Facebook
Twitter
Tidligere på måneden annoncerede det amerikanske justitsministerium (DOJ) beslaglæggelse og fjernelse af Welcome to Video (WTV), en af de største mørke netmarkeder for børnepornografi i verden. Hjemmesiden blev åbnet via Tor Hidden-tjenester (.løg) og handlede i alt $ 353.000 helt i bitcoin fra 2015 til 2018.
Det bør ikke komme som nogen overraskelse, at alle bitcoin-transaktioner ind og ud af WTV var sporbare. Ved siden af hemmelige efterforskningsteknikker blev Bitcoins pseudo-anonymitet en integreret del af, hvordan efterforskere var i stand til at lokalisere og beslaglægge darknet-markedspladser såvel som dets globale brugerbase.
Yderligere læsning: Er Bitcoin anonym?
I modsætning til hvad man kunne overveje FBI eller NSA-territorium, blev amerikansk involvering i sagen ledet af IRS og Homeland Security Investigations (HSI) holdene. I DOJ bekendtgørelse, Chief Don Fort, leder af IRS-efterforskningsteamet, erklærede, at agenter gennem brug af “sofistikeret sporing af bitcoin-transaktioner” kunne identificere administratoren af WTV-webstedet og lokalisere sin server i Sydkorea. Alt dette er sandt – og det giver en god pressemeddelelse – men der er mere til historien.
Et Blockchain-værktøj, der følger efter pengene
Generelt kræves og anvendes en række forskellige teknikker til dette niveau af cyberundersøgelse. I løbet af sagen blev retshåndhævelse faktisk hjulpet af blockchain-analysesoftware oprettet af Chainalysis. I et interview med Bitcoin Magazine forklarede Jonathan Levin, Chainalysis ‘medstifter og chefstrategichef, den rolle, som Bitcoin spillede i dette tilfælde.
Chainalysis leverer en specialiseret “follow-the-money” -form for datavisualisering til bitcoin-transaktioner til offentlige agenturer, kryptovalutaudvekslinger og traditionelle finansielle institutioner. Men Levin understregede, at Chainalysis aldrig er udelukkende arkitekten til løsning af en sag. Dens software fungerer i en meget mere supplerende støtterolle til retshåndhævelse.
”Hvad vi virkelig leverer er uddannelse og software til retshåndhævende organer, så disse agenturer selv og kryptokurrencyudvekslinger kan samarbejde om at opbygge denne type undersøgelser,” sagde Levin. ”Vi hjælper med at identificere de tjenester, som enkeltpersoner bruger til at indløse og ud af midler. Disse udvekslinger selv kan derefter identificere, hvem disse enkeltpersoner bruger KYC-standarder og derefter kaste lys over disse oplysninger med politiet for at fortsætte og foretage anholdelser. ”
Yderligere læsning: Bitcoin er ikke anonym, og Tor-brugere glemmer dette
Brug af Chainalysis Investigations-produktet Kædeanalysereaktor, IRS-Criminal Investigations (IRS-CI), HSI og en kohorte af andre nationale agenturer over hele verden var i stand til at kortlægge strømmen af transaktioner på Bitcoin-blockchain, der overførte midler til WTV bitcoin-adresser.
Reactor-produktet forenkler i det væsentlige, hvordan folk kan se kryptokurrency-transaktioner, så data fra disse indsigter lettere kan fordøjes og forstås. Disse bitcoin-transaktionsoplysninger blev efterfølgende formidlet som bevis for anholdelse til andre retshåndhævende myndigheder i Storbritannien, Sydkorea, Tyskland, Saudi-Arabien, De Forenede Arabiske Emirater, Tjekkiet, Canada, Irland, Spanien, Brasilien og Australien.
Gennem Chainalysis ‘kortlægning vidste retshåndhævelse at målrette mod andre darknet-markeder og kryptokurrencyudvekslinger for yderligere at identificere WTV-brugerbasen til efterfølgende arrestationer. Amerikansk baserede kryptokurrencyudvekslinger er i det mindste forpligtet ved lov til at følge KYC-standarder og overholde lovhåndhævelse. Mange af disse udvekslinger gav kopier af identifikation, adresser og anden transaktionsinformation, mens open source-intelligens og “standardundersøgelsesteknikker” gjorde resten.
”Dette er en af de mest succesrige fjernelser af et websted for børnepornografi i de sidste par år,” sagde Levin, “og det blev aktiveret både gennem retshåndhævelsesindsats og samarbejde med kryptokurrencyudvekslinger, og uden dette ville sagen ikke have været vellykket.”
