FSE trifft das FBI

 (blog.freespeechextremist.com)
1 Punkte von GN⁺ 2025-06-10 | 1 Kommentare | Auf WhatsApp teilen
  • Der FSE(Freespeech Extremist)-Server berichtet von Erfahrungen damit, zum Ziel der Datensammlung des FBI geworden zu sein
  • Das FBI bezahlt private Anbieter (wie SocialGist) dafür, verschiedenste Foren- und Fediverse-Daten in großem Umfang zu scrapen und für Inhaltsanalyse, keywordbasierte Klassifizierung und Stimmungsanalyse zu nutzen
  • Der Bericht beschreibt Erfahrungen aus dem Serverbetrieb mit der Erkennung böswilliger Nutzer, Know-how zur Traffic-Analyse und -Verfolgung sowie dem Umgang mit Data Poisoning und indirektem Crawling
  • Datensammelunternehmen wie BoardReader scannten den Server durch aggressives Crawling und Proxy-Umgehung fortlaufend, wobei sich auch eine Verbindung zu FBI-Daten zeigte
  • Anhand dieses Falls wird Fediverse-Serverbetreibern und der IT-Branche verdeutlicht, dass Datensicherheit, Beobachtung und Reaktionsfähigkeit gestärkt werden müssen

FSE trifft das FBI

Pete, 6. April 2025

Überblick und Verlauf des Vorfalls

  • Der Administrator von FSE(Freespeech Extremist) schildert ungewöhnliche Erfahrungen rund um UGC, Crawler und die Datensammlung durch Bundesermittlungsbehörden auf dem Server
  • Analysiert werden sowohl der tatsächliche Kontakt mit dem FBI als auch die Frage, wie Daten gescrapt und tatsächlich in interne Systeme von Ermittlungsbehörden sowie Facebook-basierte Organisationsoberflächen eingespeist werden
  • Im Mittelpunkt stehen Server-Log-Analyse, Umgang mit böswilligen Nutzern, Methoden zur Erkennung von Traffic-Anomalien sowie Umgehungszugriffe von Datenscraping-Firmen und deren Verbindungen zu Strafverfolgungsbehörden

Die Wurzel des Vorfalls – die Bedrohung durch illegale Inhalte

  • Das Eindringen von Tätern im Bereich sexueller Gewalt gegen Kinder in das Fediverse ist das gravierendste Risiko und bedroht die Existenz des Servers selbst
  • FSE wurde mit starkem Fokus auf Meinungsfreiheit betrieben, dokumentierte bei illegalen Handlungen jedoch alles gründlich und sperrte sowie veröffentlichte solche Fälle aktiv
  • Zu beachten sind auch falsche Blocks durch andere Instanzen und dadurch entstehende Informationsverzerrungen sowie Strukturen, über die Daten an externe Nachrichtendienste oder Ermittlungsbehörden (z. B. das FBI) weitergegeben werden

Technische Gegenmaßnahmen und Crashkurs zur Log-Analyse

Diagnose von Anomalien im Serverbetrieb

  • Wegen der Grenzen der Serversoftware, abnormalem Traffic und Crawlern/Bots/Scannern sind öffentliche Server ständig dem „Weird“ ausgesetzt
  • Um wirksam reagieren zu können, ist der Umgang mit Text- und Netzwerkanalysewerkzeugen wie awk, tail -f, whois, tcpdump, traceroute, Shodan notwendig
  • Vorgestellt werden Verfahren zur Echtzeitbeobachtung von Datenflüssen, etwa die Anpassung von Webserver-Logformaten (TSV usw.), die Erfassung von Antwortzeiten pro Ressource und die Erkennung von Ausreißern
  • Mit einfacher statistischer Analyse (Mittelwert, Standardabweichung, Ausreißerwarnungen) lassen sich DDoS, Crawling und andere anormale Situationen erkennen

Im Betrieb erworbenes „Narbengewebe“ und Gegenmaßnahmen

  • Zu Beginn traten vor allem typische Spammer und Probleme mit automatisierten Registrierungen auf
  • Um Massenanmeldungen zu verhindern, wurden schlanke Eigenwerkzeuge entwickelt und betrieben, darunter mit Logs verknüpfte E-Mail- und Sprachbenachrichtigungen sowie nginx-Rate-Limits
  • Statt CAPTCHA und E-Mail-Verifizierung setzte man auf eine Politik minimaler personenbezogener Daten und manuelle Passwort-Resets
  • Die meisten Lösungen wurden direkt selbst implementiert, um Flexibilität, Geschwindigkeit und schnelle Reaktionsfähigkeit sicherzustellen

