Våben, stoffer og hælervarer: Version2 tager på rundtur i nettets mørkeste afkroge

Hver linje herover repræsenterer et ny .onion-domæne, der er blevet sat op. Alle disse sites er mindre end fem timer gamle, og to af dem (de røde) er allerede taget offline igen. Illustration: Mads Lorenzen
I jagten på hackere har it-sikkerhedsfolk bygget værktøjer, der indekserer dele af ‘det mørke net’. Med dem har vi besøgt de mørkeste afkroge af internettet – så du ikke behøver.

»Det er nemt at tilgive børn for at frygte mørke. Tragisk bliver det først, når voksne mænd frygter lyset.«

Sådan lød det fra filosoffen Platon for godt 2.300 år siden, og bevæger man sig med den særlige browser Tor ud på den mørke del af internettet, det såkaldte dark web, ser man lyssky mænd og kvinder overalt.

De tragiske individer gemmer sig her, skjult bag moderne obfuskeringsteknologi. Bag adskillige lag af knudepunkter, der skjuler alles identitet på Tor-nettet, bevæger mørkemændene sig rundt. De sælger stoffer, misbruger børn og filmer det, sælger våben og deler ulovlige tricks og metoder med hinanden. Både når det gælder fysisk og digital kriminalitet.

Mørkemændene er ikke én gruppe fra ét land. De er internationale, og de har over de seneste år opbygget en globaliseret, kriminel verden online ved hjælp af Tor-browseren, der, uanset hvad man synes om den, er en teknologisk genistreg. Ingen har et komplet overblik over mørkenettet, end ikke de mest hårdkogte brugere. Idéen er netop, at kun ganske få skal vide, hvordan man finder den konkrete video, stof eller forum.

Flere af eksemplerne, journalisten har fundet i sin research, er allerede taget offline. Eksemplet her blev lukket i en nylig politiaktion i et samarbejde mellem det danske og hollandske politi. Illustration: Mads Lorenzen

For at give dette ubehagelige indblik i en skjult verden har Ingeniørens it-medie Version2 fået adgang til to søgemaskiner, der jævnligt indekserer links på domænet ­‘.onion’, der kendetegner mørkenettet i stedet for f.eks. ‘.com’.

»Der er en masse snyd og fusk, men der er også forfærdelige ting, der er ægte. Når man først har set dem, kan man ikke få det væk fra nethinden igen,« lyder det fra sikkerhedskonsulent hos Dubex Keld Norman, der har bygget den ene af de to søgemaskiner for at overvåge ondsindede hackeres bevægelsesmønstre på mørkenettet.

Denne artikel er altså ikke en opfordring til at prøve kræfter med mørkenettet, snarere tværtimod.

Forfærdelige filer

De indekseringer, ­søgemaskinerne er bygget på, taler deres tydelige sprog. Gennem vores research er det lykkedes at finde ét link på mørkenettet, der fører til hæderligt indhold: en server, der oplistede en lang række Tor-noder.

Resten er noget, Platon ville finde yderst tragisk. For eksempel indeholder 34 procent af alle links i den ene indeksering ordet ‘porn’. Vel at mærke porno, der af forskellige årsager ikke kan hostes på det åbne net, hvor det er langt nemmere og hurtigere at opbevare og dele data.

Artiklen fortsætter efter illustrationen.

På mørkenettet vrimler det også med falske dokumenter og vejledninger til alverdens ulovligheder fra falskneri til bombefremstilling. Illustration: Mads Lorenzen

Det værste er allerede sorteret fra, inden Version2 overhovedet søger på det, fordi indekseringen hovedsageligt er lavet til at holde øje med hackere på mørkenettet, hvor de udveksler våben og metoder og handler med lækkede data indbyrdes.

