Ovaj tekst je prvobitno objavljen na Motherboard Nemačka.U oktobru je norveški haker Ejnar Oto Stangvik raskrinkao najveći i najpoznatiji dark veb portal za seksualno zlostavljanje dece uz pomoć mnogo strpljenja, kreativnih ideja i jednostavnog tehnološkog trika.Ali Stangvik i njegove kolege iz lista VG nisu mogli da veruju u ono što su otkrili u januaru ove godine: forum Childs Play, sa više od milion korisnika iz svih delova sveta, vodio je specijalni odred australijske policije.
Reklame
Australijski istražitelji su jedanaest meseci pratili dotičnu stranicu kako bi došli do informacija o počiniocima, žrtvama i korisnicima. Portal je ugašen tek pre nekoliko nedelja.To nije bilo prvi put da je Stangvik, koji je nekada radio kao ekspert za IT obezbeđenje u raznim norveškim kompanijama, morao da kopa po mračnijim ćoškovima veba kako bi ulovio finansijere i tvorce dečje pornografije. Još 2015. godine, on je napravio program koji je sam osmislio kako bi razotkrio 95.000 korisnika širom sveta koji su skidali fotografije i video snimke sa interneta.Od Stangvika smo lično želeli da saznamo: kako otkriti pedofile na dark netu? Da li je dark net zaista toliko gori od običnog interneta kad je u pitanju dečja pornografija? Da li je opravdano da se policajci jedanaest meseci pretvaraju da su administratori sajta za dečju pornografiju — ili postoje neke tehnološke alternative?
Haker Ejnar Oto Stangvik. Foto: Private
MOTHERBOARD: Uspeo si da raskrinkaš masovnu platformu za dečju pornografiju na dark netu. Kako si pristupio tom zadatku?
Ejnar Oto Stangvik: Proveli smo mesec dana razmenjujući ideje kako da napadnemo tu platformu. Nismo želeli da raskrinkamo samo one koji stoje iza samog sajta Childs Play, već i njegove korisnike: producente snimaka dečje pornografije, na primer, i ljude koji seksualno zlostavljaju decu. Tada sam pokušao da skinem sav tekst sa platforme kako bih ga klasifikovao, ali to nas na kraju nikud nije odvelo. Krajem 2016. godine morali smo nakratko da obustavimo istraživanje, zato što nismo mogli da nađemo efikasan način da hakujemo stranicu.
Ejnar Oto Stangvik: Proveli smo mesec dana razmenjujući ideje kako da napadnemo tu platformu. Nismo želeli da raskrinkamo samo one koji stoje iza samog sajta Childs Play, već i njegove korisnike: producente snimaka dečje pornografije, na primer, i ljude koji seksualno zlostavljaju decu. Tada sam pokušao da skinem sav tekst sa platforme kako bih ga klasifikovao, ali to nas na kraju nikud nije odvelo. Krajem 2016. godine morali smo nakratko da obustavimo istraživanje, zato što nismo mogli da nađemo efikasan način da hakujemo stranicu.
Reklame
Šta se dalje dešavalo?
Do pomaka je došlo početkom januara ove godine. Stigao sam u svoju kancelariju i shvatio da svemu moram da pristupim na jedan potpuno drugačiji način. I tako sam proveo čitav dan burlajući po izvornim kodovima MyBB-a — softverskog sistema koji koristi Childs Play. Tek sam tad naleteo na funkciju aplouda koja dozvoljava da postavite profilsku sliku na Childs Play. Bio sam zapanjen kad sam shvatio da tu funkciju Tor nije zaštitio. Zašto te je to otkriće toliko iznenadilo?
Zato što mi je to omogućilo da iskoristim najjeftiniji mogući trik. Zato što da biste razbili softver neke stranice, morate da nađete način da na nju aploudujete fajlove ili prokrijumčarite sopstveni kod. Praktično server prisiljavate da se poveže sa spoljnim svetom, otvarajući mu slabe tačke za napad. Većina softverskih programa to ne dopušta, zato što su napadi na server preko lokalnih fajlova najočigledniji ulaz. Zapravo sam očekivao da bi neka stranica sa dark neta — a naročito ona koja širi tako problematičan materijal — blokirala sve spoljne konekcije. Ili, u najmanju ruku, da bi koristili Tor mrežu za takvu vrstu konekcija.Dakle, aploudovanje slike bio je najjeftiniji mogući trik, ali je uradio posao?