BoardReader, FSE und die Erkennung von Crawlern

Ablauf und Analyse des BoardReader-Crawlings

  • Ein zuvor unbekanntes Unternehmen namens BoardReader erkannte FSE-Daten als Forenbeiträge und crawlete sie in großem Umfang
  • Der Crawler versuchte Umgehungen über mehrere IP-Adressen, Residential Proxies, Tor, verschiedene UAs und sogar das Replay von Chrome-Sitzungen
  • Wenn 429- (Throttling) oder 401/403-Fehler (Autorisierung/Verbot) zurückgegeben wurden, versuchte er im Gegenteil noch mehr Anfragen wiederholt zu senden
  • Schließlich wurde die Blockierung mit verschiedenen Antworten wie 402 (Payment Required) fortgesetzt; auch Gesprächsversuche halfen nicht, und die Datensammlung über Umgehungswege ging weiter
  • Bei der Identifikation der Umgehungsmuster des Crawlers wurden Verbindungen zu SocialGist und Hinweise auf eine FBI-Beteiligung festgestellt

Tatsächliche Kommunikation mit BoardReader und SocialGist

  • Wegen des wiederholten Crawlings wurden offizielle Anfragen an BoardReader und SocialGist gerichtet, darunter der Versuch, das Einstellen des Crawlings und eine Antwort von info@boardreader.com zu erreichen
  • Von SocialGist kamen nur formelhafte Antworten, während die Umgehungen tatsächlich fortgesetzt wurden, was den Bruch von Zusagen zeigte
  • Zusätzlich wurden Entwickler-IP-Verfolgung (serbischer ISP, devtools.boardreader.com) und interne Erläuterungen zur Fediverse-Architektur durchgeführt

Direkte Einmischung des FBI

Hintergrund und Erkenntnisse zur FBI-Anfrage

  • Während des Austauschs mit Dave (SocialGist) ging von einer fbi.gov-Adresse eine offizielle E-Mail mit dem Betreff „Emergency Disclosure Request“ ein
  • Ein FBI-Agent bat unter Beifügung eines Screenshots von Beiträgen um personenbezogene Informationen zu einem Nutzer namens „WitchKingOfAngmar“
  • Obwohl der betreffende Beitrag nicht von FSE, sondern von sneed.social stammte, ordnete der Crawler ihn FSE zu und registrierte ihn so in der Datenbank, was zu einer Fehlzuordnung führte
  • Der Screenshot des FBI enthielt eine forenartige Listenansicht, Stimmungsanalyse und hervorgehobene verwandte Keywords wie „kill blackrock“ und „larry fink“
  • Sichtbar wurden Architekturfehler in SocialGists Relay und in der Datenarchitektur von BoardReader, strukturelle Missverständnisse des FBI sowie die Verwirrung durch die verteilte Natur des Fediverse

Weiteres Vorgehen gegenüber dem FBI

  • Der FSE-Administrator erklärte dem FBI, dass der ursprüngliche Beitrag nicht zu FSE gehöre, und bat darum, die Instanz des ursprünglichen Autors zu prüfen
  • Danach endeten die Anfragen des FBI und die direkte Reaktion; nach dem Unpublishen des Beitrags und einer Notfallreaktion wurde der Zugang zu den Serverdiensten vorübergehend eingeschränkt
  • Zur selben Zeit versuchte BoardReader weiterhin, das Crawling über Umwege fortzusetzen, wurde jedoch weiter blockiert; vom FBI kam keine weitere Antwort mehr

Fazit und Implikationen

  • Dieser Fall zeigt konkret die reale Datenverknüpfung zwischen Scraping-Firmen, Datenbrokern und staatlichen Stellen
  • Hervorgehoben wird, dass Betreiber dezentraler sozialer Netzwerke (Fediverse) Log-Analyse, Erkennung anomaler Muster, rechtliche Reaktion und den Aufbau automatisierter Blockierwerkzeuge beherrschen müssen
  • Gesellschaftlich deutet der Fall darauf hin, dass demokratische Open-Web-Systeme leicht in private oder staatliche Überwachungsstrukturen aufgenommen und dort verzerrt werden können
  • Abschließend wird betont, dass das Design offener Netzwerke und der Informationsaustausch in Betreiber-Communities zentral für eine wirksame Verteidigung der Datensicherheit sind

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-06-10
Hacker-News-Kommentare

