Silk Road: Der Aufstieg und Fall eines Drogen-Imperiums

Ich war gerade dabei in den Foren des Darknets die neusten Meinungen zum Verschwinden von Atlantis zu lesen und wollte über das SilkRoad-Forum noch einmal mit dem Pressesprecher von Atlantis, Heisenberg 2.0, in Kontakt treten. Doch als ich dann rüber zur SilkRoad klickte, erwartete mich eine Überraschung.

Mittlerweile ist bestätigt, dass es sich nicht um einen kruden Scherz der Betreiber handelt, sondern dass die SilkRoad offiziell vom FBI gestoppt wurde. Ross William Ulbricht scheint die Person hinter dem Pseudonym Dread Pirate Roberts zu sein und soll die Seite SilkRoad betrieben haben.

Die Strafanzeige des FBI listet einige informative und illustre Details auf zu den Vorgängen, für die Dread Pirate Roberts zur Verantwortung gezogen werden soll:

• 13.000 Drogen- und Medikamenten-Angebote waren noch kurz vor dem Abschalten auf SilkRoad gelistet. In den meisten anderen Kategorien, waren es jeweils einige hundert Angebote.
• Seit Februar 2011 sollen geschätzte 1.229.464 Transaktionen von 3.877 verschiedenen Händlern über die Seite durchgeführt worden sein
• Insgesamt sollen dabei 9.519.664 Bitcoins (mehr als 900 Millionen Euro) den Besitzer gewechselt haben.
• Als Gebühr sollen davon allein 614.304 Bitcoins (fast 60 Millionen Euro) bei Ulbricht verblieben sein.

Zur Last gelegt wird Ulbricht aber nicht nur Drogenhandel, Hacking und Geldwäsche, sondern auch ein Auftragsmord. Ein User namens FriendlyChemist, der damit gedrohte hatte mehr als 5.000 Userdaten zu veröffentlichen, sollte in seinem Auftrag aus dem Weg geräumt werden. Ein Chatprotokoll belegt angeblich, dass er für seine Datensammlung durch einen Hack der SilkRoad büßen sollte. Ulbricht soll dies immerhin 1.670 Bitcoins (160.000 Euro) Wert gewesen sein, die er einem User mit dem alias redandwhite für den Mord an FriendlyChemist bezahlt haben soll. Der über die SilkRoad kommunizierte Mord, der am 31. März in White Rock, British Columbia stattgefunden haben soll, konnte aber nicht durch die kanadische Polizei bestätigt werden.

Als im März diesen Jahres Atlantis als neuer Mitbewerber aus den Untiefen des Darknets auftauchte, konnte noch niemand eine derartige Entwicklung absehen, und das Darknet inklusive seiner Online-Schwarzmärkte schien mehr denn je zu florieren. Auch der neue Drogenmarktplatz richtete es sich im Deepweb komfortabel ein. Atlantis warb mit so alltäglichen und gewöhnlichen Vorteilen wie besserem Service oder niedrigeren Gebühren, und wollte der erste Online-Drogenmarktplatz im Deepweb für die breite Masse zu sein. Jetzt, kaum mehr als ein halbes Jahr später, ist es schon wieder vorbei mit den großen Ambitionen.

Nun stellt sich die Frage, warum die Darknet-Seiten offline gingen?

Lassen sich aus den jüngsten Entwicklungen Rückschlüsse auf den Kampf zwischen Überwachungsmaßnahmen und Verschlüsselung im Deepweb ziehen?

Laut eigenen Angaben haben sich die Betreiber von Atlantis im Tor-Netzwerk nicht mehr sicher gefühlt. Die Festnahme Ulbrichts und das Verschwinden des berüchtigsten und mit Abstand größten Online-Schwarzmarktes aus dem Tor-Netzwerk, scheinen zu bestätigen, dass diese Angst wohl nicht ganz unberechtigt war. Der mutmaßliche Betreiber der SilkRoad war in den letzten Tagen vor seiner Festnahme im Forum mit seltsamen Vorkehrungen aufgefallen: „Ich habe jetzt einen Twitter-Account als Notfall-Kommunikations-Kanal", verkündete er dort.

