În octombrie, hackerul norvegian Einar Otto Stangvik a dat în vileag cel mai mare și mai bine-cunoscut portal de pe dark web cu abuzuri sexuale asupra minorilor, prin idei creative, un truc simplu și foarte multă răbdare.Dar lui Stangvik și colegilor săi de la ziarul VG nu le-a venit să creadă ce au descoperit în ianuarie acest an: forumul Childs Play, care avea mai bine de un milion de utilizatori din toată lumea, era întreținut de o grupare de intervenție a poliției australiene.
Publicitate
Timp de 11 luni, detectivii australieni au monitorizat site-ul pentru informații despre răufăcători, victime și utilizatori. Portalul a fost desființat abia acum câteva săptămâni.Nu era prima oară când Stangvik, care a lucrat înainte ca expert în securitate IT pentru diverse companii norvegiene, săpase prin colțurile tenebroase ale internetului ca să dea de urma celor care susțin și produc pornografie infantilă. În 2015, a folosit un program pe care l-a scris chiar el, ca să demaște 95 de mii de utilizatori din lumea întreagă care au descărcat fotografii și clipuri online.Am vrut să aflu de la Stangvik: cum dai de urma pedofililor pe dark net? Chiar e dark net-ul atât de nasol față de internetul obișnuit când vine vorba de pedofilie infantilă? E justificat ca polițiștii să se dea drept administratori ai unui forum de pornografie infantilă preț de unsprezece luni sau există și alte alternative?
Hackerul Einar Otto Stangvik. Fotografie personală
MOTHERBOARD: Ai reușit să demaști o platformă uriașă de pornografie infantilă pe dark net. Cum ai abordat sarcina asta?
Einar Otto Stangvik: Ne-am petrecut o lună punându-ne capetele la contribuție, ca să ne dăm seama cum să atacăm platforma. Nu voiam să-i dăm în vileag doar pe cei din spatele Childs Play, ci și pe utilizatori: cei care făceau clipuri cu abuzuri infantile, de exemplu, precum și pe cei care abuzează sexual copiii. Apoi, am încercat să descarc tot textul de pe platformă, ca să-l pot clasa, dar, în cele din urmă, s-a dovedit a fi o fundătură. La finalul lui 2016, a trebuit să punem cercetarea pe pauză, pentru că nu găseam o cale eficientă de a sparge site-ul.
Einar Otto Stangvik: Ne-am petrecut o lună punându-ne capetele la contribuție, ca să ne dăm seama cum să atacăm platforma. Nu voiam să-i dăm în vileag doar pe cei din spatele Childs Play, ci și pe utilizatori: cei care făceau clipuri cu abuzuri infantile, de exemplu, precum și pe cei care abuzează sexual copiii. Apoi, am încercat să descarc tot textul de pe platformă, ca să-l pot clasa, dar, în cele din urmă, s-a dovedit a fi o fundătură. La finalul lui 2016, a trebuit să punem cercetarea pe pauză, pentru că nu găseam o cale eficientă de a sparge site-ul.
Publicitate
Cum au evoluat lucrurile?
La începutul lui ianuarie, anul acesta, când am ajuns la birou mi-a devenit clar că trebuia să abordez situația într-un mod complet diferit. Așa că mi-am petrecut toată ziua înotând prin coduri sursă de la MyBB, sistemul de software folosit de Childs Play. Abia atunci am dat peste funcția de upload care-ți permitea să setezi poza de profil. Nu mi-a venit să cred când mi-am dat seama că funcția nu e securizată prin Tor.
Pentru că mi-a permis să folosesc cel mai simplu truc. Fiindcă, dacă vrei să spargi softul unui site, trebuie să găsești o modalitate de a încărca fișiere, sau de a-ți infiltra propriul cod. În esență, forțezi serverul să se conecteze la lumea de-afară, ceea ce lasă loc liber pentru atacuri. Majoritatea programelor software nu permit asta, pentru că atacurile asupra unui server prin fișiere locale e cea mai evidentă cale de acces dintre toate. Mă așteptam ca un site de pe dark net - mai ales unul care diseminează materiale cu abuzuri - să fi blocat toate conexiunile externe. Sau, cel puțin, să fi folosit rețeaua Tor pentru conexiuni de genul ăsta.Deci încărcarea unei poze a fost cel mai simplu truc, dar a funcționat?
