Začátkem tohoto měsíce americké ministerstvo spravedlnosti (DOJ) oznámilo zabavení a zastavení šíření aplikace Welcome to Video (WTV), jednoho z největších trhů darknetu s dětskou pornografií na světě. Na web byl přistupován prostřednictvím služeb Tor Hidden (.cibule) a od roku 2015 do roku 2018 uskutečnil celkem 353 000 $ v bitcoinech.

Není žádným překvapením, že všechny transakce s bitcoiny dovnitř a ven z WTV byly sledovatelné. Vedle tajných vyšetřovacích technik se pseudoanonymita bitcoinu stala nedílnou součástí toho, jak vyšetřovatelé dokázali lokalizovat a zmocnit se darknetových trhů i jeho globální uživatelské základny.

Další čtení: Je bitcoin anonymní?

Na rozdíl od toho, co by se dalo považovat za území FBI nebo NSA, byla účast USA v případě vedena týmy IRS a Homeland Security Investigations (HSI). V DOJ oznámení, Šéf Don Fort, vedoucí vyšetřovacího týmu IRS, uvedl, že pomocí „sofistikovaného trasování bitcoinových transakcí“ byli agenti schopni identifikovat správce webu WTV a lokalizovat jeho server v Jižní Koreji. To vše je pravda – a přispívá to k skvělé tiskové zprávě – ale příběh obsahuje ještě více.

Blockchainový nástroj ve stylu Follow-the-Money

Obecně je pro tuto úroveň kybernetického vyšetřování vyžadována a používána celá řada technik. Během případu vymáhání práva ve skutečnosti pomáhal software pro analýzu blockchain vytvořený Chainalysis. V rozhovoru pro Bitcoin Magazine Jonathan Levin, spoluzakladatel a hlavní strategický ředitel společnosti Chainalysis, vysvětlil roli, kterou v tomto případě hrály bitcoiny.

Chainalysis poskytuje vládním agenturám, burzám kryptoměn a tradičním finančním institucím specializovaný styl vizualizace dat „po penězích“ pro bitcoinové transakce. Levin však zdůraznil, že Chainalysis nikdy není čistě architektem pro řešení případu. Jeho software má mnohem větší podpůrnou roli při vymáhání práva.

“To, co skutečně poskytujeme, je školení a software pro orgány činné v trestním řízení, aby tyto agentury samy a burzy kryptoměn mohly spolupracovat při vytváření těchto typů vyšetřování,” řekl Levin. “Pomáháme identifikovat služby, které jednotlivci používají k inkasování a odčerpávání prostředků.” Tyto výměny samy pak mohou zjistit, kdo tito jednotlivci používají standardy KYC, a poté tyto informace osvětlit pomocí donucovacích orgánů, aby mohli pokračovat a zatknout. “

Další čtení: Bitcoin není anonymní a uživatelé Tor na to zapomínají

Použití produktu Chainalysis Investigations Chainalysis Reactor, IRS-Criminal Investigations (IRS-CI), HSI a skupina dalších národních agentur po celém světě dokázaly zmapovat tok transakcí na bitcoinovém blockchainu, který převáděl prostředky na bitcoinové adresy WTV.

Produkt Reactor v podstatě zjednodušuje, jak mohou lidé vidět transakce kryptoměny, takže data z těchto poznatků lze snáze strávit a pochopit. Tyto informace o transakcích bitcoinů byly následně šířeny jako důkaz o zatčení dalším orgánům činným v trestním řízení ve Velké Británii, Jižní Koreji, Německu, Saúdské Arábii, Spojených arabských emirátech, České republice, Kanadě, Irsku, Španělsku, Brazílii a Austrálii.

Mapování transakcí řetězovou analýzou může zničit trhy darknetů.Mapování a vizualizace transakcí bitcoinových řetězců zobrazující tok finančních prostředků dovnitř a ven z adres Welcome to Video.

Prostřednictvím mapování Chainalysis věděli donucovací orgány, aby se zaměřily na další trhy darknetů a burzy kryptoměn, aby dále identifikovaly uživatelskou základnu WTV pro následné zatčení. Americké burzy kryptoměn jsou minimálně ze zákona povinny dodržovat standardy KYC a dodržovat vymáhání práva. Mnoho z těchto výměn poskytovalo kopie identifikačních údajů, adres a dalších informací o transakcích, zatímco zbytek zajišťovala inteligence otevřeného zdroje a „standardní vyšetřovací techniky“.

“Jedná se o jeden z nejúspěšnějších zastavení šíření webových stránek o dětské pornografii za posledních několik let,” uvedl Levin, “a bylo to umožněno jak snahou o vymáhání práva, tak spoluprací s burzami kryptoměny, a bez toho by případ nebyl takový úspěšný.”