Der bekannte Hacker und Blogger Fefe hatte schon angesichts der Snowden-Enthüllungen prägnant bilanziert: „Tor ist tot. Tor basiert auf der Annahme, dass der Gegner nicht in der Lage ist, das gesamte Internet zu überwachen." Das die NSA dazu in der Lage ist, ist inzwischen von einer paranoiden Vermutung zur globalpolitischen Gewissheit geworden. Die Sache wird nicht beruhigender durch die immer noch im Wochenrhytmus auftauchenden Enthüllungen neuer ausgefeilter geheimdienstlicher Methoden, wie der Anfang August bekannt gewordenen Infiltrierung von Hidden-Service-Nutzern durch Schadsoftware, oder die Bestätigung der großen Erfolge von GCHQ und NSA beim Knacken aller momentan gängiger Verschlüsselungsverfahren. Auf technischer Ebene wäre es inzwischen in jedem Falle straffbar leichtsinnig anzunehmen, dass die NSA, beziehungsweise das FBI keine Traffic-Analysen von Tor durchführen könnte.

Nach Ergebnissen einer neuen Studie des US Navi Research Laboratory und der Georgetown Universität ist es zur Enttarnung von Tor-Nutzern gar nicht mehr unbedingt nötig sich mit der Ausnutzung von Sicherheitslücken oder der Programmierung von Schadsoftware abzumühen. Dies bestätigt auch das Tor-Project in seinem Blog: „Wenn jemand das gesamt Internet überwachen kann, dann kann er die Datenströme überwachen die in Tor hinein und heraus fließen. Vermutlicherweise deanonymisiert das die User."

Die Willkommensbotschaft auf SilkRoad, signiert von Dread Pirate Roberts.

So ist zwar jene Sicherheitslücke im Firefox-Browser – die der Schadsoftware-Angriff auf die Hidden-Service Nutzer von Freedom Hosting benutzer – mittlerweile geschlossen, jedoch gabe es vor kurzem weitere Verlautbarungen, welche die Sicherheit des Tor-Netzwerkes in Frage stellten. In der im September veröffentlichten Studie des US Navi Research Laboratory und der Georgetown Universität wurde abermals aufgezeigt, wie einfach es ist durch Traffic-Analysen User zu identifizieren. Innerhalb von sechs Monaten können ohne extrem großen Aufwand etwa 80% aller regelmäßigen User enttarnt werden. Der technische Hintergrund dieses Problems war bereits bekannt und ist auch auf der Website des Tor-Projects dokumentiert, das wahre Ausmaß dieses Problem wurde aber erst durch die Studie in die breite Öffentlichkeit getragen. Wie Traffic-Analysen dieser Art funktionieren, wird in diesem Video vereinfacht erklärt.

Moritz Bartl von den Zwiebelfreunden, einem gemeinnützigen Verein, der sich dem Schutz der Anonymität und dem Betreiben von Tor-Relays verschrieben hat, kann bestätigen: „An den Sicherheitseigenschaften von Tor hat sich in den letzten Jahren nichts geändert, egal was die Medien berichten wollen." Er glaubt, dass die Betreiber von Atlantis sich wohl erst durch die gesteigerte mediale Berichterstattung zur Unsicherheit von Tor über die Dimension dessen bewusst geworden sind, was sie eigentlich machen und kalte Füße bekommen haben. Moritz Bartl erklärt, dass Traffic-Analysen, wie sie in der Studie angesprochen werden, auch zum Identifizieren von Hidden-Services genutzt werden können. Nur zeitaufwendiger wäre es: „Es gibt bislang keinen dokumentierten Fall einer Deanonymisierung", betonte er in einer E-Mail, die er mir gerade geschickt hat.

