Danskere fanget: FBI hackede over 1.000 Tor-computere i børneporno-aktion
Tor-nettet er kendt for at tilbyde online-anonymitet. Men med den rette teknik er det faktisk muligt at se, hvem der bruger det – og denne teknik benyttede det amerikanske forbundspoliti FBI sig af i starten af 2015 under den såkaldte Operation Pacifier, der gik ud på at optrevle et børnepornoforum.
Det fulde omfang af aktionen, der også afslørede 34 danske computere i at bruge børnepornonetværket, er først for nylig blevet afsløret af det amerikanske medie Motherboard, der har haft adgang til retlige dokumenter om sagen.
Af dem fremgår det bl.a., at ca. 1.300 ægte IP-adresser blev identificeret under aktionen, hvilket ifølge en teknologiekspert fra den amerikanske borgerrettighedsorganisation American Civil Liberties Union (ACLU) er et hidtil uset stort antal:
»Vi taler ikke om at gennemsøge én eller to computere. Vi taler om, at regeringen har hacket tusinder af computere på baggrund af én enkelt dommerkendelse,« siger Christopher Soghoian fra (ACLU) til Motherboard, der har gravet hele sagen frem.
Læs mere af Motherboards dækning
Kort fortalt går teknologien bag Tor-nettet ud på at skjule brugernes sande IP-adresser – deres unikke netværksnummer. Dermed kan en politimyndighed ikke uden videre gå til en internetudbyder og få oplyst, hvilken identitet der knytter sig til en given IP-adresse.
Det benytter alskens grupperinger sig af. For eksempel menneskerettighedsforkæmpere, der vil kommunikere i sikkerhed for et regime. Borgere, der er bekymrede over generel masseovervågning af folks færden på internettet. Og kriminelle, der ønsker at skjule sig for ordensmagten.
Da FBI i februar 2015 havde fundet frem til og beslaglagt serveren bag børnepornoforummet Playpen, valgte de derfor ikke at lukke sitet ned. I stedet kørte FBI Playpen videre fra deres egne servere i perioden 20. februar 2015 til 4. marts 2015, skriver Motherboard.
NIT-hacking
For at identificere brugernes sande IP-adresser anvendte FBI en metode kaldet Network Investigative Technique (NIT). Det er reelt set et hackerværktøj, der installerer en kode på brugernes maskiner, der kan identificere folkene bag – selvom de bruger Tor.
Teknikken minder om de drive-by-angreb, som it-kriminelle benytter til at snige ondsindet software ind på intetanende brugeres maskiner. Ved drive-by-angreb bliver alle, der kommer ind på en hjemmeside, som de it-kriminelle kontrollerer, forsøgt angrebet.
Ofrene kan eksempelvis lokkes ind på siden via et link, hvorefter deres computer scannes for it-sikkerhedshuller i selve browseren eller i tilføjelsesprogrammer som Java og Flash.
FBI har flere gange tidligere benyttet sig af NIT, blandt andet i 2011, fortæller Motherboard. Her anvendte FBI et sikkerhedshul i Flash til at identificere folks rigtige IP-adresser, når de tilgik forskellige børneporno-sites skjult på Tor-nettet.
I forhold til Operation Pacifier er det uvist, hvilken konkret form for NIT FBI har benyttet. Det kan eksempelvis være en browser-sårbarhed, kendt eller ukendt.
Det fremgår dog af retsdokumenter, at NIT først er blevet anvendt mod brugere, når de har forsøgt at logge ind på, eller når de har oprettet en profil på Playpen.
Tor ingen garanti
Hacket mod brugerne har skaffet FBI deres rigtige IP-adresse samt den såkaldte MAC-adresse, der knytter sig til netværkshardware, og som kan hjælpe med at identificere den fysiske computer.
Privatlivsfortaler og formand for IT-politisk Forening Jesper Lund har set på sagen, og han bemærker, at den blandt andet viser, at Tor ikke er nogen garanti for anonymitet.
»Selvfølgelig er det alt andet lige sværere, end hvis det er en rigtig IP-adresse og serveren står ude i Glostrup. Men kriminelle begår ofte fejl på et eller andet tidspunkt, og der skal bare én fejl til,« siger han.
Selvom det altså var en amerikansk dommerkendelse, der lå til grund for Operation Pacifier, er det ikke muligt at vide, hvor i verden de besøgende på Playpen er kommet fra, før deres computere har fået installeret FBI’s software.
Direktør i Europol Rob Wainwright kunne således på Red Barnets konference i København om ‘nettets mørke side’ i november 2015 fortælle, at Operation Pacifier havde resulteret i 3.229 sager hos Europol, heraf 34 danske.
Tallene fremgår af en Powerpoint-præsentation, som er tilgængelig flere steder på nettet. Ligeledes er en video af Wainwrights præsentation tilgængelig via DI’s hjemmeside.
En uundgåelig konsekvens
Trods den danske afstikker deler Jesper Lund dog ikke Christopher Soghoians bekymring i forhold til de mange IP-adresser, der tilsyneladende er indsamlet på baggrund af en enkelt amerikansk dommerkendelse.
»I og med at det er en feature ved Tor-netværket, at man ikke aner, hvem brugerne er, og at man skal bruge disse teknikker til at afsløre brugernes identitet, så kommer man til at tilgå computere uden for FBI’s jurisdiktion. Det er simpelthen uundgåeligt,« siger Jesper Lund.
Han mener i den forbindelse ikke umiddelbart, at FBI ser ud til at have indsamlet flere oplysninger fra folks computere, end det har været nødvendigt i forhold til at kunne videregive relevante informationer til myndigheder rundt om i verden.
»Jeg synes, det er svært at kritisere nogen for noget i denne her sag,« siger Jesper Lund.
Rigspolitiet har over for Version2 afvist at kommentere sagen med henvisning til, at der er tale om igangværende efterforskning.
Artiklen har været bragt i avisen Ingeniøren fredag
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
