Tidligere denne måneden kunngjorde USAs justisdepartement (DOJ) beslag og fjerning av Welcome to Video (WTV), en av de største markedsplassene for mørke nett for barnepornografi i verden. Nettstedet ble åpnet gjennom Tor Hidden-tjenester (.løk) og gjennomførte totalt $ 353 000 helt i bitcoin fra 2015 til 2018.

Det skulle ikke komme som noen overraskelse at alle bitcoin-transaksjoner inn og ut av WTV var sporbare. Ved siden av hemmelige etterforskningsteknikker ble Bitcoins pseudo-anonymitet en integrert del av hvordan etterforskere var i stand til å lokalisere og ta tak i darknet-markedsplassene, så vel som den globale brukerbasen..

Videre lesning: Er Bitcoin anonym?

I motsetning til hva man kan vurdere FBI eller NSA-territorium, ble USAs involvering i saken ledet av IRS og Homeland Security Investigations (HSI) team. I DOJ kunngjøring, Sjef Don Fort, leder for IRSs etterforskningsteam, uttalte at agenter var i stand til å identifisere administratoren av WTV-nettstedet og finne serveren i Sør-Korea gjennom bruk av “sofistikert sporing av bitcoin-transaksjoner”. Alt dette stemmer – og det gir en god pressemelding – men det er mer til historien.

Et Blockchain-verktøy som følger med pengene

Generelt kreves og brukes en rekke teknikker for dette nivået av cyberetterforskning. I løpet av saken ble rettshåndhevelse faktisk hjulpet av blockchain-analyseprogramvare opprettet av Chainalysis. I et intervju med Bitcoin Magazine forklarte Jonathan Levin, Chainalysis ’medstifter og strategidirektør, rollen som Bitcoin spilte i dette tilfellet.

Chainalysis gir en spesialisert “follow-the-money” stil for datavisualisering for bitcoin-transaksjoner til offentlige etater, kryptovaluta-børser og tradisjonelle finansinstitusjoner. Men Levin understreket at Chainalysis aldri er utelukkende arkitekten for å løse en sak. Programvaren fungerer i en mye mer supplerende støtterolle for rettshåndhevelse.

“Det vi virkelig tilbyr er opplæring og programvare til politimyndigheter, slik at byråene selv og kryptovalutautvekslinger kan samarbeide om å bygge denne typen undersøkelser,” sa Levin. “Vi hjelper med å identifisere tjenestene som enkeltpersoner bruker for å tjene penger og ut penger. Disse børsene selv kan deretter identifisere hvem disse individene bruker KYC-standarder og deretter kaste lys over den informasjonen med politimyndighetene for å fortsette og arrestere. “

Videre lesning: Bitcoin er ikke anonym, og Tor-brukere glemmer dette

Bruk av Chainalysis Investigations-produktet Chainalysis Reactor, IRS-kriminelle etterforskninger (IRS-CI), HSI og en gruppe andre nasjonale byråer over hele verden var i stand til å kartlegge strømmen av transaksjoner på Bitcoin blockchain som overførte midler til WTV bitcoin-adresser.

Reactor-produktet forenkler i hovedsak hvordan folk kan se kryptovaluta-transaksjoner, slik at data fra denne innsikten lettere kan fordøyes og forstås. Denne bitcoin-transaksjonsinformasjonen ble deretter formidlet som bevis for arrest til andre politimyndigheter i Storbritannia, Sør-Korea, Tyskland, Saudi-Arabia, De forente arabiske emirater, Tsjekkia, Canada, Irland, Spania, Brasil og Australia.

Kartlegging av transaksjonsanalyser kan ta ned mørke nettmarkeder.Chainalysis bitcoin-transaksjonskartlegging og visualisering som viser strømmen av midler inn og ut av Welcome to Video-adresser.

Gjennom Chainalysis ’kartlegging visste rettshåndhevelse å målrette seg mot andre darknet-markeder og kryptovaluta-børser for ytterligere å identifisere WTV-brukerbasen for påfølgende arrestasjoner. USA-baserte kryptovaluta-utvekslinger er i det minste lovpålagt å følge KYC-standarder og overholde lovhåndhevelse. Mange av disse børsene ga kopier av identifikasjon, adresser og annen transaksjonsinformasjon, mens åpen kildekode-intelligens og “standard etterforskningsteknikker” gjorde resten..

“Dette er en av de mest vellykkede fjernelsene av et nettsted for barnepornografi de siste årene,” sa Levin, “og det ble muliggjort både gjennom politiarbeid og samarbeid med kryptovalutautvekslinger, og uten det ville saken ikke vært like vellykket.”