Die entscheidende Entwicklung ist also nicht die Erkenntnis, dass Tor unter bestimmten Umständen nicht sicher ist; dies war bereits längst bekannt, wurde durch die Snowden-Enthüllungen öffentlich thematisiert und durch die Studie genauer analysiert. Entscheind ist, dass die reale und weitreichende Ausnutzung überwachungstechnologische Optionen insgesamt immer wahrscheinlicher geworden ist, auch wenn wir deshalb nicht pauschal vom Ende der großen Bedeutung von Verschlüsselung ausgehen dürfen. Von den Hoffnungen auf die Zukunft der Quanten-Kryptographie ganz zu schweigen.

Ein Auschnitt aus der von FBI-Agenten bezeugten Anklageschrift gegen Ulbricht.

Der SilkRoad Konkurrent Atlantis tauchte am 20. März dieses Jahres auf, und war da laut eigenen Angaben bereits seit fast einer Woche online. Im Lauf der nächsten Monate etablierte die Seite als erster Untergrundmarktplatz eine eigene Facebook-Seite, einen Twitter-Account und im Juni veröffentlichte sie sogar einen Werbespot, den sie über YouTube und Vimeo verbreiteten. Dem bunten, freundlich wirkenden Atlantis standen etablierte Marktplätze wie das nach wie vor Online abrufbare Black Market Reloaded oder eben SilkRoad gegenüber, die sich seit ihren Anfängen einen latent dubiosen und schäbigen Charme bewahrt hatten. Atlantis präsentierte sich dagegen wie eine Seite, die dem Web 2.0 entsprungen war.

Auch wenn in den Foren des Darknets immer wieder über die Honey-Pot-Theorie diskutiert wurde – also darüber, dass Atlantis von Justizbehörden betrieben wird um arme Drogenkäufer anzulocken – etablierten sich auf Atlantis immer mehr Händler und Käufer. Die Nutzer fingen langsam an dem neuen Marktplatz ihr Vertrauen zu schenken.

Am 20. September verkündete Atlantis dann jedoch in seinem Community-Forum: „Wir haben schlechte Nachrichten." Auf den Tag genau sechs Monate nach den ersten öffentlichen Bekanntmachungen hieß es dort nun: „Leider ist es an der Zeit, dass Atlantis seine Tore schließt. Aus Gründen der Sicherheit, die außerhalb unserer Kontrolle liegen, haben wir keine Wahl, als den Betrieb des Atlantis Marketplace einzustellen." Nicht etwa Heisenberg 2.0, der Pressesprecher von Atlantis, oder die Vorstandsmitglieder Loera und Vladimir, die bisher im Namen der Seite gesprochen hatten, sondern nur ein ominöser Administrator-Account verkündete die Untergangsbotschaft von Atlantis. Sieben Tage, hieß es auf einem Banner auf der Website, bekämen die Kunden Zeit, um Geschäfte abzuschließen und ihre Bitcoins von der Seite abzuziehen.

Das Angebot auf Atlantis.

Auch Heisenberg 2.0, der erste „Angestellte" von Atlantis, wie er sich selbst gerne bezeichnete, wurde vollkommen von der Nachricht der Abschaltung überraschent. Gerade noch arbeitete er am neuen Atlantis-Blog. In seiner ersten Äußerung zur Abschaltung der Seite mutmaßte er, dass die aufgekommene Angst seiner Vorgesetzten mit der Festnahme der Betreiber von Freedom Hosting durch das FBI in Verbindung zu bringen sei.

In Bezug auf Atlantis zumindest wirft diese These, an die anfangs auch Heisenberg 2.0 glaubte, nach dem endgültigen Abschalten der Seite immer mehr Fragen auf. In den letzten Tagen des Betriebs häuften sich Nutzerbeschwerden, dass die Bitcoin-Bestände trotz der anderslautenden Versprechen von Garantie eingefroren wurden. Sechs Tage nach der Ankündigung war Atlantis dann bereits endgültig offline.

