Жду новый пост

Серия «неДЕТСКИЕ ИГРЫ»

ИСТОЧНИК

Возвращение WarHead

В четверг, 6 октября 2016 года, через 4 дня после ареста, пользователь с ником WarHead снова появился на ChildsPlay: «Уф, какой это был месяц! Месяц моей безвозвратно ушедшей жизни. Хотя технически много дерьма случилось не в сентябре, а в октябре, поэтому я возвращаюсь так поздно».

Затем он упомянул своих подчиненных: «Еще раз извините за позднее прибытие, но я попросил штаб вмешаться и прикрыть меня во время моего вынужденного отсутствия». Он, WarHead, был уже не Фолкнером, а Полом Гриффитсом из оперативной группы «Аргос». Так началась фаза операции Артемис, проходящая под прикрытием. В течение четырех дней после ареста канадца Гриффитс изучил каждое сообщение, написанное WarHead. Он изучил стиль письма WarHead, включая типографские ошибки, к которым он был склонен. Он знал фрагменты предыстории, которые канадец выложил в Интернете. Он делал это днём. А по ночам участвовал в телефонных конференциях с коллегами из Европы и США. В Брисбене было не менее двух часов ночи, когда все остальные были готовы поговорить.

Чтобы войти в сеть под прикрытием, нужно нечто большее, чем просто грамматика и личная история. Чтобы писать как WarHead, Гриффитсу нужно было стать WarHead’ом. Это было умственное усилие, которое было противоестественно для него и его коллег по оперативной группе.

– Когда вы пытаетесь быть тем, кто много пишет в Интернете, кого знает множество людей и чей способ письма и выражения они узнают, вы не можете просто появиться и использовать совершенно другой словарный запас. Вам предстоит изучить пунктуацию, которую он использует, а также смайлы и другие символы.

Однако и это не гарантирует успех.

– Вам нужно понять, что он чувствует. Это разрушительно. Действительно сложно. Я работаю в этой сфере 22 года. Просмотр фотографий больше не оказывает на меня никакого влияния. Но сидеть в сети и разговаривать, как один из этих парней... Каждый раз, когда я это делаю, у меня такое чувство, будто мне потом нужно принять душ.

Гриффитс, которого друзья называют Гриффом, считается ведущим специалистом по идентификации жертв и преступников по их изображениям. Он выявляет жертв насилия уже 22 года. Если один человек изнасиловал другого, и это было снято на видео, скорее всего, он это видел.

– Моя главная мотивация – выявить детей и вытащить их из ужасной ситуации. Вот как мне удается с этим работать. У меня наблюдаются признаки синдрома Аспергера. По крайней мере, так говорит моя жена. Она говорит, что у меня нет сочувствия. Так мне легче продолжать работать. (Синдро́м Аспе́ргера — общее нарушение психического развития, характеризующееся серьёзными трудностями в социальном взаимодействии, а также ограниченным, стереотипным, повторяющимся репертуаром интересов и занятий).

Также помогает то, что Гриффитс обладает фотографической памятью, он все запоминает в виде картинок. Даже просматривая миллионы фотографий, он знает, какие из них он уже видел раньше, в том числе, где и когда.

–У нас хорошие базы данных, но обычно я нахожу искомое быстрее, чем они.

Пять лет назад он увидел изображение. Это была фотография обнаженного мужчины. Гриффитс сразу понял, что нашел одного из самых безжалостных и известных злоумышленников в Интернете: Фалько. Но «Грифф» запомнил отметину на пенисе мужчины. Это привело к аресту Фалько и длительному тюремному заключению в Казахстане. Теперь он находится в бегах после впечатляющего побега, в ходе которого он выбросился из окна зала суда и сломал обе ноги, а затем сбежал из больницы. Но именно «Грифф» однажды отыскал его.

«Могу вас заверить, что нашей безопасности ничего не угрожает, и я надеюсь, что так будет всегда», – написал Гриффитс в роли WarHead. Участники форума ему поверили. В течение следующего года члены оперативной группы Аргос собирали информацию об участниках сайта Childs Play.

Полный контроль над сайтом означал, что они могли видеть все, что там происходит. Читая личные сообщения, удаленные сообщения, адреса электронной почты и пароли, они могли создавать профили участников. Они также могли добавлять фрагменты кода в программу, которая управляла сайтом, что позволяло им находить IP-адреса участников. Они испробовали различные методы для выявления участников Childs Play, но отказались раскрывать их.

– Если бы началась война, как вы думаете, генерал пустил бы вас в центральный  пункт управления? Мы не хотим рассказывать этим людям, как мы работаем, и я очень надеюсь, что вы тоже этого не сделаете. Вы не узнаете наших методов работы, — сказал Роуз журналистам.

– Мы пытаемся сделать то, чего еще никому не удавалось. Так что в каком-то смысле мы пишем свои собственные – я не говорю «правила» – но мы пишем свой собственный сценарий. Мы используем методы, которые никогда раньше не применялись, и не всегда знаем, как подготовиться к результатам, — добавляет Гриффитс.

Будучи своего рода антропологом тьмы, Гриффитс изучил культуру интернет-сообщества насильников детей: то, что не следует размещать на основном сайте (видео пыток); чем можно поделиться в небольшой группе, которой доверяют (видео о пытках); кто из членов был популярен и пользовался благосклонностью, а кто нет. Доступ к личным сообщениям между участниками стал для Гриффитса сюрпризом. Некоторые из них знали, что теперь этим сайтом управляет полиция.

– Значительное число точно знало, что произошло. Они выставили нас полицией и увидели дымовую завесу, которую мы поставили вокруг WarHead. Они знали, что это были мы, но никому не сказали. Те, кто нас разоблачил, разговаривали друг с другом, но больше никого не предупредили.

Гриффитс старался писать как можно меньше постов, но был один, от которого австралийская полиция не смогла уйти: ежемесячное обновление статуса WarHead. Между настоящим WarHead’ом и участниками форума была достигнута договоренность о том, что отсутствие обновления статуса будет сигнализировать о том, что сайт захвачен другими людьми. Вот почему сообщения были так важны и должны были быть написаны в том же стиле, что и всегда. По правилам Фолкнера каждое обновление статуса должно было заканчиваться фотографией сексуального насилия.

– Предполагалось, что полиция не сможет делиться такими изображениями, что лишит нас возможности управлять сайтом», — говорит Гриффитс, британец по происхождению. – В Британии мы не смогли бы этого сделать. Но когда ты долго работаешь в этой сфере, становится очевидно, что  и как нужно делать. Это дает нам возможность выявить тех, кто совершает новые изнасилования. Большинство из них, вероятно, уже видели фотографии, которыми мы могли бы поделиться.

3 января 2017 года оперативная группа «Аргос» опубликовала ежемесячное обновление WarHead. В нем они писали о работе, которую WarHead проводил на форуме, якобы для того, чтобы сделать его более безопасным для участников. Сообщение завершалось словами: «Я надеюсь, что некоторые из вас смогли сделать особенный подарок самым маленьким в вашей жизни и провести с ними некоторое время. Это прекрасное время года, чтобы уютно устроиться возле костра и сохранить воспоминания».