  • Es wurde kritisiert, dass Fediblock keine Faktenprüfung betreibe und dadurch Missverständnisse verursache, doch es wurde die Ansicht geäußert, dass die im Blogbeitrag verlinkte Seite lediglich eine Liste von Instanzen sei, die defedert wurden, also die Verbindung zueinander getrennt haben. Zudem wurde betont, dass Fediblock bereits vor einigen Jahren eingestellt wurde und es sich nicht um einen offiziellen Standard, sondern nur um Referenzinformationen gehandelt habe. Es wurde auch die Vermutung geteilt, dass der Autor des Blogbeitrags ursprünglich nach Fediblock-Inhalten gesucht und dann gedankenlos den Ersatzlink verwendet habe.

    • Ich betreibe einen mittelgroßen Mastodon-Server und habe einmal eine Instanz blockiert, nachdem mich ein Nutzer von dort rassistisch beschimpft hatte und trotz Meldung an die Administratoren nichts unternommen wurde. Diese Entscheidung hatte weder mit Fediblock noch mit irgendeinem Community-Mechanismus zu tun; ich sah schlicht keinen Grund, mit einer Gegeninstanz zu kommunizieren, deren Nutzer meine Servernutzer belästigten. Dass FSE so tut, als sei es Ziel einer verschwörerischen Blockade geworden, finde ich eher lächerlich.
    • Es wurde darauf hingewiesen, dass der Fediblock-Dienst tatsächlich im September 2023 eingestellt wurde und dass die meisten im Artikel erwähnten Vorfälle noch vor diesem Zeitpunkt stattfanden.

  • Es wurde analysiert, warum dieser Beitrag so interessant war: Er beginnt mit der Sorge, dass die Einführung von Captchas echten Nutzern schaden könnte, und zeigt dann schonungslos den langwierigen Prozess, an dessen Ende Anmeldungen und Timeline öffentlich gemacht wurden, woraufhin sich die Nutzererfahrung durch zahlreiche Probleme eher verschlechterte. Daraus ergab sich die sehr persönliche Einsicht, dass man selbst niemals eine Community-Plattform betreiben möchte.

  • Der Reiz dieses Beitrags wurde in fünf Punkten zusammengefasst: 1) eine Art Bürgerwissenschaft zur Aufklärung der FBI-Mechanismen zur Informationssammlung und Überwachung, 2) kleinere Zwischenfälle innerhalb des Fediverse, 3) praktische Tipps zum Systembetrieb aus Sicht eines Betreibers kleiner Server, 4) ein spannender Subplot rund um die Figur torswats, die im Zentrum mehrerer Ereignisse steht, bis hin zu ihrer Verhaftung, 5) ein intelligenter und flüssiger Schreibstil, insgesamt fünf von fünf Sternen und eine klare Leseempfehlung.

    • Ich finde ebenfalls, dass dies ein großartiger Text ist, der genau die richtige Menge technischer Details enthält. Er wäre selbst als Vortrag auf einer Hacker-Konferenz wie dem Chaos Communication Congress absolut passend.
    • Es wurde angemerkt, dass der Autor des Textes zu einem falschen Schluss gekommen sei: Obwohl das FBI Screenshots eines Nutzers mit Gewaltandrohungen geschickt und Informationen angefordert habe, habe der Autor dies als bloßes Großmaulgetue abgetan. Angesichts realer Gewalttaten in jüngster Zeit, etwa der Ermordung eines CEO, sei das eine Unterschätzung des Risikos. Es sei zwar gut, dass der FSE-Betreiber aktiv mit Bundesermittlern gesprochen habe, aber nach Sichtung solcher Droh-Screenshots pauschal von Harmlosigkeit auszugehen, sei eine gefährliche Voreingenommenheit.

  • Der Beitrag habe wirklich Eindruck gemacht; als Detailkritik wurde angemerkt, dass der „Negative“-Button der Suchmaschine vermutlich nicht ein Ergebnis der Sentiment-Analyse anzeige, sondern eher für ungeeignete Suchergebnisse bzw. negatives Retrieval stehe. Es wurde die Sicht geteilt, dass Sentiment-Analyse in diesem Szenario kaum sinnvoll einsetzbar wäre.

    • Dem wurde auch widersprochen: Da das „Negative“-Icon wie ein roter Kopf gestaltet sei, wirke es sprachlich seltsam, dies als Kennzeichnung ungeeigneter Ergebnisse zu lesen; näher liege die Interpretation als Sentiment-Bewertung.

