Danskere fanget: FBI hackede over 1.000 Tor-computere i børneporno-aktion

34 danske computere var en del af fangsten, da det amerikanske forbundspoliti brød anonymiteten på Tor-nettet i jagten på børneporno.

Tor-nettet er kendt for at tilbyde online-anonymitet. Men med den rette teknik er det faktisk muligt at se, hvem der bruger det – og denne teknik benyttede det amerikanske forbundspoliti FBI sig af i starten af 2015 under den såkaldte Operation Pacifier, der gik ud på at optrevle et børnepornoforum.

Det fulde omfang af aktionen, der også afslørede 34 danske computere i at bruge børnepornonetværket, er først for nylig blevet afsløret af det amerikanske medie Motherboard, der har haft adgang til retlige dokumenter om sagen.

Af dem fremgår det bl.a., at ca. 1.300 ægte IP-adresser blev identificeret under aktionen, hvilket ifølge en teknologiekspert fra den amerikanske borgerrettighedsorganisation American Civil Liberties Union (ACLU) er et hidtil uset stort antal:

»Vi taler ikke om at gennemsøge én eller to computere. Vi taler om, at regeringen har hacket tusinder af computere på baggrund af én enkelt dommerkendelse,« siger Christopher Soghoian fra (ACLU) til Motherboard, der har gravet hele sagen frem.

Læs mere af Motherboards dækning

Kort fortalt går teknologien bag Tor-nettet ud på at skjule brugernes sande IP-adresser – deres unikke netværksnummer. Dermed kan en politimyndighed ikke uden videre gå til en internetudbyder og få oplyst, hvilken identitet der knytter sig til en given IP-adresse.

Læs også: Se her hvordan FBI hackede over 1.000 Tor-computere i børneporno-aktion

Det benytter alskens grupperinger sig af. For eksempel menneskerettighedsforkæmpere, der vil kommunikere i sikkerhed for et regime. Borgere, der er bekymrede over generel masseovervågning af folks færden på internettet. Og kriminelle, der ønsker at skjule sig for ordensmagten.

Da FBI i februar 2015 havde fundet frem til og beslaglagt serveren bag børnepornoforummet Playpen, valgte de derfor ikke at lukke sitet ned. I stedet kørte FBI Playpen videre fra deres egne servere i perioden 20. februar 2015 til 4. marts 2015, skriver Motherboard.

NIT-hacking

For at identificere brugernes sande IP-adresser anvendte FBI en metode kaldet Network Investigative Technique (NIT). Det er reelt set et hackerværktøj, der installerer en kode på brugernes maskiner, der kan identificere folkene bag – selvom de bruger Tor.

Teknikken minder om de drive-by-angreb, som it-kriminelle benytter til at snige ondsindet software ind på intetanende brugeres maskiner. Ved drive-by-angreb bliver alle, der kommer ind på en hjemmeside, som de it-kriminelle kontrollerer, forsøgt angrebet.

Ofrene kan eksempelvis lokkes ind på siden via et link, hvorefter deres computer scannes for it-sikkerhedshuller i selve browseren eller i tilføjelsesprogrammer som Java og Flash.

FBI har flere gange tidligere benyttet sig af NIT, blandt andet i 2011, fortæller Motherboard. Her anvendte FBI et sikkerhedshul i Flash til at identificere folks rigtige IP-adresser, når de tilgik forskellige børneporno-sites skjult på Tor-nettet.

I forhold til Operation Pacifier er det uvist, hvilken konkret form for NIT FBI har benyttet. Det kan eksempelvis være en browser-sårbarhed, kendt eller ukendt.

Det fremgår dog af retsdokumenter, at NIT først er blevet anvendt mod brugere, når de har forsøgt at logge ind på, eller når de har oprettet en profil på Playpen.

Tor ingen garanti

Hacket mod brugerne har skaffet FBI deres rigtige IP-adresse samt den såkaldte MAC-adresse, der knytter sig til netværkshardware, og som kan hjælpe med at identificere den fysiske computer.

Privatlivsfortaler og formand for IT-politisk Forening Jesper Lund har set på sagen, og han bemærker, at den blandt andet viser, at Tor ikke er nogen garanti for anonymitet.

