Quantcast
Der Hacker Einar Otto Stangvik. Bild: privat.

Der Hacker, der die größte Kinderporno-Plattform im Darknet auffliegen ließ

Daniel Mützel

Einar Otto Stangvik spricht mit uns über Kinderpornografie im Internet, selbst entwickelte Angriffs-Tools, Polizisten, die Missbrauchsseiten betreiben – und warum er die besten Einfälle beim Träumen hat.

Der Hacker Einar Otto Stangvik. Bild: privat.

Auf die Lösungen kam er beim Duschen und im Traum: Der norwegische Hacker Einar Otto Stangvik hat mit viel Geduld, kreativen Ideen und einem einfachen technischen Trick das größte bekannte Darknet-Portal für den sexuellen Missbrauch von Kindern enttarnt. Was der 35-jährige Stangvik und seine Kollegen von der norwegischen Tageszeitung VG diesen Januar entdeckten, konnten sie zunächst kaum glauben: Das Forum Childs Play, das über eine Millionen Nutzer weltweit zählte, wurde von einer Spezialeinheit der australischen Polizei betrieben.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Elf Monate lang hatten australische Ermittler die Seite kontrolliert, um Informationen über Täter, Opfer und Nutzer zu sammeln. Vor wenigen Wochen wurde das Portal dann abgeschaltet.

Wir wollten von Stangvik wissen: Wie kommt man Pädophilen im Darknet auf die Spur?

Stangvik, der früher als IT-Sicherheitsexperte norwegische Firmen beriet, recherchierte nicht zum ersten Mal in den dunkelsten Ecken im Netz, um die Hintermänner von Kinderpornographie und Missbrauchstäter zu jagen. Bereits 2015 enttarnte er mit einem selbst geschriebenen Programm 95.000 Nutzer weltweit, die sich kinderpornographische Bilder und Videos im Netz heruntergeladen hatten. 13.360 IP-Adressen kamen dabei aus Deutschland. Nur aus den USA gab es mehr Suchanfragen.

Wir wollten von Stangvik wissen: Wie kommt man Pädophilen im Darknet auf die Spur? Ist das Darknet beim Thema Kinderpornographie wirklich schlimmer als das Clearnet? Ist es gerechtfertigt, dass sich Polizisten elf Monate lang als Kinderporno-Admins ausgeben – oder gibt es technische Alternativen?

Der Hacker Einar Otto Stangvik. Bild: privat.

Motherboard: Du hast es geschafft, eine riesige Kinderporno-Plattform im Darknet zu enttarnen. Wie bist du diese Mammutaufgabe angegangen?

Einar Otto Stangvik: Über einen Monat haben wir überlegt, wie wir die Plattform angreifen können. Wir wollten nicht nur die Hintermänner von Childs Play aufdecken, sondern auch die Nutzer: Produzenten kinderpornographischer Videos zum Beispiel und Leute, die Kinder missbrauchen. Ich habe zunächst versucht, den gesamten Text der Plattform mit einem Programm herunterzuladen und zu klassifizieren, aber das war letztlich eine Sackgasse. Ende 2016 mussten wir die Recherche eine Weile liegen lassen, weil wir keinen Weg fanden, die Seite zu knacken.

Wie ging es dann weiter?

Es war Anfang Januar dieses Jahres. Ich kam früh ins Büro, und mir wurde klar, dass ich die Sache vollkommen anders angehen musste. Also verbrachte ich den ganzen Tag damit, mich durch den Quellcode von MyBB zu wühlen, dem Softwaresystem von Childs Play. Erst dort bin ich über die Upload-Funktion gestolpert, mit der man sein Profilbild bei Childs Play einstellen kann. Ich stellte verblüfft fest, dass die Funktion nicht über Tor gesichert war.

Warum hat dich dieser Fund so überrascht?

Weil ich damit den billigsten Trick überhaupt anwenden konnte. Denn um die Software einer Webseite zu knacken, suchst du zunächst immer nach einer Möglichkeit, eine Datei hochzuladen oder eigenen Code in den Server einzuschleusen. Damit zwingst du den Server, sich nach außen zu verbinden, worüber sich ein Angriffspunkt ergeben kann. Die meisten Softwares lassen das nicht zu, denn ein Angriff auf einen Server über lokale Dateien ist das offensichtlichste Einfallstor überhaupt. Von einer Darknet-Seite, vor allem von einer, die Missbrauchsmaterial vertreibt, hätte ich erwartet, dass sie alle ausgehenden Verbindungen blockiert. Oder zumindest, dass sie das Tor-Netzwerk auch für diese Verbindungen nach außen nutzt.