La început am fost sceptic. Cumva, părea cea mai prostească metodă de a forța un server să-și dezvăluie adresa de IP. Dar am încercat oricum. Spre marea mea surpriză, chiar am primit înapoi un IP.
La începutul lui ianuarie, anul acesta, când am ajuns la birou mi-a devenit clar că trebuia să abordez situația într-un mod complet diferit. Așa că mi-am petrecut toată ziua înotând prin coduri sursă de la MyBB, sistemul de software folosit de Childs Play. Abia atunci am dat peste funcția de upload care-ți permitea să setezi poza de profil. Nu mi-a venit să cred când mi-am dat seama că funcția nu e securizată prin Tor.
De ce te-a surprins atât de mult descoperirea asta?
Pentru că mi-a permis să folosesc cel mai simplu truc. Fiindcă, dacă vrei să spargi softul unui site, trebuie să găsești o modalitate de a încărca fișiere, sau de a-ți infiltra propriul cod. În esență, forțezi serverul să se conecteze la lumea de-afară, ceea ce lasă loc liber pentru atacuri. Majoritatea programelor software nu permit asta, pentru că atacurile asupra unui server prin fișiere locale e cea mai evidentă cale de acces dintre toate. Mă așteptam ca un site de pe dark net - mai ales unul care diseminează materiale cu abuzuri - să fi blocat toate conexiunile externe. Sau, cel puțin, să fi folosit rețeaua Tor pentru conexiuni de genul ăsta.Deci încărcarea unei poze a fost cel mai simplu truc, dar a funcționat?
La început am fost sceptic. Cumva, părea cea mai prostească metodă de a forța un server să-și dezvăluie adresa de IP. Dar am încercat oricum. Spre marea mea surpriză, chiar am primit înapoi un IP.
Publicitate
Ai găsit punctul vulnerabil în ianuarie 2017, moment în care poliția australiană administra serverul de trei luni. Eroarea asta avea de a face cu administratorii de la poliție sau existase dinainte?
Greu de zis. Când am găsit punctul vulnerabil, n-aveam nici cea mai vagă idee că în spatele site-ului era poliția. Trebuie să recunosc că am fost un pic surprins, dar nu excesiv. Greșeli de genul ăsta se petrec tot timpul.De fapt, am folosit aceleași metode ca să dau în vileag și alte două site-uri de pe dark net care aveau materiale cu abuz infantil. Unul dintre ele era Elysium, pe urma căruia pornise Biroul Federal al Poliției Penale din Germania în iunie. Le-am găsit adresele de IP cam în aceeași perioadă ca și pe cea a Childs Play.Le-ai transmis autorităților?
Nu. Peste o săptămână, am văzut pe Twitter că postase altcineva IP-ul Elysium, independent de mine.
Greu de zis. Când am găsit punctul vulnerabil, n-aveam nici cea mai vagă idee că în spatele site-ului era poliția. Trebuie să recunosc că am fost un pic surprins, dar nu excesiv. Greșeli de genul ăsta se petrec tot timpul.De fapt, am folosit aceleași metode ca să dau în vileag și alte două site-uri de pe dark net care aveau materiale cu abuz infantil. Unul dintre ele era Elysium, pe urma căruia pornise Biroul Federal al Poliției Penale din Germania în iunie. Le-am găsit adresele de IP cam în aceeași perioadă ca și pe cea a Childs Play.Le-ai transmis autorităților?
Nu. Peste o săptămână, am văzut pe Twitter că postase altcineva IP-ul Elysium, independent de mine.
Forumul Childs Play accesează un fișier foto de pe un site extern și astfel își dă în vileag adevărata adresă IP. Fotografie obținută prin amabilitatea lui Mathias Jørgensen / VG
Să ne întoarcem la Childs Play. Cum ai procedat mai departe? Adresele de IP te pot induce în eroare pe dark net, mai ales pentru că site-urile încearcă să-și ascundă adevărata localizare.
