Hacker Einar Otto Stangvik. Eigen foto

Dit is de hacker die pedo’s vangt op het darkweb

Einar Otto Stangvik praat met ons over online kinderporno, zelf ontwikkelde hackingtools, illegale sites van agenten - en waarom hij met de beste ideeën komt als hij droomt.

door Daniel Mützel; vertaald door Daniel Stächelin
|
nov. 9 2017, 10:38am

Hacker Einar Otto Stangvik. Eigen foto

In oktober legde de Noorse hacker Einar Otto Stangvik het grootste en bekendste darkweb-portaal voor kinderporno bloot. De ingrediënten van dit succes waren geduld, creatieve ideeën en een simpel technologisch trucje.

Maar Stangvik en zijn collega’s van de Noorse krant VG konden bijna niet geloven toen ze ontdekten wat ze hadden gevonden. Het forum Childs Play, met meer dan een miljoen gebruikers wereldwijd, werd gerund door een speciale eenheid van de Australische politie.

Elf maanden lang hebben de Australische rechercheurs het verkeer van gebruikers, daders en slachtoffers gevolgd. Een paar weken geleden is het portaal pas naar offline gehaald.

Het is niet de eerste keer dat Stangvik, een IT-verleigheidsexpert voor met name Noorse bedrijven, uit de donkerste hoekjes van het web pedo’s heeft ontmaskerd. In 2015 bracht hij met een zelfgeschreven programma een gebruikersnetwerk van 95.000 pedofielen aan het licht.

We vroegen Stangvik hoe hij pedo’s op het darkweb volgt. En is het darkweb echt zoveel erger dan het gewone internet? Is het te legitimeren dat een politie-eenheid bijna een jaar lang pretendeert pedo-admins te zijn, of is er een betere technologische oplossing?

De hacker Einar Otto Stangvik. Foto: privé

MOTHERBOARD: Je hebt een gigantisch netwerk voor kinderporno aan het licht gebracht. Hoe heb je dit voor elkaar gekregen?
Einar Otto Stangvik: We hebben eerst een paar maanden onze kop gebroken over hoe we het platform konden aanvallen. We wilden niet alleen de admins van Childs Play ontmaskeren, maar ook de gebruikers. De producenten van de video’s bijvoorbeeld, en de mensen die de kinderen misbruiken. Ik probeerde alle tekst te downloaden van de site, om die dan te classificeren, maar dat leidde nergens naar. Aan het einde van 2016 bereikte ik een dood punt, omdat ik gewoon geen manier kon vinden om de site te hacken.

En toen?
Het kwartje viel vrij willekeurig aan het begin van dit jaar. Op de weg van mijn werk naar huis realiseerde ik me dat ik dit hele ding totaal verkeerd had aangevlogen. Ik kwam thuis, en de rest van de dag waadde ik door de broncode van MyBB – de software van Childs Play. Toen kwam ik uiteindelijk een uploadfunctie tegen waardoor gebruikers een profielfoto naar Childs Play konden uploaden. Ik was totaal van mijn stuk toen ik zag dat dit niet was beveiligd via Tor.

Waarom verbaasde je dat zo?
Omdat ik daardoor het gemakkelijkste trucje kon gebruiken. Om de software van een website te cracken moet je een manier vinden om je eigen code naar binnen te smokkelen. Het is in feite een verbindingsweg tussen de site en de buitenwereld. De meeste software staan dit soort verbindingen niet toe, omdat je de deur openzet voor aanvallen.

Ik had niet gedacht dat een darknet-site met kinderporno de deur op deze manier openzet, of dat ze de connectie op z’n minst via Tor lieten gaan. Maar nee.

Dus je kon de code uploaden via deze functie?
Ik was sceptisch - het leek te dom, maar waarachtig: ik kreeg een IP-adres te zien.

OK, dus dat was in januari 2017. Australische rechercheurs runden de site toen al drie maanden. Was dat gat er vanwege de politie-admins, of bestond het al?
Moeilijk om te zeggen. Toen ik de zwakke plek vond, wist ik niet dat agenten de werkelijke admins waren. Maar om eerlijk te zijn heb ik een vergelijkbare methode gebruikt om twee andere kinderpornosites aan het licht te brengen. Elysium, bijvoorbeeld.

Leverde je het IP-adres van Elysium in bij de overheid?
Nee, iemand anders postte een week laten de IP geheel los van mij op Twitter.

Het Childs Play forum haalt het fotobestand van een externe site – en daar legt het zijn IP bloot. Foto: Mathias Jørgensen / VG

Sommige mensen denken dat het darknet een veilige plek voor kinderporno is. Je hebt jaren onderzoek gedaan in de scene op het darknet en het ‘normale’ internet. Hoe denk jij erover?
Het darknet en Tor in het specifiek maakt deze mensen wel tien tot honderd keer moeilijker te vinden dan op het normale internet. Ze hoeven alleen maar de Tor-browser te downloaden. Maar kinderporno en mensen die afspreken om kinderen te misbruiken zijn niet alleen een probleem van het darknet. Ook op het normale internet is veel van dat soort materiaal te vinden. En daar heeft de politie al veel moeite mee om er iets aan te doen. Mijn eerdere werk, dat ging over de mensen die kinderporno downloaden, liet zien dat er heel veel wordt aangeboden op het reguliere internet.

