In ottobre, l'hacker norvegese Einar Otto Stangvik ha incastrato il più grande e noto portale di pedopornografia del dark web grazie a una grande dose di pazienza, idee creative e un semplice trucco tecnico.Ma Stangvik e i suoi colleghi del periodico VG difficilmente potevano credere a quanto hanno scoperto lo scorso gennaio: il forum Childs Play, con più di un milione di utenti in tutto il mondo, era gestito da una task force della Polizia Australiana.
Pubblicità
Per undici mesi, gli investigatori australiani hanno monitorato il sito per ottenere informazioni su autori di contenuti, le loro vittime e gli altri utenti. Il portale è stato chiuso solo poche settimane fa.Non era la prima volta che Stangvik, che lavorava come esperto di sicurezza informatica per varie aziende norvegesi, si era introdotto negli angoli più oscuri del web alla caccia dei produttori e finanziatori di pornografia infantile. Nel 2015, ha usato un programma scritto da lui stesso per smascherare 95.000 utenti da tutto il mondo che avevano scaricato foto e video online.Volevamo capire direttamente da Stangvik come traccia i pedofili sul dark web, e se Il dark web è davvero peggiore di Internet quando si tratta di pornografia infantile. Inoltre: è ammissibile che la polizia finga per undici mesi di fare parte degli admin di un sito pedopornografico, oppure esistono altre alternative tecnologiche?
L'hacker Einar Otto Stangvik. Foto: Private.
MOTHERBOARD: Avete portato alla luce una vasta piattaforma di pedopornografia del dark web. Come ci siete riusciti?
Einar Otto Stangvik: Abbiamo passato un mese a capire come attaccare la piattaforma. Non volevamo smascherare solo chi stava dietro a Childs Play, ma anche gli utenti: per esempio, i produttori di video pedopornografici e le persone che abusano sessualmente dei bambini. Poi ho cercato di scaricare tutti i testi sulla piattaforma per classificarli, ma questa soluzione ha portato a un vicolo cieco. Alla fine del 2016 abbiamo dovuto sospendere la nostra ricerca per un po' di tempo perché non riuscivamo a trovare una strada efficace per hackerare il sito.
Einar Otto Stangvik: Abbiamo passato un mese a capire come attaccare la piattaforma. Non volevamo smascherare solo chi stava dietro a Childs Play, ma anche gli utenti: per esempio, i produttori di video pedopornografici e le persone che abusano sessualmente dei bambini. Poi ho cercato di scaricare tutti i testi sulla piattaforma per classificarli, ma questa soluzione ha portato a un vicolo cieco. Alla fine del 2016 abbiamo dovuto sospendere la nostra ricerca per un po' di tempo perché non riuscivamo a trovare una strada efficace per hackerare il sito.
Pubblicità
Cosa è successo da allora?
La svolta è stata all'inizio di gennaio. Sono arrivato in ufficio e ho avuto subito chiaro che dovevo affrontare la questione in modo completamente diverso. Così ho trascorso l'intera giornata a spulciare tra i codici sorgente di MyBB, il sistema software utilizzato da Childs Play, ed è stato solo allora che sono incappato nella funzione di caricamento che permette di impostare la propria immagine del profilo sul sito. Mi ha stupito scoprire che non era protetta con Tor.Perché questa scoperta ti ha sorpreso così tanto?
Perché ho potuto utilizzare il trucco più banale di tutti. Per rompere il software di un sito web, devi trovare un modo per caricarci dei file o del codice scritto da te. Essenzialmente, si tratta di costringere il server a connettersi al mondo esterno, aprendo un accesso per gli attacchi. La maggior parte dei programmi non lo consentono, perché gli attacchi su un server tramite file locali sono il gateway più ovvio in generale. In realtà, mi aspettavo che un sito del dark web — soprattutto uno che diffonde materiale illegale — avrebbe bloccato tutte le connessioni esterne. O, per lo meno, che avrebbe usato Tor per le connessioni come queste.Quindi, caricare una foto era il trucco più banale di tutti, ma ha funzionato?
All'inizio ero scettico. In qualche modo mi sembrava il metodo più stupido per costringere un server a rivelare il suo indirizzo IP. Ma ci ho provato comunque. Con mia grande sorpresa, in realtà, ho recuperato un IP.
