Hemmelighedsfuldt cyberpoliti om ny teknik til bitcoin-sporing: »Det har vakt opsigt, også internationalt«

I Rigspolitiets cybercrime-enhed arbejdes der med en ny teknik i opklaringsarbejdet, men det er småt med detaljerne.

Rigspolitiets nationale cybercrime-center, kaldet NC3, har ifølge eget udsagn fået opbygget en kapacitet, så det nu er slut for kriminelle med at gemme sig bag kryptovaluta som eksempelvis bitcoin.

Nyheden blev bekendtgjort forleden, blandt andet i form af en pressemeddelelse fra Anklagemyndigheden med titlen: 'Gennembrud: Nye beviser ophæver kriminelles anonymitet på mørkenettet'.

‘Gennembrud’ lyder umiddelbart spændende, men det er småt med de tekniske detaljer i meddelelsen. Den indeholder dog følgende passage, der afslører lidt af, hvad der er tale om:

»Kriminelle har hidtil kunnet handle anonymt på mørkenettet, fordi man ikke kunne følge kommunikationen og dermed spore afsendere og modtagere af bitcoins. Men med den nye metode kan efterforskere dokumentere de enkelte transaktioner mellem kriminelle og markedspladserne, der udbyder alt fra narkotika til børneporno, stjålne kreditkortoplysninger og ydelser som drab, overfald, hacking og afpresning,« bliver det forklaret i pressemeddelelsen.

Kryptovaluta

Som nogen vil vide, så foretrækker mange kriminelle at handle online i kryptovaluta, hvor bitcoin er en af de mest udbredte af slagsen. Valutaen har den egenskab, at der i udgangspunktet ikke knytter sig en identitet til de adresser, der overføres bitcoins til og fra.

Det vil sige, at det er muligt at overføre penge elektronisk, uden at der knytter sig en identitet til modtageren eller afsenderen. Og sådan en egenskab kan selvsagt være ønskværdig for kriminelle i forbindelse med køb og salg af illegale varer - en handel, der kan foregå på det såkaldte darknet.

Darknet indbefatter i denne sammenhæng blandt andet Tor-netværket. Sådanne tjenester har til formål at anonymisere brugerne, så de ikke kan spores via ip-adresser.

Derfor er det set med politimæssige briller ønskværdigt at kunne identificere folk på anden vis. Og her er det oplagt at se på de pengestrømme, der ofte er forbundet med eksempelvis narko-handel online.

Men da de monetære transaktioner på darknet i disse tilfælde foregår via kryptovaluta som bitcoin, så bliver selv det vanskeligt at benytte det klassiske efterforskningskneb med at ‘follow the money’ for at finde frem til bagmanden.

Aber dabei

Der er der dog et aber dabei forbundet med bitcoin og anonymiteten. For faktisk er det netop muligt at ‘follow the money’, da alle bitcoin-transaktioner i udgangspunktet fremgår af den åbne hovedbog/ledger kaldet blockchain. Den kan alle dykke ned i, blandt andet her

Det vil sige, at hvis der på et eller andet tidspunkt er eller har været knyttet en identitet til en bitcoin-adresse noget sted i transaktionskæden, så bliver det pludselig muligt at begynde at stykke brikkerne sammen i forhold til, hvem der har overført penge til hvem.

Anonymiteten i forhold til en bitcoin-adresse kan eksempelvis gå fløjten, hvis adressen har været brugt i en anden - eventuelt helt legitim - sammenhæng.

Måske sælger narkohandler A’s kone blomster, og af en eller anden grund tager hun også imod bitcoins. Og hvis den samme bitcoin-adresse fremgår af blomsterbutikkens hjemmeside og på narkohandelspladsen på darknet, ja, så er det slut med anonymiteten.

Et andet og i denne sammenhæng mere sandsynligt eksempel på, hvordan anonymiteten kan forsvinde er, når bitcoins bliver omsat til rede penge og den anden vej rundt. Altså i forbindelse med køb og salg af bitcoin. I den forbindelse vil der ofte være bankkonti, betalingskort og andre ganske identificerbare elementer involveret.

For alligevel at sløre, hvem der køber og sælger bitcoin, så er der opstået et marked for de såkaldte tumbler-tjenester. Det er kort fortalt onlinetjenester, der splitter en bitcoin-transaktion op mellem mange adresser. Formålet er at gøre det svært at spore, hvem der faktisk sender og modtager bitcoin.