Bio sam ispočetka skeptičan. To mi je izgledalo kao najgluplji način da se server natera da pokaže svoju IP adresu. Ali sam ga svakako isprobao. Na moje veliko iznenađenje, dobio sam nazad IP.
Do pomaka je došlo početkom januara ove godine. Stigao sam u svoju kancelariju i shvatio da svemu moram da pristupim na jedan potpuno drugačiji način. I tako sam proveo čitav dan burlajući po izvornim kodovima MyBB-a — softverskog sistema koji koristi Childs Play. Tek sam tad naleteo na funkciju aplouda koja dozvoljava da postavite profilsku sliku na Childs Play. Bio sam zapanjen kad sam shvatio da tu funkciju Tor nije zaštitio. Zašto te je to otkriće toliko iznenadilo?
Zato što mi je to omogućilo da iskoristim najjeftiniji mogući trik. Zato što da biste razbili softver neke stranice, morate da nađete način da na nju aploudujete fajlove ili prokrijumčarite sopstveni kod. Praktično server prisiljavate da se poveže sa spoljnim svetom, otvarajući mu slabe tačke za napad. Većina softverskih programa to ne dopušta, zato što su napadi na server preko lokalnih fajlova najočigledniji ulaz. Zapravo sam očekivao da bi neka stranica sa dark neta — a naročito ona koja širi tako problematičan materijal — blokirala sve spoljne konekcije. Ili, u najmanju ruku, da bi koristili Tor mrežu za takvu vrstu konekcija.Dakle, aploudovanje slike bio je najjeftiniji mogući trik, ali je uradio posao?
Bio sam ispočetka skeptičan. To mi je izgledalo kao najgluplji način da se server natera da pokaže svoju IP adresu. Ali sam ga svakako isprobao. Na moje veliko iznenađenje, dobio sam nazad IP.
Reklame
Slabu tačku otkrio si u januaru 2017. godine, kada je australijska policija taj sajt vodila već tri meseca. Da li je greška imala veze sa administratorima policije ili je postojala odranije?
Teško je reći. Kad sam otkrio slabu tačku, nisam imao blagog pojma da iza sajta stoji policija. Kad sam je otkrio, moram da kažem da sam bio pomalo iznenađen, ali ne preterano. Greške kao što je ta dešavaju se sve vreme.Štaviše, istom metodom sam se služio da raskrinkam dve druge stranice za dečju pornografiju na dark netu. Jedna je bila Elysium, na koji je u junu nebasala Federalna kriminalistička policija Nemačke. Pronašao sam njihove IP adrese otprilike u isto vreme kada i onu koja je pripadala stranici Childs Play.Da li si ih predao vlastima?
Nisam. Nedelju dana kasnije na Tviteru sam video da je neko drugi objavio IP adresu za Elysium nezavisno od mene.
Teško je reći. Kad sam otkrio slabu tačku, nisam imao blagog pojma da iza sajta stoji policija. Kad sam je otkrio, moram da kažem da sam bio pomalo iznenađen, ali ne preterano. Greške kao što je ta dešavaju se sve vreme.Štaviše, istom metodom sam se služio da raskrinkam dve druge stranice za dečju pornografiju na dark netu. Jedna je bila Elysium, na koji je u junu nebasala Federalna kriminalistička policija Nemačke. Pronašao sam njihove IP adrese otprilike u isto vreme kada i onu koja je pripadala stranici Childs Play.Da li si ih predao vlastima?
Nisam. Nedelju dana kasnije na Tviteru sam video da je neko drugi objavio IP adresu za Elysium nezavisno od mene.
Forum Childs Play pristupa foto fajlu sa spoljnjeg sajta — i tako otkriva svoju pravu IP adresu. Fotografija posredstvom Mathias Jørgensen / VG
Da se vratimo stranici Childs Play . Šta si onda uradio? IP adrese na dark netu mogu da odvedu na krivi trag, naročito budući da se stranice trude da sakriju svoje prave lokacije.