La svolta è stata all'inizio di gennaio. Sono arrivato in ufficio e ho avuto subito chiaro che dovevo affrontare la questione in modo completamente diverso. Così ho trascorso l'intera giornata a spulciare tra i codici sorgente di MyBB, il sistema software utilizzato da Childs Play, ed è stato solo allora che sono incappato nella funzione di caricamento che permette di impostare la propria immagine del profilo sul sito. Mi ha stupito scoprire che non era protetta con Tor.Perché questa scoperta ti ha sorpreso così tanto?
Perché ho potuto utilizzare il trucco più banale di tutti. Per rompere il software di un sito web, devi trovare un modo per caricarci dei file o del codice scritto da te. Essenzialmente, si tratta di costringere il server a connettersi al mondo esterno, aprendo un accesso per gli attacchi. La maggior parte dei programmi non lo consentono, perché gli attacchi su un server tramite file locali sono il gateway più ovvio in generale. In realtà, mi aspettavo che un sito del dark web — soprattutto uno che diffonde materiale illegale — avrebbe bloccato tutte le connessioni esterne. O, per lo meno, che avrebbe usato Tor per le connessioni come queste.Quindi, caricare una foto era il trucco più banale di tutti, ma ha funzionato?
All'inizio ero scettico. In qualche modo mi sembrava il metodo più stupido per costringere un server a rivelare il suo indirizzo IP. Ma ci ho provato comunque. Con mia grande sorpresa, in realtà, ho recuperato un IP.
Pubblicità
Avete trovato il punto debole nel gennaio 2017. All'epoca, la polizia australiana gestiva il server da tre mesi. Si trattava di una falla dovuta agli admin della polizia o esisteva già?
Difficile da dire. Quando ho trovato il punto debole non avevo la minima idea che ci fosse la polizia dietro il sito. Quando l'ho trovato, devo dire che sono rimasto un po' sorpreso, ma non troppo. Errori come questi succedono sempre.Infatti ho usato altri due metodi per portare alla luce altri due siti di pedopornografia del dark web. Uno di questi era Elysium, che era stato tracciato in giugno dall'Ufficio Federale della Polizia Criminale della Germania. Ho scoperto i loro indirizzi IP all'incirca nello stesso periodo in cui ho trovato quelli di Childs Play.Li avete girati alle autorità?
No. Una settimana dopo, ho visto che qualcun altro aveva postato su Twitter l'IP di Elysium in maniera indipendente da me.
Difficile da dire. Quando ho trovato il punto debole non avevo la minima idea che ci fosse la polizia dietro il sito. Quando l'ho trovato, devo dire che sono rimasto un po' sorpreso, ma non troppo. Errori come questi succedono sempre.Infatti ho usato altri due metodi per portare alla luce altri due siti di pedopornografia del dark web. Uno di questi era Elysium, che era stato tracciato in giugno dall'Ufficio Federale della Polizia Criminale della Germania. Ho scoperto i loro indirizzi IP all'incirca nello stesso periodo in cui ho trovato quelli di Childs Play.Li avete girati alle autorità?
No. Una settimana dopo, ho visto che qualcun altro aveva postato su Twitter l'IP di Elysium in maniera indipendente da me.
Il forum di Childs Play accede a un file fotografico attraverso un sito web esterno, esponendo così il suo vero indirizzo IP. Foto per gentile concessione di Mathias Jørgensen / VG
Tornando a Childs Play, come avete proceduto? Gli indirizzi IP possono essere fuorvianti sul dark web, soprattutto perché i siti cercano di nascondere le loro reali posizioni.
Esatto. Non molto tempo dopo, ho capito che l'indirizzo IP apparteneva a un server ospitato dalla società Digital Pacific di Sydney. Ho provato tre diversi approcci per scoprire se si trattasse di un vero e proprio indirizzo IP e non solo di un nodo exit di Tor, una VPN o un server proxy.Hai fatto riferimento a tre metodi comuni per nascondere un indirizzo IP e navigare in rete in modo anonimo: la rete Tor, che gestisce le comunicazione attraverso diversi nodi; un virtual private network (VPN), che sostituisce l'IP reale attraverso una rete virtuale e un proxy server, che funge da ulteriore punto di intersezione tra i due server.