Der Upload eines Bildes war also der billigste Trick, der aber funktionierte?

Ich war anfangs skeptisch. Es schien mir irgendwie die dümmste Methode zu sein, um den Server dazu zu bringen, sich sich mit seiner eigenen IP-Adresse zu verraten. Ich habe es trotzdem versucht. Zu meiner Überraschung bekam ich tatsächlich eine IP.

Du hast die Schwachstelle im Januar 2017 gefunden, als die australische Polizei den Server bereits seit drei betrieb Monaten. War der Fehler auf die Polizei-Admins zurückzuführen oder gab es den schon vorher?

Schwer zu sagen. Als ich die Sicherheitslücke entdeckt habe, hatte ich noch keinen Schimmer, dass die Polizei hinter der Seite steckte. Als ich davon erfuhr, war ich schon ein bisschen überrascht, aber auch nicht übermäßig. Solche Fehler passieren andauernd.

Die gleiche Methode habe ich übrigens auch bei anderen Kinderporno-Seiten im Darknet angewendet. So konnte ich die IP-Adressen von zwei weiteren Seiten aufdecken. Eine der beiden war Elysium, die das deutsche BKA im Juni hochgenommen hat. Deren IP-Adresse habe ich ungefähr zur gleichen Zeit wie die von Childs Play gefunden.

Hast du sie den Behörden gegeben?

Nein. Ich habe sie eine Woche später auf Twitter gesehen, dort hatte jemand unabhängig von mir die Elysium-IP gepostet.

Das Childs Play-Forum besorgt sich von einer externen Webseite eine Bilddatei – und legt ihre echte IP-Adresse offen. Bild: Mathias Jørgensen / VG. Mit freundlicher Genehmigung.

Zurück zu Childs Play . Wie bist du dann weiter vorgegangen? Eine IP-Adresse kann ja gerade im Darknet in die Irre führen, weil die Seite ihren echten Standort verschleiern will.

Richtig. Zunächst einmal stellte ich fest, dass die IP-Adresse zu einem Server der Providerfirma Digital Pacific in Sydney gehörte. Um herauszufinden, ob es sich überhaupt um eine echte IP-Adresse handelt und nicht um einen Exit-Knoten in Tor, ein VPN oder einen Proxy-Server, habe ich drei Methoden ausprobiert.

Das sind sind drei beliebte Wege, um die IP-Adresse zu verschleiern und anonym zu surfen: das Tor-Netzwerk, das deine Kommunikation über mehrere Knoten leitet, ein Virtual Private Network (VPN), das die tatsächliche IP durch einen virtuelles Netzwerk ersetzt und ein Proxy-Server, der sich als zusätzliche Schnittstelle zwischen zwei Server positioniert.

Genau. Diese drei Eventualitäten musste ich zunächst ausschließen. Für den ersten Test habe ich mir selbst einen Server bei Digital Pacific gemietet. Dann habe ich die Verbindungsdauer zwischen dem Childs-Play-Server und meinem Server bei Digital Pacific gemessen. Wenn du im Tor-Netzwerk eine Seite aufrufst, dauert das schon mal 250 Millisekunden bis mehrere Sekunden, bis deine Anfrage den Server der Seite erreicht und die Seiteninhalte dann in deinem Browser angezeigt werden. Das liegt daran, dass der Verkehr im Tor-Netzwerk über mehrere Knotenpunkte umgeleitet wird, um den Standort von Absender und Empfänger zu verschleiern. Meine gemessenen Werte waren aber kleiner, die Verbindung brauchte weniger Zeit. Es sah so aus, als säßen beide Server in relativer Nähe zueinander. Ich konnte also die erste Option ausschließen: die IP war kein Tor-Knoten.

Und die zweite Methode?

In diesem Schritt ging es darum, zu prüfen, ob die IP zu einem VPN oder einem Proxy-Server gehört, oder ob der Server eventuell an jemand anders untervermietet wurde. Ich habe also die "Time to live"-Werte ausgelesen, die im Prinzip anzeigen, wie viele Zwischenstationen ein Datenpaket im Internet passiert. In diesem Fall ergab meine Messung, dass es maximal zwei Zwischenstationen gibt und es wahrscheinlich ist, dass mein Server und der, den ich als Childs Play-Server verdächtigt hatte, direkt miteinander kommunizieren.