  • Es wurde Unmut darüber geäußert, dass durch Fediblock der Eindruck entstanden sei, FSE habe falsche Duldungsregeln, und darüber hinaus wurde kritisiert, dass eine Seite zitiert werde, deren Quellcode auf kiwifarms liege. Als weiterer Kontext wurde erklärt, dass FSE meist deshalb blockiert werde, weil die meisten Nutzer schlicht nicht mit einer „free speech“-Gruppe interagieren wollten.

    • Als Reaktion kam das Feedback, dass der Zusammenhang zwischen Blockierung und Faktenprüfung fraglich sei; Ablehnung oder Blocklisten seien nicht notwendigerweise ein Thema der Faktenprüfung.

  • Es wurde gefragt, ob es gegen Scraping nicht effizientere technische Maßnahmen gegeben hätte, etwa das Blockieren auf IP- oder Domain-Ebene oder externe Dienste zum Schutz von API-Endpunkten wie Cloudflare. Zugleich wurde erwähnt, dass solche Dienste Kosten verursachen und für eine Seite mit dem Charakter von Free Speech Extremist womöglich nicht geeignet seien. Andererseits wurde angemerkt, dass das Blockieren bösartigen Traffics unter Kostengesichtspunkten sogar Einsparungen bringen könnte.

    • Ich selbst habe tatsächlich auch Sperrbefehle gegen Scraping-IP-Adressen auf dem Server eingerichtet, aber kurz darauf gesehen, wie schnell mit neuen US-Wohnanschluss-IP-Adressen bzw. Proxys weitergemacht wurde.

  • Es wurde darauf hingewiesen, dass auf FSE ein Problem mit Pädophilen sichtbar geworden sei; ergänzt wurde, dass dies ein allgemeines Problem des Fediverse sei und auch auf Plattformen wie Discord vorkomme.

    • Zustimmung dazu, dass ähnliche Probleme in praktisch jedem Online-Raum auftreten können, in dem keine Klarnamenpflicht besteht und Bilder hochgeladen werden können.
    • Auch anonyme Messenger-Plattformen wie Signal oder Telegram wurden als gleichermaßen anfällig genannt.

  • Es wurde gefragt, warum FSE (Free Speech Extremist) überhaupt das Etikett „extremist“ tragen müsse, insbesondere in einem Land, das die Meinungsfreiheit in der Verfassung garantiere.

    • Es wurde angemerkt, dass dies angesichts des typischen Humors des Autors fast schon als Witz zu verstehen sei. Zugleich werde in den USA auch innerhalb des Rechtssystems weiterhin über Umfang und Grenzen der Meinungsfreiheit gestritten, und die FSE-Instanz werde offenbar nach dem Grundsatz betrieben, dass rechtlich erlaubte Äußerungen prinzipiell zulässig seien, selbst wenn sie ekelhaft oder beleidigend wirkten. Jemand erklärte, diesem Prinzip zwar zuzustimmen, aber nicht den Mut zu haben, es im Alltag vollständig umzusetzen. Im Gegensatz dazu arbeiteten die meisten anderen Instanzen im Verbund mit strengen Regeln und Blocklisten. Ein relevanter Link wurde ebenfalls geteilt.
    • Es wurde ergänzt, dass gerade die Tatsache, solche Fragen überhaupt aufzuwerfen, in einer Episode noch wichtiger werde, die zeige, wie das FBI sich verfassungsrechtlichen Pflichten entziehe oder diese direkt verletze.
    • „Extremist“ sei eine abwertende Form von „radical“, und historisch wie kulturell würden Positionen, die als kontrovers gelten, unabhängig davon etikettiert, wer sie einnimmt.
    • Da verfassungsmäßige Rechte in den USA nicht absolut seien und Gerichte ihre Grenzen klar benannt hätten, würden Menschen, die in der Praxis über diese Grenzen hinausgingen, von Gegnern leicht als „extremistisch“ abgestempelt.
    • Extremisten hätten immer die Tendenz, einen einzigen Wert über alle anderen zu stellen. Als lehrreiche Metapher wurde genannt, dass es zwar kurzfristig richtig erscheinen könne, Atmen wichtiger zu finden als Essen oder Trinken, dass aber mittel- und langfristig Probleme entstünden. Damit sollte vermittelt werden, dass unterschiedliche Werte in Balance gehalten werden müssen.

  • Der Betrieb eines Online-Raums wurde in einem Satz als in der Realität äußerst harte Arbeit zusammengefasst.