Díky velké trpělivosti, kreativním nápadům a jednoduchému technologickému triku odhalil v říjnu 2017 norský hacker Einar Otto Stangvik největší a nejznámější portál zabývající se sexuálním obtěžováním dětí na temném webu. Ale to, co zjistili už v lednu stejného roku, bylo pro Stangvika a jeho kolegy z deníku VG těžko uvěřitelné – fórum Childs Play, které mělo více než milion uživatelů po celém světě, bylo provozováno částí australské policie.
Reklama
Australští vyšetřovatelé kvůli údajům o pachatelích, obětech a uživatelích monitorovali stránku jedenáct měsíců. Portál byl smazán teprve v říjnu 2017.Pro Stangvika, který dříve pracoval pro různé norské společnosti jako expert na IT bezpečnost, to nebyla první cesta do ponurých zákoutí temného webu za pachateli v oblasti dětské pornografie. V roce 2015 použil svůj vlastní program, aby odhalil 95 000 uživatelů, kteří stahovali online fotky a videa.Zajímalo nás, jak se dají pedofilové na temném webu vysledovat. Je dětská pornografie na temném webu opravdu o tolik horší než na tom klasickém? Dá se ospravedlnit postup policie, která se vydávala za administrátory stránky s dětskou pornografií, nebo existovaly i jiné technologické alternativy?
Hacker Einar Otto Stangvik. Foto: soukromý archiv
MOTHERBOARD: Na temném webu se ti podařilo odhalit obrovskou platformu s dětskou pornografií. Jak jsi k téhle práci přistupoval?
Einar Otto Stangvik: Celý měsíc jsme strávili spekulováním, jak tu platformu napadnout. Nechtěli jsme odhalit jenom ty, co Childs Play provozovali, ale taky uživatele – producenty videí se zneužíváním dětí nebo pedofily. Pak jsem ze stránky zkusil stáhnout všechen text, abych ho později roztřídil, ale to nikam nevedlo. Na konci roku 2016 jsme museli náš průzkum na chvíli pozastavit, protože jsme nemohli najít efektivní cestu, jak stránku hacknout.A jak to potom celé pokračovalo?
Průlom nastal na začátku ledna 2017. Přišel jsem do kanceláře a bylo mi jasné, že k tomu musím přistupovat úplně jinak. Takže jsem celý den brouzdal zdrojovými kódy z MyBB – to je software využívaný právě Childs Play. Tehdy jsem narazil na funkci, díky které bylo možné si tam nahrát svůj profilový obrázek. A v tu chvíli mi došlo, že tahle funkce není chráněná Torem.
Einar Otto Stangvik: Celý měsíc jsme strávili spekulováním, jak tu platformu napadnout. Nechtěli jsme odhalit jenom ty, co Childs Play provozovali, ale taky uživatele – producenty videí se zneužíváním dětí nebo pedofily. Pak jsem ze stránky zkusil stáhnout všechen text, abych ho později roztřídil, ale to nikam nevedlo. Na konci roku 2016 jsme museli náš průzkum na chvíli pozastavit, protože jsme nemohli najít efektivní cestu, jak stránku hacknout.A jak to potom celé pokračovalo?
Průlom nastal na začátku ledna 2017. Přišel jsem do kanceláře a bylo mi jasné, že k tomu musím přistupovat úplně jinak. Takže jsem celý den brouzdal zdrojovými kódy z MyBB – to je software využívaný právě Childs Play. Tehdy jsem narazil na funkci, díky které bylo možné si tam nahrát svůj profilový obrázek. A v tu chvíli mi došlo, že tahle funkce není chráněná Torem.
Reklama
Proč tě tenhle nález tak překvapil?
Protože díky tomu jsem mohl použít ten nejlacinější trik. Abyste mohli prolomit software webové stránky, musíte najít způsob, jak tam nahrát nějaký soubor nebo propašovat svůj kód. V podstatě ten server donutíte, aby se připojil k vnějšímu světu, a tak se z něj stane jednodušší cíl. Většina softwarových programů tohle neumožňuje, protože útok na server přes lokální soubor je v podstatě ten úplně nejzákladnější. Myslel jsem si, že stránka na temném webu – navíc když šíří podobný materiál – bude mít blokovaná všechna externí připojení. Nebo že aspoň podobná připojení budou mít chráněná Torem.Takže upload obrázku byl ten úplně nejlacinější trik, který ale zabral?