Waar is dat soort content op het normale internet te vinden?
Het is naar, maar het is overal te vinden. Op YouTube, Pastebin, Facebookgroepen, in threads op Reddit, op Twitter. Het is meestal maar een Google Search verwijderd. Tijdens mijn onderzoek kwam ik erachter dat de meeste mensen kinderporno vinden via zoekmachines. Dat geldt voor mensen die het “alleen maar” consumeren. In andere woorden: mensen die het niet maken of verspreiden. Helaas vliegen zij vaak onder de radar van justitie – het zijn er veel te veel. Er zijn op elk willekeurig moment tienduizenden mensen naar op zoek op het internet. Het is onwaarschijnlijk dat ze gepakt worden als ze alleen iets downloaden.

Waarom gaan mensen dan nog steeds naar darknetsites als Childs Play of Elysium als ze relatief veilig zijn op het gewone net?
Beschikbaarheid. Op het darknet is veel meer materiaal op één plek te vinden. En ook is het makkelijker te zoeken. Maar er is een verschil in veiligheid als een gebruiker van het clearnet naar het darknet gaat. Als een gebruiker niet veel van beveiliging weet is hij op het darnknet juist minder veilig. Dat komt omdat het veel meer gemonitord wordt door de politie.

“We moeten niet vergeten hoeveel kwaad ze hebben gedaan tijdens hun operatie: materiaal dat is gedeeld, nieuwe producties die zijn gemaakt en de plannen die werden gemaakt om kinderen te verkrachten.”

Dus Tor is niet alleen een tool die gebruik wordt door criminelen, maar ook een middel voor justitie om criminele cirkels te onderzoeken?
Ja, dat zou je zeker zo kunnen zeggen. Maar zoals ik al zei, geldt dat alleen voor gebruikers met technische skills. Dus niet voor voor mensen die hetzelfde mailadres of gebruikersnaam op het gewone internet als het darknet gebruiken.

De mensen die meer van tech weten, hebben het meest aan Tor. Maar ook zij zitten in het vizier van de politie. De meeste mensen maken op een gegeven moment een domme fout waardoor ze tegen de lamp lopen. Dat is waarom de oude admins van Childs Play nu in de gevangenis zitten. Die sites zijn allemaal gedoemd om op een gegeven moment te falen. Het is een kwestie van tijd voordat iemand iemand een nieuwe onderzoekstechniek vindt of een fout gebruikt om door hun muren heen te te drinken. En dan is het over.

Hoe was het voor jou toen je er achter kwam dat de Australische politie Childs Play runde?
Het was moeilijk voor me om te accepteren dat dit echt zo kon zijn. Vooral toen ik erachter kwam dat de politie kinderporno deelde om niet op te vallen. Maar technisch gezien wist ik wel dat er amper andere methodes waren om dit soort sites onderzoeken.

De politie runde het kinderpornoplatform totaal 11 maanden. En ze waren het niet eens met alle kritiek omdat ze vonden dat het nodig was om de mensen achter het forum te pakken. In 2015 heb je andere methodes gebruikt om duizenden gebruikers die dit soort content online verspreiden bekend te maken. Wat vind je van de duur van dit onderzoek?
Of elf maanden redelijk is hangt er vanaf hoeveel mensen ze hebben weten op te sluiten. Als het er maar tien waren, vind ik dat de operatie gefaald heeft. We moeten niet vergeten hoeveel kwaad ze hebben gedaan tijdens hun operatie: materiaal dat is gedeeld, nieuwe producties die zijn gemaakt en de plannen die werden gemaakt om kinderen te verkrachten

En als de politie 100 of 200 mensen hadden opgepakt?
Dat zou een fantastisch resultaat zijn. Maar met een gemiddeld resultaat, tussen de 10 en 100 aanhouding, zou de politie ook nog kunnen zeggen dat de operatie geslaagd is en dat hun opsporingsmethodes gelegitimeerd waren.

We zullen nooit weten of de politie al genoeg materiaal had verzameld na vijf maanden of twee weken. Er zou een onafhankelijke, en het liefst internationale, organisatie moeten zijn die dit soort processen zou controleren en kijken of de conclusies juist waren.

En dat zeg ik niet om alleen de politie de bekritiseren. Dit soort evaluaties zou ze ook helpen om hun methodes te checken en te verbeteren. Maar ik betwijfel of dat echt gaat gebeuren. De politie laat zich niet kraag in de kaarten kijken.