AN0M, die manipulierte Verschlüsselungs-App des FBI, hat letzte Woche für Schlagzeilen gesorgt. Heute kann ich ein paar weitere Informationen dazu präsentieren – inklusive einem Podcast-Interview, das ich zu diesem Thema gegeben habe.

English version (translated with DeepL)

Letzte Woche setzte das FBI zusammen mit einigen anderen Polizei-Behörden gleichermaßen einen Meilenstein in der Geschichte der Verbrechensbekämpfung und in der Geschichte der Kryptologie: Im Rahmen der Operation “Trojan Shield” gab es über 800 Festnahmen, und es wurden enorme Mengen von Drogen und Waffen beschlagnahmt. Es soll sich um eine der größten Polizei-Aktionen gehandelt haben, die jemals stattgefunden hat.

Quelle/Source: Wikimedia Commons

 

AN0M

Dieser Erfolg gelang den Ermittlern dank einer manipulierten Verschlüsselungs-App namens AN0M. Das FBI schaffte es, diese Software unter Kriminellen populär zu machen, ohne dass diese ahnten, wer dahintersteckte. AN0M war so konstruiert, dass das FBI alle verschickten Nachrichten trotz Verschlüsselung mitlesen konnte. Genau das taten die Ermittler auch: Insgesamt konnten sie innerhalb von 18 Monaten 27 Millionen Nachrichten auswerten. Zahlreiche mutmaßliche Verbrecher lieferten sich auf diese Weise selbst ans Messer.

Vor zehn Tagen berichtete ich auf Cipherbrain über AN0M. Obwohl mein Artikel nur einer von vielen Presseberichten zum Thema war, zog er weite Kreise – obwohl (oder gerade weil) ich mehr über die Nutzung von Verschlüsselung durch Kriminelle im Allgemeinen als speziell über AN0M schrieb. Zu meiner Freude hat jemand meinen Artikel in den deutschen Wikipedia-Eintrag “Trojan Shield” aufgenommen – als bisher einzigen Weblink. Danke an den unbekannten Autor.

 

Wie funtionierte AN0M?

Noch nicht ganz klar ist mir, wie die “Hintertür” in AN0M funktionierte. Denkbar ist, dass die verwendete Verschlüsselung absichtlich schwach war. Dies erreicht man beispielsweise durch einen Zufallsgenerator, der vorhersehbare oder erratbare Schlüssel generiert. Alternativ könnte man auch ein Verschlüsselungsverfahren einsetzen, das nicht richtig verschlüsselt.

Ein andere Möglichkeit besteht darin, dass die App alle verschlüsselten Daten zusätzlich unverschlüsselt an das FBI sendet. Eine solche Praxis kann jedoch leicht auffallen. Weiß ein Leser, wie genau das FBI AN0M gestaltet hat?

 

Mein Podcast-Auftritt

Auf meinen Artikel über AN0M wurde auch der Redakteur David Kopp vom MDR-Podcast “Spur der Täter” aufmerksam. Am Dienstag gab ich ihm ein Interview. Gestern ist die zugehörige Podcast-Folge “AN0M – Die Kryptofalle des FBI” erschienen. Zunächst wird darin die Operation “Trojan Shield” im Allgemeinen beschrieben. Meine Beiträge sind ab etwa 16:30 min zu hören, wenn es um die technischen Hintergründe geht.

Quelle/Source: MDR

 

Die Geschichte von AN0M

Im Podcast wird auch erzählt, wie AN0M zustande kam. Am Anfang stand ein verschlüsselnder Messenger namens “Phantom Secure”, den die Polizei (ähnlich wie EncroChat und Sky ECC) infiltrieren und schließlich als Informationsquelle nutzen konnte. Dem FBI gelang es hierbei, einen Beteiligten anzuwerben. Dieser war gerade dabei, eine App namens AN0M zu entwickeln. Um einer Gefängnisstrafe zu entgehen, bot er dem FBI an, die App und sein Kundennetz zu nutzen. Dafür erhielt der vorbestrafte Informant eine Belohnung von 120.000 Dollar und rund 60.000 Dollar Spesen.

Das FBI gründete daraufhin ein ebenfalls AN0N genanntes Unternehmen, das von Panama aus mehr als 12.000 mit der App ausgerüstete Krypto-Handys an über 300 kriminelle Banden in mehr als 100 Ländern lieferte. Die folgende Abbildung zeigt, wie die Benutzeroberfläche von AN0M aussah:

Quelle/Source: Wikimedia Commons

Nach 18 Monaten hatten die Ermittler genug mitgelesen und holten zum großen Schlag gegen die kriminellen Nutzer der App aus. Die Folgen sind bekannt. Auch in Deutschland schlug sich die Operation “Trojan Shield” nieder. Nach Angaben des Bundeskriminalamtes wurden hierzulande 70 Verdächtige festgenommen und 150 Objekte durchsucht.

