Hollandsk politi drev darknet-marked i 27 dage: Send os jeres geotaggede billeder

Marinus Boekelo (tv) og Gert Ras fra det hollandske politi fortæller på it-sikkerhedskonferencen Security Analyst Summit om, hvordan politiet drev en darknet-handelspladsen Hansa i 27 dage. Illustration: Jakob Møllerhøj
Politiet i Holland overtog en narkohandelsplads på Tor og fik blandt andet narkosælgere til at uploade afslørende billeder.

Cancun, Mexico. Geotaggede billeder og ip-adresser via en skjult funktion i et Excel-ark var nogle af de efterforskningsmæssige tricks, som de hollandske politimyndigheder benyttede sig af, da de drev darknet-handelspladsen Hansa i 27 dage sidste år.

Marinus Boekelo og Gert Ras fra det hollandske politi fortalte nærmere om operationen på it-sikkerhedskonferencen Security Analyst Summit, som Kaspersky Lab netop har afviklet i Cancun, Mexico.

Det var i juni 2017, politiet overtog markedspladsen Hansa, hvor der blandt andet foregik handel med betalingskortoplysninger og narko. Den var på det tidspunkt den næststørste handelsplads for diverse kriminelle ydelser på det, nogle kalder darknet. Det er her en hidden service på Tor.

Når det overhovedet lykkedes politiet at overtage forretningen i første omgang skyldtes det et tip fra en it-sikkerhedsvirksomhed.

»Uden dette tip ville vi ikke have haft denne sag,« fortalte Gert Ras og tilføjede, at politimyndigheden sætter pris på samarbejdet med cybersikkerhedsindustrien.

Tippet handlede om, at Hansa-markedet var hosted fra en hollandsk ip-adresse. Politiet kiggede nærmere på handelspladsen og de aktiviteter, den faciliterede.

'Markedsplads' vil sige et mødested for flere sælgere og købere. Så der har været mange, der har solgt forskellige former for ulovlige stoffer, som købere så har kunnet handle hos.

Bitcoin og multi-signatur

Hvad det tekniske setup angår, så fortæller Marinus Boekelo, at der blev handlet via Bitcoin. Og her blev der udnyttet en til formålet smart feature ved kryptovalutaen.

Nemlig en multi-signatur bitcoin-adresse. Det vil her sige en adresse, som det kræver to ud af tre digitale signaturer at flytte penge fra. De tre signaturer er købers, sælgers og sitet Hansas.

Setuppet er som følger: En køber overfører et beløb til multi-signatur-adressen. Når køberen så modtager varen, giver han eller hun besked, og beløbet bliver overført fra adressen til sælgeren.

Hvis køberen aldrig modtager varen, så bliver signaturen ikke sat, og beløbet bliver i udgangspunktet ikke overført til sælgeren. Men måske er køberen en fusker, og derfor er Hansa-sitets signatur sammen med sælgerens nok til at autorisere transaktionen, der jo kun kræver to ud af tre signaturer.

Eller måske er sælgeren en fusker, og Hansa-signaturen kan sammen med køberens bruges til at føre beløbet tilbage til køberen.

»Det er alletiders svindel-beskyttelse for alle parter, fordi der ikke er nogen, der på egen hånd kan få adgang til pengene. Det var en af nøglefunktionerne, der gjorde Hansa så populær,« sagde Marinus Boekelo under indlægget.

Tre mål

Da hollænderne gik i gang med operationen, var det ifølge Gert Ras med tre mål for øje: De ville skade brugernes tillid til den slags handelspladser, politiet ønskede at identificere sælgerne, og endelig ønskede politiet at beslaglægge bitcoins.

»Så vi tænkte, det ville være godt, hvis vi kunne overtage Hansa-market som administratorer,« sagde Gert Ras.

Politiet kopierede Hansa-market-sitet. Og i kopien dukkede der logfiler op, som faktisk identificerede administratorer bag sitet. Og der var også bitcoin-oplysninger, der førte til en hosting-udbyder og to tyske statsborgere, som var i det tyske politis søgelys i forbindelse med et andet site.

De to tyskere blev der i første omgang ikke gjort noget ved, da det hollandske politi var nervøse for, at deres anholdelse ville virke mistænkelig overfor de øvrige moderatorer bag Hansa.

Flyttet

Politiet brugte noget tid på at kortlægge infrastrukturen bag Hansa, altså hvordan databaseservere og den slags var sat op.

Men da de var klar til at overtage sitet, viste det sig, at tjenesten i mellemtiden var flyttet til en anden hosting-udbyder.

»Faktisk havde vi ikke noget på det tidspunkt, men det viste sig, vi var heldige,« siger Gert Ras.

Bagmændene havde anvendt hosting-udbydere, som tager imod Bitcoins. Og i den forbindelse var den bitcoin-adressen, som var blevet brugt ved registreringen hos den første hosting-udbyder, blevet genbrugt til registrering hos den nye.

Og derfor kunne politiet også identificere den nye udbyder, som viste sig at have til huse i Litauen. Hele infrastrukturen kørte faktisk i landet.

Det hollandske politi havde i den forbindelse behov for at få flyttet det hele til Holland af juridiske årsager, fortæller Gert Ras.

Politimyndighederne begyndte nu at lave en masse research, ikke bare i forhold til det tekniske setup, som skulle bygges i Holland, men også i forhold til den måde, som de fire moderatorer bag Hansa kommunikerede på.

Alphabay

Omkring dette tidspunkt blev det hollandske politi kontaktet af amerikanske FBI, som havde brug for assistance med en anden, lignende markedsplads, Alphabay, da en del af dennes infrastruktur var hosted i Holland.

Politiet i Holland og i USA blev i den forbindelse enige om en koordineret indsat mod de to markedspladser for at maksimere effekten af beslaglæggelsen.