»Selvfølgelig er det alt andet lige sværere, end hvis det er en rigtig IP-adresse og serveren står ude i Glostrup. Men kriminelle begår ofte fejl på et eller andet tidspunkt, og der skal bare én fejl til,« siger han.

Selvom det altså var en amerikansk dommerkendelse, der lå til grund for Operation Pacifier, er det ikke muligt at vide, hvor i verden de besøgende på Playpen er kommet fra, før deres computere har fået installeret FBI’s software.

Direktør i Europol Rob Wainwright kunne således på Red Barnets konference i København om ‘nettets mørke side’ i november 2015 fortælle, at Operation Pacifier havde resulteret i 3.229 sager hos Europol, heraf 34 danske.

Tallene fremgår af en Powerpoint-præsentation, som er tilgængelig flere steder på nettet. Ligeledes er en video af Wainwrights præsentation tilgængelig via DI’s hjemmeside.

En uundgåelig konsekvens

Trods den danske afstikker deler Jesper Lund dog ikke Christopher Soghoians bekymring i forhold til de mange IP-adresser, der tilsyneladende er indsamlet på baggrund af en enkelt amerikansk dommerkendelse.

»I og med at det er en feature ved Tor-netværket, at man ikke aner, hvem brugerne er, og at man skal bruge disse teknikker til at afsløre brugernes identitet, så kommer man til at tilgå computere uden for FBI’s jurisdiktion. Det er simpelthen uundgåeligt,« siger Jesper Lund.

Han mener i den forbindelse ikke umiddelbart, at FBI ser ud til at have indsamlet flere oplysninger fra folks computere, end det har været nødvendigt i forhold til at kunne videregive relevante informationer til myndigheder rundt om i verden.

»Jeg synes, det er svært at kritisere nogen for noget i denne her sag,« siger Jesper Lund.

Rigspolitiet har over for Version2 afvist at kommentere sagen med henvisning til, at der er tale om igangværende efterforskning.

Artiklen har været bragt i avisen Ingeniøren fredag

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (12)

Anne-Marie Krogsbøll

"»Jeg synes, det er svært at kritisere nogen for noget i denne her sag,« siger Jesper Lund."

Historier som denne er svære at argumentere imod, og som Jesper Lund konstaterer, så har myndighederne måske i denne sag isoleret set gode grunde til at handle, som de har gjort. At beskytte børn mod seksuel udnyttelse er en værdig sag.

MEN! Se så dagens historie om, hvordan børn svigtes i det sociale system herhjemme: http://www.information.dk/telegram/560621

Disse sager dukker op den ene gang efter den anden - alligevel skærer man stort set dagligt i de bevillinger, der skulle bruges til at passe på udsatte børn i vore samfund. Og erstatning for vore svigt kan de ikke engang få.

Hvor mange af de børn, der optræder i sager, som den i artiklen beskrevne , er børn af rige, ressourcestærke familier? Hvor mange kommer fra fattige, udsatte kår, hvor der ikke er ressourcer til at passe ordentligt på dem? Eller hvor de er havnet i familier, som ligefrem er parate til at sælge dem til udnyttelse?

Hvor mange fattige i verden er parate til at sælge en nyre for at forsørge familien?

Bag mange af disse historier som ovenstående ligger i sidste ende den enorme og voksende ulighed, der giver den rigeste procent mulighed for at købe sig til den slags udnyttelse af de fattigste og deres børn.

At bruge så enorme ressourcer på at overvåge befolkningen, men sandsynligvis netop IKKE den rigeste procent, er at sætte kikkerten for det blinde øje. Vi ved udmærket godt, hvor vi kunne gøre rigtigt meget for de udsatte børn, og dermed beskytte dem bedst muligt mod f.eks. seksuelle overgreb - men vi gør det ikke!!!!

Hykleri af værste skuffe fra politikere og fra samfundets top!