Esattamente. Ho dovuto sfruttare questi tre metodi diversi. Per il primo test, ho affittato il mio server su Digital Pacific. Poi, ho misurato la durata della connessione tra il server di Childs Play e il mio server attraverso Digital Pacific. Quando si carica un sito attraverso Tor ci vogliono almeno 250 millisecondi prima che la query raggiunga il server del sito e visualizzi i contenuti del sito sul proprio browser. Questo perché il traffico che attraversa la rete Tor viaggia attraverso più nodi per nascondere le posizioni del mittente e del destinatario. Ma il tempo che ho misurato per stabilire una connessione era inferiore. Sembrava che i server fossero vicini, questo mi ha permesso di escludere il primo metodo: l'IP non proveniva da un nodo Tor.
Esatto. Non molto tempo dopo, ho capito che l'indirizzo IP apparteneva a un server ospitato dalla società Digital Pacific di Sydney. Ho provato tre diversi approcci per scoprire se si trattasse di un vero e proprio indirizzo IP e non solo di un nodo exit di Tor, una VPN o un server proxy.Hai fatto riferimento a tre metodi comuni per nascondere un indirizzo IP e navigare in rete in modo anonimo: la rete Tor, che gestisce le comunicazione attraverso diversi nodi; un virtual private network (VPN), che sostituisce l'IP reale attraverso una rete virtuale e un proxy server, che funge da ulteriore punto di intersezione tra i due server.
Esattamente. Ho dovuto sfruttare questi tre metodi diversi. Per il primo test, ho affittato il mio server su Digital Pacific. Poi, ho misurato la durata della connessione tra il server di Childs Play e il mio server attraverso Digital Pacific. Quando si carica un sito attraverso Tor ci vogliono almeno 250 millisecondi prima che la query raggiunga il server del sito e visualizzi i contenuti del sito sul proprio browser. Questo perché il traffico che attraversa la rete Tor viaggia attraverso più nodi per nascondere le posizioni del mittente e del destinatario. Ma il tempo che ho misurato per stabilire una connessione era inferiore. Sembrava che i server fossero vicini, questo mi ha permesso di escludere il primo metodo: l'IP non proveniva da un nodo Tor.
Pubblicità
E il secondo metodo?
A questo punto, ho dovuto verificare se l'IP apparteneva a una VPN o a un proxy server, oppure, se eventualmente il server era stato sublocato a qualcun altro. Così ho analizzato i valori "time to live" che in sostanza mostrano attraverso quante fermate intermedie staziona un pacchetto di dati. In questo caso, le mie misurazioni hanno rivelato che c'erano un massimo di due passaggi intermedi e che era possibile che il mio server stesse comunicando direttamente con il server che sospettavo fosse quello utilizzato da Childs Play.Il terzo e ultimo passo, tuttavia, è stato quello più illuminante: ho analizzato le dimensioni dei pacchetti di dati. Quando il collegamento avviene tramite una VPN, le dimensioni normali su una rete di computer locale superano la massima unità di trasmissione utilizzabile tramite una VPN. Sul server Childs Play ho potuto vedere come i pacchetti più grandi venivano suddivisi in frammenti più piccoli, un chiaro indicatore di una connessione internet locale — che controlla una VPN o un proxy server. A quel punto, ero certo che quello era l'IP reale della piattaforma pedopornografica.
Il dark web in generale e Tor nello specifico offrono davvero a queste persone un luogo in cui essere rintracciati è dieci o cento volte più difficile che sull'internet normale. Devono solo scaricare il browser Tor. Ma il materiale pedopornografico e chi organizza incontri per abusare sessualmente dei bambini non sono problemi specifici del dark web. Anche su internet, si trova un sacco di questo tipo di materiale e, anche lì, la polizia ha qualche difficoltà. Le mie ricerche precedenti su chi scarica porno infantile ha rivelato che c'è un'offerta enorme di questo materiale anche sull'internet classico.