Nejdřív jsem byl skeptický. Prostě se mi to zdálo jako ta nejblbější metoda, jak donutit server, aby ukázal svoji IP adresu. Ale stejně jsem to zkusil, a pak se k mému překvapení IP adresa opravdu ukázala.Slabé místo se ti podařilo najít v lednu 2017, kdy australská policie server řídila už sedm měsíců. Byli za tuhle chybu zodpovědní administrátoři od policie nebo existovala už předtím?
Těžko říct. Když se mi podařilo najít to slabé místo, neměl jsem ani ponětí, že celou stránku řídí policie. Tou chybou jsem byl trochu překvapený, ale ne nějak šokovaný. Takové chyby se stávají pořád.Stejnou metodu jsem vlastně použil už dřív, když jsem odhalil dvě další stránky na temném webu, které obsahovaly materiál zachycující zneužívání dětí. Jedna z nich byla Elysium, jejíž stopu začal německý spolkový kriminální úřad sledovat v červnu 2017. Jejich IP adresu jsem objevil asi ve stejné době jako adresu Childs Play.
Protože díky tomu jsem mohl použít ten nejlacinější trik. Abyste mohli prolomit software webové stránky, musíte najít způsob, jak tam nahrát nějaký soubor nebo propašovat svůj kód. V podstatě ten server donutíte, aby se připojil k vnějšímu světu, a tak se z něj stane jednodušší cíl. Většina softwarových programů tohle neumožňuje, protože útok na server přes lokální soubor je v podstatě ten úplně nejzákladnější. Myslel jsem si, že stránka na temném webu – navíc když šíří podobný materiál – bude mít blokovaná všechna externí připojení. Nebo že aspoň podobná připojení budou mít chráněná Torem.Takže upload obrázku byl ten úplně nejlacinější trik, který ale zabral?
Nejdřív jsem byl skeptický. Prostě se mi to zdálo jako ta nejblbější metoda, jak donutit server, aby ukázal svoji IP adresu. Ale stejně jsem to zkusil, a pak se k mému překvapení IP adresa opravdu ukázala.Slabé místo se ti podařilo najít v lednu 2017, kdy australská policie server řídila už sedm měsíců. Byli za tuhle chybu zodpovědní administrátoři od policie nebo existovala už předtím?
Těžko říct. Když se mi podařilo najít to slabé místo, neměl jsem ani ponětí, že celou stránku řídí policie. Tou chybou jsem byl trochu překvapený, ale ne nějak šokovaný. Takové chyby se stávají pořád.Stejnou metodu jsem vlastně použil už dřív, když jsem odhalil dvě další stránky na temném webu, které obsahovaly materiál zachycující zneužívání dětí. Jedna z nich byla Elysium, jejíž stopu začal německý spolkový kriminální úřad sledovat v červnu 2017. Jejich IP adresu jsem objevil asi ve stejné době jako adresu Childs Play.
Reklama
Předal jsi ji úřadům?
Nepředal. Asi o týden později jsem viděl na Twitteru, že IP adresu Elysia někdo zveřejnil nezávisle na mně.
Nepředal. Asi o týden později jsem viděl na Twitteru, že IP adresu Elysia někdo zveřejnil nezávisle na mně.
Fórum Childs Play přistupovalo k fotkám z externí webové stránky, a právě proto byla odhalena jeho IP adresa. Fotografii poskytl Mathias Jørgensen / VG
Vraťme se k Childs Play – jak jsi potom postupoval? IP adresy na temném webu mohou být zavádějící, zvlášť když se stránky snaží skrývat skutečná místa, odkud jsou řízeny.
Netrvalo dlouho a uvědomil jsem si, že ta IP adresa patří serveru provozovaném firmou Digital Pacific, která sídlí v Sydney. Vyzkoušel jsem různé přístupy, abych zjistil, jestli to vůbec je reálná IP adresa a nejedná se jenom o únikový uzel Toru, VPNku nebo proxy server.Mluvíš o třech běžných metodách, jak se dá IP adresa skrýt – síť Tor, která vede komunikaci přes několik uzlů, virtuální privátní síť (VPN), která skrze virtuální síť nahrazuje skutečnou IP adresu, a proxy server sloužící jako průsečík mezi dvěma servery.
Přesně tak. Tyhle tři různé metody jsem musel vyloučit. Na první test jsem si přes Digital Pacific pronajal vlastní server. Pak jsem si přes něj změřil délku připojení mezi serverem Childs Play a mým vlastním serverem. Když se přes síť Tor nahrává stránka, trvá vašemu dotazu alespoň 250 milisekund, než dosáhne na server a zobrazí obsah stránky na vašem prohlížeči. To je kvůli tomu, že než se podaří skrýt umístění odesílatele a příjemce, provoz tu probíhá přes několik uzlů. Ale čas, který jsem naměřil, byl kratší. Vypadalo to, že servery jsou hned vedle sebe, a tím jsem vyřadil první možnost – IP adresa nebyla jedním z uzlů sítě Tor.