Așa. La scurt timp după, mi-am dat seama că adresa de IP aparținea unui server găzduit de compania Digital Pacific, cu sediul la Sydney. Am încercat trei abordări diferite, ca să aflu dacă chiar era o adresă reală de IP și nu doar un nod de exit de pe Tor, un VPN sau un server proxy.
Așa. La scurt timp după, mi-am dat seama că adresa de IP aparținea unui server găzduit de compania Digital Pacific, cu sediul la Sydney. Am încercat trei abordări diferite, ca să aflu dacă chiar era o adresă reală de IP și nu doar un nod de exit de pe Tor, un VPN sau un server proxy.
Publicitate
Vorbești despre cele trei metode comune de a ascunde o adresă IP ca să te dai anonim pe net: rețeaua Tor, care direcționează comunicarea de-a lungul mai multor noduri, o rețea virtuală privată (VPN), care înlocuiește adevăratul IP printr-o rețea virtuală, și un server proxy care servește ca punct în plus de intersecție dintre două servere.
Exact. Trebuia să scot din calcul aceste trei metode. Pentru primul test, mi-am închiriat propriul server prin Digital Pacific. Apoi am măsurat durata conexiunii dintre serverul Childs Play și serverul meu prin Digital Pacific. Când încarci un site prin rețeaua Tor, durează cel puțin 250 de milisecunde înainte ca cererea ta să ajungă la serverul site-ului și să afișeze conținutul site-ului pe browserul tău. Asta pentru că traficul prin rețeaua Tor trece prin mai multe noduri, ca să ascundă localizarea emițătorului și a receptorului. Dar timpul pe care l-am măsurat pentru stabilirea unei conexiuni a fost mai scurt. Părea că serverele sunt fix unul lângă celălalt, permițându-mi să scot din calcul prima metodă: IP-ul nu era un nod Tor.Și a doua metodă?
Pentru asta, a trebuit să testez dacă IP-ul aparține unui VPN sau unui server proxy, indiferent dacă serverul era subînchiriat altcuiva. Așa că am analizat valorile de TTL, care, în esență, îți arată prin câte opriri intermediare trece un pachet de date. În cazul ăsta, măsurătorile mele au dezvăluit că exista un număr de maximum două opriri și că era posibil ca serverul meu să comunice direct cu cel despre care bănuiam că e folosit de Childs Play.
Exact. Trebuia să scot din calcul aceste trei metode. Pentru primul test, mi-am închiriat propriul server prin Digital Pacific. Apoi am măsurat durata conexiunii dintre serverul Childs Play și serverul meu prin Digital Pacific. Când încarci un site prin rețeaua Tor, durează cel puțin 250 de milisecunde înainte ca cererea ta să ajungă la serverul site-ului și să afișeze conținutul site-ului pe browserul tău. Asta pentru că traficul prin rețeaua Tor trece prin mai multe noduri, ca să ascundă localizarea emițătorului și a receptorului. Dar timpul pe care l-am măsurat pentru stabilirea unei conexiuni a fost mai scurt. Părea că serverele sunt fix unul lângă celălalt, permițându-mi să scot din calcul prima metodă: IP-ul nu era un nod Tor.Și a doua metodă?
Pentru asta, a trebuit să testez dacă IP-ul aparține unui VPN sau unui server proxy, indiferent dacă serverul era subînchiriat altcuiva. Așa că am analizat valorile de TTL, care, în esență, îți arată prin câte opriri intermediare trece un pachet de date. În cazul ăsta, măsurătorile mele au dezvăluit că exista un număr de maximum două opriri și că era posibil ca serverul meu să comunice direct cu cel despre care bănuiam că e folosit de Childs Play.
Publicitate
Însă al treilea și ultimul pas a fost cel mai grăitor: am analizat dimensiunile pachetelor de date. Când mă conectam printr-un VPN, dimensiunile normale de pe o rețea locală de calculatoare depășeau unitatea maximă de transmisie prin VPN. Pe serverul Childs Play, am reușit să văd cum pachetele mai mari de date nu erau împărțite în fragmente mai mici - un indiciu clar că era o conexiune locală - ceea ce scotea din calcul un server VPN sau proxy. Știam că ăsta era IP-ul real al platformei.Unii presupun că dark net-ul e un spațiu sigur pentru scena de pornografie infantilă. Tu ți-ai petrecut ani întregi documentând scena, atât pe dark net, cât și pe internetul „normal”. Ce crezi despre asta?