Он завершил своё сообщение, как и требовалось, двумя изображениями с изнасилованием детей.

– Можно ли рассматривать это сообщение как поощрение сексуального насилия? – задал вопрос журналист.

– Ну, нет… Я так не думаю, – ответил Гриффитс. – Все можно прочитать между строк, но это не обязательно означает, что мы что-то поощряем. Возможно, мы говорили о сексуальном насилии на разных форумах и платформах, но мы никогда не поощряли насилие. Распространение любого такого изображения является жестоким обращением с ребенком. Однако мы можем оправдать это тем, что это делается ради общего блага и предотвращения продолжающегося жестокого обращения с детьми.

– Как вы думаете, что чувствуют дети, изображённые на тех фотографиях, когда вы делитесь ими в сети?

– Надеюсь, они понимают, что мы пытаемся поймать как можно больше правонарушителей.

Кариса Бирн Хессик, профессор права Университета Северной Каролины, подвергает сомнению аргументы Гриффитса. Она является одним из ведущих мировых экспертов по правовым вопросам, занимающимся расследованием подобных преступлений.

– Похоже, что полиция рассказывает одну историю о том, насколько вредны изображения, когда ими делятся другие, и другую историю, когда ими делится полиция. Это своего рода лицемерие, которое мне очень не нравится. Но это проливает свет на аргумент, что любое распространение такого изображения является злоупотреблением. Если полиция заявляет, что делится только изображениями, которыми уже делились ранее, это означает, что полиция не считает, что любой обмен вреден.

Она выражает обеспокоенность, узнав, что сама полиция поделилась фотографиями сексуального насилия над детьми.

– Я не считаю, что для них неправильно совершать преступные действия во время секретных операций. Меня беспокоит не то, что они нарушают закон. Меня беспокоит, получим ли мы достаточно информации о балансе в том, что они делают. Если сайт используется для фактического насилия над детьми, а полиция продолжает им управлять, я сомневаюсь в их способности найти этот баланс.

Сам Гриффитс утверждает, что они стремятся к этому балансу:

– Определенно существует баланс между тем, чего мы хотим достичь, и тем, как мы этого добиваемся. В конце концов мы дошли до того, что вести форум уже не имеет смысла. Но пока мы выявляем жертв и насильников, мы будем продолжать эту работу.

Он рассказывает о предыдущей операции, в ходе которой следователи всего несколько месяцев управляли сайтом «The Love Zone» (Зона любви). Гриффитс утверждает, что они идентифицировали более 80 детей.

– Вы можете спросить их, стоило ли мы того, чтобы организовывать форум. Нет ли риска, что люди, скачивающие такие изображения, перерастут в злоумышленников? Насильники есть насильники. По словам Роуза, люди, у которых есть желание насиловать детей, будут это делать, несмотря ни на что.

Нью-Йорк

1 сентября 2017 года VG связывается с женщиной в Нью-Йорке. Изображения изнасилования ее дочери публиковались тысячи раз, а теперь появились и на сайте Childs Play, которым управляет оперативная группа «Аргос». Она начинает плакать, затем берет себя в руки.

– Они могут утверждать, что в долгосрочной перспективе это принесет пользу моей дочери, поскольку поможет им поймать других педофилов. Но просто отправив ее изображение одному преступнику, оно может оказаться в руках сотен или тысяч других, что еще больше причинит ей боль, а не поможет ей, - говорит мать.

Ее адвокат Джеймс Марш более позитивно относится к использованию полицией таких изображений. Он представляет многочисленных детей, которые фигурируют в наиболее широко распространенных изображениях эксплуатации.

– Некоторые из моих клиентов приветствовали бы использование полицией их изображений в борьбе за выслеживание насильников. Они знают, насколько умело эти люди прячутся, и понимают, что нужно, чтобы их поймать, — говорит Марш.

Тем не менее он понимает и реакцию матери. Фотографии ее дочери распространялись не так широко, как многие другие, поэтому каждая новая публикация имела большее значение.

– Я с ней согласна, что полиция должна компенсировать пострадавшим, но не деньгами. Если бы с жертвами можно было консультироваться по ходу дела, это дало бы им чувство контроля. Контроль — это именно то, чего их лишили во время изнасилований, — говорит Марш.

Несколько участников операции «Артмеида» отказались дать интервью или опознать себя, в том числе следователь, который следил за скандинавским форумом, а также другие европейские партнеры по операции. Агенты расследований внутренней безопасности также отказались от интервью, заявив, что судебные дела против WarHead и CrazyMonk все еще продолжаются.

– Мы многого не можем сказать об этой операции, особенно о том, что сделали наши партнеры, – говорит Роуз.

Некоторые из его собственных австралийских следователей не одобряли предоставление VG информации.

– Некоторые из моих международных коллег знают, что вы сегодня здесь и разговариваете с нами. Они не очень довольны тем, что ваш коллега сделал, чтобы разоблачить нас. Мы проделали вместе много хорошей работы, и я хочу, чтобы она продолжалась. Поэтому вы не можете использовать мое имя, — говорит один из них.

Однако он готов рассказать о своей работе агентом под прикрытием.

– Любой, кто говорит, что не плакал на этой работе, лжет. Вы отдаете частицу себя этой работе, и эта частица становится другом для тех, в отношении кого вы проводите расследование. Когда мы завершили одну из наших недавних операций, у меня возникло такое ощущение, будто я посадил своих друзей.

Помимо Гриффитса, был агент, который чаще всего действовал под прикрытием под именем WarHead. Все участники сайта следили за каждым его словом. Успешная имитация правонраушителя в Интернете имеет свои проблемы.

– Это как если бы вы заставили себя иметь раздвоение личности, загружали этого другого человека в часть своего мозга и передавали ему эту часть своего мозга. Это сложно.

Активность на сайте «Childs Play» была высокой в то время, когда ею руководила полиция. Так в день загружалось примерно от 500 до 700 публикаций, а к сентябрю 2017 года общее количество публикаций достигло 12 000. В январе, когда VG впервые написала о Childs Play, на сайте было зарегистрировано 427 000 аккаунтов. К сентябрю того же года было зарегистрировано более миллиона аккаунтов.

25 октября 2016 года, через две недели после того, как оперативная группа Аргос завладела управлением сайтом, неизвестный пользователь создал ветку обсуждения, в которой были представлены изображения изнасилованной восьмилетней девочки. К августу 2017 года этот пост был просмотрен 770 617 раз – и все это за времявремя, пока сайтом управляла полиция.

Удаление «Childs Play»

Среда, 13 сентября 2017 года: после 11 месяцев работы на сайте оперативная группа Аргос наконец без предупреждения закрывает Childs Play. Всего несколько нажатий клавиш и форум исчезает из даркнета. Если вам удастся найти старый веб-адрес, вам просто сообщат, что там ничего нет. Childs Play исчез.