Gitt at Chainalysis posisjonerer seg i kryptovalutaøkosystemet som et data- og compliancefirma, og som leverer analyseprogramvare til offentlige etater, finansinstitusjoner og kryptovalutautvekslinger, mener Levin å kjempe mot voldelig bruk av kryptovaluta vil skape mer tillit i markedet og gi flere muligheter for flere mennesker.

Etter hvert som kryptovaluta blir mer vanlig, berører og integrerer mer tradisjonelle finansinstitusjoner i kryptovalutaøkonomien, er det et stadig økende behov for å forstå hvordan og hvorfor folk bruker kryptovalutaer. Som et resultat utvides Chainalysis over hele linjen i alle forretningsområdene. Levin sa at det vil fortsette å legge til flere kryptovalutaer på plattformen og utvide seg globalt, spesielt i Asia-Stillehavsregionen.

I motsetning til mer tradisjonelle anti- (fiat) hvitvaskingstjenester, har Chainalysis en klar fordel.

“Forskjellen mellom hva de gjør og hva Chainalysis gjør ligger i det klare faktum at blockchain-analyse krever en offentlig tilgjengelig uforanderlig hovedbok,” forklarte Levin.

En åpenbar observasjon fra et følge-pengene-perspektivet ved å bruke en offentlig uforanderlig hovedbok gjør det langt mindre vanskelig og tidkrevende å analysere transaksjonsdata.

Blockchain-analyse mot CoinJoin

Forskning over internett om effektiviteten av å blande tjenester som CoinJoin gir en miasma av meninger. Tidligere har myndighetspersoner og teknologer sagt at det kan knekkes. Imidlertid fortsetter teknologien for både miksing og unmixing av kryptovaluta å bli bedre. En kablet artikkel gir litt bakgrunn i hvorfor det ikke alltid er en offentlig eller privat organisasjons beste å avsløre en detaljert blandingsmetodikk for publikum.

Den virkelige effekten av å blande mynter er sannsynligvis ikke et enkelt ja-eller-nei-svar. Slik forklarer Levin det:

“Det har vært tilfeller der CoinJoin er relativt ineffektiv; det har vært tilfeller der det har vært effektivt. Så det er ikke noe svar på om blockchain-analyse gjør det eller ikke kommer gjennom miksetjenester som CoinJoin. ”

The Other Major Operational Slip Up

Hvis du legger til side Bitcoin, kan du finne en annen viktig pause i saken tiltale (eksplisitt) for WTVs administrator, Jong Woo Son. Tiltalen viser nok en større sikkerhetsseddel. I september 2017 oppdaget etterforskerne at ved å høyreklikke på WTV-hjemmesiden og velge “vis sidekilde”, kunne hvem som helst se nettserverens IP-adresse.

En måned senere ble en annen IP-adresse avslørt på samme måte. Disse to IP-ene ble brukt som bevis og spores tilbake til en enkelt konto som er vert for en telekommunikasjonsleverandør i Sør-Korea. Kontoen ble registrert hos Son.

I løpet av samme tid sendte en undercover-agent BTC gjentatte ganger til en bitcoin-lommebokadresse gitt på WTV-nettstedet. Hver gang overførte eieren av denne bitcoin-adressen midler til en annen adresse som ble holdt på en “BTC-utveksling.” Signaturkortet for kontoen ble holdt i Sons navn.

Med rimelig bevis for å søke i Son’s hus, fant etterforskerne ytterligere indikatorer for å bekrefte Son som WTVs administrator, inkludert fire e-postkontoer eid av Son knyttet til samme lekkede IP-adresse på WTVs hjemmeside.

Så hvorfor bruke Bitcoin?

Mellom 2015 og nedleggelsen i 2018 inneholdt WTV over en kvart million videoer, over åtte terabyte med kanskje noe av det mest dårlige innholdet på internett. Det kostet brukere så mye som $ 350 i bitcoin for et abonnement. DOJ-utgivelsen sier at dette nettstedet var en av de første i sitt slag for å tjene penger på utnyttelse av barnevideoer ved hjelp av bitcoin.

Å akseptere bare bitcoin for dette nivået av kriminell aktivitet var imidlertid ikke bare uklokt, det var også ganske uvanlig. I følge den ikke-akademiske darkweb-, krypto- og narkotikamarkedsforskeren Caleb (@ 5auth), “markedsplasser som WTV krever vanligvis ikke betaling.”

Caleb har en mye bedre forståelse av darkweb enn den gjennomsnittlige personen. Hans syn på betydningen av WTV-nedleggelsen er ganske østerriksk. Når alt kommer til alt, i anonyme – og i WTVs tilfelle, uhyggelige – markedsplasser, beveger den usynlige hånden alltid markedet.