 

Was noch kommt

Die Ermittlungen im Rahmen der Operation “Trojan Shield” werden zweifellos noch einige Zeit in Anspruch nehmen. Die Redakteure des besagten Podcast-Beitrags hatten offenbar große Schwierigkeiten, Interview-Partner zu finden, die an der Aktion beteiligt waren. Angesichts der noch laufenden Arbeiten meidet die Polizei wohl die Presse.

Ich hoffe und gehe davon aus, das dennoch in nächster Zeit noch einiges über die Hintergünde der Operation “Trojan Shield” bekannt werden wird. Spätestens wenn die ersten Verhafteten vor Gericht stehen, werden die Ermittler wohl Einblick in ihre Arbeit geben müssen. Bis dahin können sich FBI und Co. überlegen, mit welchen Tricks sie Verbrechern im Internet zukünftig auf die Schliche kommen können. Wie Blog-Leser Bomjack richtig bemerkte, dürfte die Idee eines Verschlüsselungs-App-Honeypots (nichts anderes ist AN0M) nun verbrannt sein.

Öffentliche Kritik an der Operation “Trojan Shield” gab es bisher kaum. Aber auch das wird sich sicherlich noch ändern. Eine wichtige Frage bei solchen Abhöraktionen ist stets, wie viele unbescholtene Bürger mitüberwacht wurden und ob die Aktion verhältnismäßig war. Die Polizei-Aktionen gegen EncroChat und Sky ECC waren diesbezüglich nicht unumstritten. Mal sehen, wer sich noch zu Wort meldet.

 

Nicht nur Kriminelle verschlüsseln

Erwähnen möchte ich auch den Kommentar von Blog-Leser Joachim. Dieser wies richtigerweise darauf hin, dass nicht nur Kriminelle verschlüsseln, sondern dass auch Dissidenten und Oppositionelle in Diktaturen auf wirksame Verschlüsselung angewiesen sind. Zu diesem Thema würde ich gerne mal bloggen. Ein paar Informationen dazu habe ich bereits zusammengetragen. Wenn ein Leser etwas zu diesem Thema weiß, würde ich mich über eine Mitteilung freuen.


Further reading: FBI hat iPhone des San-Bernadino-Attentäters geknackt – ohne die Unterstützung von Apple

Linkedin: https://www.linkedin.com/groups/13501820
Facebook: https://www.facebook.com/groups/763282653806483/

Subscribe to Blog via Email

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Kommentare (5)

  1. #1 Kerberos
    20. Juni 2021

    Warum gibt man das bekannt?
    Entweder FBI und Konsorten sind dumm,
    oder Superschlau…..

  2. #2 Richard SantaColoma
    https://proto57.wordpress.com/2016/03/23/the-modern-forgery-hypothesis/
    20. Juni 2021

    I am particularly interested in the legality of doing this. In the United States at least (and I am not a lawyer, this is my lay understanding), the standard is that if a person has “an expectation of privacy” then a legal warrant is needed to effect surveillance.

    A good example was a case in the 1990’s, in which a criminal discussed a robbery over a cordless home phone (not a cell phone). The conversation was accidentally overheard by a third party, and the criminals were arrested. The defense said that a warrant was not obtained, and the conversation was private… therefore, inadmissible under the law, and all subsequent findings linked to that phone information should be thrown out.

    But it was determined that a home cordless phone… being unencrypted, and it being publicly widespread knowledge that other such phones might pick up the conversation… did not offer the robbers “an expectation of privacy”. That is, they should have REALIZED they might be overheard, therefore the conversation was admissible in court.

    OK: Well this ANOM setup is the opposite: The people who were provided this system, and these phones, by their very nature and professed intent, most certainly had every reason to hold an “expectation of privacy”. For this reason I am more than a bit concerned as to how the authorities gained a legal right to both listen to, and then use, the information transmitted through the system?

    Did they get thousands of individual warrants? Did they get some sort of “blanket warrant”, covering ALL phones and users? And on what legal basis?

    I think the whole thing is very scary to the rights of privacy to individuals, who should have protections against any sort of intrusion into their personal exchanges with each other. I also actually think it will set back future progress in law enforcement, because criminals will not trust new systems, but revert back to older ones which are public knowledge, which will assure absolute encryption security. It will also undermine the ability of well-meaning new inventors of security devices, because who would EVER trust any such device to be little more than a direct line to the authorities, with each word typed or spoken being recorded, and analyses for any little or big perceived crime ultimately being punished?

    I think this is a disaster all around. Yes a few bad apples were caught, but that “good news” pales in comparison with the damage that was done… to personal freedoms, and to the future of the cipher industry through the destruction of any hope of trust in any new products and ciphers.

  3. #3 skeptikskeptiker
    20. Juni 2021

    Nicht nur Oppositionelle in den bösen Staaten sind auf Verschlüsselung angewiesen, sondern möglicherweise auch Wistleblower in den guten Staaten, die dann wiederum die Bösen sind… Ja, schon nicht so einfach.