Сейчас идет работа по отправке дел в полицию по всему миру. В расследовании деятельности участников сайта уже участвуют десяток стран. У Гриффитса есть список из 60–90 человек со всего мира, которые являются его основными целями. Предполагается, что у полиции другой страны есть список из почти 900 человек, которые, по их мнению, должны быть арестованы. Некоторые из них уже арестованы, но большинству это ещё предстоит. Канадская полиция заявляет, что они идентифицировали и спасли «дюжину» детей и передали около 100 случаев в другие страны. Члены оперативной группа «Аргос» отказались сообщить цифры. Также неясно общее количество выявленных и спасенных детей.

– СМИ склонны использовать такие фигуры как «оружие» против нас и наших коллег по всему миру, а мы этого не хотим, – говорит Гриффитс

Профессор Хессик задаётся вопросом о цифрах.

– Если они проводят расследование, даже не проверив, арестованы ли люди, «Аргосу» трудно утверждать, что такие полицейские операции необходимы. «Я обеспокоена тем, что полиция, очевидно, считает, что им не нужно оправдывать такую операцию», — говорит она.

ФБР провело аналогичную операцию – Welcome to Video –  в 2015 году, но цифры не публиковались в течение двух лет. По данным ФБР, в результате операции были арестованы или осуждены 870 человек, а 259 детей были спасены или опознаны.

– Наша задача – сделать так, чтобы мы играли на одном уровне с обидчиками. Если мы этого не сделаем, они всегда будут на шаг впереди», — говорит Джон Роуз.

Ричмонд, Вирджиния

В пятницу, 15 сентября 2017 года, двое 27-летних мужчин предстали перед судом Ричмонда, штат Вирджиния. Прокурор потребовал приговорить каждого к 50 годам лишения свободы. Адвокаты обвиняемых заявили, что 30-летние сроки были бы более уместными.

Судья не согласился ни с одной из сторон и приговорил обоих администраторов сайта Childs Play к пожизненному заключению. Ни один ни другой никогда не выйдет на свободу. Не потому, что они, как CrazyMonk и WarHead, вели крупнейшие интернет-форумы, связанные с изнасилованием детей, а потому, что, будучи Бенджамином Фолкнером и Патриком Фальте, они изнасиловали четырехлетнюю девочку.

В Теннесси прокуратура готовится судить людей, обвиняемых в организации другого похожего сайта –  «The GiftBox Exchange». В электронном письме из тюрьмы Фальте и Фолкнер сообщают, что будут бороться со своим делом в суде.

– Нам бы хотелось больше поговорить о GBE, CPlay и некоторых других сайтах, но мы не сможем поговорить об этом до завершения расследования в Теннесси. При этом мы, возможно, годами принимали участие на всех уровнях, начиная с обычного пользователя и заканчивая модерированием, администрированием, владением и созданием нескольких сайтов, чатов и сервисов, пишут Фальте и Фолкнер.

Два года спустя Фолкнера приговорили к 35 годам заключения за участие в предприятии по эксплуатации детей. Фальте получил такой же приговор. Когда прокурор читал список онлайн-преступлений Фолкнера на втором слушании приговора, тот закрыл лицо рукой. Его плечи тряслись, и казалось, что он плачет. Но на самом деле он тихо смеялся про себя. Даже после того, как его адвокат сказал ему остановиться, потребовалось некоторое время, чтобы ухмылка исчезла с лица Фолкнера.

В суде он зачитал вслух заявление, в котором сказал, что ему искренне жаль людей, которым он причинил боль, и жизни, которые он изменил. В заключение он сказал: «Если бы я мог всё исправить, все было бы по-другому».

Эндрю Р. Лесли из Миддлбурга, штат Флорида, был приговорен к 30 годам тюремного заключения за участие в предприятии по эксплуатации детей, где он был VIP-членом The Giftbox Exchange. Лесли также управлял еще одной даркнет-сетью, посвященной эксплуатации детей, в которой размещались видеоролики о жестоком сексуальном насилии над детьми, и в марте 2018 года был приговорен к дополнительным 60 годам тюремного заключения за сексуальное насилие и производство сексуального насилия над детьми и младенцами.

Бретт А. Бедусек из Кудахи, штат Висконсин, был приговорен к 20 годам тюремного заключения за участие в предприятии по эксплуатации детей и нарушение условий предыдущего освобождения за тот же тип правонарушения. Все четверо вышеупомянутых преступников были дополнительно приговорены к пожизненному надзору в случае освобождения.

Администратор сайта Тайлер Дэвид Уокер, 21-летний канадец, был первоначально арестован по этому делу в марте 2017 года и приговорен к пяти годам тюремного заключения.

Роберт Зитцельспергер, 51-летний школьный учитель естественных наук частной школы для девочек в Северном Сиднеее, а также в колледже милосердия Монте-Сант-Анджело был приговорён к обязательным работам по 32 часа каждый месяц и к ограничению некоторых действий, когда у него дома провели обыск и обнаружили ноутбук с детской порнографией, а также блокнот, в котором были записаны семь имён пользователей и паролей для даркнет-сайтов "Magic Kingdom" (Волшебное королевство), "Childs play", "Princess Jade" (Принцесса Джейд) и "Video". Все эти сайты содержат видео с изнасилованиями детей.

Позднее Фальте и Фолкнер добавили, что будут обжаловать пожизненное заключение, вынесенное в Вирджинии. Их адвокаты отказались отвечать на запросы журналистов.

ИСТОЧНИК

Телеграм (18+)

ВК

ИСТОЧНИК

Переезд форума

В октябре 2016 года веб-сайт WarHead’а был перенесен на сервер в Сиднее. Это случилось через полгода после того, как он его запустил. Как это произошло?

В мае 2016 года следователь австралийской полиции Гриффитс получил сообщение от полиции одной из европейских стран: они арестовали человека, который оказался одним из модераторов Giftbox Exchange — веб-сайта, которым управлял американец Фальте. Будет ли Целевая группа Аргос заинтересована в том, чтобы завладеть учетной записью европейского модератора и действовать под его прикрытием?

Оперативная группа заинтересовалась такой возможностью. Это одно из немногих полицейских подразделений в мире, способных имитировать насильников в даркнете, используя фальшивые имена. У Гриффитса и оперативной группы Аргос была четкая цель: контролировать сайт. Пусть он гниет изнутри, пока члены оперативной группы следят за всем общением между участниками. Следователи собрались ыявлять виновных и потерпевших. Производить аресты.

- Как только вы получите контроль над сайтом, вы можете делать все, что хотите. Затем вы можете перемещать его в любую точку мира. Вот как работает интернет, –  говорит Гриффитс.

Человек, личностью которого воспользовалась оперативная группа Аргос, был всего лишь модератором. В отличие от владельца, CrazyMonk, модератор не имел права перемещать или изменять веб-сайт. Так что пока оперативная группа могла только наблюдать. В последние десятилетия Целевая группа Аргос сотрудничала с рядом полицейских подразделений в борьбе с сексуальным насилием над детьми. Несколько раз в год следователи из разных стран встречаются для обзора операций и расследований. В другое время они находятся на расстоянии телефонного звонка друг от друга. Они знают, что могут доверять друг другу и получать помощь, часто с другого конца света. Когда следователи из другой страны нашли IP-адрес Giftbox Exchange, они отправили его в Аргос.