Netrvalo dlouho a uvědomil jsem si, že ta IP adresa patří serveru provozovaném firmou Digital Pacific, která sídlí v Sydney. Vyzkoušel jsem různé přístupy, abych zjistil, jestli to vůbec je reálná IP adresa a nejedná se jenom o únikový uzel Toru, VPNku nebo proxy server.Mluvíš o třech běžných metodách, jak se dá IP adresa skrýt – síť Tor, která vede komunikaci přes několik uzlů, virtuální privátní síť (VPN), která skrze virtuální síť nahrazuje skutečnou IP adresu, a proxy server sloužící jako průsečík mezi dvěma servery.
Přesně tak. Tyhle tři různé metody jsem musel vyloučit. Na první test jsem si přes Digital Pacific pronajal vlastní server. Pak jsem si přes něj změřil délku připojení mezi serverem Childs Play a mým vlastním serverem. Když se přes síť Tor nahrává stránka, trvá vašemu dotazu alespoň 250 milisekund, než dosáhne na server a zobrazí obsah stránky na vašem prohlížeči. To je kvůli tomu, že než se podaří skrýt umístění odesílatele a příjemce, provoz tu probíhá přes několik uzlů. Ale čas, který jsem naměřil, byl kratší. Vypadalo to, že servery jsou hned vedle sebe, a tím jsem vyřadil první možnost – IP adresa nebyla jedním z uzlů sítě Tor.
Reklama
A druhá možnost?
Musel jsem zjistit, jestli ta IP adresa patří VPNce, proxy serveru nebo jestli byl server pronajatý někým jiným. Takže jsem analyzoval TTL položky, které v podstatě ukazují, přes kolik zastávek musí datový paket projít. V tomhle případě moje měření odhalilo, že ty zastávky byly maximálně dvě, takže tu byla možnost, že můj server komunikuje přímo se serverem, o kterém jsem byl přesvědčený, že ho používá Childs Play.Třetí a poslední krok byl nejdůležitější. Analyzoval jsem velikosti datových paket. Když se připojujete přes VPN, tak normální velikosti v rámci místní počítačové sítě překročí maximální přenosovou jednotku. Na serveru Childs Play jsem viděl, že velké pakety nebyly rozděleny do menších fragmentů, což je jasný indikátor místního internetového připojení. Takže se mi podařilo vyloučit možnost VPN i proxy serveru a bylo jasné, že se jedná o pravou IP adresu téhle platformy.
To určitě platí, ale jak jsem říkal, dá se to použít jen proti těm, kteří nemají mnoho technických schopností, když například použijí svůj e-mail nebo přihlašovací údaje z normálního internetu na temném internetu.
Musel jsem zjistit, jestli ta IP adresa patří VPNce, proxy serveru nebo jestli byl server pronajatý někým jiným. Takže jsem analyzoval TTL položky, které v podstatě ukazují, přes kolik zastávek musí datový paket projít. V tomhle případě moje měření odhalilo, že ty zastávky byly maximálně dvě, takže tu byla možnost, že můj server komunikuje přímo se serverem, o kterém jsem byl přesvědčený, že ho používá Childs Play.Třetí a poslední krok byl nejdůležitější. Analyzoval jsem velikosti datových paket. Když se připojujete přes VPN, tak normální velikosti v rámci místní počítačové sítě překročí maximální přenosovou jednotku. Na serveru Childs Play jsem viděl, že velké pakety nebyly rozděleny do menších fragmentů, což je jasný indikátor místního internetového připojení. Takže se mi podařilo vyloučit možnost VPN i proxy serveru a bylo jasné, že se jedná o pravou IP adresu téhle platformy.
Systém Tor tedy můžeme brát nejen jako nástroj kriminálníků, ale taky jako možnost, jakým mohou úřady pachatele vyšetřovat?"Nemůžeme zapomínat na to, kolik škody bylo během té doby napácháno – sdílely se různé materiály, produkovaly se nové a pachatelé plánovali znásilňování dětí."
To určitě platí, ale jak jsem říkal, dá se to použít jen proti těm, kteří nemají mnoho technických schopností, když například použijí svůj e-mail nebo přihlašovací údaje z normálního internetu na temném internetu.