Der dritte und letzte Schritt war jedoch der aufschlussreichste: Ich untersuchte die verschickten Datenpakete auf ihre Größe. Bei Verbindungen über einen VPN übersteigt die maximale Übertragungseinheit die normale Größe lokaler Computernetze. Beim Childs-Play-Server konnte ich beobachten, dass größere Pakete in kleinere Fragmente nicht aufgesplittet wurden – ein klares Indiz für eine lokale Internetverbindung. Damit waren auch die Optionen VPN und Proxy-Server ausgeschlossen. Ich wusste: Das ist die echte IP der Kinderporno-Plattform.

Hast du dir die Methoden selbst ausgedacht oder sind das Standardprozeduren?

Ich wäre überrascht, wenn sie in Ermittlerkreisen niemand benutzen würde, aber für mich waren sie neu. Ich habe lange gegrübelt, wie ich die Sache angehen soll, ohne wirklich weiterzukommen.

Wie kamst du letztendlich darauf?

Die ersten beiden Methoden kamen mir beim Duschen. Ich war gestresst, dass wir so große Probleme hatten, die Geschichte aufzubauen und eine Lösung zu finden. Dann irgendwann, als ich zuhause war, machte es plötzlich Klick. Der dritte Schritt kam mir tatsächlich in einem Traum.

Du hast so hart an der Geschichte gearbeitet, dass du davon geträumt hast?

Oh yeah, definitiv. Eine ganze Zeit lang. Das ist aber zugleich eine Reflexionstechnik, die ich mir über die letzten paar Jahre antrainiert habe, wenn ich nicht einschlafen konnte. Ich erschaffe mir ein eigenes, kleines Büro in meinem Kopf, in dem ich nur arbeite, wenn ich ins Bett gehe. Das Büro ist von der Außenwelt völlig abgekoppelt, es hat nur einen Computer ohne Internet und keine sonstigen Ablenkungen. Auf diesem Computer in meinen Kopf beginne ich dann, an einem Problem zu arbeiten. Nach etwa einer halben Stunde verlasse ich das Büro, drehe mich auf die Seite und schlafe ein.

Der Trick mit dem Umdrehen auf die Seite ist eine Art Konditionierung: Es signalisiert dem Hirn, dass ich die Arbeit an einem Problem nun beende. In vielen Fällen wache ich am nächsten Tag auf und erinnere mich vage an einen Traum, der möglicherweise eine Lösung für das Problem sein könnte. Dann setze ich mich hin und schreibe auf, an was ich mich erinnere. Das hat bestimmt zehn Mal in den letzten zwei Jahren geklappt.

"Kinderpornographie ist kein darknet-spezifisches Problem. Auch im normalen Internet gibt es ein riesiges Angebot an solchen Inhalten – oft nur eine Google-Suche entfernt"

Das Darknet ist ein sicherer Rückzugsraum für die Kinderpornographie-Szene, lautet ein beliebter Vorwurf. Du recherchierst seit Jahren über die Szene im Dark- und Clearnet. Was ist deine Meinung dazu?

Das Darknet im Allgemeinen und Tor im Speziellen bieten in der Tat eine Arena für diese Leute, in der sie zehn oder hundert Mal schwerer zu finden sind als im Clearnet. Und das durch minimalen Aufwand: Sie müssen lediglich den Tor Browser herunterladen. Kinderpornographische Materialien oder Täter, die sich zu einem sexuellen Missbrauch von Kindern verabreden, sind aber kein darknet-spezifisches Problem. Auch im Clearnet gibt es solches Material und auch dort hat die Polizei es schwer, dagegen vorzugehen. Meine vorherige Arbeit über Menschen, die sich Kinderpornos im Netz herunterladen, hat gezeigt, dass es ein riesiges Angebot an sexuellem Missbrauchsmaterial im normalen Internet gibt.

Wo befindet sich solches Material im Clearnet?

Das ist das Traurige: Es ist überall. Auf YouTube, Pastebin, in Facebook-Gruppen, in Diskussionen auf Reddits, auf Twitter. Und es ist nur eine Google-Suche entfernt: Bei meiner Recherche kam heraus, dass die meisten Kinderporno-Nutzer via Suchmaschine an solche Inhalte kommen. Zumindest trifft das auf die Leute zu, die "nur" Konsumenten sind, also das Material nicht selbst herstellen oder vertreiben. Traurigerweise bleiben diese Leute aber meist unter dem Radar der Ermittler – es gibt einfach zu viele von ihnen. Es sind Zehntausende, die wohl zu jedem gegebenen Zeitpunkt aktiv sind und das Netz danach durchforsten. Es ist unwahrscheinlich, dass sie wegen eines Downloads entdeckt werden.

Warum gehen diese Leute dann überhaupt noch auf Darknet-Seiten wie Childs Play oder Elysium , wenn sie offenbar schon im Clearnet relativ sicher unterwegs sind?