A questo punto, ho dovuto verificare se l'IP apparteneva a una VPN o a un proxy server, oppure, se eventualmente il server era stato sublocato a qualcun altro. Così ho analizzato i valori "time to live" che in sostanza mostrano attraverso quante fermate intermedie staziona un pacchetto di dati. In questo caso, le mie misurazioni hanno rivelato che c'erano un massimo di due passaggi intermedi e che era possibile che il mio server stesse comunicando direttamente con il server che sospettavo fosse quello utilizzato da Childs Play.Il terzo e ultimo passo, tuttavia, è stato quello più illuminante: ho analizzato le dimensioni dei pacchetti di dati. Quando il collegamento avviene tramite una VPN, le dimensioni normali su una rete di computer locale superano la massima unità di trasmissione utilizzabile tramite una VPN. Sul server Childs Play ho potuto vedere come i pacchetti più grandi venivano suddivisi in frammenti più piccoli, un chiaro indicatore di una connessione internet locale — che controlla una VPN o un proxy server. A quel punto, ero certo che quello era l'IP reale della piattaforma pedopornografica.
Per qualcuno il dark web è un porto sicuro per l'ambiente della pedopornografia. Hai fatto ricerca su questo giro per anni sia sul dark web che nell'Internet "normale". A quali conclusioni sei giunto?"La pedopornografia non è un problema specifico del dark web. C'è una grandissima offerta anche sull'internet 'normale'. Si trova tutto con una semplice ricerca su Google."
Il dark web in generale e Tor nello specifico offrono davvero a queste persone un luogo in cui essere rintracciati è dieci o cento volte più difficile che sull'internet normale. Devono solo scaricare il browser Tor. Ma il materiale pedopornografico e chi organizza incontri per abusare sessualmente dei bambini non sono problemi specifici del dark web. Anche su internet, si trova un sacco di questo tipo di materiale e, anche lì, la polizia ha qualche difficoltà. Le mie ricerche precedenti su chi scarica porno infantile ha rivelato che c'è un'offerta enorme di questo materiale anche sull'internet classico.
Pubblicità
Dove si trovano questi contenuti sull'internet "normale"?
Ovunque: questa è la cosa triste. Su YouTube, Pastebin, nei gruppi di Facebook, nelle discussioni su Reddit e su Twitter. Si trova tutto con una semplice ricerca su Google. Durante le mie ricerche ho scoperto che la maggior parte degli utenti che fruiscono di pedopornografia accede a tali contenuti attraverso i motori di ricerca. Questo vale almeno per le persone che sono "solo" consumatori, ovvero, chi non produce o non distribuisce il materiale. Purtroppo, queste persone spesso sfuggono ai radar degli investigatori — semplicemente, sono troppi. In ogni istante ci sono decine di migliaia di persone che cercano questo materiale sul web. Ed è altamente improbabile che vengano identificati a causa di un semplice download.Ma Allora perché queste persone continuano a frequentare siti del dark web come Childs Play o Elysium quando sono relativamente al sicuro anche sull'internet normale?
Per il tipo di offerta. Nei forum del dark web si trova molto altro materiale raggruppato in un unico luogo, in modo più strutturato e facile da cercare. Ma c'è una differenza in termini di sicurezza nel passaggio dalla clearnet alla dark net: quando un utente non abbastanza scafato dal punto di vista tecnologico o che non adotta nessuna forma di opsec decide di entrare nel dark web, accede automaticamente in un ambito che, molto probabilmente, viene già monitorato dalla polizia. In altre parole, passa da un luogo relativamente sicuro a uno sorvegliato dalle autorità e che, forse, ospita già degli infiltrati.
Ovunque: questa è la cosa triste. Su YouTube, Pastebin, nei gruppi di Facebook, nelle discussioni su Reddit e su Twitter. Si trova tutto con una semplice ricerca su Google. Durante le mie ricerche ho scoperto che la maggior parte degli utenti che fruiscono di pedopornografia accede a tali contenuti attraverso i motori di ricerca. Questo vale almeno per le persone che sono "solo" consumatori, ovvero, chi non produce o non distribuisce il materiale. Purtroppo, queste persone spesso sfuggono ai radar degli investigatori — semplicemente, sono troppi. In ogni istante ci sono decine di migliaia di persone che cercano questo materiale sul web. Ed è altamente improbabile che vengano identificati a causa di un semplice download.Ma Allora perché queste persone continuano a frequentare siti del dark web come Childs Play o Elysium quando sono relativamente al sicuro anche sull'internet normale?