Tako je. Nedugo zatim, shvatio sam da IP adrese pripadaju serveru koji hostuje kompanija Digital Pacific iz Sidneja. Isprobao sam tri različita pristupa da otkrijem da li se uopšte radi o pravoj IP adresi a ne samo o Torovom izlaznom nodu, VPN-u ili proksi serveru.Govoriš o tri najuobičajenija metoda za skrivanje IP adrese kako bi se anonimno surfovalo netom: Tor mreža, koja komunikaciju usmerava preko više nodova; virtuelna privatna mreža (VPN), koja pravu IP adresu zamenjuje preko virtuelne mreže; i proksi server, koji služi kao dodatna tačka ukrštanja između dva servera.
Tačno tako. Morao sam da isključim mogućnost ova tri različita metoda. Za prvi test, iznajmio sam sopstveni server preko Digital Pacific-a. Potom sam izmerio trajanje konekcije između servera za Childs Play i mog sopstvenog servera preko Digital Pacific-a. Kad učitavate stranicu preko Tor mreže, treba vam najmanje 250 milisekundi pre nego što vaš upit stigne do servera stranice i prikaže sadržaj stranice u vašem pretraživaču. To je zato što saobraćaj preko Tor mreže putuje preko više nodova da bi prikrio lokaciju pošaljioca i primaoca. Ali vreme koje sam izmerio za uspostavljanje konekcije bilo je kraće. Izgledalo je kao da su serveri jedan do drugog, što mi je omogućilo da eliminišem prvi metod: IP adresa nije bila Torov nod.
Tako je. Nedugo zatim, shvatio sam da IP adrese pripadaju serveru koji hostuje kompanija Digital Pacific iz Sidneja. Isprobao sam tri različita pristupa da otkrijem da li se uopšte radi o pravoj IP adresi a ne samo o Torovom izlaznom nodu, VPN-u ili proksi serveru.Govoriš o tri najuobičajenija metoda za skrivanje IP adrese kako bi se anonimno surfovalo netom: Tor mreža, koja komunikaciju usmerava preko više nodova; virtuelna privatna mreža (VPN), koja pravu IP adresu zamenjuje preko virtuelne mreže; i proksi server, koji služi kao dodatna tačka ukrštanja između dva servera.
Tačno tako. Morao sam da isključim mogućnost ova tri različita metoda. Za prvi test, iznajmio sam sopstveni server preko Digital Pacific-a. Potom sam izmerio trajanje konekcije između servera za Childs Play i mog sopstvenog servera preko Digital Pacific-a. Kad učitavate stranicu preko Tor mreže, treba vam najmanje 250 milisekundi pre nego što vaš upit stigne do servera stranice i prikaže sadržaj stranice u vašem pretraživaču. To je zato što saobraćaj preko Tor mreže putuje preko više nodova da bi prikrio lokaciju pošaljioca i primaoca. Ali vreme koje sam izmerio za uspostavljanje konekcije bilo je kraće. Izgledalo je kao da su serveri jedan do drugog, što mi je omogućilo da eliminišem prvi metod: IP adresa nije bila Torov nod.
Reklame
A drugi metod?
Za to sam morao da testiram da li IP pripada VPN-u ili proksi serveru, ili je možda server iznajmljen nekome. Zato sam analizirao vrednosti "vremena života", koje u suštini pokazuju kroz koliko posredničkih stanki prolazi paket podataka. U ovom slučaju, moja merenja su pokazala da postoji maksimum dve posredničke stanke i da je moguće da moj server komunicira direktno sa serverom koji sam sumnjao da koristi Childs Play.Treći i poslednji korak, međutim, otkrio mi je najviše toga: analizirao sam veličine paketa sa podacima. Kad si konektovan preko VPN-a, normalne veličine na lokalnoj kompjuterskoj mreži prelaze maksimalnu jedinicu prenosa preko VPN-a. Na serveru za Childs Play, mogao sam da vidim kako su veći paketi podeljeni u manje fragmente — jasan pokazatelj lokalne internet konekcije — što je eliminisalo VPN ili proksi server. Tada sam znao da je to prava IP adresa platforme za dečju pornografiju.