Полиция связалась с хостинг-провайдером, на котором размещался Giftbox. На тот момент они могли захватить контроль над сервером и всеми его данными о посетителях. Но это загнало бы в подполье верхушку администраторов сайта, а именно за ними охотилась полиция. Они решили ничего не делать, кроме как следить за сайтом через черный ход на сервере. Пока группа Аргос искала способ завладеть сайтом Giftbox, в даркнете появился другой сайт, Childs Play. Доказательства, проанализированные полицией, в том числе сообщения, написанные WarHead’ом и CuriousVendetta’ой, позволяют предположить, что они были родом из одной страны. Возможно, что они и вовсе были одним человеком.

- Большое количество достоверной разведывательной информации указывало на то, что один из лидеров Giftbox также руководил Childs Play. «Мы предположили, что между двумя сайтами существует связь», — говорит Гриффитс.

В случае с другими преступными сетями следование по пути денежного следа является ключом к выслеживанию преступных лидеров. Но в сетях жестокого обращения с детьми денег в обращении находится гораздо меньше. Здесь сами изображения являются валютой. Тем не менее, размещение веб-сайта на сервере стоит денег. В данном случае оплата была произведена в биткойнах, виртуальной валюте, о принципе действия которой было подробно рассказано в другом фильме про даркнет-сайт Welcome to Video.

Служба расследований национальной безопасности, которая является следственным подразделением Министерства внутренней безопасности США, начала поиски того, кто стоял за этим платежом. Отследить этого человека было куда легче, чем ожидалось. Короче говоря, человек по прозвищу CrazyMonk зарегистрировал этот конкретный биткойн-кошелек на свой личный адрес электронной почты. В адресе был указан 27-летний житель Теннесси, который всю жизнь прожил со своими родителями в доме в получасе езды от Нэшвилла. Его звали Патрик Фальте.

А вот CURIOUSVENDETTA найти было сложнее. Из двух лидеров Giftbox он был техническим экспертом. Однако летом 2016 года он попадет в затруднительное положение с каким-то программным кодом для своего сайта. Он попытается исправить этот код, но его попытки будут тщетными, и в отчаянии он обратится за помощью в Интернет. Он сделает скриншот кода, загрузит его на веб-форум для программистов и спросит совета у других участников. Эта ошибка и приведёт к его отслеживанию.

В глобальной сети Google видит абсолютно все. Когда следователь Министерства национальной безопасности увидел, что у Giftbox возникла техническая проблема, он подумал: если бы у меня была эта проблема, я бы поискал помощи в Интернете. Используя поисковые системы, следователи нашли то, что, по их мнению, было вопросом CuriousVendetta. Скриншот кода — на первый взгляд невинное изображение текста — хранился на российском сервере, который почти целиком использовался для хранения изображений с изнасилованиями. Это мог быть CuriousVendetta. Человеку, разместившему вопрос, было около 20 лет, он был родом из Норт-Бэй, Онтарио. Его звали Бенджамин Фолкнер.

Начались попытки следователей выйти на двух молодых людей. Как полиция могла арестовать их, прежде чем они смогли бы уничтожить улики? В спокойном режиме началось изучение жизни обоих подозреваемых. Можно ли будет установить камеру у них дома или на рабочем месте? Может ли полиция проникнуть и установить на компьютеры мужчин программы-кейлоггеры, которые будут отслеживать каждое нажатие клавиш? Все идеи были отвергнуты. Если бы молодые люди почувствовали хоть малейшее подозрение, они могли бы быстро удалить сайт и все данные о себе и десятках тысяч участников. Подозреваемых необходимо было задержать, прежде чем они смогут предупредить других.

В ходе расследования полиция сделала примечательную находку: Фальте и Фолкнер были знакомы. Не только онлайн. Но и в реальной жизни.

– Мы знали, что у них была привычка встречаться. Мы просто не знали почему. WarHead до этого был в США четыре или пять раз, и мы предполагали, что он и CrazyMonk все это время встречались. Вероятно, они впервые встретились в 2015 году, – говорит Гриффитс.

Следователи решили наблюдать и ждать.

– Однажды WarHead соберётся пересечь границу с США. Когда они встретятся, мы их схватим, — вспоминает Гриффитс. С этой идеей согласились все следователи. Это было в июле 2016 года. Подходил к концу август. Но Фолкнер и Фальте так никуда и не собирались. Прошёл сентябрь, но всё было спокойно.

Журналисты VG тоже решили подождать. В январе 2017 года они обнаружили, что на сервере в Сиднее скрывалась новая крупная операция, проводимая оперативной группой «Аргос» в сотрудничестве с несколькими другими странами. Только более девяти месяцев спустя они решили опубликовать о ней информацию.

– После встречи с Гриффитсом и Роуз мы поняли, что журналисты обнаружили проводимую полицейскую операцию. Хотя это были ошеломляющие новости и, очевидно, представляющие общественный интерес, мы решили воздержаться от публикации того, что нам было известно. Ситуация была неясной. Нам нужно было больше информации, прежде чем решить, что можно опубликовать. В худшем случае VG могла бы навредить расследованию и подвергнуть опасности невинных людей, – говорит главный редактор VG Гард Стейро.

Сигналы тревоги

В пятницу, 30 сентября 2016 года, сигналы тревоги сработали в Бостоне, Торонто  и Брисбене. Фолкнер пересек границу Канады и США. Ещё за день до этого он был очень активен на Childs Play. Это был последний раз, когда форум слышал о нем в последний раз за долгое время. Часы на его компьютере показывали 23:46, когда он вошел в систему как WarHead и написал короткое благодарственное письмо участнику, который разместил фильм, показывающий изнасилование 10-летней девочки: «Спасибо тебе за нее! Я не осознавал, что ты сделаешь это так круто; как только это прошло мимо моего внимания?!».

Затем он уехал. Он вышел из своей квартиры на окраине Торонто, пересёк  национальную границу, попал в штат Нью-Йорк, а затем отправился на юг, в северную Вирджинию. Когда WarHead пересек границу с Соединенными Штатами, Таможенно-пограничная служба США направила отчет в отдел расследований внутренней безопасности. Оттуда информация дошла до Канады и Австралии: Фолкнер пересек границу.

В Австралии Гриффит получил сообщение в пятницу днем по местному времени. Следующие несколько дней были решающими. Удастся ли операция? Служба внутренней безопасности проверила местонахождение автомобиля CrazyMonk. Несколькими неделями ранее следователи установили на него устройство слежения. С тех пор машина почти не выезжала за пределы Нэшвилла. Внезапно она пришла в движение. CrazyMonk находился в 200 километрах от дома и направлялся на северо-восток. В течение нескольких месяцев этого ждали отделы расследований национальной безопасности, Аргос и Торонто. Двое молодых людей собрались встретиться.

Суббота. Молодые люди заселились в отель в Вирджинии. Вечером они пошли в дом и оставались там допоздна. В судебных документах говорится, что агенты национальной безопасности наблюдали за обеими машинами у дома поздно вечером в субботу. В воскресенье утром они оба покинули отель, каждый с сумкой, и остановились в другом доме. В понедельник в 6:30 утра им пришлось неожиданно проснуться, когда вооруженная полиция США выломала входную дверь.

