ЦП в ЛС

В 2015 году норвежский хакер Эйнар Отто Стангвик благодаря своим разработкам разоблачил 95 000 потребителей детской порнографии со всего мира.

Два года спустя, в октябре 2017 года, Стангвик сдеанонил крупнейший теневой форум Childs Play, где распространялось порно с участием детей и поднимались темы насилия. Он был потрясен своим открытием: интернациональная площадка с миллионом пользователей была запущена оперативниками австралийской полиции.

11 месяцев австралийские следователи собирали информацию о нарушителях, жертвах и пользователях, но портал прекратил свою работу лишь несколько недель назад.

M: Вы раскрыли самый популярный ресурс с огромным количеством детской порнографии. Как вам это удалось?

S: В течение месяца мы ломали головы, каким образом можно осуществить атаку на него. Мы собирались деанонимизировать не только администрацию Childs Play, но и других пользователей: например, продюсеров видеороликов и людей, которые принуждают детей к сексу. Затем я попытался загрузить всю текстовую информацию для ее классификации, но в результате мы пришли к мёртвой точке. В конце 2016 года мы были вынуждены приостановить работу, так как не нашли эффективный способ взлома.

M: Как дела шли дальше?

S: Это произошло в начале января этого года. Я приехал в офис и меня осенило, что к задаче нужно подойти с другой стороны. Я провёл целый день, копаясь в исходном коде MyBB - системы программного обеспечения Childs Play. Именно тогда я обратил внимание на алгоритм загрузки изображения на юзерпик профиля. Я был ошарашен, когда понял, что эта функция не обеспечена защитой через Tor.

M: Почему эта находка так сильно ошеломила вас?

S: Потому что она позволила мне воспользоваться самым простым трюком. Дело в том, что для взлома сайта нужно найти способ загрузить файлы или “контрабанду” внутрь вашего собственного кода. Фактически, это заставляет сервер соединиться с внешним миром, открывая слабую точку для атаки. Большинство программ не допускают этого, так как атака сервера через локальные файлы является наиболее очевидным способом. Я ожидал, что сайты с насильственным контентом в дипвебе будут блокировать все внешние соединения. Или, по крайней мере, использовать сеть Tor для таких подключений.

M: То есть загрузка изображения была дешёвым книжным трюком, но сработала?

S: Сначала я был настроен скептически. Это казалось самым тупым способом заставить сервер раскрыть свой IP-адрес. Но я всё равно попробовал. К моему удивлению, я действительно получил IP.

M: Вы нашли уязвимость в январе 2017 года, когда полиция работала на сервере 3 месяца. Эта ошибка как-то связана с администраторами из полиции или она существовала и ранее?

S: Трудно сказать. Когда я нашел уязвимость, я и предположить не мог, что в администрации будет полиция. Подобные ошибки происходят постоянно.

На самом деле я использовал тот же метод для разоблачения двух других даркнет-сайтов с материалами насильственного характера над детьми. Одним из них был Elysium, след которого Федеральное управление уголовной полиции Германии взяло в июне. Я выяснил их IP-адреса примерно в то же время, что и у Childs Play.

M: Вы предоставляли их властям?

S: Нет. Через неделю я увидел в Твиттере, что кто-то другой разместил IP-адрес Elysium.

M: Вернёмся к Childs Play. Как вы тогда поступили? IP-адреса в даркнете могут быть ложными, тем более, что сайты пытаются скрыть свое истинное местоположение.

S: Верно. Немного позже я выяснил, что IP-адрес принадлежит компании Digital Pacific, расположенной в Сиднее. Я пытался выяснить тремя разными способами, был ли это реальный IP-адрес, а не только узел выхода Tor, VPN или прокси-сервер.

M: Вы говорите о трех распространенных способах маскировки реального IP-адреса для анонимного веб-сёрфинга: сеть Tor, которая осуществляет связь через несколько узлов; Виртуальная частная сеть (VPN), которая заменяет реальный IP через виртуальную сеть и прокси-сервер, который служит дополнительной точкой пересечения между двумя серверами.

S: Именно так. Я должен был исключить эти три метода. Для первого теста я арендовал свой собственный сервер через Digital Pacific. Затем я измерил длительность соединения между сервером Childs Play и моим сервером. В случае с Tor требуется не менее 250 миллисекунд до того, чтобы запрос достиг цели и отобразил содержимое сайта в браузере. Движение трафика через Tor осуществляется через несколько узлов, чтобы скрыть местоположение отправителя и получателя. Но мне потребовалось меньше времени для установления связи. Похоже, серверы были расположены рядом, что позволило исключить первый метод: IP не был узлом Tor.

M: А второй способ?