Za to sam morao da testiram da li IP pripada VPN-u ili proksi serveru, ili je možda server iznajmljen nekome. Zato sam analizirao vrednosti "vremena života", koje u suštini pokazuju kroz koliko posredničkih stanki prolazi paket podataka. U ovom slučaju, moja merenja su pokazala da postoji maksimum dve posredničke stanke i da je moguće da moj server komunicira direktno sa serverom koji sam sumnjao da koristi Childs Play.Treći i poslednji korak, međutim, otkrio mi je najviše toga: analizirao sam veličine paketa sa podacima. Kad si konektovan preko VPN-a, normalne veličine na lokalnoj kompjuterskoj mreži prelaze maksimalnu jedinicu prenosa preko VPN-a. Na serveru za Childs Play, mogao sam da vidim kako su veći paketi podeljeni u manje fragmente — jasan pokazatelj lokalne internet konekcije — što je eliminisalo VPN ili proksi server. Tada sam znao da je to prava IP adresa platforme za dečju pornografiju.
Neki ljudi pretpostavljaju da je dark net sigurno utočište za svet dečje pornografije. Ti si godinama istraživao tu scenu, i na dark netu i na "normalnom" internetu. Šta ti misliš o tome?Dark net uopšte i Tor konkretno zaista omogućuju ovim ljudima da budu deset puta ili sto puta teže otkriveni nego na normalnom internetu. Prosto samo treba da skinu Torov pretraživač. Ali materijal sa dečjom pornografijom i počinioci koji ugovaraju sastanke za seksualno zlostavljanje dece nisu problemi koji su specifični samo za dark net. Čak i na normalnom internetu postoji velik izbor ovakve vrste materijala, a čak i tamo policija ima poteškoća. Moj prethodni rad na ljudima koji skidaju dečju pornografiju pokazao je da postoji ogroman izbor materijala sa seksualnim zlostavljanjem i na normalnom Internetu."Dečja pornografija nije problem koji je specifičan samo za dark net. Čak i na normalnom internetu postoji velik izbor ovakve vrste materijala — i udaljeni ste od toga samo jednu pretragu na Guglu."
Reklame
Gde se takav sadržaj nalazi na "normalnom" internetu?
E, to je najtužnije od svega: svuda. Na Jutjubu, Pastebin-u, u Fejsbuk grupama, u diskusijama na Reddit-u, na Tviteru. I udaljeni ste od njega samo jednu pretragu na Guglu. Dok sam radio svoje istraživanje, otkrio sam da većina korisnika dečje pornografije tom sadržaju pristupa preko pretraga. To važi makar za one ljude koji su "samo" korisnici. Drugim rečima: one koji ne stvaraju ili distribuiraju sadržaj. Nažalost, ti ljudi često nestanu sa radara istražitelja — prosto ih ima previše. Imate na desetine hiljada ljudi aktivnih u svakom trenutku koji tako nešto traže na internetu. Malo je verovatno da će biti uhvaćeni samo zato što to skidaju.Zašto onda ti ljudi uopšte i dalje odlaze na stranice na dark netu kao što su Childs Play ili Elysium kada su relativno bezbedni na normalnom netu?
Zbog dostupnosti. Na dark net forumima ima mnogo više materijala sakupljenog na jednom mestu. Plus, bolje su klasifikovani i lakše ih je pretraživati. Ali postoji razlika po pitanju bezbednosti kad pređu sa običnog neta na dark net: kad korisnik koji nije vičan tehnologiji ili koji nema nikakav oblik obuke iz bezbednosti odluči da ode na dark net, on automatski ulazi u krug koji najverovatnije nadgleda policija. Drugim rečima, prelazi sa mesta koje je relativno bezbedno na mesto koje vlasti nadgledaju i koje je verovatno već infiltrirano.