Vzhledem k tomu, že Chainalysis se v ekosystému kryptoměny umisťuje jako firma zabývající se daty a dodržováním předpisů a poskytuje analytický software vládním agenturám, finančním institucím a burzám kryptoměn, Levin si myslí, že boj proti zneužívání kryptoměny vytvoří větší důvěru v trh a přinese více příležitostí více lidí.

Jak se kryptoměny stávají běžnějšími, dotýkají se a integrují tradičnější finanční instituce do ekonomiky kryptoměn, neustále roste poptávka po pochopení toho, jak a proč lidé kryptoměny používají. Výsledkem je, že Chainalysis expanduje plošně ve všech svých obchodních liniích. Levin uvedl, že bude i nadále přidávat další kryptoměny na svou platformu a expandovat po celém světě, zejména v asijsko-pacifickém regionu.

Na rozdíl od tradičnějších služeb proti praní špinavých peněz má Chainalysis jasnou výhodu.

“Rozdíl mezi tím, co dělají, a tím, co dělá Chainalysis, spočívá v jasné skutečnosti, že blockchainová analýza vyžaduje jednu veřejně dostupnou neměnnou knihu,” vysvětlil Levin.

Zjevné pozorování z pohledu následných peněz, použití jedné veřejně neměnné účetní knihy je mnohem méně obtížné a časově náročné analyzovat transakční data.

Analýza blockchainu vs. CoinJoin

Výzkum přes internet o efektivitě míchání služeb, jako je CoinJoin, přináší řadu názorů. V minulosti vládní úředníci a technologové říkali, že to může být prolomeno. Technologie pro směšování i směšování kryptoměny se však stále zlepšuje. Kabelové článek poskytuje základní informace o tom, proč odhalení podrobné metodiky směšování pro veřejnost není vždy v nejlepším zájmu veřejné nebo soukromé organizace.

Skutečná účinnost míchání mincí také pravděpodobně není jednoduchá odpověď ano nebo ne. Levin to vysvětluje takto:

“Byly případy, kdy je CoinJoin relativně neúčinný;” byly případy, kdy to bylo účinné. Neexistuje tedy plošná odpověď na to, zda blockchainová analýza prochází nebo neprochází míchacími službami, jako je CoinJoin. “

Další hlavní provozní skluz

Když odložíme bitcoin, další zásadní zlom v případě lze najít v obžaloba (výslovně) pro správce WTV, Jong Woo Son. Obžaloba ukazuje další zásadní bezpečnostní skluz. V září 2017 vyšetřovatelé zjistili, že kliknutím pravým tlačítkem na domovskou stránku WTV a výběrem možnosti „zobrazit zdroj stránky“ může kdokoli zobrazit IP adresu webového serveru..

O měsíc později byla stejným způsobem odhalena další IP adresa. Tyto dvě adresy IP byly použity jako důkaz a byly sledovány zpět na jediný účet hostovaný poskytovatelem telekomunikací v Jižní Koreji. Účet byl zaregistrován Son.

Ve stejné době tajný agent opakovaně zasílal BTC na adresu bitcoinové peněženky uvedenou na webu WTV. Vlastník této bitcoinové adresy pokaždé převedl prostředky na jinou adresu vedenou na „burze BTC“. Podpisová karta účtu byla uložena na Sonovo jméno.

S přiměřenými důkazy k prohledání Sonova domu našli vyšetřovatelé další ukazatele, které by potvrdily Son jako správce WTV, včetně čtyř e-mailových účtů vlastněných Sonem spojených se stejnou uniklou IP adresou na domovské stránce WTV.

Proč tedy používat bitcoiny?

Mezi rokem 2015 a jeho odstavením v roce 2018 představila WTV více než čtvrt milionu videí, více než osm terabajtů možná nejodpornějšího obsahu na internetu. Uživatelům účtoval za předplatné až 350 $ v bitcoinech. Vydání DOJ uvádí, že tento web byl jedním z prvních svého druhu, který monetizoval videa o zneužívání dětí pomocí bitcoinů.

Přijímat pouze bitcoiny pro tuto úroveň trestné činnosti však bylo nejen nerozumné, ale také docela neobvyklé. Podle neacademického darkweb, výzkumníka trhu s kryptoměnami a drogami Caleb (@ 5auth), „tržiště, jako je WTV, obvykle nevyžadují platbu.“

Caleb mnohem lépe chápe temný web než průměrný člověk. Jeho význam významu odstavení WTV je docela rakouský. Koneckonců, na anonymních – a v případě WTV zlověstných – tržištích neviditelná ruka vždy pohybuje na trhu.