S: Для его применения я должен был проверить, принадлежит ли IP-адрес VPN или прокси-серверу, или, возможно, сервер был в субаренде кого-то ещё. Для этого я проанализировал значения “Time To Live”, которые отображают количество промежуточных остановок пакета данных на всем пути. Результаты показали, что было максимум две остановки. Это указывало на возможность соединения моего сервера непосредственно с сервером Childs Play.

Третий и последний шаг был наиболее показательным: я проанализировал размеры пакетов данных. При VPN-соединении стандартные размеры в локальной компьютерной сети превышают максимальную единицу передачи через VPN. На сервере Childs Play большие пакеты данных были разделены на более мелкие, что подтверждало локальное подключение к Интернету. Это был реальный IP-адрес.

M: Некоторые полагают, что даркнет является безопасным убежищем для любителей и создателей детской порнографии. Вы потратили годы на исследования этой сферы как в дарквебе, так и в белом интернете. Что вы об этом думаете?

S: Даркнет в целом, а особенно Tor действительно защищает участников индустрии - теневые сайты в 10, а может и в 100 раз труднее найти, чем в обычном интернете. Но проблема детской порнографии актуальна не только для даркнета. В белом интернете есть много подобного контента, с которым полиция тоже испытывает трудности. Мое предыдущее исследование наглядно показало огромное количество детской порнографии в обычном интернете.

M: Где такой контент существует в "нормальном" интернете?

S: А это самое печальное: он везде. На YouTube, Pastebin, в группах Facebook, в обсуждениях на Reddit, в Twitter. И это лишь то, что можно найти в Google. Во время проведения исследования я узнал, что большинство пользователей получают доступ к нему через обыкновенные поисковые системы. Это распространяется лишь на тех, кто "я просто посмотреть". Другими словами: которые не производят и не распространяют. К сожалению, эти люди чаще всего остаются невидимыми для закона - их просто слишком много. Есть десятки тысяч пользователей, которые ищут детскую порнографию прямо сейчас. Маловероятно, что при такой загрузке они будут пойманы.

M: Если так, то тогда зачем эти люди вообще посещают сайты вроде Childs Play и Elysium в даркнете, если ее легко найти и в белой части?

S: Из-за доступности. На форумах в даркнете все собрано в одном месте. К тому же, структуризация упрощает поиск. Но есть большая разница в уровнях безопасности между серфингом в дипвебе и обычном пространстве: когда технически не подкованный пользователь или юзер без защиты выходят в темное пространство, вполне вероятно, что они автоматически попадают под наблюдение полиции.

M: Значит, Tor можно рассматривать не только как пространство для преступников, но и как инструмент правоохранительных органов?

S: Можно сказать и так. Пользователи, которые разбираются в кибербезопасности, бесспорно выигрывают от технологии Tor. Но даже они уязвимы перед полицией. Большинство людей в какой-то момент совершают неосторожность, которая приводит к их разоблачению. Вот почему бывшие управляющие Childs Play сейчас за решеткой. В конечном счете, все эти сайты обречены на провал с самого начала. Инновационный метод вычисления или разработки, которые пробьют и самую надёжную защиту - лишь вопросы времени. И на этом всё. Всё кончено.

M: Каково это -  обнаружить, что Childs Play контролирует полиция Австралии?

S: Мне было трудно поверить, что это может быть правдой. Особенно когда я узнал, что полицейские делились порнографическими материалами, чтобы не вызывать подозрений. Но с технической точки зрения я знал, что вряд ли есть более эффективные методы подобных расследований.

M: Полиция контролировала сайт с детской порнографией в общей сложности 11 месяцев.  Что вы думаете о таких сроках?

S: Было ли разумным потратить 11 месяцев или нет, зависит от количества пойманных преступников. Если таких было всего 10, то я считаю операцию проваленной. Нельзя забывать, что в течение этого времени материалы распространялись, создавалась новая продукция, а преступники продолжали строить планы изнасилования детей.

M: А если полиция поймает 100 или 200 человек?

S: Это был бы отличный результат. Но их средний показатель может колебаться от 10 до 100 человек, и полицейские всё ещё могут утверждать, что они использовали время осмысленно, потому что смогли усовершенствовать свои навыки работы под прикрытием, чтобы сделать их следующую операцию более эффективной.

Мы никогда не узнаем, когда полиция нашла необходимые улики для ареста и уголовного обвинения - через пять месяцев или может даже две недели. Нам нужна независимая и международная организация, которая могла бы провести аудит процесса и сделать правильные выводы.

Я не только критикую действия полиции. Такая оценка также помогла бы им самостоятельно проверить и оптимизировать работу. Но я сомневаюсь, что это произойдет. Полиция просто не часто любит показывать свои карты.