Den 20. juni 2017 blev de to tyskere, der var involveret i Hansa, arresteret i Tyskland. De var samarbejdsvillige, og de tyske myndigheder kunne på den baggrund udlevere login-oplysninger til politiet i Holland.

Det betød, at de hollandske efterforskere nu kunne kommunikere med de øvrige moderatorer, så de ikke fattede mistanke.

Migration

Herefter begyndte migrationsprocessen af infrastrukturen fra Litauen til Holland. Kunsten her var ikke at skabe mistænkelig nedetid som følge af flytningen.

Forløbet lykkedes med kun tre minutters nedetid, fortæller Marinus Boekelo.

»Vi havde nogle folk, der arbejdede tre dage i træk i 15-16 timer,« siger han.

Nu var det politiet, der drev markedspladsen videre, stort set som om intet var hændt. Politiet kunne dog ikke bare facilitere salg af ulovlige stoffer, så myndighederne forsøgte at opfange så mange narko-forsendelser som muligt, fortæller Marinus Boekelo.

»Det var faktisk ret svært, der var tonsvis af ordre hver dag.«

For at løse udfordringen lavede politiet en skjult tilføjelse til admin-panelet på Hansa, så det var muligt at knytte adresser og track-and-trace-numre til ordre

»Hver gang en ordre kunne spores til Holland, så gav vi et særligt hold ved det hollandske politi besked,« sagde Marinus Boekelo.

Og hvis der var tale om internationale forsendelser, så gav politiet Europol besked, så de kunne videresende oplysningerne til de rette myndigheder.

Stor brugertilstrømning

Den 4. juli slog FBI til mod Alphabay, som blev lukket ned, dog uden det blev offentliggjort, at folkene bag tjenesten var blevet anholdt. Set fra et brugerperspektiv fungerede tjenesten bare ikke længere.

Det gav en stor tilstrømning af brugere fra Alphabay til Hansa, fortalte Gert Ras.

»Og vi bød dem selvfølgelig velkommen,« sagde den hollandske politimand.

Faktisk blev de hollandske politimyndigheder nødt til at lukke ned for registreringen af nye brugere på tjenesten i en periode, fordi tilstrømningen simpelthen var for stor til, at aktiviteterne kunne overvåges.

Billeder

I de 27 dage, politiet stod bag Hansa, lykkedes det ordensmagten af få fat på en masse data.

Eksempelvis beskeder, kodeord og faktisk også geodata fra billeder.

Det vil sige de billeder, som sælgere uploader af diverse ulovlige stoffer. Som nogle vil vide, så bliver billeder taget med for eksempel en mobiltelefon - alt efter opsætning - udstyret med diverse metadata. Eksempelvis lokationen, hvor billedet er taget.

I den oprindelige konfiguration af Hansa-softwaren blev metadata automatisk fjernet fra de uploadede billeder. Men politiet havde sørget for at beholde en version af billedet, før metadata blev fjernet.

Sælgerne uploadede dog ikke nye billeder hele tiden.

»Vi skrev på Reddit, at vi havde mistet alle billeder, så upload venligst dit billede igen. Og det gav heldigvis den ønskede effekt,« fortalte Marinus Boekelo.

Og nogle af disse billeder indeholdt altså geo-koordinater.

Et pænt Excel-ark

Politiet ville gerne have flere data om de handlende. En funktion i Hansa gjorde det muligt for en sælger at se transaktionsoplysninger. Det var oprindeligt bare en tekstfil med bitcoin-data, der kunne downloades.

»Vi tænkte, at vi måske kunne rode lidt rundt med txt-filen. Så vi ændrede formatet til et Excel-ark, og vi var flinke, vi inkluderede nogle pæne statistikker til sælgerne,« fortalte Marinus Boekelo.

Nu kunne sælgerne blandt andet se sådan noget som indtjening per dag i et pænt regneark.

»Men vi fik selvfølgelig også noget ud af det,« sagde Marinus Boekelo.

Politiet havde indsat en lille funktion i Excel-arket, så sælgernes computer kontaktede en server hos politiet, som indsamlede de reelle ip-adresser, som er en vigtig efterforskningsmæssig oplysning.

Nedlukning

Efter at have høstet alskens data i 27 dage lukkede det hollandske politi ned for tjenesten 20. juli 2017.

Operationen blev meldt ud i forbindelse med koordinerede pressemøder mellem politiet i Holland og i USA.

Gert Ras gav under indlægget udtryk for, at det på den ene side var et stort øjeblik for ham, men på den anden side var det også lidt trist at sige farvel til den markedsplads, der set fra et efterforskningsmæssigt perspektiv kørte så godt.

Aktionen har medført flere anholdelser af Hansa-sælgere, og der er sager i gang og flere anholdelser på vej, fortalte Gert Ras.

Politiet har også beslaglagt omkring 1.200 bitcoins, fortalte han. Ligesom aktionen har bevirket, at tusindvis af narko-leverancer er blevet stoppet på verdensplan.

»Vi har stadig en database fyldt med efterretninger, som har et stort potentiale,« sagde Gert Ras og tilføjede, at databasen også er tilgængelig for andre politimyndigheder.

Version2 er inviteret til Security Analyst Summit af Kaspersky Lab.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

Stort tillykke til politiet for veludført arbejde. Det er interessant at se at de jo sagtens kan opklare forbrydelser i cyberspace, noget som vores kære politikere herhjemme, mener ikke er muligt, uden at vi som almindelige borgere skal overvåges i H og R....

Også interessant at se at de sagtens kan følge Bitcoin spor. Det er jo ellers ofte folks argumentation for at Bitcoin er noget forfærdeligt noget...

Håber det danske politi tager ved lære af hollænderne.....

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder