Operation Liberty Lane

Operation Liberty Lane is the alleged name of what is believed to be a joint operation of the United States, UK, Germany and potentially other countries with the goal to expose Tor users of illegal onion services. This operation caught my interest in January 2024, after someone had published screenshots of case files on Reddit.

According to the Reddit user Efficient_Wish_9790, this once theoretical attack has been operationalized and has unmasked thousands of users. The NCA and FBI have jointly developed a software program called “Good Listener” that involves LE spinning up as many guard and middle nodes as possible, and then using a timing attack to correlate the IP at the malicious gaurd to the timing at the illegal HS.”

The screenshots reference an email sent by the Chief of the Federal Criminal Police in Germany (Bundeskriminalamt).

Agents in the United States are discussing their operation with Germany in email exchanges dated June 13, June 14, June 20, June 21, and June 24 of 2019. (FOIA Response, attached as Ex. E, pp. 3-11.). On June 24, 2019, for instance the Chief of the Federal Criminal Police in Germany emailed a redacted HSI agent, saying “good job! The report will be useful for us.” (Id.) This is not a one way street.

I tried to obtain email and report. The Federal Criminal Police, however, could not find the documents I requested.

Another user compiled a list of US cases associated with this operation. The relating documents include interesting Tor-related snippets. Here are snippets from Case 1:21-cr-00007-LJV-JJM Document 112:

As an initial matter, the prosecution in this case has claimed that it does not know how the hidden IP address was recovered. The government cannot, therefore, assure this Court that the manner in which it was uncovered would not shock the conscience. It is still unknown how the IP addresses were deanonymized – an ability that only nation states appear to have. To this point, the prosecution is only saying that the UK provided a “tip” to the United States that certain IP addresses accessed certain Tor websites.

Second, we now know that the United States government was more than a passive recipient of a generous tip […]>

Other emails released in this batch demonstrate that at least as early as 2018, HSI and the FBI were working together on projects they called “good listener” and were emailing documents about “guard research.” (Id., at p. 24) In the world of Tor, the entry node is often called the guard node; it is the first node to which the Tor client connects. One email purports to show how “good listener” actually works, with sections on “Background” and “Methodology.” This document is dated September 2018, well before the United States claims to have gotten a lucky “tip.”

Since January 2024, Operation Liberty Lane was discussed in multiple relay operator meetups. Until recently, no one was able to confirm or to debunk the suspicions. In recent news on law enforcement agencies undermining Tor anonymization, the Tor Project claims it is just speculation. For me, it’s sufficient to question if I should continue to recommend the use of onion services to journalists or whistleblowers. First I need to understand in more detail how the attacks are carried out and whether Iran or China, for example, could also carry out these attacks.

Wifi without internet on a Marabu flight

Just as james vaughan, I spent a recent flight finding out what I could do with a connection to the flight’s wifi, but without access to the internet. After reading james’ blogpost, I decided to share my story ‒ I found more data 🙂

I was on my way to Greece, a direct flight from Hamburg to Lefkada. It’s a long flight. Marabu’s wifi is not for browsing the Internet but for accessing the inflight entertainment system only. I was bored, did not like the movie selection, so I opened up my browser’s network dev tools to see if I could figure out what was going on.

Citing james,

I used my browser’s “Copy as cURL” feature to quickly get a command to hit the endpoint. As an aside, this feature is present in Firefox and all chromium-based browsers and it’s really handy if you ever need to reply requests made by your browser and want to send all the same headers.

The information the API returned in the beginning were not too interesting. I cannot provide an example response from one of those first requests. If I remember correctly, the responses showed only data that drives the inflight wifi portal’s flight status screen, showing our plane’s location, air speed, etc.

However, since this was one of the few things I could access on this network, I decided to make the most of it. The following API endpoint is what caught my eye: https://marabu.everhub.aero/monitor/status?path=/system/net/.

