Ein Gericht im Bundesstaat Nebraska hat den ehemaligen Chef der Cyber-Sicherheit beim US-Gesundheitsministerium, Timothy DeFoggi, wegen des Besitzes und der Verbreitung von Kinderpornographie verurteilt. Das FBI hatte mithilfe von Schadsoftware ermittelt und ihn auf frischer Tat ertappt.
Als Fachmann für Cyber-Sicherheit hätte er eigentlich wissen müssen, welche digitalen Spuren er hinterlässt, wenn er Webseiten besucht oder Dateien aus dem Internet herunterlädt. Doch DeFoggi hat sich offenbar allein darauf verlassen, dass ihn das anonyme Tor-Netzwerk vor der Verfolgung durch die Ermittler schützt.
DeFoggi ist der sechste Verdächtige, der diesen Fehler gemacht hat und den das FBI im Rahmen der Operation Torpedo fassen konnte, berichtet Wired. Die FBI-Operation zielte auf drei Tor-basierte Kinderpornographie-Seiten. Dabei benutzten die Ermittler einige umstrittene Methoden, um anonyme Nutzer ausfindig zu machen.
Von 2008 bis Januar dieses Jahres arbeitete DeFoggi als Chef der Cyber-Sicherheit beim US-Gesundheitsministerium. Die von ihm genutzten Kinderschänderseiten wurden von Aaron McGrath auf Servern in Nebraska betrieben. McGrath ist wegen seiner Rolle im Zusammenhang mit seinen Webseiten bereits verurteilt worden.
Die drei Webseiten waren im Tor-Netzwerk versteckt und hatten spezielle .onion-Adressen, die eigentlich nicht bis zum physischem Standort der Server zurückverfolgt werden können. Tor ist eine kostenlose Software, mit der Nutzer anonym im Internet surfen können.
Die übermittelten Daten werden von Tor verschlüsselt und durch ein weltweites Netzwerk von Computern geleitet, bevor sie am Ziel ankommen. Dadurch bleiben die IP-Adressen verborgen, mit denen die staatlichen Behörden einen Internetnutzer identifizieren können.
Die Seiten von McGrath umfassten mehr als 100 Videos und mehr als 17.000 Bilder. Viele von ihnen zeigen Babys und Kleinkinder, die von Erwachsenen sexuell missbraucht werden. Zwar konnte jeder die Webseiten nutzen, doch registrierte Nutzer konnten außerdem ein persönliches Profil anlegen und Dateien hochladen. DeFoggi hatte die Profilnamen „fuckchrist“ und „PTasseater“.
Das FBI beschlagnahmte die drei Webseiten Ende 2012, nachdem McGrath vergessen hatte, sein Admin-Account mit einem Passwort zu sichern. Die Ermittler konnten sich einloggen und die IP-Adressen des Servers in Nebraska herausfinden, wo McGrath zwei der Seiten betrieb. Die dritte Seite betrieb er von zuhause.
Das FBI beobachtete McGrath ein Jahr lang und verhaftete ihn erst im November 2012. Anschließend betrieb das FBI die Kinderschänderseiten über einige Wochen selbst weiter, bevor sie geschlossen wurden. Währenddessen beobachteten die Ermittler die private Kommunikation von DeFoggi und anderen Besuchern der drei Webseiten.
Dabei nutzte das FBI „verschiedene Ermittlungstechniken […], um die anonyme Internet-Technologie des Tor-Netzwerks zu besiegen“, so die Staatsanwaltschaft in einem Gerichtsdokument. „[Diese Techniken] enttarnten die tatsächlichen IP-Adressen von rund 25 Nutzern, welche die Seiten besuchten.“
Die Ermittler waren in der Lage, die Computer aller Nutzer mit Schadsoftware zu infizieren, welche die Webseiten von McGrath besuchten. Solche Schadsoftware setzt das FBI bereits seit 2002 ein. Doch erst in den vergangenen zwei Jahren greift es damit auch Tor-basierte Webseiten an.
Das FBI installierte die Schadsoftware auf den Computern der Besucher von McGraths Webseiten, um auf diese Weise deren IP-Adressen, die MAC-Adressen ihrer Computer und andere Identifikationsmerkmale herauszufinden. Im April 2013 wurden in koordinierten Razzien mehr als ein Dutzend Verdächtige festgenommen.
Unter den Verdächtigen war auch DeFoggi, der sich im März 2012 auf einer der Webseiten registriert hatte und dort bis zum Dezember desselben Jahres aktiv geblieben war, als das FBI bereits die Kontrolle über die Webseite übernommen hatte.
Während dieser Zeit bat DeFoggi, der nach eigenen Angaben „viele Perversionen“ hat, andere registrierte Nutzer um kinderpornografische Bilder. Zudem betrachtete er das auf der Webseite verfügbare Material. In privaten Nachrichten an andere Nutzer brachte er sein Interesse daran zum Ausdruck, Babys und Kleinkinder zu vergewaltigen, zu schlagen und zu ermorden.
Unter den Personen, mit denen DeFoggi sich schrieb war auch ein verdeckter Ermittler des FBI. DeFoggi sagte dem FBI-Mann, dass er am Morgen zwischen 4 und 6 Uhr die Webseite PedoBook mithilfe des Tor-Netzwerks besuchte.
Unter den Beweisen gegen DeFoggi waren Daten des Telekommunikationsanbieters Verizon. Diese zeigen, dass jemand in dem von DeFoggi genannten Zeitraum in seinem Haus das Tor-Netzwerk verwendete. Zudem zeigten Verizon-Daten, dass die IP-Adresse, die von einem AOL-Account mit dem Nutzernamen „ptasseater“ verwendet wurde, zu DeFoggis Haus gehörte.
Als die Fahnder am frühen Morgen mit einem Durchsuchungsbefehl bei seinem Haus auftauchten, mussten sie ihn von seinem Computer losreißen, der gerade dabei war, ein kinderpornografisches Video von der Tor-Webseite OPVA (Onion Pedo Video Archive) herunterzuladen. Die Strafe für DeFoggi wird im November verkündet.