Фолкнер был далеко от родного дома. Если бы его схватили в Канаде, наказание было бы гораздо мягче. Загнанный в угол агентами, обыскивавшими дом, ему был предоставлен четкий выбор: расскажи нам все, и , возможно, выйдешь из тюрьмы ещё до того, как умрёшь. Через несколько минут он выдал все: имена пользователей, пароли и ключи шифрования.

– Ему не терпелось поговорить, – рассказывал Гриффитс. – В сети они звучат смело и говорят о том, что они готовы к приходу полиции, и о том, что они приняли все возможные меры, чтобы не дать полицейским получить доступ к материалам. Но когда полицейский сбил дверь с петель, направил на него оружие и приказал лечь на пол, канадцу стало ясно, что он находится далеко от дома.

В Австралии стрелки часов приближались к 9 часам вечера. Все, что Министерство национальной безопасности получило от Фолкнера и Фальте, было отправлено прямо в Аргос, который немедленно проверил пароли. Были ли они верными? Сообщения летали между Соединенными Штатами и Австралией. Числа следует вводить буквами или цифрами? Неужели они взломали сайт? То, что произошло дальше, имело серьезные последствия. Среди всей информации, которую выдал Фолкнер, все еще сидя в постели во время полицейского рейда, были пароли для Childs Play. Таким образом, одним махом Министерство внутренней безопасности арестовало главарей и администраторов не одного, а сразу двух крупнейших сайтов в даркнете, содержащих контент с изнасилованиями детей.

Все, что было с собой у обоих мужчин, было детально изучено: карты памяти, компьютеры, пароли, логины, ключи. Полиция знала, что времени мало. Если бы WarHead и CrazyMonk слишком долго отсутствовали на своих сайтах, пользователи-параноики разбежались бы, и работа полиции оказалась бы напрасной. Фолкнер разработал протокол, гарантирующий, что никто не сможет захватить управление сайтом — он назвал этот протокол «канарейкой». Warhead сообщил сообществу, что в начале каждого месяца он будет публиковать сообщение с некоторой информацией о статусе форума. Если сообщение не опубликовано, сообщество должно было предположить, что сайт Childs Play был скомпрометирован или захвачен полицией. Среди сообщений, отправленных в то утро в Австралию, одно было особенным. В нем говорилось, что агенты нашли изображения жестокого обращения с маленьким ребенком. Фотографии были сделаны в субботу вечером. Затем последовало продолжение: «Все получили предыдущее сообщение?». Гриффитс сидел дома один и работал над паролями, когда увидел сообщение.

Полиция нашла 30 фотографий и три видеозаписи. Они запечталели четырехлетнюю девочку и то, чему она подверглась в доме, который посетили Фолкнер и Фальте. На одной из фотографий была идентифицирована рука Фолкнера. Сначала девочку накормили пиццей и мороженым, подарили игрушки, а затем два мужика сделали с ней это…

Поездка из Нэшвилла занимает более 10 часов. Она дала бы Фальте достаточно времени, чтобы подумать о том, что он собирается делать. Он проехал через Смоки-Маунтинс, через густые леса, где деревья пылали осенними красками. Он продолжал ехать. Задумывался ли он когда-нибудь о том, правильно ли было насиловать четырехлетнюю девочку? Несмотря на это, он направился к дому в Вирджинии. Тем временем Фолкнер ехал туда же из Торонто.

В даркнете они поделили между собой царство единомышленников, которые восхищались ими и стремились заслужить их расположение. Среди участников форума был мужчина, имевший доступ к четырехлетней девочке. По данным полиции, именно он снимал изнасилование. На снимках видно, что как минимум один из троих мужчин изнасиловал девочку в ту сентябрьскую субботу 2016 года.

Американская тюрьма

Человек, который передал четырёхлетнюю девочку Фолкнеру и Фальте, отбывает срок в американской тюрьме. Известно, что этот человек посетил несколько крупнейших сайтов, посвященных жестокому обращению с детьми. Он разместил фотографии изнасилований и попросил других участников помочь найти больше подобного контента. Для него общение с CrazyMonk’ом, администраторм сайта, стало большим событием. Чтобы установить контакт, он показал Фальте фотографии ребенка. Вот так все и началось.

Несколько недель спустя Фальте прибыл к себе домой. На допросе, как следует из судебных документов, Фальте рассказал, что во время своего первого визита в 2015 году он насиловал ребенка, «пока несовершеннолетний не пожаловался». Это был первый из пяти визитов в небольшой дом в Вирджинии. Сразу после нового года Фальте вернулся, на этот раз с Фолкнером.

Полицейские говорят, что не знают, почему WarHead и CrazyMonk решили встретиться, хотя информации об этих мужчинах у них было много. После того как в июле полиция обнаружила сервер, на котором хранился сайт, она проконтролировала все общение, включая личные сообщения между администраторами. Полиция следила за тем, где они путешествовали по Вирджинии, где ночевали и какие дома посещали. Никто поначалу и не подозревал, что они собирались изнасиловать ребёнка.

– Но нам определенно было интересно, почему они захотели встретиться. «Этот вопрос висел над нашими головами», — говорит Роуз из Австралии.

– Некоторые из этих мужчин так отчаянно хотели чего-то большего, чем просто признание, которое они получили в Интернете. «Они хотят встречаться с такими же людьми, как они сами, хотя бы ради того, чтобы вместе выпить пива», — говорит Гриффитс.

– Почему их не арестовали до того, как произошло нападение?

– Мы понятия не имели, что так произойдет. «Они никогда ничего об этом не упоминали в сообщениях, которые мы видели о встрече», — говорит Гриффитс.

Мужчина, снявший на видео насилие над ребенком, подтверждает, что именно так и было. Планы встречи были составлены в зашифрованном чате. Полиция получила доступ к этим чатам только после получения всех паролей от CrazyMonk и WarHead. Фолкнер и Фальте позднее подтвердили эту информацию. «Мы специально позаботились о том, чтобы не говорить о подробностях где-либо, кроме Tox [зашифрованного чата] и по одноразовым телефонам с фиктивными номерами». Они были удивлены тем, как много агентам удалось найти в ходе обыска. Они были удивлены тем, как много агентам удалось найти в ходе обыска. «Я был абсолютно уверен, что у них на нас обоих очень мало доказательств, которые они могли бы использовать в суде, — говорил Фолкнер. – Наши компьютеры были полностью зашифрованы, мы все запускали на виртуальных машинах, все наши съемные носители не содержали ничего подозрительного. Они не должны были ничего знать о том, что происходит в Вирджинии».

С точки зрения следственных мероприятий аресты прошли успешно. Оперативная группа «Аргос» взяла на себя контроль над всеми именами пользователей и паролями Фолкнера и Фальте. Члены оперативной группы «Аргос» прикинулись WarHead’ом, но никто за пределами команды об этом не знал. Гриффитс и его коллеги лихорадочно работали над тем, чтобы узнать все об онлайн-персоне Фолкнера, чтобы выдать его личность так, чтобы никто не заметил. Это заняло больше времени, чем хотелось некоторым участникам Childs Play. Раньше WarHead часто присутствовал на сайте, публикуя сообщения по несколько раз в день. Теперь он молчал. «Кто-нибудь слышал о WarHead за последние 7 дней? Написал ему в личку. Никто не отвечает.", — написал один из нервничающих участников форума.