E, to je najtužnije od svega: svuda. Na Jutjubu, Pastebin-u, u Fejsbuk grupama, u diskusijama na Reddit-u, na Tviteru. I udaljeni ste od njega samo jednu pretragu na Guglu. Dok sam radio svoje istraživanje, otkrio sam da većina korisnika dečje pornografije tom sadržaju pristupa preko pretraga. To važi makar za one ljude koji su "samo" korisnici. Drugim rečima: one koji ne stvaraju ili distribuiraju sadržaj. Nažalost, ti ljudi često nestanu sa radara istražitelja — prosto ih ima previše. Imate na desetine hiljada ljudi aktivnih u svakom trenutku koji tako nešto traže na internetu. Malo je verovatno da će biti uhvaćeni samo zato što to skidaju.Zašto onda ti ljudi uopšte i dalje odlaze na stranice na dark netu kao što su Childs Play ili Elysium kada su relativno bezbedni na normalnom netu?
Zbog dostupnosti. Na dark net forumima ima mnogo više materijala sakupljenog na jednom mestu. Plus, bolje su klasifikovani i lakše ih je pretraživati. Ali postoji razlika po pitanju bezbednosti kad pređu sa običnog neta na dark net: kad korisnik koji nije vičan tehnologiji ili koji nema nikakav oblik obuke iz bezbednosti odluči da ode na dark net, on automatski ulazi u krug koji najverovatnije nadgleda policija. Drugim rečima, prelazi sa mesta koje je relativno bezbedno na mesto koje vlasti nadgledaju i koje je verovatno već infiltrirano.
"Čovek ne sme da zaboravi da je mnogo štete načinjeno tokom tog perioda: materijal je deljen, rađene su nove produkcije i počinioci su organizovali silovanje dece."
Reklame
Dakle, Tor može da se shvati ne samo kao alatka za kriminalce, već i kao način za snage reda i mira da efikasnije istraže kriminalne krugove?
Definitivno možete to da kažete. Ali kao što sam rekao, to važi samo za korisnike koji imaju ograničene tehnološke sposobnosti, kao oni koji koriste svoje stare mejl adrese ili nadimke sa normalnog interneta za svoje naloge na dark netu.Ali oni koji su vičniji kompjuterima naravno da imaju više koristi od Torove tehnologije. Ali čak i oni će se naći na nišanu policijskih istraga. Većina ljudi u nekom trenutku bude nepažljivo i napravi neku grešku koja ih izvuče na otvoreno. Zato su sada administratori Childs Play-a iza rešetaka. Kad se sve sabere i oduzme, svi ti sajtovi su od samog starta osuđeni na propast. Samo je pitanje vremena pre nego što neko smisli neku inovativnu istražnu tehniku ili iskoristi neku rupu da se probije kroz utvrde — i to je to. Gotovi ste.Kako si se osećao kad si otkrio da australijska policija vodi forum Childs Play ?
Bilo mi je teško da prihvatim da je tako nešto moguće. Naročito kad sam saznao da je sama policija delila problematičan materijal da ne bi delovala sumnjivo. Ali sa tehnološkog stanovišta, znam da gotovo nema drugog dostupnog metoda za efikasnu istragu ovako nečega.Policija je upravljala platformom za dečju pornografiju čitavih 11 meseci. Na kritike su odgovorili objašnjenjem da je toliko bilo neophodno da se istraže počinioci. Ti si 2015. godine koristio druge metode da razotkriješ desetine hiljada korisnika koji su do takvih sadržaja dolazili preko interneta. Šta je tvoja procena vremena utrošenog na ovaj istražiteljski metod?
Da li je jedanaest meseci opravdan period ili nije zaista zavisi od toga koliko počinilaca su uspeli da strpaju iza rešetaka. Ako ih je bilo samo deset, rekao bih da je operacija bila neuspešna. Čovek ne sme da zaboravi da je mnogo štete načinjeno tokom tog perioda: materijal je deljen, rađene su nove produkcije i počinioci su organizovali silovanje dece.
