Die größte Kinderporno-Plattform im Darknet wurde enttarnt – betrieben wurde sie von der Polizei

Wie ein Hacker es schaffte, durch einen technischen Kniff eine elf Monate laufende Operation gegen eine Kinderporno-Seite mit rund 1.052.000 Accounts aufzudecken.

|
Okt. 11 2017, 7:50am

Bild: Krister Sørbø, Screenshot VG / Mit freundlicher Genehmigung

Der einfache Upload eines Fotos reichte, und die Spur zur Enttarnung der wohl größten Kinderporno-Plattform im Darknet war gelegt. Am Ende schaffte es der IT-Experte der norwegischen Tageszeitung Verdens Gang (VG) nicht nur, den Server des versteckten Forums ausfindig zu machen. Auch eine weitere Entdeckung haben er und sein Reporterteam gemacht, die sie wohl selbst nicht für möglich gehalten hatten: Die Betreiber hinter der stark frequentierten Kinderpornografie-Seite Childs Play sind Ermittler der australischen Polizei.

Wie die VG in einem großen englischsprachigen Artikel am Wochenende enthüllte, haben australische Cyberermittler über 11 Monate lang die Seite Childs Play am Laufen gehalten, die zu den populärsten und mitgliederstärksten Kinderporno-Foren im Darknet zählte. Der australischen Spezialeinheit "Argos Task Force" ist es im Oktober 2016 gelungen, den Admin-Account des Childs Play-Forums zu ergattern, den Mann dahinter festzunehmen und das Konto selbst zu kontrollieren. Beinahe ein Jahr lang konnten die Ermittler so Informationen über Täter, Opfer und Nutzer sammeln, bis sie vor wenigen Wochen das Kinderporno-Portal abschalteten.

Unter der Aufsicht der Polizisten hatten tausende Mitglieder des Forums Bilder und Videos geteilt, die sexuellen Kindesmissbrauch dokumentierten, schreibt die VG. Auch hätten sich in dieser Zeit Mitglieder persönlich getroffen, um gemeinsam ein Kind zu vergewaltigen und entsprechendes Filmmaterial mit dem Forum zu teilen. Laut VG wies die Task Force jedoch eine Teilverantwortung für die Taten, die während ihrer Admin-Zeit geschahen, zurück.

"Wir gründen diese Seiten nicht, wir wollen nicht, dass sie existieren. Wenn wir sie finden, infiltrieren wir sie und versuchen, so weit in die Führungsriege des Netzwerks aufzusteigen wie möglich. Dann zerstören wir sie", zitiert das Blatt zwei Ermittler der Task Force.

Einige der großen Kinderporno-Plattformen im Darknet, die mittlerweile abgeschaltet wurden. Bild: Tore Kristiansen / VG. Mit freundlicher Genehmigung.

Wie kam die Zeitung den Polizisten auf die Spur?

Am Anfang stand eine Recherche der Zeitung über eine neue große Kinderporno-Seite im Darknet namens Childs Play, die im Juni 2016 das Licht der Welt erblickte. Im Bemühen, die Server und möglicherweise die Betreiber ausfindig zu machen, setzten sie den IT-Experten der Zeitung, Stangvik, auf die Seite an. Und tatsächlich fand das Team die Betreiber – und zwar noch, bevor die Operation der Ermittler abgeschlossen war. Die enttarnten Polizisten erbaten sich Zeit, so dass die VG-Geschichte erst am vergangenen Samstag nach der Plattform-Abschaltung veröffentlicht wurde.

So ging der Hacker vor: Um seinen Account auf Childs Play mit einem Profilbild zu verschönern, erlaubte das Forum den Upload von Bildern. Bei Angabe einer Bild-URL durch den Nutzer holte sich das Childs Play-Forum die Bilddateien direkt von einer externen Website, die etwa vom Nutzer selbst kontrolliert wurde. Hier entdeckte Stangvik die Schwachstelle: Anstatt sich die Bilddatei von Stangviks präparierter Website via Tor-Netzwerk zu holen, also mit verschleierter IP-Adresse, schickte der Childs-Play-Server seine Anfrage mit seiner realen IP-Adresse und verriet so seinen Standort – bei der Providerfirma Digital Pacific mit Sitz in Sydney, Australien.