«Странно, она пропала, а этот форум работает все медленнее и медленнее…», — написал другой. Как и большинство участников форума, он использовал местоимение «она», хотя подавляющее большинство были мужчинами. Что-то нужно было предпринять. Если бы форум не получил известия от WarHead’а в ближайшее время, участники посчитали бы, что его арестовали. После чего они могли начать удалять свои собственные следы. Этого нельзя было допустить.

Интернет-преступность не имеет границ. Это проблема, но в данной ситуации «Аргос» и ее партнеры обратили это в свою пользу. Полиция Австралии увидела очевидные преимущества в том, что сайтом управляет австралийская полиция, а не европейские силы. Австралийские законы наделяют полицию необычайно широкими полномочиями по отслеживанию подозрительной деятельности в Интернете.

– Во время так называемой «контролируемой операции» мы получаем от судьи разрешение действовать таким образом, который обычно считался бы незаконным. Нам дано право совершать определенные преступные действия и мы освобождаемся от судебного преследования, потому что мы расследуем конкретные преступления», — объясняет Гриффитс.

На встрече в Гааге с ведущими мировыми следователями по преступности в Интернете Гриффитс рассказал о случае, когда он взломал чей-то аккаунт на веб-форуме.

– Я оглядел комнату и понял, что ни у кого из других следователей не было разрешения сделать то же самое. Технически это было не сложно. Но по закону им бы этого не позволили,  –  говорит Гриффитс. – Это означает, что правоохранители теряют возможность выявить в Интернете некоторых из самых злостных преступников.  Если бы у них были те возможности, которые есть у нас, я уверен, они бы поймали людей, которых сегодня поймать не могут. Но делать это нужно правильно, в заданных рамках. Чтобы это работало, у вас должны быть определенные возможности и элементы управления.

С разрешения коллеги-полицейского из Европы оперативная группа «Аргос» подключилась к серверу, взяла на себя управление сайтом Childs Play, скопировала его и переместила на сервер в Сиднее, который VG обнаружил в январе. Эксперты говорят, что эта передача была сравнима с тем, как Соединенные Штаты когда-то отправляли для допроса подозреваемых в терроризме в страны, где права человека не особо хорошо соблюдаются.

– В этом случае логика, похоже, та же самая, – говорит Йон Вессель-Аас, норвежский юрист и специалист по вопросам конфиденциальности и прав человека. – Вызывает беспокойство, если полиция «пересылает» расследования в страну, где у полиции имеется больше свободы действий, по крайней мере, если это делается намеренно и систематически. Но правовая картина неясна.

Трансграничные расследования сложны как с юридической, так и с этической точки зрения. В отсутствие четкого регулирования полиция в странах с наименьшим количеством правовой защиты может в конечном итоге взять на себя ответственность за расследование.

ПРОДОЛЖЕНИЕ СЛЕДУЕТ...

ИСТОЧНИК

Телеграм (18+)

ВК

ИСТОЧНИК

Оба мужчины напрягаются, когда узнают, что их вычислили.

- Давай, публикуй, если считаешь это правдой, но будь готов к последствиям, - говорит Джон.

Рядом с ним в закусочной Брисбена сидит Пол. Журналисты VG только что сообщили им, что они обнаружили: что эти люди управляют Childs Play (Детскими играми) –  крупнейшим в мире онлайн-форумом по вопросам сексуальной эксплуатации детей. Австралиец по имени Джон бледнеет, а британец по имени Пол краснеет.

Идёт январь 2017 года. На тот момент эта парочка уже три месяца управляет веб-сайтом Childs Play. Под их руководством тысячи пользователей сайта делятся фотографиями и видеозаписями, содержащими акты сексуального насилия над детьми. Один норвежский пользователь хвастается изнасилованием детей в собственной семье. Некоторые пользователи собираются вместе, чтобы совершить групповое изнасилование, которое они планируют снять на видео и выложить на форум.  

Понятно, что Джон и Пол выглядят потрясенными. Найти их считалось невозможным. Веб-сайт, на котором они работают, находится в так называемой «темной сети», даркнете. Шифрование должно было держать в тайне местонахождение сервера и людей, стоящих за ним. Однако журналисты норвежского VG выяснили не только где , но и с какого компьютера запускался форум.

«Даркнет» (тёмная паутина) - часть Интернета, в которой трафик между вами и посещаемыми вами веб-сайтами зашифрован таким образом, что другим очень трудно вас идентифицировать. Это делает эту технологию популярной среди людей, которые хотят держаться подальше от правоохранительных органов из-за страха подвергнуться цензуре или тюремному заключению.

Наиболее широко используемой технологией даркнета является The Onion Router (луковый маршрутизатор) — Tor, который имеет десятки тысяч веб-сервисов. Сеть состоит из массива «узлов» или компьютеров, настроенных как посредники между пользователями и сайтами.

Все коммуникации внутри сети зашифрованы. Луковый маршрутизатор получил свое название, потому что шифрование является многоуровневым, подобно луковым чешуйкам. Когда вы хотите отправить сообщение на другой компьютер в сети Tor, это сообщение инкапсулируется (упаковывается) несколько раз. После инкапсуляции пакет отправляется от вас в цепочку узлов. Каждый узел расшифровывает один слой луковицы, который предоставляет узлу информацию о том, куда пакет пойдет дальше. Каждый узел ничего не знает о получаемом пакете, кроме того, от какого узла он был получен и на какой узел он должен будет отправлен в дальнейшем.

Зашифрованное сообщение отправляется на другой узел, а затем на третий и так далее. На каждом узле расшифровываются другие слои пакета, пока самое внутреннее сообщение не достигнет конечного получателя. Когда пользователь получает сообщение, все слои пакета уже развернуты. На основе анализа трафика практически невозможно узнать, кто отправил сообщение или кто посещает службу Tor.

И вот прикрытие Джона и Пола было раскрыто. Однако они не преступники. Они работают на острие австралийской полиции в темной паутине и входят в оперативную группу Аргос. Джон Роуз возглавляет подразделение. Следователь Пол Гриффитс руководит многочисленными операциями. Теперь VG может раскрыть всему миру, что Целевая группа Аргос почти год проникала в сферу жестокого обращения с детьми в даркнете, и что само полицейское подразделение делилось фотографиями сексуального насилия над детьми.

VG знало об операции с января 2017 и внимательно следило за ней, частично отслеживая трафик в даркнете и частично получая информацию от полиции, судебных органов и других источников по всему миру. Когда осенью 2016 года компьютерный эксперт VG Эйнар Отто Стангвик начал расследование сайта и его скандинавских участников, никто понятия не имел, что он раскроет секретную операцию полиции.

Только сейчас появилась возможность рассказать историю о том, как Оперативная группа Аргос, Министерство внутренней безопасности США и полиция Канады и Европы работали над разоблачением лидеров крупнейшего в мире онлайн-сообщества насильников детей.