Her er det våben, der er til salg, og igen er det tydeligt, hvordan de kriminelle undgår at bruge officielle kanaler og tyr til Tor, mørkenettet og beskedtjenesten Wickr. Illustration: Mads Lorenzen

Alligevel er der links, der er sluppet igennem anti-pornofiltret, og de giver en klar idé om, hvilke ubehageligheder, der hostes under .onion-domænet. Nedenstående er delvist censureret for at gøre det mindre søgbart:

»Hurtig, sikker og cybersikret billedhosting til børnebilleder«, »Julyjailbait (alt for unge kvinder, red.)«, »kreditkort, hackerservices, overvågning af dine nære«, »Krypto­locker udlejes«.

Ingen penge i totalt mørke

Det er dog vigtigt at forstå, at der er tale om et ufuldstændigt ­billede. Selv ikke den bedste scraper vil kunne indeksere hele ­mørkenettet. Utallige servere drives i næsten komplet mørke, og det er kun sider, hvis links er blevet delt på lister og fora, der kan indekseres.

Med andre ord kan en kreds af ti narkohandlere eller pædofile holde sig komplet anonyme, hvis de ikke deler deres links. Men vil de skaffe trafik til deres sider, må de skrue en lille smule op for lyset og dele linket, og så kan siden indekseres.

Når de gør det, mister de kriminelle kontrollen, og langsomt vil risikoen blive for stor. Det hollandske politi har gentagne gange haft succes med at infiltrere disse .onion-­Torservere, når de dukker op. Og så falder lovens hammer hårdt – for et halvt år siden lykkedes det også dansk politi at lukke en narko- og våbenkreds ned, der solgte stoffer i Danmark. Netop efter et samarbejde med det hollandske politi.

Derfor bliver mørkenettets servere også ofte taget offline efter ganske kort tid. Hvorefter de dukker op i præcis samme form under et andet link et andet sted på mørkenettet. De to scrapere, Version2 har brugt i vores research, scraper derfor i realtid. I skrivende stund er der dukket 66 nye sider op det seneste døgn, hvoraf fem allerede er væk igen.

Internettet gemt i et løg

Alt dette kan lade sig gøre, fordi man i 2006 byggede videre på en idé fra 1990’erne om, at man kan maskere sig i det ellers utroligt ­afslørende www ved konstant at skifte ‘udse- ende’.

En normal rejse ud på internettet for en dansk forbruger er faktisk allerede inddelt i et par lag afhængigt af vores enkelte opsætninger. Ofte vil vi have én IP-adresse, der udgør en stor del af vores identitet online, i vores hjem, en anden når vores datapakker er på vej til internet­udbyderen og en tredje, når vi bevæger os ud på det gængse internet.

Men hvert enkelt led ved, hvor alle pakkerne skal ende henne, hvilket ikke er tilfældet, hvis man ­bruger Tor. For det første routes man igennem mange flere lag i mange forskellige lande – en praksis, der har været inspiration for Tor-nettets logo, der forestiller et løg. Se det som en fysisk flugt fra politiet, hvor du vil sikre dig, at de til sidst ikke aner, hvordan du ser ud, hvor du er, og hvor du er på vej hen.

På din flugt løber du derfor først ind i en tøjforretning og skifter din påklædning, hvorefter du løber ind hos en frisør og ændrer håret. Frisøren ved ikke, du kom fra tøjforretningen, men har styr på, hvor du kan få malet flugtbilen. Allerede her i tredje led begynder anonymiteten at ligne noget. Hvis dem, du er på flugt fra, har held til at finde tøjbutikken, kan personalet ikke fortælle, hvilket autoværksted du bruger. Selv ikke hvis de ville.

Med Tor kommer man igennem mindst fem hop – hvorefter man hopper ud af anonymiteten i en såkaldt exitnode. Alle, der kommer ud herfra, ser ens ud – i vores analogi har de samme tøj, frisure og bil. Man ved altså ikke, hvem der har brugt Tor til at udbrede demokrati, og hvem der har solgt børneporno.

Kombinér det med den hastighed, hvormed moderne udstyr router dig rundt på internettet, og forvirringen er total, medmindre man ejer både tøjforretningen, frisøren, autoværkstedet osv. – og det er der faktisk flere eksempler på, at folk har forsøgt at opnå.