Brian Hansen

Ja, det er det.
Omvendt så skal man ret målrettet opsøge den slags indhold på Tor, så jeg kan ikke sige at jeg har ondt af nogen der har besøgt pedo-sitet.
Der er uden tvivl nok et par nysgerrige iblandt der ikke har downloadet noget eller siddet og rykket i banditten til 2årige Marie, men lur mig om ikke flertallet af brugere godt vidste hvad de havde gang i....
Iøvrigt behøver man ikke exploite browseren, det kan gøres med simpel javascript (som jeg godt ved man aktivt skal slå til i Tor browseren)

Tom Ringtved

"Historier som denne er svære at argumentere imod"...... ja, men du gør det alligevel ??
Vi kan kun være enige om at der gøres for lidt for de udsatte børn, men jeg tror ikke du hjælper sagen ved at citere Jesper Lund i et indlæg du kalder for "Hykleri".
Jesper er ret uskyldig og kommenterer nøgternt FBI's brug af dommerkendelser og det er der intet hykleri i.
Jeg synes ellers det var en god artikel med positivt indhold - at et børneporno netværk er blevet optrævlet - og det irriterer mig at se et negativt og malplaceret indlæg der skyder ved siden af.
Lad os dog glæde os over der også sker noget positivt og så se hvordan vi kan hjælpe det på vej....
mvh - Tom

Anne-Marie Krogsbøll

Tom Ringtved:

Det var bestemt ikke min mening at pege på Jesper Lund i den sammenhæng - hans kommentar er jo rettet specifikt mod måden, overvågningen er blevet brugt på i denne sag, og der giver jeg ham helt ret.

Min kommentar var rettet mod overhovedet at bruge disse sager som argument for øget overvågning, for der er der mange andre og mere effektive ting, vi kunne gøre for at passe på udsatte børn.

Så hvis jeg har formuleret mig på en måde, som kunne opfattes, som om mine anklager om hykleri var rettet mod Jesper Lund, så har jeg formuleret mig meget dårligt, og så beklager jeg meget. Ham har jeg den allerstørste respekt for, det er en af mine "guruer" i disse spørgsmål, hvor jeg ikke selv har den fornødne faglige viden, kun en masse holdninger til sagen.

Så tak for, at du peger på muligheden for misforståelse, så jeg har fået mulighed for at rette den.

Geo Jensen

...når man, som efterretning, ved hvad A sender og at B modtager det, er tranport-laget (her så TOR) elimineret. Magien er checksum. Men sjovt nok, så kommer vi nok ikke til at høre mere om de 1000 tilfælde de har "optrevlet". Netop derfor er det utroværdigt at tro at man redder børn fra denne gru, men mere at det handler om at få grønt lys for at indføre endnu meget mere overvågning af pøblen.

Chresten Christensen

Nyhed og nyhed, man referer til motherboard hvor artiklen er 14 dage gammel, det er vel ikke nogen nyhed. Desuden er problemerne med tor ikke af ny dato, men gå længere tilbage, man kan finde problemer med sikkerheden i tor, som mere end 2 år gammel, mange af disse fejl er rette se::
https://www.torproject.org/
Hele indsatsen(Operation Pacifier) for at fange pædofile, er næste 1 år gammel, det kan heller ikke med god vilje kaldes en nyhed.
Så man har gravet, en bunke gamle nyheder frem og forsøger at sælge dem, det kan hvis kun kaldes SPIN...
https://da.wikipedia.org/wiki/Spin_(kommunikation)
Og lige genopfrisker ::
https://www.youtube.com/watch?v=c4EEa0HAqzQ

Jens Madsen

Stort set alle, har prøvet at få pornoreklamer på deres computere. Specielt, hvis de ikke er computerkyndige. De spreder sig som "virus", via masser af hjemmesider. Opsætter bookmarks til porno sider. Ændre historien i browseren til porno sider. Og nogle lægger endog porno reklamer på google, ved at installere et program.

Jeg ser frem til, at det nu bare er et spørgsmål om, at man får anbragt programmer med børneporno på en "fjendes" computer. Så får de svært ved at forklare noget for FBI. Og pornoerne er jo forlængst forsvundet, hvis de får løst problemet med en backup.

Helt ærligt - jeg forstår ikke hvad FBI har gang i. Men jeg tror ikke spor på, at det har noget med børneporno at gøre. Reklamerne har FBI nok selv anbragt på folks computere.

Log ind eller opret en konto for at skrive kommentarer