Lidt mere lys

For at få kastet lidt mere lys over de tekniske elementer i efterforskningsmetoden, har Version2 rettet henvendelse til Kim Aarenstrup, chef for NC3.

»Tidligere har det været sådan, at når man overgik til den virtuelle valuta, så blev politiet koblet fra. Og der er vi nu i stand til at fortsætte efterforskningen, og i visse situationer finde frem til gerningsmanden,« siger Kim Aarenstrup.

Han vil dog ikke løfte sløret for, hvordan NC3 nu er i stand til at afsløre identiteten bag bitcoin-handlende på darknet.

»Vi vil helst ikke gå for meget i detaljer, fordi vi dermed hjælper de forkerte personer,« siger han.

Udnytter I eksempelvis at kunne se i den åbne bitcoin-ledger?
»Jeg kan ikke komme ind på, præcist hvad det er, vi gør, da vi dermed risikerer at eksponere nogle flanker, som vi ikke er interesserede i.«

Der var dog lidt mere om teknikken forleden i en artikel hos Berlingske Tidende, hvor Kim Aarenstrup også medvirkede under titlen ‘Dansk gennembrud: Narkohandlere kan ikke længere gemme sig bag bitcoins’.

Her fremgår det, at politiets nye efterforskningsteknik involverer at koble oplysninger fra blockchain sammen med oplysninger om bitcoinkøbere, som bitcoinsælgere er forpligtede til at indsamle.

Det fremgår ikke nærmere, hvad der menes med bitcoin-sælgere, men der tænkes nok på salg via de online-børser, hvor kryptovalutaen handles, og hvor det ofte er en forudsætning for at kunne bruge tjenesten, at brugerne på en eller anden måde identificerer sig.

Heller ikke i Berlingskes artikel ønsker Aarenstrup at gå detaljeret ind i teknikken bag efterforskningsmetoden, der blotlægger kriminelle aktiviteter på darknet.

Chainalysis

Et bud i forhold til en del af det tekniske setup hos NC3 kunne være, at software fra den dansk-amerikanske startup Chainalysis er involveret i projektet.

Virksomheden har blandt andet slået sig op på at lave et system, der kan bruges til at spore bitcoin-transaktioner, selvom der er tumbler-tjenester involveret.

Administrerende direktør og medstifter af Chainalysis Michael Gronager har tidligere fortalt forholdsvist åbent om virksomhedens værktøj Reactor i et interview med Version2, bragt februar sidste år.

»Værktøjet bruges af politi og efterretningstjenester til at følge pengesporet og se, hvor en enkelt BitCoin bevæger sig hen. Vi har kontrakter med mange europæiske landes politi-enheder og flere myndigheder i USA og Asien,« sagde Michael Gronager.

Han ønskede i den forbindelse ikke at komme ind på, hvorvidt dansk politi var i kundegruppen.

Af Chainalysis-artiklen fremgik det også, at virksomheden var ved at indgå et samarbejde med den europæiske politienhed Europol.

Løbende udvikling

Af pressemeddelelsen fremgår det, at NC3's nye metode har ført til lange fængselsstraffe for narkohandel. Og der henvises i den forbindelse til en dom helt tilbage i april 2016.

Det må være et system, I har arbejdet med noget tid efterhånden?

»Det er det også. Metoden er en kombination af forskellige aktiviteter, og den har vi udviklet yderligere over tid,« siger Kim Aarenstrup til Version2 og fortsætter:

»Det startede i det små med noget analysearbejde, hvor vi høstede nogle af de første resultater. Denne udviklingsproces førte til et par domme, men også til et videre udviklingsarbejde, hvor vi nu kan skabe endnu flere interessante politimæssige resultater.«

Kim Aarenstrup påpeger, at der ikke er tale om et enkeltstående produkt, men om en kombination af flere elementer.

»Den samlede analytiske metode har dansk politi hos NC3 tilvejebragt, og metoden genererer nogle effektive resultater. Det har vakt opsigt, også på internationalt plan,« siger han

Kim Aarenstrup fortæller i den forbindelse, at NC3 har afholdt flere workshops og seminarer i forhold til NC3's opklaringsmetode.

I pressemeddelelsen fra Anklagemyndigheden står der, at 150 narkohandlere er blevet identificeret på en eftermiddag. Er det danskere?

»Det vil jeg ikke udtale mig nærmere om. Men faktum er, at vi har kunnet gøre det, og på relativt kort tid, så det åbner jo for et helt nyt perspektiv,« siger Kim Aarenstrup.