С самого начала у операции «Артемида» была четкая цель: выявление жертв и их обидчиков. Но нужно ли было при этом, чтобы полиция в течение почти года руководила форумом с детскими изнасилованиями?

Где-то в Соединённых Штатах плачет мать, когда узнаёт, что VG обнаружило, что участниками форума были опубликованы фотографии ее дочери, подвергшейся сексуальному насилию, а сам сайт находился под управлением полиции.

– Мою дочь нельзя использовать в качестве приманки. Если они используют ее изображения, то нам должны заплатить какую-то компенсацию. По мнению матери, полиция не вправе распространять эти изображения.

В тот же период были опубликованы фотографии детей из нескольких других стран. Однако полиция отрицает, что они несут ответственность за то, что было опубликовано на «Childs Play» до момента их подключения к сайту.

– Мы не создаем эти сайты. Мы не хотим, чтобы они существовали. Когда мы находим их, мы проникаем и забираемся как можно выше в административной структуре сети, чтобы уничтожить ее. Но мы никогда не создадим форум для преступников, совершающих преступления на сексуальной почве, — говорит Джон Роуз.

Но кто же создал форум, которым он и Гриффитс управляли? Чтобы ответить на этот вопрос, нужно будет познакомиться ещё с двумя молодыми людьми, живущими в двух разных странах.

США  и Канада

Первый молодой человек, Бенджамин Фолкнер, вырос в Норт-Бэй, Онтарио, маленьком канадском городке к северу от озера Нѝписсинг и Великих озер. Его дом находился на окраине города, с гаражом почти такого же размера, как и главный дом, батутом и надувным бассейном в саду за домом. Он очень много времени проводил в сети, а в свободное время он преподавал плавание и играл на трубе в группе. На одном из сайтов он описал своё жизненное кредо: «Я предпочитаю прожить жизнь без сожалений, поэтому, когда если мне представится интересная возможность, я без колебаний воспользуюсь ею по максимуму».

Другой мужчина, Патрик Фальте, вырос недалеко от столицы кантри-музыки Нэшвилле в американском штате Теннесси. Он жил со своими родителями в закрытом поселке рядом с оживленной транспортной развязкой. В колледже, по словам отца, он мечтал пойти работать в ФБР, чтобы бороться с хакерами.

Судебные документы показывают, что он, будучи 12-летним ребенком, чувствовал, что отличается от своих друзей. Его привлекали маленькие дети, а не ровесники.

Прошли годы. Оба молодых человека начали изучать то, что интересовало их больше всего: IT-безопасность. Канадец получил работу в Торонто, американец – в Нэшвилле. В то время, пока молодой канадец безуспешно пытался найти помощь, чтобы усмирить свои желания в отношении детей, американец держал их внутри. Он боялся, что любому врачу, психологу или консультанту, к которому он обратится за помощью, придется сообщить о нем, если он признается в сексуальном влечении к детям. Поэтому ему пришлось уйти в сеть.

Оба молодых человека были активны в даркнете в 2011 году на одном и том же сайте. Фальте стал участником веб-сайта «Pedo Support Community» (Сообщество поддержки педофилов), где занимался техническим программированием. 30 октября 2012 года Фолкнер посещает этот же сайт и публикует короткое сообщение: «Немного о себе, чтобы вызвать доверие: меня зовут CuriousVendetta, и я работаю консультантом JR по судебной экспертизе и тестером на проникновение в фирме, занимающейся IT-безопасностью. Кроме того, мы с несколькими моими друзьями делаем все возможное, чтобы вызвать общее недовольство в Интернете».

В последующих сообщениях он рассказывает, что работает инструктором по плаванию: «В бассейне я свободен и могу творить воплощать в жизнь свои фантазии. Количество девочек моего «фан-клуба» не поддаётся подсчёту». Норт-Бэй - небольшой город. Некоторые родители замечают склонности Фолкнера и просят его держаться подальше от их детей. Но заявление в полицию не подают.

18 июня 2013 года в Норт-Бэй выдался жаркий день. Так далеко на севере американского континента бывает жарко, когда светит солнце, и становится холодно, когда оно скрывается за горизонтом. Братья и сестры были в шортах. Молодой человек, позже получивший имя WarHead, был одет в черные джинсы и рубашку с длинными рукавами. Семья праздновала. На фото все улыбаются. Кажется, Фолкнер в то время не был активен на Pedo Support или других сайтах педофилов. Но скоро эта ситуация изменится. Осенью 2015 году он посещает новый сайт «Giftbox Exchange» (Обмен подарками). Находясь на этом сайте, он получает новое сообщение от администратора: «Привет, тебя давно не было. Я здесь босс». На Pedo Support его звали CrazyMonk. Это был американец Патрик Фальте. Так и началось их сотрудничество.

Канадец Бенджамин Фолкнер  стал частью команды администраторов на Giftbox, однако он хотел большего, чем быть рядовым членом команды. Он хотел возглавлять – в одиночку.

Место в даркнете

Веб-сайт «Childs Play» был запущен в пятницу, 15 апреля 2016 года.  Сайтом руководит один единственный администратор, у которого в подчинении находилась свита модераторов. Администратор придумал себе ник WarHead. Никто не догадывался, что им был Фолкнер, известный на других сайтах под ником CuriousVendetta.

«Из-за возникших в последнее время опасений по поводу безопасности [...] и общей нехватки хороших форумов я решил представить сообществу «Childs Play». Цель Childs Play — предоставить сообществу простой бесплатный форум, который будет одновременно олицетворять собой безопасное и надежное место для общения и просто для того, чтобы быть собой».

WarHead получил ошеломляющий отклик. Посыпались предложения о том, как сделать веб-сайт лучше и безопаснее для его участников. В одном из них должен был обязательно быть подраздел, посвященный пыткам детей. Канадец стал экспертом в жизни на несколько личностей. В физическом мире он был спасателем, участником группы, компьютерщиком, старшим братом. В сети он был вожаком своей собственной стаи.

В 2015 И 2016 годах под видом CRAZYMONK И WARHEAD Фальте и Фолкнер укрепили свое лидерство в двух крупнейших сетях сексуальных извращенцев и педофилов. На пике своего развития у Giftbox было 45 000 пользователей, а на Childs Play к концу его существования было зарегистрировано более 1 052 000 пользователей. По данным оперативной группы Аргос, количество реальных людей было намного меньше, вероятно, исчислялось десятками тысяч. Примерно 100 из них были известны как «продюсеры», педофилы, которые снимают на видео изнасилования детей и размещают эти видео на онлайн-форумах.

Все это привлекло внимание исследователей всего мира. В Брисбене Пол Гриффитс прочитал все, что эти двое мужчин написали о себе. Он вздохнул: оба были  специалистами по компьютерной безопасности. «Мы никогда не узнаем, кто эти ребята», — сказал он коллегам. Однако, он продолжил работать в этом направлении, хотя и не особо верил в свой успех. WarHead и CrazyMonk знали, что их место в темной иерархии насильников детей уязвимо. В частных переписках с другими участниками форума Фолкнер писал, что знает, какая судьба его ждет. Намного позже, в электронном письме издательству VG, он выразит такой же стоицизм:

«Вы не можете существовать в этих сообществах, не осознавая, что находитесь под пристальным вниманием правоохранительных органов. Чем выше вы поднимаетесь в иерархии сообщества, тем больше вы знаете, что за вами следят. Мы предприняли очень много шагов по противодействию этим мерам, которые по большей части сработали».