Als sich herausstelle, dass die Betreiber keine Anstalten machten ihre Versprechen einzulösen, änderte sich die Meinung zur Atlantis-Abschaltung endgültig. Es machte sich die Überzeugung breit, dass Atlantis doch nur ein groß angelegter Betrug war. Heisenberg verkündete abschließend geläutert auf dem Atlantis-Blog: „Der größte Betrug ist der, den man nicht kommen sieht. Ich wollte es nicht wahr haben, dass ich selbst Opfer dieses lang angelegten Masche war."

Dread Pirate Roberts, die Kunstfigur welche die SilkRoad nutzt um mit ihren Usern in Kontakt zu treten und hinter der scheinbar Ulbricht steckt, kommentierte den Verbleib von Atlantis letzte Woche noch gönnerhaft: „Atlantis war gut für die SilkRoad und die Community, es macht mich traurig, dass sie gehen. Ja, sie waren selbstgefällig und agressiv, aber sie haben nie die Linie überschritten und etwas unethisches gemacht. Sie haben uns daran erinnert, dass wir immer daran arbeiten müssen den Service für unsere User zu verbessern um die Nummer eins zu bleiben."

Den gönnerhaften Ton konnte SilkRoad sich leisten, schließlich war ihre Vorherrschaft wieder hergestellt. Angst vor Mitbewerbern brauchen sie nach diesem Debakel in naher Zukunft nicht mehr haben. Das Vertrauen gegenüber Neueinsteigern im Darknet war jetzt stark angekratzt. Eine erneute Konkurrenz gegenüber der SilkRoad würde es in Zukunft noch viel schwieriger haben als Atlantis.

Doch wie sich heute zeigte, war auch die SilkRoad zu selbstgefällig geworden. Identifiziert wurde Ulbricht durch Werbe-Postings für die Silkroad im Clearweb. Aufgefallen waren die Accounts, da sie extra für das Werbungs-Posts erstellt wurden. So kamen die Ermittler an Ulbrichts E-Mail-Adresse, was sie wiederum zu seinem Google-Account führte. Später bei der Auswertung der privaten Nachrichten von Dread Pirate Roberts konnte man feststellen, dass die Beiden wohl eine Person sind, da sie immer zur selben Zeit online waren. Eine ähnliche Verbindung konnte auch durch Einträge von Ulbricht in einem Programmierer-Forum hergestellt werden, in dem er nach Hilfe bei einem Code bat, der sich später auf dem SilkRoad-Server fand.

Der 29jährige Ulbricht hat ein abgeschlossenes Physikstudium und für einen Betreiber eines riesigen Drogenumschlagplatzes einen nicht gerade schüchternen Auftritt in sozialen Netzwerken. LinkedIn Selbstbeschreibung: Investment Adviser and Entrepreneur (Bild: via google+)

Außerdem wird Ulbricht mit dem Kauf mehrerer gefälschter Ausweispapieren in Verbindung gebracht. Diese erwarb er genau zur selben Zeit, als Dread Pirate Roberts in privaten Nachrichten darüber sprach gefälschte Papiere zum Mieten von Servern kaufen zu wollen. Die Ausweispapiere waren bei einer Routinekontrolle an der kanadischen Grenze gefunden worden. Die Beamten trafen Ulbricht, dessen Foto sich auf den gefälschten Papieren befand, an der Adresse an, zu der die Ausweisunterlagen geschickt werden sollten.

Wie das FBI den Silk-Road-Server lokalisiert hat, verschweigt die Anklageschrift jedoch. Die einzigen Hinweise, die sich diesbezüglich finden lassen, sind dass der Server sich im amerikanischen Ausland befunden haben soll. Außerdem soll das FBI bereits seit Juli im Besitz einer Kopie des Servers gewesen sein, zu der sie sich mit Hilfe des Mutual Legal Assistance Treatys Zugang beschafft hatten.

Der Ärger über die Betreiber von Atlantis war wohl grundlos. Sie waren vermutlich wirklich auf der Flucht vor der Justiz. Ob sie gerade noch in letzter Sekunde die Notbremse gezogen haben, oder auch demnächst von der Justiz festgenommen werden, wird sich in den nächsten Tagen zeigen.

Heute ist auf jeden Fall ein dunkler Tag für das Darknet.