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

Selvom der ikke oplyses noget som helst teknisk banebrydende/nyt i oplysningerne i pressemeddelelsen, så kunne Version2 alligevel passende dykke ned i nogle af de retssager/domsudskfifter hvor der er fremlagt dokumentation for identifikation af handlende. Der er de jo tvunget til at bevise overfor Retten hvordan de mener at en person er knyttet til en bitcoinadresse. Der kunne tænkes at forekomme flere detaljer til at sammenstykke puslespillet om politiets nye magiske evner.

Peter Hansen

..som gemmer walleten på deres Windows XP, bruger få bitcoin adresser og får leveret narkoen hjem.

I call bullshit. Det lyder mere som afskrækning af App-store-teens, end reelt indhold om teknisk gennembrud. Aarenfup er presset.

Han lever på lånt tid og skal refærdigøre de penge nc3 har brugt på bitcoinanalyse software inden de kriminelle rykker fra bitcoins til zcash.

Den mand åbner kun munden når det handler om hans egen røv. Det skal jo se ud som om nc3 er effektive.

Har de tvangspensionering i Politiet?

Povl H. Pedersen

Jeg forstår det heller ikke helt. Hvis man sender sine penge gennem en bitcoin vaskemaskine eller 10, og denne vaskemaskine tager en vilkårlig procentdel på lad os sige 4-10%, og den deler resten op i 5-100 bidder, som videresendes efter 0-30 dage, til nye konti som vakseren genererer, så er det vanskeligt at spore.

Selvfølgelig kan det spores hvis hackeren lader alle penge strømme ind på samme konto igen. Men hvis han aldrig konsoliderer pengene, men lader småbeløb gå ind på hundredevis af konti hos en exchange, og sælger der, så er modtageren ikke til at spore.

Lige omkring kriminalitet, så er kunderne vel ikke så kloge at de vasker og opsplitter deres penge. De køber vel en bitcoin og bruger af den i takt med de skal have mere. Og så er de sporbare via exchange hvor de har købt bitcoins. De orker ikke problemet og udgifterne med at vaske flere gange, og have mikrobeløb på tusinder konti.

René Nielsen

Jeg tror ikke på at NC3 eller Chainalysis kan noget magisk, men jeg tror på at man kan scrape alle offentlige transaktioner og via en form big data analyse finde frem til betalingsmønstre fordi de kriminelle blander sort og hvidt.

Inden for al økonomisk svindel har det altid været god latin at holde ”hvidt hvidt og sort sort”. Gør man ikke det, går det galt hvis man f.eks. sender sorte BC til sin private hvide wallet

Det jeg skriver er jo ikke raketfysik. Det letteste er hvis Skattefar får en liste over formuer i udlandet men ellers jager skattefar folk som har formue i udlandet via f.eks. udenlandske kreditkort anvendt i Danmark.

Mit bud er, at politiet gør samme via den analyse som Chainalysis udarbejder fra offentlige lister.

Bjarne Nielsen

parallelkonstruktion skal naturligvis være ulovligt

Må man ved samme lejlighed bede om et hint om, hvorfor det "naturligvis" burde være ulovligt?

Det stiller svjv. ikke en anklaget i DK anderledes, at de oprindelige beviser er fremkommet på tvivlsom vis, så det eneste man vil opnå er, at sige, at det er ulovligt at forsøge at dække over noget ulovligt.

Hvad er det, at jeg overser?

Tom Paamand

Danmark er ikke USA, selvom både vores almindelige tankegang, og efterhånden også juraen lader sig påvirke gennem strømmen af overomtalte kriminaldramaer derovrefra. Men dansk retspraksis er fortsat anderledes, end den Hollywood har vænnet os til. I danske retssale anerkendes ulovligt tilvejebragte beviser ofte. De vækker ikke umiddelbart det store Gisp, hvor retssagen bliver afbrudt - i stedet vurderer dommeren om beviset er vigtigt nok, kan kaldes uforsætligt, eller på andre måder kan undskyldes - og det sker så. Om USAs praksis er den korrekte måde at holde den juridiske fane højt tyder intet på - for det betyder sjældent det store derovre heller, trods tv-seriernes udlægning.

I øvrigt benytter journalister en tilsvarende metode, men som hovedregel ikke på ulovlig vis. Hvis fx en kilde ikke har mulighed for at stå frem selv, kan vedkommende fortælle hvor journalisten burde lede. Historien blir så skrevet uden at det oprindelige tip bliver nævnt.

Log ind eller Opret konto for at kommentere