Reklama
Ti, kteří jsou technologicky zdatnější, z této technologie mají samozřejmě větší užitek, ale i oni jsou v hledáčku policejních vyšetřovatelů. Většina lidí musí zákonitě jednou udělat chybu, která vede k jejich odhalení. Právě proto jsou dřívější administrátoři fóra Childs Play za mřížemi. Všechny tyhle stránky jsou konec konců odsouzeny k záhubě, protože je jen otázka času, kdy někdo přijde s inovativní technikou nebo nápadem, který pošle odpovědné lidi za katr.Jaké pro tebe bylo zjištění, že za fórem Childs Play stála australská policie?
Bylo pro mě hodně těžké přijmout to jako fakt. Hlavně když jsem zjistil, že lidé od policie zveřejňovali materiály se zneužíváním dětí, aby nebyli podezřelí. Ale z technického hlediska jsem věděl, že jiné metody, jak podobnou věc efektivně vyšetřit, v podstatě neexistují.Policie tuto platformu provozovala 11 měsíců. Bagatelizovala veškeré kritiky a tvrdila, že to bylo nezbytné k dopadení pachatelů. V roce 2015 jsi k odhalení desetitisíců uživatelů, kteří si podobný obsah obstarávali, použil jiné metody. Jak hodnotíš metodu policie z hlediska času, který vyšetřováním strávila?
Jestli je ta doba ospravedlnitelná nebo ne, záleží na tom, kolik pachatelů byli schopni usvědčit. Jestli to bylo třeba jen deset lidí, pak jejich operace selhala. Nemůžeme zapomínat na to, kolik škody bylo během té doby napácháno – sdílely se různé materiály, produkovaly se nové a pachatelé plánovali znásilňování dětí.A kdyby usvědčili 100 nebo 200 lidí?
To by bylo skvělé. Ale mohli by výsledek zprůměrovat na něco mezi 10 a 100 lidmi a tvrdili by, že celá ta doba byla využita smysluplně, protože během ní vylepšovali své vyšetřovací techniky, aby jejich příští operace byla ještě úspěšnější. Je neuvěřitelně těžké to hodnotit takhle zeširoka.Nikdy nezjistíme, jestli policie měla k dispozici informace potřebné k zatčení nebo obvinění už po pěti měsících nebo třeba dvou týdnech. Potřebovali bychom nezávislou a ideálně mezinárodní organizaci, aby celý proces prošla znovu a navrhla správné řešení.Neříkám to jen proto, abych kritizoval policii. Podobné vyhodnocení by totiž mohlo pomoci i jim samotným, aby si ověřili a optimalizovali svoje metody. Ale pochybuju, že by k tomu mohlo dojít, policie prostě nerada odkrývá svoje karty.
Bylo pro mě hodně těžké přijmout to jako fakt. Hlavně když jsem zjistil, že lidé od policie zveřejňovali materiály se zneužíváním dětí, aby nebyli podezřelí. Ale z technického hlediska jsem věděl, že jiné metody, jak podobnou věc efektivně vyšetřit, v podstatě neexistují.Policie tuto platformu provozovala 11 měsíců. Bagatelizovala veškeré kritiky a tvrdila, že to bylo nezbytné k dopadení pachatelů. V roce 2015 jsi k odhalení desetitisíců uživatelů, kteří si podobný obsah obstarávali, použil jiné metody. Jak hodnotíš metodu policie z hlediska času, který vyšetřováním strávila?
Jestli je ta doba ospravedlnitelná nebo ne, záleží na tom, kolik pachatelů byli schopni usvědčit. Jestli to bylo třeba jen deset lidí, pak jejich operace selhala. Nemůžeme zapomínat na to, kolik škody bylo během té doby napácháno – sdílely se různé materiály, produkovaly se nové a pachatelé plánovali znásilňování dětí.A kdyby usvědčili 100 nebo 200 lidí?
To by bylo skvělé. Ale mohli by výsledek zprůměrovat na něco mezi 10 a 100 lidmi a tvrdili by, že celá ta doba byla využita smysluplně, protože během ní vylepšovali své vyšetřovací techniky, aby jejich příští operace byla ještě úspěšnější. Je neuvěřitelně těžké to hodnotit takhle zeširoka.Nikdy nezjistíme, jestli policie měla k dispozici informace potřebné k zatčení nebo obvinění už po pěti měsících nebo třeba dvou týdnech. Potřebovali bychom nezávislou a ideálně mezinárodní organizaci, aby celý proces prošla znovu a navrhla správné řešení.Neříkám to jen proto, abych kritizoval policii. Podobné vyhodnocení by totiž mohlo pomoci i jim samotným, aby si ověřili a optimalizovali svoje metody. Ale pochybuju, že by k tomu mohlo dojít, policie prostě nerada odkrývá svoje karty.