I betragtning af at Chainalysis positionerer sig i kryptokurrencyøkosystemet som et data- og compliancefirma, der leverer analysesoftware til offentlige agenturer, finansielle institutioner og kryptokurrencyudvekslinger, mener Levin, at kamp mod den voldelige anvendelse af kryptokurrency vil skabe mere tillid til markedet og bringe flere muligheder for flere folk.
Efterhånden som kryptokurver bliver mere almindelige, rører ved og integrerer mere traditionelle finansielle institutioner i kryptokurrencyøkonomien, er der et konstant stigende behov for at forstå, hvordan og hvorfor folk bruger kryptokurver. Som et resultat ekspanderer Chainalysis over hele linjen i alle sine forretningsområder. Levin sagde, at det vil fortsætte med at tilføje flere kryptokurver til sin platform og udvide globalt, især i Asien-Stillehavsområdet.
I modsætning til mere traditionelle anti- (fiat) hvidvaskningstjenester har Chainalysis en klar fordel.
“Forskellen mellem hvad de gør, og hvad Chainalysis gør, ligger i det klare faktum, at blockchain-analyse kræver en offentligt tilgængelig uforanderlig hovedbog,” forklarede Levin.
En åbenbar observation set ud fra et follow-the-money perspektiv ved hjælp af en offentligt uforanderlig hovedbog gør det langt mindre vanskeligt og tidskrævende at analysere transaktionsdata.
Blockchain-analyse vs. CoinJoin
Forskning over internettet om effektiviteten af blandingstjenester som CoinJoin giver en miasma af meninger. Tidligere har embedsmænd og teknologer sagt, at det kan blive revnet. Teknologien til både blanding og unmixing af kryptokurrency fortsætter dog med at blive bedre. En kablet artikel giver en vis baggrund for, hvorfor det ikke altid er i en offentlig eller privat organisations interesse at afsløre en detaljeret metode til unmixing for offentligheden.
Også den virkelige effektivitet ved at blande mønter er sandsynligvis ikke et simpelt ja-eller-nej-svar. Sådan forklarer Levin det:
”Der har været tilfælde, hvor CoinJoin er relativt ineffektiv; der har været tilfælde, hvor det har været effektivt. Så der er ikke et dækkende svar på, om blockchain-analyse gør eller ikke kommer gennem blandingstjenester som CoinJoin. ”
Den anden store operationelle glide op
Hvis man lægger Bitcoin til side, kan man finde en anden vigtig pause i sagen anklage (eksplicit) for WTVs administrator, Jong Woo Son. Tiltalen viser en anden vigtig sikkerhedsseddel. I september 2017 opdagede efterforskere, at ved at højreklikke på WTV-hjemmesiden og vælge “se sidekilde”, kunne enhver se websideserverens IP-adresse.
En måned senere blev en anden IP-adresse eksponeret på samme måde. Disse to IP’er blev brugt som bevis og spores tilbage til en enkelt konto, der var vært af en telekommunikationsudbyder i Sydkorea. Kontoen blev registreret hos Son.
I løbet af samme tid sendte en undercover-agent gentagne gange BTC til en bitcoin-tegnebogadresse, der blev angivet på WTV-webstedet. Hver gang overførte ejeren af denne bitcoin-adresse midler til en anden adresse, der var på en “BTC-udveksling.” Signaturkortet for kontoen blev holdt i Son’s navn.
Med rimelig dokumentation for at søge i Son’s hus fandt efterforskere yderligere indikatorer til at bekræfte Son som WTVs administrator, herunder fire e-mail-konti, der ejes af Son, der er knyttet til den samme lækkede IP-adresse på WTVs hjemmeside.
Så hvorfor bruge Bitcoin?
Mellem 2015 og dens lukning i 2018 indeholdt WTV over en kvart million videoer, over otte terabyte med måske noget af det mest dårlige indhold på internettet. Det opkrævede brugere så meget som $ 350 i bitcoin for et abonnement. I DOJ-udgivelsen hedder det, at dette websted var en af de første af sin art til at tjene penge på børn udnyttelsesvideoer ved hjælp af bitcoin.
At acceptere kun bitcoin for dette niveau af kriminel aktivitet var imidlertid ikke kun uklogt, det var også ret ualmindeligt. Ifølge den ikke-akademiske darkweb-, krypto- og narkotikamarkedsforsker Caleb (@ 5auth), “markedspladser som WTV kræver normalt ikke betaling.”