Das Childs Play-Forum besorgt sich von einer externen Webseite eine Bilddatei – und legt ihre echte IP-Adresse offen. Bild: Mathias Jørgensen / VG. Mit freundlicher Genehmigung.

Doch das wusste Stangvik zu diesem Zeitpunkt noch nicht: Denn die IP-Adresse sagt erstmal wenig aus. Auch der Tor-Browser schickt beim Ansteuern einer beliebigen Webseite sichtbar eine IP-Adresse mit – nur eben nicht die des Ausgangspunkts, sondern eines seiner Knotenpunkte. Die IP-Adresse hätte genauso gut von einem Virtual Private Network (VPN) oder einem Proxy-Server stammen können – beides populäre Werkzeuge, um eine "falsche" IP-Adresse zu simulieren, die die tatsächlichen Quelle maskiert.

Die geographische Verschleierung der IP-Adressen von Servern und Nutzern ist eine der Hauptzwecke des Tor-Netzwerks. Entsprechend schwierig ist es, an die realen IP-Adressen im Darknet zu gelangen. Stangvik improvisierte daher mit verschiedenen technischen Methoden, um die IP-Adressen zu verifizieren: Er mietete sich einen virtuellen Server bei der Firma Digital Pacific und maß die Verbindungsdauer zwischen dem Childs Play- und seinem frisch angemieteten Server. Das Ergebnis: beide Server mussten in geographischer Nähe stehen, wenn nicht sogar im gleichen Raum. Auch eine Analyse der Datenpaket-Größe ließ den Schluss zu: Die IP-Adresse ist korrekt – und sie gehört einem Server von Digital Pacific in Sydney.

Sitz des Kinderporno-Servers: Sydney

Als die reale IP-Adresse des Servers verifiziert war, flog ein Reporterteam nach Sydney, um den Betreiber des Hosting-Services Digital Pacific zu treffen. Mit seiner Hilfe fanden sie heraus, wer den Serverplatz gemietet hat, und stellten zu ihrem Erstaunen fest: Es ist die "Argos Task Force", einer Spezialeinheit der australischen Polizei. Die wohl größte Kinderporno-Seite im Darknet war also ein "Honeypot" – eine Falle, gestellt von Ermittlern, um Informationen über Sexualstraftäter zu sammeln.

Als die Reporter nach Brisbane flogen, um die zwei Polizisten zu fragen, warum sie eine der größten Kinderporno-Plattform des Darknets betreiben, schienen beide wie vor den Kopf gestoßen: "Jon, der Australier, wurde blass. Paul, der britisch ist, lief rot an", beschreiben die VG-Reporter den Moment, als sie die Cyberpolizisten auf ihre Recherchen ansprachen. Unter der Bedingung, dass die Zeitung ihre Artikel nicht vor Abschluss der Ermittlungen veröffentlichen würde, begannen die Polizisten zu erzählen.

Es stellte sich heraus, dass die "Argos Task Force" die Website seit Oktober 2016 betrieb. Zuvor war der kanadische Administrator der Website, im Netz bekannt als "WarHead", im US-Bundesstaat Virginia verhaftet worden. Der mittlerweile verurteilte Sexualstraftäter hatte in einem Technikforum um Hilfe bei einem Programmierproblem gefragt und einen Screenshot seiner Webseite hochgeladen, der letztlich zu seiner Identifizierung führte.

Die Ermittler sollen bei Childs Play nicht nur beobachtet und Informationen gesammelt haben, sondern teilweise sogar Missbrauchsbilder geteilt haben.

Zwei vorverurteilte Männer aus Kanada und den USA unter den Namen "WarHead" und "CrazyMonk" sollen so für eine Zeitlang die Anführer zwei der größten Darknet-Plattformen für Kindesmissbrauch gewesen sein: Childs Play hatte zu Hochzeiten über eine Million registrierte Nutzer, Giftbox um die 45.000. Beide kannten sich auch persönlich und hatten sich getroffen, um ein vierjähriges Mädchen zu vergewaltigen. Einer dieser Treffen führte die Ermittler letztlich über Umwege zum Erfolg und zur Verhaftung der beiden.

