieren zu können. Dazu können die Geräte Iris, Fingerabdrücke und Gesichter erfassen. Der Vorfall zeigt, wie gefährlich biometrische Überwachung ist: Wenn gesammelte Daten in falsche Hände geraten, können die Betroffenen ihre biometrischen Daten kaum verändern. Ehemalige Angehörige der afghanischen Nationalarmee, die biometrisch registriert wurden, könnten nun Schwierigkeiten haben, ihre frühere Tätigkeit zu verbergen.

Die HIIDE wurden nicht nur in Afghanistan eingesetzt, sondern auch im Irak. Dort wurde schon früh wurde auf die Gefahren biometrischer Datenbanken hingewiesen. 2007 warnte ein Lieutenant Colonel des fingerprint and retina scanning center in Bagdad:

This database… essentially what it becomes is a hit list if it gets in the wrong hands.

Zu den Problemen und den möglichen Nachteilen für Leib und Leben äußerte sich damals auch die NGO Electronic Privacy Information Center in einem offenen Brief an das US-Verteidigungsministerium.

In den von Wikileaks veröffentlichten Afghanistan und Iraq War Logs finden sich verschiedene Hinweise auf Einsätze von HIIDE:

  • 26.04.2007: […] Before leaving we took photos of the 14 policemen present and documented them in the HIIDE system as well. […]
  • 07.01.2008: […] The team made several inputs of the present ANP soldiers into the HIIDE system. […]
  • 12.12.2008: […] HIIDE results came back negative and the trucks were allowed to proceed. […]
  • 13.12.2009: […] ABP RECEIVED CONTACT. ABP CAPTURED 2 SUSPECTS. SUSPECTS WILL BE ENROLLED INTO HIIDE SYSTEM. NO U.S. OR ABP INJURIES […]

Bilder vom Einsatz von HIIDE und anderer Geräte zur Erfassung biometrischer Merkmale hat die Biometrics Task Force in mehreren Jahren veröffentlicht. Auch ein Handbuch der HIIDE Series 4, verschiedene Fortbildungsmaterialien und ein Überblick über HIIDE und noch andere Geräte können im Internet gefunden werden.

Die HIIDE Series 4 hat 4 GB Speicher, verschiedene kabelgebundene Schnittstellen und erlaubt eine lokale Watch List von 22.000 Personen. Das Nachfolgemodell, die mehr als zehn Jahre alte HIIDE Series 5, hat internen und erweiterbaren Speicher von bspw. 80 GB + 120 GB, dazu WLAN sowie Schnittstellen für Mobil- und Satellitenfunk. Die Series 5 erlaubt eine lokale Watch List von 500.000 Personen und einen Abgleich mit entfernten Datenbanken. Die Architektur der biometrischen Datenbank(en) des US Militärs wird gerade verbessert.

Bei Matthias Monroy gibt es außerdem einen Artikel zu verschiedenen biometrischen Datenbanken und Watch Lists von NATO, US-Verteidigungsministerium und anderen.