Caleb har en meget bedre forståelse af darkweb end den gennemsnitlige person. Hans syn på betydningen af WTV-nedlukningen er ret østrigsk. Når alt kommer til alt, i anonyme – og i WTVs tilfælde, uhyggelige – markedspladser, bevæger den usynlige hånd altid markedet.
”WTV udfyldte et sted, der nu er ledigt,” sagde Caleb. ”Nogen opretter et websted og udfylder tomrummet. Det nye websted vil sandsynligvis lave færre grundlæggende fejl under oprettelsen og øve bedre opsec. Men jeg tvivler på, at de vil droppe støtten til bitcoin eller håndhæve brugen af flere private kryptokurver. ”
På dette sidste punkt er Levin enig: “Det vil tage lang tid for enhver anden kryptovaluta at frigøre bitcoin som den mest anvendte kryptovaluta på darkweb,” sagde han.
Og fordi bitcoin er den mest afprøvede metode til betaling på disse ulovlige onlinemarkeder, ville det ikke være dårligt for virksomhederne at acceptere det..
”Der har været meget forskning, der har vist, at darknet-markedspladser har reel konkurrence, og set fra et akademisk perspektiv synes jeg, at disse markedspladsers uundgåelighed kan eksistere,” sagde Levin. ”Hvis [det at tale om darknet-platforme generelt] markedsføres for at forsøge at få så mange mennesker som muligt til at deltage på markedet, og det betyder transaktion i bitcoin, så føler folk måske, at det er værd at risikoen, hvis det betyder at få et større mål marked.”
Dette kommer til den paradoksale natur ved at bruge bitcoin til kriminel aktivitet. Fra et operativt sikkerhedsperspektiv viser WTV-nedlukningen, at det sandsynligvis er en af de værste betalingsmetoder for dette niveau af kriminel aktivitet.
Men i det mindste generelt set om darkweb-økonomi er bitcoin stadig den langt mest anvendte og accepterede betalingsmetode. Ifølge Caleb viser beviser, at indtil for få måneder siden næsten alle mørkeweb-lægemiddelmarkeder, der kun accepterede monero, i sidste ende mislykkedes eller døde på grund af mangel på kunder.
Et eller to kun XMR-markeder genererer indtægter. Caleb påpeger imidlertid, at selvom Monero måske ser bedre ud for ulovlig aktivitet, foretrækker markedet stadig bitcoin og ikke at acceptere det vil begrænse væksten.
“‘Fly-by-night’ markeder kan oprette butik med et af de mange scripts til at skabe et grundlæggende marked, der kun accepterer bitcoin og stadig dræber,” sagde Caleb.
Afsendelse af en “Clear Message” til Darknet Markets
I sidste ende betalte bitcoin for WTV-abonnementer, og det førte efterforskere til døren til Jong Woo Song, en 23-årig sydkoreansk statsborger, der i øjeblikket tjener sin dom som den dømte administrator og serviceoperatør for WTV.
En analyse af serveren afslørede, at webstedet havde mere end en million bitcoin-adresser, hvilket betyder, at det havde kapacitet til mindst en million brugere.
I alt har retshåndhævende myndigheder overalt i verden delt data indsamlet fra det beslaglagte websted og kryptokursudvekslinger for at identificere og retsforfølge sine kunder. Indtil videre er disse oplysninger sendt til 38 lande og resulteret i arrestationen af mere end 337 mennesker over hele kloden. Der har været søgninger i boliger og virksomheder hos 92 forskellige enkeltpersoner i USA, hvoraf to var tidligere føderale agenter.
I Washington, DC, førte beslaglæggelsen af WTV til en særlig dramatisk række begivenheder, der startede med “udførelse af fem søgningsoptioner og otte anholdelser af personer, der begge konspirerede med administratoren af webstedet og selv var brugere,” ifølge til DOJ-frigivelsen. “To af disse brugere begik selvmord efter udførelsen af søgegarantier.”
DOJ-udgivelsen bemærkede også, at WTV-fjernelse og opfølgningsundersøgelser er “ansvarlige for redningen af mindst 23 mindre ofre, der er bosiddende i USA, Spanien og Det Forenede Kongerige, som blev misbrugt aktivt af brugere af stedet.”
I dag er sagen stadig i live, og efterforskerne forfølger stadig WTV-brugere. En kædeanalyse blogindlæg blev frigivet sammen med DOJ-meddelelsen, som kunne betragtes som risikabel.
Levin anerkendte den potentielle ulempe, men stod ved denne beslutning og sagde: ”Det er rigtigt, du kan drive denne form for aktivitet længere under jorden, men jeg tror, denne sag sender en virkelig klar besked.”