Dark net-ul în general și în mod special Tor oferă o arenă în care oamenii ăștia sunt de zece sau de o sută de ori mai greu de găsit decât pe internetul normal. Pur și simplu trebuie să descarce browserul Tor. Dar materialele cu abuzuri infantile și răufăcători care aranjează întâlniri ca să abuzeze sexual copiii nu sunt probleme specifice dark web-ului. Chiar și internetul normal oferă cantități uriașe de astfel de conținut și chiar și acolo poliția are probleme. Munca mea anterioară despre oamenii care descarcă materiale cu abuzuri infantile mi-a dezvăluit că există o ofertă uriașă de materiale de acest gen pe internetul normal.
Dark net-ul în general și în mod special Tor oferă o arenă în care oamenii ăștia sunt de zece sau de o sută de ori mai greu de găsit decât pe internetul normal. Pur și simplu trebuie să descarce browserul Tor. Dar materialele cu abuzuri infantile și răufăcători care aranjează întâlniri ca să abuzeze sexual copiii nu sunt probleme specifice dark web-ului. Chiar și internetul normal oferă cantități uriașe de astfel de conținut și chiar și acolo poliția are probleme. Munca mea anterioară despre oamenii care descarcă materiale cu abuzuri infantile mi-a dezvăluit că există o ofertă uriașă de materiale de acest gen pe internetul normal.
Publicitate
Unde există astfel de conținut pe internetul „normal”?
Asta e partea tristă: pretutindeni. Pe YouTube, Pastebin, pe grupuri de Facebook, în discuții pe Reddit, pe Twitter. Și e doar la o distanță de o căutare pe Google. În timp ce mă documentam, am constatat că majoritatea utilizatorilor accesează astfel de conținut prin intermediul motoarelor de căutare. Asta se aplică cel puțin celor care sunt „doar” consumatori. Cu alte cuvinte: cei care nu produc sau distribuie. Din păcate, oamenii ăștia nu intră adeseori pe radarul polițiștilor, sunt pur și simplu prea mulți. Există zeci de mii de oameni activi în orice clipă și caută netul în lung și-n lat după așa ceva. E improbabil să fie prinși pentru un download.Atunci de ce oamenii ăștia se duc totuși pe site-uri de dark net cum ar fi Childs Play sau Elysium, când sunt relativ în siguranță pe internetul normal?
Din cauza disponibilității. Pe forumurile de dark net există mult mai multe materiale adunate într-un singur loc. În plus, e mai structurat și mai ușor să cauți prin el. Dar există o diferență de siguranță când plonjează din clear net în dark net: când un utilizator care nu se pricepe la tehnologie sau n-are nicio formă de securitate se hotărăște să se ducă pe dark net, automat intră într-un spațiu care e cel mai probabil monitorizat de poliție. Cu alte cuvinte, se duc dintr-un loc relativ sigur într-unul care e scanat de autorități și care e posibil să fi fost deja inflitrat.
Asta e partea tristă: pretutindeni. Pe YouTube, Pastebin, pe grupuri de Facebook, în discuții pe Reddit, pe Twitter. Și e doar la o distanță de o căutare pe Google. În timp ce mă documentam, am constatat că majoritatea utilizatorilor accesează astfel de conținut prin intermediul motoarelor de căutare. Asta se aplică cel puțin celor care sunt „doar” consumatori. Cu alte cuvinte: cei care nu produc sau distribuie. Din păcate, oamenii ăștia nu intră adeseori pe radarul polițiștilor, sunt pur și simplu prea mulți. Există zeci de mii de oameni activi în orice clipă și caută netul în lung și-n lat după așa ceva. E improbabil să fie prinși pentru un download.Atunci de ce oamenii ăștia se duc totuși pe site-uri de dark net cum ar fi Childs Play sau Elysium, când sunt relativ în siguranță pe internetul normal?