Wegen der Verfügbarkeit. In den Darknet-Foren gibt es viel mehr Material an einem Ort gebündelt, zudem strukturiert und leichter zu durchsuchen. Dennoch macht es einen Unterschied, was ihre Sicherheit betrifft, wenn sie vom Clear- ins Darknet abtauchen: Wenn dieser Typus User – technisch wenig versiert, keine Opsec – ins Darknet geht, wird er automatisch Teil des Personenkreises, der mit ziemlicher Sicherheit von der Polizei überwacht wird. Sie gehen also von einem Zustand relativer Sicherheit an einen Ort, den Behörden scannen und der möglicherweise sogar infiltriert ist. Für diese Nutzer bietet Tor nur eine Schein-Anonymität, eine trügerische Sicherheit.

"Man darf nicht vergessen, dass in dieser Zeit ein enormer Schaden angerichtet wurde: Material wurde geteilt, neues produziert, Täter konnten sich zu Vergewaltigungen von Kindern verabreden. "

Lässt sich Tor damit nicht nur als Werkzeug für Kriminelle, sondern zugleich als Möglichkeit für Strafverfolgungsbehörden sehen, in kriminellen Milieus besser zu ermitteln?

Das kann man durchaus so sagen. Das gilt aber wie gesagt nur für die Nutzer, die technisch wenig Ahnung haben, die für ihre Darknet-Accounts ihre alte E-Mail-Adresse oder Nicknames aus dem Clearnet benutzen.

Die technisch versierten Nutzer profitieren natürlich mehr von der Tor-Technologie. Aber auch sie stehen im Fadenkreuz polizeilicher Ermittlungen. Die meisten Leute machen irgendwann einen Fehler, der zu ihrer Enttarnung führt. Deswegen sitzen auch die alten Childs-Play-Admins im Gefängnis. Letztlich sind alle diese Seiten von Anbeginn an zum Scheitern verurteilt: Es ist nur eine Frage der Zeit, bis jemand mit einer innovativen Ermittlungsmethode daherkommt oder einem Exploit, der ein Loch in deinen Panzer bohrt, und das wars. Du bist erledigt.

Wie war das für dich, als du erfahren hast, dass die australische Polizei das Childs-Play -Forum betreibt?

Es war schwer für mich, zu akzeptieren, dass das richtig war. Insbesondere, als ich erfuhr, dass die Polizei selbst Missbrauchsmaterial geteilt hatte, um nicht aufzufallen. In technischer Hinsicht wusste ich jedoch, dass es eigentlich kaum andere Methoden gibt, um effektiv gegen sowas zu ermitteln.

Insgesamt elf Monate betrieb die Polizei die Kinderporno-Plattform. Kritik wiegelt sie ab – die Zeit sei nötig gewesen, um die Täter zu ermitteln. Du hast 2015 mit anderen Methoden Zehntausende Nutzer enttarnt, die sich solches Material im Netz besorgen. Wie bewertest du die Dauer dieser Ermittlungsmethode?

Ob die elf Monate gerechtfertigt waren oder nicht, hängt letztlich davon ab, wie viele Täter sie hinter Gitter bringen. Wenn es zehn sind, würde ich sagen, die Operation ist gescheitert. Man darf nicht vergessen, dass in dieser Zeit ein enormer Schaden angerichtet wurde: Material wurde geteilt, neues produziert, Täter konnten sich zu Vergewaltigungen von Kindern verabreden.

Und wenn die Polizei 100 oder 200 Leute erwischt?

Das wäre ein gutes Resultat. Das Ergebnis könnte aber auch mittelmäßig ausfallen, irgendwas zwischen 10 und 100. Dann könnte die Polizei aber immer noch sagen, sie hätte die Zeit sinnvoll genutzt, etwa um Ermittlungstechniken zu verfeinern, die die nächste Operation noch effektiver machen würde. Es ist unglaublich schwer, die Operation pauschal zu bewerten.

Wir werden nie erfahren, ob die Polizei nicht schon nach fünf Monaten oder nach zwei Wochen die nötigen Informationen für eine Festnahme oder eine Anklage hatten. Wir bräuchten eine unabhängige, im Idealfall internationale Organisation, die solche Aktionen im Nachhinein bewertet und die richtigen Schlüsse zieht.

Ich meine das nicht nur aus einer kritischen Perspektive gegenüber der Polizei. Eine solche Evaluation würde auch ihr helfen, ihre Methoden unabhängig zu überprüfen und zu optimieren. Aber ich bezweifle, dass es dazu kommen wird. Die Polizei lässt sich nur ungern in ihre Karten schauen.