Laut VG habe es nicht lange gedauert, bis Benjamin F. alias "WarHead" nach seiner Festnahme Nutzernamen, Passwörter und Geheimschlüssel der Missbrauchs-Foren ausplauderte, die wenig später an die australischen Ermittler tausende Kilometer entfernt übermittelt wurden. Mit den Passwörtern konnte die Argos Task Force das Childs Play-Forum für ein knappes Jahr übernehmen. Laut VG sollen die Ermittler dabei nicht nur beobachtet und Informationen gesammelt haben, sondern teilweise sogar Missbrauchsbilder geteilt haben, so die VG-Reporter.

"WarHead" und "CrazyMonk" – zwei Führungsfiguren der digitalen Missbrauchs-Community. Bild: Screenshot VG.

Zwei vorverurteilte Männer aus Kanada und den USA unter den Namen "WarHead" und "CrazyMonk" sollen so für eine Zeitlang die Anführer zwei der größten Darknet-Plattformen für Kindesmissbrauch gewesen sein: Childs Play hatte zu Hochzeiten über eine Million registrierte Nutzer, Giftbox um die 45.000. Beide kannten sich auch persönlich und hatten sich getroffen, um ein vierjähriges Mädchen zu vergewaltigen. Einer dieser Treffen führte die Ermittler letztlich über Umwege zum Erfolg und zur Verhaftung der beiden.

Laut VG habe es nicht lange gedauert, bis Benjamin F. alias "WarHead" nach seiner Festnahme Nutzernamen, Passwörter und Geheimschlüssel beider Missbrauchs-Forums ausplauderte, die wenig später an die australischen Ermittler tausende Kilometer entfernt übermittelt wurden. Mit den Passwörtern konnte die Argos Task Force das Childs Play-Forum für ein knappes Jahr übernehmen. Laut VG sollen die Ermittler dabei nicht nur beobachtet und Informationen gesammelt haben, sondern teilweise sogar Missbrauchsbilder geteilt haben, so die VG-Reporter.

White-Hat-Hacker Einar Otto Stangvik kam der Pädophilen-Seite auf die Spur. Foto: privat.

Nach der Abschaltung: Millionen von Daten bei der Polizei

Die Polizisten rechtfertigten ihre ungewöhnliche und ethisch zumindest fragwürdige Maßnahme mit dem enormen Erfolg: Im Laufe der 11 Monate, in denen sie die Kontrolle über das Pädophilen-Board hatten, konnten sie die Daten von mehr als einer Millionen Nutzerkonten abgreifen. Auch wenn laut Argos Task Force die tatsächliche Nutzerzahl "nur" bei mehreren Zehntausenden liege und es sich beim Rest um Duplikate oder nicht mehr aktiven Konten handelte: Die Informationen seien entscheidend dafür gewesen, dass Kinder gerettet und Täter verhaftet werden konnten, verteidigen sich die Polizisten. Um die 100 von ihnen seien als "Produzenten" kinderpornographischen Materials bekannt gewesen.

Die heiklen Daten der Argos Task Force gehen laut VG derzeit an Dienststellen auf der ganzen Welt. Ein Dutzend Staaten seien bereits in die Ermittlungen eingebunden. Einer der beiden Task-Force-Polizisten sagte gegenüber der Zeitung, er verfüge über eine Liste von 60 bis 90 Personen weltweit, die seine Hauptziele seien. Wer ins Visier von Fahndern gerät, scheint jedoch abhängig vom jeweiligen Land zu sein: So sollen Ermittler eines anderen Staates, der im Artikel nicht näher benannt wird, eine Verdächtigen-Liste von fast 900 Personen führen.

Mehr als ein Dutzend Kinder sollen von der kanadischen Polizei gerettet worden sein, heißt es in dem Bericht.

Die beiden Täter Benjamin F. und Patrick F. wurden wegen Vergewaltigung eines vierjährigen Mädchens zu lebenslänglicher Haft verurteilt. Ihre Rolle als mutmaßliche Betreiber der beiden Darknet-Plattformen Childs Play und Giftbox soll bald vor Gericht geklärt werden