Din cauza disponibilității. Pe forumurile de dark net există mult mai multe materiale adunate într-un singur loc. În plus, e mai structurat și mai ușor să cauți prin el. Dar există o diferență de siguranță când plonjează din clear net în dark net: când un utilizator care nu se pricepe la tehnologie sau n-are nicio formă de securitate se hotărăște să se ducă pe dark net, automat intră într-un spațiu care e cel mai probabil monitorizat de poliție. Cu alte cuvinte, se duc dintr-un loc relativ sigur într-unul care e scanat de autorități și care e posibil să fi fost deja inflitrat.
Publicitate
Deci Tor-ul poate fi înțeles nu doar ca o unealtă pentru criminali, ci și ca un mijloc prin care organele de aplicare a legii pot să investigheze mai ușor cercurile criminale?
Clar se poate spune asta. Dar, după cum spuneam, asta nu prea se aplică decât utilizatorilor cu abilități tehnologice limitate, cum ar fi cei care-și folosesc vechile adrese de e-mail sau username-ul de pe internetul normal pentru conturile de pe dark net.Dar cei care se pricep mai bine firește că beneficiază mai mult de pe urma tehnologiei Tor. Dar chiar și ei stau în bătaia focului investigațiilor poliției. Majoritatea oamenilor fac, la un moment dat, o greșeală din neatenție care duce la dezvăluirea lor. De-asta, acum, foștii administratori ai Childs Play se află în spatele gratiilor. În cele din urmă, toate site-urile astea sunt condamnate să eșueze de la bun început. E doar o chestiune de timp până când cineva va inventa o tehnică inovatoare de investigații sau o să folosească o metodă care pătrunde prin zidurile tale fortificate și aia e. S-a zis cu tine.Cum a fost pentru tine când ai aflat că poliția australiană administra forumul Childs Play?
Mi-a fost greu să accept că ar putea fi adevărat. Mai ales când am aflat că înșiși polițiștii distribuiseră materiale abuzive, ca să nu pară suspicioși. Dar, dintr-o perspectivă tehnică, știam că nu prea există alte metode disponibile pentru investigarea eficientă a chestiilor de genul ăsta.Poliția a condus platforma de pornografie infantilă timp de 11 luni în total. Au minimizat criticile, susținând că de atâta timp au avut nevoie ca să-i investigheze pe răufăcători. În 2015, tu ai folosit alte metode pentru a da în vileag zeci de mii de utilizatori care procuraseră astfel de conținut de pe net. Cum evaluezi timpul petrecut cu metoda asta de investigație?
Justificarea celor 11 luni depinde de numărul de răufăcători pe care au reușit să-i bage după gratii. Dacă sunt doar zece, atunci aș zice că operațiunea a eșuat. Nu poți să uiți că s-au produs multe daune în timpul ăsta: s-au distribuit materiale, s-au făcut producții noi, iar răufăcătorii au plănuit să violeze copii.Și dacă poliția ar fi prins o sută sau două sute de oameni?
Ar fi un rezultat excelent. Dar s-ar putea să fi avut un rezultat mediocru, undeva între zece și o sută, iar poliția tot ar pretinde că și-au folosit cu cap timpul, pentru că au reușit să-și rafineze tehnicile de investigație pentru a-și face viitoarea operațiune și mai eficientă. E incredibil de dificil să echivalezi astfel de operațiuni.N-o să aflăm niciodată dacă poliția avea informațiile necesare pentru o arestare sau urmărire penală după doar cinci luni sau chiar două săptămâni. Ne trebuie o organizație independentă și, la modul ideal, internațională, care să poată reveni asupra procesului, să-l auditeze și să ajungă la concluziile corecte.Nu spun asta doar ca să critic poliția. O astfel de evaluare i-ar ajuta și pe ei să-și valideze și optimizeze independent metodele. Dar mă îndoiesc că se va întâmpla așa ceva. Polițiștilor adeseori nu le place să-și dea cărțile pe față.Articolul a apărut inițial pe VICE DE.