“WTV fylte et sted som nå er ledig,” sa Caleb. “Noen vil opprette et nettsted og fylle ut tomrommet. Det nye nettstedet vil trolig gjøre færre grunnleggende feil under opprettelsen og øve bedre opsec. Men jeg tviler på at de vil slippe støtten til bitcoin eller håndheve bruken av flere private kryptovalutaer. ”

På dette siste punktet er Levin enig: “Det vil ta ganske lang tid for andre kryptovalutaer å fjerne bitcoin som den mest brukte kryptovalutaen på darkweb,” sa han.

Og fordi bitcoin er den mest velprøvde betalingsmetoden i disse ulovlige online markedene, ville det ikke være dårlig for virksomheten å ikke akseptere det..

“Det har vært mye forskning som har vist at darknet-markedsplasser har reell konkurranse, og fra et akademisk perspektiv tror jeg det er uunngåelig at disse markedsplassene eksisterer,” sa Levin. “Hvis [det å snakke om darknet-plattformer generelt] markedsføres for å prøve å få så mange mennesker som mulig til å delta på markedet, og det betyr transaksjoner i bitcoin, kan folk føle at det er verdt risikoen hvis det betyr å få et større mål marked.”

Dette blir paradoksalt ved å bruke bitcoin til kriminell aktivitet. Fra et operativt sikkerhetsperspektiv viser WTV-nedleggelsen at det sannsynligvis er en av de verste betalingsmåtene for dette nivået av kriminell aktivitet.

Imidlertid, i det minste generelt sett om darkweb-økonomi, er bitcoin fremdeles den klart mest brukte og aksepterte betalingsmåten. Ifølge Caleb viser bevis at inntil for noen måneder siden, nesten alle narkotikamarkeder med mørke nettsteder som bare godtok monero, til slutt mislyktes eller døde på grunn av mangel på kunder..

Darknet Markets Mulighet for å betale med MoneroEt SamaSara Market stemmer for XMR-implementering

Ett eller to bare XMR-markeder genererer inntekt. Imidlertid påpeker Caleb at mens Monero kan virke bedre for ulovlig aktivitet, foretrekker markedet fortsatt bitcoin og ikke aksepterer det vil begrense veksten.

“‘Fly-by-night’ markeder kan etablere butikk med et av de mange manusene for å skape et grunnleggende marked som bare aksepterer bitcoin og fremdeles gjør et drap,” sa Caleb.

Sende en “Clear Message” til Darknet Markets

Til slutt betalte bitcoin for WTV-abonnementer, og det var det som førte etterforskerne til døren til Jong Woo Song, en 23 år gammel sørkoreansk statsborger, som for tiden soner sin dom som den dømte administratoren og tjenesteoperatøren av WTV..

En analyse av serveren avslørte at nettstedet hadde mer enn en million bitcoin-adresser, noe som tydet på at det hadde kapasitet til minst en million brukere.

Totalt har rettshåndhevelsesbyråer over hele verden delt data samlet inn fra det beslaglagte nettstedet og kryptovaluta-børser for å identifisere og straffeforfølge sine kunder. Så langt er denne informasjonen sendt til 38 land og resulterte i arrestasjonen av mer enn 337 mennesker over hele kloden. Det har blitt foretatt søk i boliger og virksomheter hos 92 forskjellige personer i USA, hvorav to tidligere føderale agenter.

I Washington, DC, førte beslagleggingen av WTV til en spesielt dramatisk serie av begivenheter, som startet med “henrettelsen av fem søkeordrer og åtte arrestasjoner av personer som begge konspirerte med administratoren av nettstedet og som selv var brukere,” ifølge til DOJ-utgivelsen. “To av disse brukerne begikk selvmord etter utførelsen av søkegarantier.”

DOJ-utgivelsen bemerket også at WTV-fjerning og oppfølgingsundersøkelser er “ansvarlige for redning av minst 23 mindre ofre bosatt i USA, Spania og Storbritannia, som ble misbrukt aktivt av brukere av nettstedet.”

I dag lever saken fortsatt, og etterforskerne forfølger fortsatt WTV-brukere. En kjedeanalyse blogg innlegg ble løslatt sammen med DOJ-kunngjøringen, som kunne betraktes som risikabel.

Levin erkjente den potensielle ulempen, men sto ved denne avgjørelsen og sa: “Ikke sant, du kan drive denne typen aktiviteter lenger under jorden, men jeg tror denne saken sender en veldig klar melding.”