Per il tipo di offerta. Nei forum del dark web si trova molto altro materiale raggruppato in un unico luogo, in modo più strutturato e facile da cercare. Ma c'è una differenza in termini di sicurezza nel passaggio dalla clearnet alla dark net: quando un utente non abbastanza scafato dal punto di vista tecnologico o che non adotta nessuna forma di opsec decide di entrare nel dark web, accede automaticamente in un ambito che, molto probabilmente, viene già monitorato dalla polizia. In altre parole, passa da un luogo relativamente sicuro a uno sorvegliato dalle autorità e che, forse, ospita già degli infiltrati.
Pubblicità
Quindi, Tor non è solo uno strumento per i criminali, ma consente anche alle autorità di indagare in modo più efficace sugli ambienti criminali?"Non dobbiamo dimenticare che in questo periodo si sono anche verificati molti abusi: il materiale è stato condiviso, sono state realizzate nuove produzioni e gli autori hanno pianificato lo stupro di altri bambini."
Certo. Ma come ho detto, questo vale solo per gli utenti con poche competenze tecnologiche, come quelli che usano i loro vecchi indirizzi mail o i nickname di Internet anche per i loro account del dark web.
Quelli con maggiore consapevolezza tecnologica, naturalmente, traggono maggiore vantaggio da Tor. Ma anche loro si trovano nel mirino delle indagini di polizia. La maggior parte delle persone, a un certo punto, commette un qualche errore di trascuratezza che li porta a esporsi. Ecco perché ora gli ex amministratori di Childs Play sono dietro le sbarre. In definitiva, tutti questi siti sono destinati a fallire fin dall'inizio. E' solo questione di tempo prima che qualcuno tiri fuori una tecnica di indagine innovativa o utilizzi un exploit che supera tutte le protezioni. Questo è tutto. Sono finiti.Cosa hai provato quando hai scoperto che la polizia australiana gestiva il forum di Childs Play?
Per me è stato difficile accettarlo. Soprattutto quando ho scoperto che la polizia stessa aveva condiviso materiale illegale in modo da non destare sospetti. Da un punto di vista tecnico, però, sapevo che non esisteva quasi nessun altro metodo per indagare efficacemente su questo ambito.La polizia ha gestito la piattaforma pedopornografica per un totale di 11 mesi. Hanno risposto alle critiche sostenendo che questo periodo era necessario per indagare sugli autori dei reati. Nel 2015, avete usato altri metodi per scovare decine di migliaia di utenti che avevano acquistato questi contenuti online. Cosa ne pensi del tempo dedicato a questo metodo di indagine?
Il fatto che undici mesi possano essere giustificabili o meno, dipende da quante persone sono riusciti a beccare. Se fossero solo dieci, allora direi che l'operazione è fallita. Non dobbiamo dimenticare che in questo periodo si sono anche verificati molti abusi: il materiale è stato condiviso, sono state realizzate nuove produzioni e gli autori hanno pianificato lo stupro di altri bambini.E se la polizia fosse riuscita a prendere 100 o 200 persone?
Sarebbe un grande risultato. Ma anche con risultato intermedio, tra le 10 e le 100 persone, e la polizia potrebbe ancora sostenere di aver speso il tempo in modo significativo, perché hanno perfezionato le loro tecniche investigative in modo da rendere la successiva operazione ancora più efficace; è incredibilmente difficile valutare questo genere di operazioni solo da un punto di vista.Non scopriremo mai se la polizia disponeva già delle informazioni necessarie per un arresto o un'accusa penale dopo soli cinque mesi o anche due settimane. Idealmente, ci vorrebbe un'organizzazione internazionale indipendente che possa riesaminare il processo e trarne delle conclusioni. Non lo dico per criticare la polizia. Una valutazione similie li aiuterebbe anche a convalidare e ottimizzare i loro metodi in modo indipendente. Ma dubito che ciò accadrà. La polizia non ama mettere in mostra le proprie carte.Seguici su Facebook e Twitter