“WTV zaplnila místo, které je nyní prázdné,” řekl Caleb. “Někdo vytvoří web a zaplní prázdnotu.” Nový web pravděpodobně během svého vytváření udělá méně základních chyb a procvičí lepší opsec. Pochybuji však, že zruší podporu bitcoinů nebo vynutí používání soukromějších kryptoměn. “

V tomto posledním bodě se Levin shoduje: „Bude trvat poměrně dlouho, než jakákoli jiná kryptoměna sesadí bitcoin jako nejpoužívanější kryptoměnu na darkweb,“ řekl.

A protože bitcoin je nejosvědčenější metodou platby na těchto nelegálních online trzích, jeho nepřijetí by pro podnikání bylo zjevně špatné.

“Bylo provedeno mnoho výzkumů, které ukázaly, že tržiště darknetů mají skutečnou konkurenci, a z akademického hlediska si myslím, že tyto tržiště nevyhnutelně existují,” uvedl Levin. “Pokud se [hovoří o platformách darknet obecně] prodáváno ve snaze přimět co nejvíce lidí k účasti na trhu, a to znamená transakce v bitcoinech, pak by lidé mohli mít pocit, že to stojí za to riziko, pokud to znamená získat větší cíl trh.”

Tím se dostává paradoxní povahy používání bitcoinů k trestné činnosti. Z hlediska provozní bezpečnosti vypnutí WTV dokazuje, že je to pravděpodobně jeden z nejhorších způsobů platby za tuto úroveň trestné činnosti.

Přinejmenším obecně řečeno o ekonomice darkweb je bitcoin stále zdaleka nejpoužívanějším a nejuznávanějším způsobem platby. Podle Caleba důkazy ukazují, že až před několika měsíci téměř všechny trhy s drogami darkweb, které přijímaly pouze monero, nakonec selhaly nebo zemřely kvůli nedostatku zákazníků.

Darknet Markets Schopnost platit pomocí MoneraHlasování na trhu SamaSara pro implementaci XMR

Jeden nebo dva trhy pouze pro XMR generují příjem. Caleb však zdůrazňuje, že i když se Monero může zdát lepší pro nedovolenou činnost, trh stále dává přednost bitcoinům a jeho nepřijetí omezí růst.

„Trhy„ Fly-by-night “mohou založit obchod s jedním z mnoha skriptů pro vytvoření základního trhu, který přijímá pouze bitcoiny a stále zabíjí,“ řekl Caleb.

Odeslání „jasné zprávy“ na trhy Darknet

Bitcoiny nakonec zaplatily za předplatné WTV, a to vedlo vyšetřovatele ke dveřím 23letého jihokorejského občana Jong Woo Songa, který si v současné době odpykává trest jako odsouzený správce a provozovatel služby WTV.

Analýza serveru odhalila, že web měl více než jeden milion bitcoinových adres, což znamená, že má kapacitu alespoň pro jeden milion uživatelů.

Celkově orgány činné v trestním řízení po celém světě sdílejí data shromážděná ze zabaveného webu a burz kryptoměny za účelem identifikace a stíhání svých zákazníků. Tyto informace byly dosud zaslány do 38 zemí a vedly k zatčení více než 337 lidí po celém světě. Byly provedeny prohlídky rezidencí a podniků u 92 různých osob v USA, z nichž dva byli bývalí federální agenti.

Ve Washingtonu DC zabavení WTV vedlo k obzvláště dramatické sérii událostí, počínaje „provedením pěti příkazů k domovní prohlídce a osmi zatčením osob, které se spikly se správcem stránky a byly samy uživateli“, tvrdí k vydání DOJ. “Dva z těchto uživatelů spáchali po provedení rozkazu k prohlídce sebevraždu.”

Vydání DOJ rovněž poznamenalo, že zastavení šíření a následné vyšetřování WTV jsou „odpovědné za záchranu nejméně 23 menších obětí žijících ve Spojených státech, Španělsku a Velké Británii, které byly uživateli webu aktivně zneužívány.“

Dnes je případ stále naživu a vyšetřovatelé stále sledují uživatele WTV. Chainalysis příspěvek na blogu byl propuštěn v tandemu s oznámením DOJ, což lze považovat za riskantní.

Levin uznal potenciální nevýhodu, ale stál si za svým rozhodnutím a řekl: „Správně, můžete tento druh činnosti dostat dále do podzemí, ale myslím, že tento případ vysílá opravdu jasnou zprávu.“