„Wifi without internet on a Marabu flight“ weiterlesen

Verhaltensüberwachung am Hansaplatz

flamenc, Neue Hansaplatz 2011, CC BY-SA 3.0
flamenc, Neue Hansaplatz 2011, CC BY-SA 3.0

Die Hamburger Polizei experimentiert seit 2023 am Hamburger Hansaplatz mit einer Verhaltenserkennung. Offenbar genügt die Kameraüberwachung nicht mehr, um Personen auf die angrenzenden Spielplätze zu verdrängen. Die Polizei rüstet also auf. Ohne vorherige Ausschreibung investiert sie in intelligente Überwachungssensoren, die Menschen “digital skelettiert”. Die Bewegungen der Skelette werden anschließend analysiert. Skelette, die sich nicht angepasst und unauffällig verhalten, lösen einen Alarm aus.

Das System, das vom Fraunhofer IOSB entwickelt wird, funktioniert nicht. Deren Pilotprojekt in Mannheim wurde nach 5 Jahren um 3 Jahre verlängert. Das System soll Schwierigkeiten haben, Umarmungen von “kriminalistisch bedeutsamen Handlungsabläufen” zu unterscheiden.

Die erste Phase der Intelligenten Videobeobachtung (IVBeo) ist abgeschlossen. Die Polizei hat sich selbst evaluiert und kam wie auch am Berliner Südkreuz auf berauschende Ergebnisse. Tatsächlich funktioniert das System kaum.

Auch in der zweiten Phase, IVBeo2, ist die Polizei hinsichtlich der eingesetzten Systeme wenig transparent. Immerhin eine Verwaltungsvorschrift wird geteilt. Aus dieser geht hervor, dass das System nicht nur getestet werden soll, sondern auch Trainingsdaten erfasst. Der zweite Versuch läuft seit September 2025.

Zu dem Thema gibt es einige Anfragen (und einen Antrag) in der Bürgerschaft:

Weitergabe und biometrische Verarbeitung von Bildern aus INPOL-Z

Im Jahr 2019 wurde das Fraunhofer-Institut für graphische Datenverarbeitung (IGD) vom Bundeskriminalamt (BKA) beauftragt, einen leistungstechnischen Vergleich von markterhältlichen Gesichtserkennungssystemen vorzunehmen. Vier Systeme verschiedener Hersteller sollten hinsichtlich ihrer Erkennungsleistung evaluiert werden. Hierfür stellte das BKA verschiedene Bildersammlungen, insgesamt ca. 8 Millionen Gesichts- und Halbprofilbilder, aus INPOL-Z zur Verfügung. Die INPOL-Datei enthält vorwiegend Bilder aus erkennungsdienstlichen Behandlungen. Viele Bilder werden rechtswidrig gespeichert. Der von Fraunhofer angefertigte Evaluationsbericht wurde mit FragDenStaat befreit und kann hier abgerufen werden.

Seit April 2021 prüft der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), ob die Weitergabe der Bilder und die mit dem Test einhergehende Verarbeitung biometrischer Daten datenschutzrechtlich zulässig war. Weitergabe und die biometrische Verarbeitung waren jedoch nicht Gegenstand seiner INPOL-Z-Prüfung im Oktober 2021. Auch im April 2022 sollte die Prüfung noch andauern.

Gesichtsbilder von Personen, die zwischen 2012 und 2019 zu einer erkennungsdienstlichen Behandlung gezwungen wurden, könnten also zu Forschungszwecken an das Fraunhofer-Institut gelangt sein. Die mutmasslich Betroffenen können ihr Beschwerderecht gemäß Art. 77 DSGVO nutzen, um sich beim BfDI, der datenschutzrechtlichen Aufsichtsbehörde des BKAs, zu beschwerden, auch online.