  4. #4 schorsch
    21. Juni 2021

    Zur Hintertür in An0m gibt es in den in der Wikipedia gelinkten Dokumenten relativ detaillierte, aber nicht ganz widerspruchsfreie Angaben (Link unten). Demnach gab es wohl einen Master-Key, welcher “surreptitiously attaches to each message”, also an die Nachricht angehängt wird.

    Wörtlich gelesen ergibt diese Aussage keinen Sinn, aber sie lässt den Schluss zu, dass – ähnlich wie z. B. bei GPG-Nachrichten an mehrere Empfänger – jede Nachricht mittels Sitzungskey verschlüsselt wurde, und der Sitzungskey wiederum einmal mit dem öffentlichen Schlüssel des Empfängers und einmal mit dem Masterkey verschlüsselt wurde. Dieser Sitzungskey wird entsprechend mehrfach angehängt.

    Damit ist das Verschlüsselungsverfahren an sich gegenüber Dritten in keiner Weise geschwächt. Ein ganz normales Standardverfahren, in jeder Hinsicht absolut unbedenklich – solange die Existens des Masterkeys allen Beteiligten bekannt und bewusst ist.

    Durch das zusätzliche Anhängen des mit dem Masterkey verschlüsselten Sitzungskeys würde die Nachricht jedoch geringfügig größer. Das könnte dann auffallen, wenn das Verschlüsselungsverfahren in allen Einzelheiten offengelegt ist und es jedem Beteiligten grundsätzlich möglich ist, den Verschlüsselungsvorgang auf beliebiger anderer Hardware zu replizieren.

    Es reicht aber, jeder Nachricht irgendwelchen zufälligen Garbage anzuhängen (lässt sich mit etwas Chuzpe als zusätzliche steganografische Maßnahme begründen), und den Masterkey darin verschwinden zu lassen.

    Jetzt muss das FBI aber auch noch eine Kopie der Nachricht erhalten – und zwar so, dass keiner der sonstigen Beteiligten vom Kopiervorgang etwas mitbekommt.

    Für diesen Zweck wurde laut FBI-Dokumenten ein zusätzlicher Server in einem Drittland (located outside of the United States) aufgestellt, welcher ein “BCC” der Nachricht erhielt.

    Das bedeutet aber, dass die AN0M-Geräte keine Ende-zu-Ende-Kommunikation durchgeführt haben können, denn dann wäre die zusätzliche Kommunikation mit dem BCC-Server in jedem Netzwerkmitschnitt sofort aufgefallen.

    Eine zwingende Kommunikation über einen zentralen Server ist aber eine ganz massive Gefahr für jedes Kryptokonzept. Einerseits muß der Kriminelle dem Distributor seines AN0M-Smartphone ein gewisses Vertrauen entgegen bringen – andererseits könnte ein sehr vorsichtiger Krimineller aber darauf bestehen, dass die Nachrichtenübermittlung nur Ende-zu-Ende stattfindet.

    Darin sehe ich einen echten Schwachpunkt im AN0M-Konzept. Nun sind Verschlüsselungsverfahren wie GPG zwar ganz bewusst so angelegt, dass die verschlüsselte Nachricht jederzeit jedem beliebigen Dritten in die Hände fallen kann und dennoch unbrechbar bleibt – aber wenn es mir gelingt, auch nur das kleinste bisschen Obskurität (wie den oben erwähnten Garbage) ins Verfahren einzubringen, bricht auch GPG – wie hier wohl geschehen – krachend zusammen.

    https://web.archive.org/web/20210610013536/https://www.justice.gov/usao-sdca/press-release/file/1402426

  5. #5 Derp
    22. Juni 2021

    Der Unterschied von diesem Anom-Geräten zu normalen Geräten ist: Die können nur untereinander kommunizieren und nur mit erlaubten Kontakten. Normales telefonieren und Internetnutzung sind nicht möglich. Und das für ca. $2000 für ein halbes Jahr Nutzung. Ich denke, für mögliche Whistleblower gibt es da andere Möglichkeiten unerkannt zu bleiben.

    Die Schwachstelle dieser Geräte ist, dass alles über zentrale Server läuft, ähnlich wie bei Whatsapp. Nur ist bei Whatsapp kein Masterpasswort an den Nachrichten drangehängt (gehen wir mal davon aus). Dass die Daten zwischendrin ausgeleitet werden, ist für die Nutzer nicht feststellbar, die haben keinen Zugriff auf die Server außer über das Gerät und das wird entsprechend abgesichert sein. Der zentrale Server leitet einfach eine Kopie der ganzen Nachrichten an einen weiteren, vom FBI aufgesetzten Server, der diese dann entschlüsselt. Masterpasswort ist ja im Anhang dabei.
    Für die Nutzer sah es aber so aus, als sei es Ende-zu-Ende verschlüsselt gewesen. Vielleicht wurden auch alle Nachrichten immer mit “zufälligen” Strings aufgefüllt (längere Nachrichten = sicherere Verschlüsselung, Sie wissen schon ;)). Da lässt sich dann auch prima ein Masterpasswort drin verstecken, ohne dass es den Nutzern auffällt.