Tor er nemlig et teknologisk fællesskab. Softwaren er open source, og den efterhånden imponerende kapacitet, netværket kan levere, er bredt ud på alverdens aktivistiske skuldre, der stiller serverkapacitet til rådighed og installerer et stykke software, der gør serveren til en del af netværket.

En af bidragyderne er danske Henrik Kramselund Jereminsen, der driver en af de mest ­kontroversielle noder – de føromtalte exitnode – og som du kan møde i en kommende artikel på Version2.

De kriminelle deler også informationer om, hvordan de, for eksempel, bedst udnytter stjålne kreditkortoplysninger Illustration: Mads Lorenzen
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Malthe Høj-Sunesen

Hvis man er til true crime møder teknologi, så kan jeg anbefale Darknet Diaries af Jack Rhysider. Der er fortællinger om hacking udført af private og stater; stater der dækker over private hackere; pentesting; phishing. Der er også fortællinger om hvordan politi i forskellige lande bekæmper kriminelle. Hvordan historiske hacks foregik (inkl. NotPetya).

  • 14
  • 0
#2 Dennis Lerche

Hedder det almindelige www så klarenettet (clearnet) ? Hvorfor er der at alment brugte termer skal oversættes, det giver jo ikke mere værdi. Hvis de skal oversættes hvorfor så stoppe der, burde internet og online ikke også oversættes?

  • 2
  • 14
#3 Alexander Færøy

Alt dette kan lade sig gøre, fordi man i 2006 byggede videre på en idé fra 1990’erne om, at man kan maskere sig i det ellers utroligt ­afslørende www ved konstant at skifte ‘udse- ende’.

Tor er ikke fra 2006. Tor Project, Inc. ("virksomheden") er fra 2006. Det meste af den tidlige kode er fra 2001.

En anden ting er at man med Tor lige netop ikke arbejder mod at "konstant skifte udsende": man prøver at få alle til at se ens ud. Det er korrekt at man løbende skifter vej gennem netværket, men hele grunden til at vi bruger tid på at vedligeholde en browser er at vi skal have folk til at se ens ud på diverse hjemmesider (hvilket fonte har de? hvilke emojis kan vi tegne i et HTML canvas? hvor mange pixels har deres browser viewport?, etc.), hvilket ingen af de andre browsere går op i (selvom Mozilla er gode til at tage patches, der hjælper på dette).

Med Tor kommer man igennem mindst fem hop – hvorefter man hopper ud af anonymiteten i en såkaldt exitnode.

Et normalt circuit (3 hops) fra en klient til en alm. internet service (f.eks. et website) er:

Client -> Guard -> Middle -> Exit -> Website

Et Onion Service circuit (6 hops, både klient og server anonymitet) er:

Client -> Guard -> Middle -> Rendezvous Point <- Middle <- Guard <- Onion Service

Et Single-Hop Onion Service circuit (3 hop for klient anonymitet, men ingen server anonymitet da RP kender OS) er:

Client -> Guard -> Middle -> Rendezvous Point <- Onion Service

Der er et par andre typer circuits, som benyttes i netværket, men ingen af dem er på fem relays. Disse typer af circuits benyttes kun til forskellige systemer, som overvåger forskellige egenskaber ved netværkets relays: f.eks. deres tilgængelige båndbredte.

De indekseringer, ­søgemaskinerne er bygget på, taler deres tydelige sprog. Gennem vores research er det lykkedes at finde ét link på mørkenettet, der fører til hæderligt indhold: en server, der oplistede en lang række Tor-noder.

Det siger nok lidt mere om kvaliteten på de søgemaskiner I har brugt end noget andet. Den største Onion Service i Tor netværket er Facebook. Vi kan dog godt blive enige om at Facebook også består af en god del uhæderligt indhold hvis det nu endelig skal være. Der bliver jo både solgt narko, pas, våben og andet snusk. Præcis som på resten af internettet...

  • 24
  • 1
Log ind eller Opret konto for at kommentere