Handheld Interagency Identity Detection Equipment

Verschiedene Quellen berichten, dass die Taliban Geräte zur biometrischen Datenerfassung und Identifikation des US-Militärs, sog. HIIDE (Handheld Interagency Identity Detection Equipment), erbeutet haben. Solche Geräte wurden zuvor genutzt, um potentiell gefährliche Personen und auch Verbündete oder Beschäftigte über einen Abgleich mit biometrischen Datenbanken identifizieren zu können. Dazu können die Geräte Iris, Fingerabdrücke und Gesichter erfassen. Der Vorfall zeigt, wie gefährlich biometrische Überwachung ist: Wenn gesammelte Daten in falsche Hände geraten, können die Betroffenen ihre biometrischen Daten kaum verändern. Ehemalige Angehörige der afghanischen Nationalarmee, die biometrisch registriert wurden, könnten nun Schwierigkeiten haben, ihre frühere Tätigkeit zu verbergen.

Die HIIDE wurden nicht nur in Afghanistan eingesetzt, sondern auch im Irak. Dort wurde schon früh wurde auf die Gefahren biometrischer Datenbanken hingewiesen. 2007 warnte ein Lieutenant Colonel des fingerprint and retina scanning center in Bagdad:

This database… essentially what it becomes is a hit list if it gets in the wrong hands.

Zu den Problemen und den möglichen Nachteilen für Leib und Leben äußerte sich damals auch die NGO Electronic Privacy Information Center in einem offenen Brief an das US-Verteidigungsministerium.

In den von Wikileaks veröffentlichten Afghanistan und Iraq War Logs finden sich verschiedene Hinweise auf Einsätze von HIIDE:

  • 26.04.2007: […] Before leaving we took photos of the 14 policemen present and documented them in the HIIDE system as well. […]
  • 07.01.2008: […] The team made several inputs of the present ANP soldiers into the HIIDE system. […]
  • 12.12.2008: […] HIIDE results came back negative and the trucks were allowed to proceed. […]
  • 13.12.2009: […] ABP RECEIVED CONTACT. ABP CAPTURED 2 SUSPECTS. SUSPECTS WILL BE ENROLLED INTO HIIDE SYSTEM. NO U.S. OR ABP INJURIES […]

Bilder vom Einsatz von HIIDE und anderer Geräte zur Erfassung biometrischer Merkmale hat die Biometrics Task Force in mehreren Jahren veröffentlicht. Auch ein Handbuch der HIIDE Series 4, verschiedene Fortbildungsmaterialien und ein Überblick über HIIDE und noch andere Geräte können im Internet gefunden werden.

Die HIIDE Series 4 hat 4 GB Speicher, verschiedene kabelgebundene Schnittstellen und erlaubt eine lokale Watch List von 22.000 Personen. Das Nachfolgemodell, die mehr als zehn Jahre alte HIIDE Series 5, hat internen und erweiterbaren Speicher von bspw. 80 GB + 120 GB, dazu WLAN sowie Schnittstellen für Mobil- und Satellitenfunk. Die Series 5 erlaubt eine lokale Watch List von 500.000 Personen und einen Abgleich mit entfernten Datenbanken. Die Architektur der biometrischen Datenbank(en) des US Militärs wird gerade verbessert.

Bei Matthias Monroy gibt es außerdem einen Artikel zu verschiedenen biometrischen Datenbanken und Watch Lists von NATO, US-Verteidigungsministerium und anderen.

Tor-Knoten an Universitäten

Während Universitäten mit ihrer Infrastruktur und Kompetenz ideale Bedingungen für den Betrieb von Tor-Knoten bieten, ist ihr Anteil am Tor-Netz erstaunlich gering. Wir berichten über unsere Erfahrungen beim Betrieb von zwei Exit-Knoten an der TU Berlin und an der Uni Hamburg. Dazu gibt es Empfehlungen zum Betrieb. Der Artikel ist auf Deutsch und auf Englisch verfügbar. Einen Vortrag dazu gibt es hier.

Hausdurchsuchung dank Tor?

Wer Tor-Exit-Knoten betreibt, wird unter Umständen von der Polizei besucht. Hier gibt es Links zu diversen Vorträgen, Medienberichten und weiterem Infomaterial.

Vorträge und Podcasts
Presse
weiteres Infomaterial