Definitivno možete to da kažete. Ali kao što sam rekao, to važi samo za korisnike koji imaju ograničene tehnološke sposobnosti, kao oni koji koriste svoje stare mejl adrese ili nadimke sa normalnog interneta za svoje naloge na dark netu.Ali oni koji su vičniji kompjuterima naravno da imaju više koristi od Torove tehnologije. Ali čak i oni će se naći na nišanu policijskih istraga. Većina ljudi u nekom trenutku bude nepažljivo i napravi neku grešku koja ih izvuče na otvoreno. Zato su sada administratori Childs Play-a iza rešetaka. Kad se sve sabere i oduzme, svi ti sajtovi su od samog starta osuđeni na propast. Samo je pitanje vremena pre nego što neko smisli neku inovativnu istražnu tehniku ili iskoristi neku rupu da se probije kroz utvrde — i to je to. Gotovi ste.Kako si se osećao kad si otkrio da australijska policija vodi forum Childs Play ?
Bilo mi je teško da prihvatim da je tako nešto moguće. Naročito kad sam saznao da je sama policija delila problematičan materijal da ne bi delovala sumnjivo. Ali sa tehnološkog stanovišta, znam da gotovo nema drugog dostupnog metoda za efikasnu istragu ovako nečega.Policija je upravljala platformom za dečju pornografiju čitavih 11 meseci. Na kritike su odgovorili objašnjenjem da je toliko bilo neophodno da se istraže počinioci. Ti si 2015. godine koristio druge metode da razotkriješ desetine hiljada korisnika koji su do takvih sadržaja dolazili preko interneta. Šta je tvoja procena vremena utrošenog na ovaj istražiteljski metod?
Da li je jedanaest meseci opravdan period ili nije zaista zavisi od toga koliko počinilaca su uspeli da strpaju iza rešetaka. Ako ih je bilo samo deset, rekao bih da je operacija bila neuspešna. Čovek ne sme da zaboravi da je mnogo štete načinjeno tokom tog perioda: materijal je deljen, rađene su nove produkcije i počinioci su organizovali silovanje dece.
Reklame
A ako je policija uhvatila 100 ili 200 ljudi?
To bi bio sjajan rezultat. Ali mogli bi da imaju prosečan učinak, između 10 i 100 počinilaca, a da policija i dalje tvrdi da je iskoristila to vreme korisno, zato što su uspeli da izbruse svoje istražiteljske tehnike kako bi njihova sledeća operacija bila još uspešnija. Veoma je teško naslikati operaciju širokim potezima četkice.Nikad nećemo saznati da li je policija već imala informacije neophodne za hapšenje ili krivičnog gonjenje posle samo pet meseci ili čak dve nedelje. Bila bi nam potrebna nezavisna, i u idealnom slučaju, međunarodna organizacija koja bi mogla da se vrati, uradi reviziju procesa i donese pravilne zaključke.Ne kažem to samo da bih kritikovao policiju. Takva procena bi im pomogla i da nezavisno potvrde i optimizuju svoje metode. Ali sumnjam da će se to dogoditi. Policija najčešće prosto ne voli da otkriva svoje karte.JOŠ NA VICE.COM:Znam da zvuči ludo, ali molim vas da pokrijete kameru na kompjuteruOvaj tip već 20 godina hakuje onlajn igreUpoznajte momka koji je zaustavio globalni hakerski napad
To bi bio sjajan rezultat. Ali mogli bi da imaju prosečan učinak, između 10 i 100 počinilaca, a da policija i dalje tvrdi da je iskoristila to vreme korisno, zato što su uspeli da izbruse svoje istražiteljske tehnike kako bi njihova sledeća operacija bila još uspešnija. Veoma je teško naslikati operaciju širokim potezima četkice.Nikad nećemo saznati da li je policija već imala informacije neophodne za hapšenje ili krivičnog gonjenje posle samo pet meseci ili čak dve nedelje. Bila bi nam potrebna nezavisna, i u idealnom slučaju, međunarodna organizacija koja bi mogla da se vrati, uradi reviziju procesa i donese pravilne zaključke.Ne kažem to samo da bih kritikovao policiju. Takva procena bi im pomogla i da nezavisno potvrde i optimizuju svoje metode. Ali sumnjam da će se to dogoditi. Policija najčešće prosto ne voli da otkriva svoje karte.JOŠ NA VICE.COM:Znam da zvuči ludo, ali molim vas da pokrijete kameru na kompjuteruOvaj tip već 20 godina hakuje onlajn igreUpoznajte momka koji je zaustavio globalni hakerski napad