Компьютерный эксперт VG Эйнар Отто Стангвик также следил за даркнет-сайтом Фолкнера. Используя компьютерную систему, которую он запрограммировал осенью 2016 года, он смог загружать, индексировать и анализировать все публичные сообщения, размещенные на Childs Play. По мере приближения Рождества Стангвик пробовал различные методы, чтобы узнать, можно ли идентифицировать пользователей форума. Оказалось, что можно. Было идентифицировано несколько участников: норвежцы, шведы и датчанин. Но сам веб-сайт и два человека, стоящие за ним, казались неуловимыми.

Вечером 4 января 2017 года Стангвик применил новую тактику. Вместо того, чтобы анализировать текст на самом форуме, он заглянул под капот «движка» сайта —  порылся в его программном обеспечении. Он нашел слабые места форума. Оказалось, что если задать правильный вопрос, сервер может раскрыть свой собственный IP-адрес. Правильный вопрос был задан, и сервер ответил. Он располагался в Сиднее и принадлежал веб-хостинговой компании Digital Pacific. Такая информация может показаться ничего не значащей, но, на самом деле, это стало сенсационным открытием. Очень немногим людям когда-либо удавалось отследить местонахождение крупного скрытого сервиса в даркнете. Стангвику потребовалось всего несколько часов, чтобы сделать практически невозможное.

IP-адреса и физические местоположения серверов трудно найти в сети Tor. Так как же компьютерный эксперт VG заставил форум раскрыть эту информацию?

• Загрузка изображения.

• Форум позволял пользователям загружать изображение профиля. Это изображение могло быть загружено как с компьютера, так и могло быть получено с предоставленного пользователем URL-адреса.

• Утечка

Отсюда происходит утечка информации. Программное обеспечение форума и/или сервер, настроенные для оптимальной безопасности, будут получать изображение удаленного профиля через Tor. В Childs Play этого не произошло — весь трафик на внешние сайты исходил с реального IP-адреса сервера.

Обнаружение IP-адреса

Сказав форуму получить изображение с сервера, контролируемого Стангвиком, он смог увидеть в журналах своего сервера, что исходный IP-адрес принадлежит хостинг-провайдеру в Сиднее — Digital Pacific. Стангвик подтвердил, что исходящие DNS-запросы исходят от одного и того же провайдера и что программное обеспечение форума также загружает изображения, включенные в превью сообщений на форуме, с того же IP-адреса.

Прокси, VPN или Tor Exit?

Следующий вопрос заключался в том, принадлежал ли IP выходному узлу Tor, VPN-сети или прокси-серверу. IP может скрывать что угодно. Как он мог подтвердить, что это местонахождение форума, а не просто узел в цепочке узлов? Стангвик применил три импровизированных приема:

Тайминг между серверами

Он арендовал виртуальный сервер у Digital Pacific — там же, где находился подозреваемый IP. Затем он обновил URL-адрес изображения профиля, чтобы он указывал на этот сервер. При получении входящего запроса на изображение профиля сервер Стангвика отвечал перенаправлением на другой URL-адрес на том же виртуальном сервере. Повторив этот процесс перенаправления несколько раз, Стангвик смог изолировать и измерить время приема-передачи между двумя серверами. Измерения показали очень малое время, согласующееся с сервером форума, находящимся в непосредственной близости от арендованного им сервера.

Измерение промежуточных узлов

Стангвик также обратил внимание на так называемые значения «Time To Live» (время жизни) для входящих пакетов данных. Они дают некоторое представление о том, сколько посредников задействовано от отправителя до получателя. В данном случае значения указывали на то, что было не более одного промежуточного звена — типичный результат, если серверы находились в одной комнате.

Измерение размера пакета

Финальный тест: измерение MTU (Maximum Transmission Unit) и фрагментации пакетов. Каждый пакет в компьютерной сети имеет максимальный размер передачи, в зависимости от того, через какие промежуточные звенья он проходит. Каждая технология инкапсуляции, такая как VPN, может привести к тому, что общий размер пакета превысит максимальный размер, а локальные сети обычно имеют больший максимальный размер, чем пакеты, полученные из глобальной сети. Если максимальный размер пакета превышен, он будет разбит на несколько фрагментов.

Создавая длинные URL-адреса изображений профиля и устанавливая определенные флаги пакетов в перенаправлениях, возвращаемых пользовательским программным обеспечением веб-сервера, он мог видеть, что MTU соответствует трафику высокоскоростной локальной сети, а также исключал конфигурации VPN.

Именно с помощью этих методов и было вычислено реальное местоположение сервера Childs Play.

В понедельник, 23 января 2017 года, сотрудники VG прилете в Сидней, чтобы посетить офис веб-хостинга Digital Pacific. Основатель компании Эндрю Колоадин внимательно выслушал следователей VG. На одном из его серверов размещается Childs Play. VG хочет знать, кто управляет веб-сайтом. Журналисты хотят найти людей, стоящих за этим. «Я так же, как и вы, заинтересован в раскрытии этого дела. Мы не будем выключать сервер и не будем делать ничего, что могло бы поставить под угрозу вашу работу», — сказал тогда Колоадин.

Как поставщик услуг веб-хостинга, он не нес никакой юридической ответственности за то, что хранилось на серверах, которые он сдавал в аренду. Эта ответственность лежала на конкретном арендаторе. Но Колоадин хотел сделать все возможное, чтобы сайт Childs Play был закрыт, а его администратор WarHead понёс наказание, поэтому он согласился на сотрудничество.

Несколько нажатий клавиш спустя у нас есть ответ: сервер арендован оперативной группой Аргос в Брисбене. Ошарашенный, Колоадин проводит рукой по волосам.

– Хранение подобных материалов на наших серверах полностью нарушает наши условия. Я бы хотел, чтобы полиция поговорила с нами об этом, но я понимаю, почему они этого не сделали. Это секретная операция.

– Как вы относитесь к тому, что полиция хранит материалы сексуального характера на ваших серверах?

– Злоумышленники умны и умеют устанавливать различные системы, чтобы избежать преследования полиции. Так что полиция должна быть такой же умной, как и в данном случае. Но мне не нравится, что они делают это за нашей спиной.

На следующий день в Брисбене журналисты связались с опергруппой Аргос. Они согласились на разговор. Хотя ещё не знали, о чём он пойдёт.

– У нас очень хорошие рабочие отношения с норвежской и шведской полицией. Давайте поговорим и поедим одновременно. Сегодня очень много работы, — говорит Джонатан Роуз, глава подразделения.

– Мы знаем, что вы управляете сайтом. И мы знаем, что вы управляете им уже несколько месяцев.

Роуз напрягается, сидя на своем табурете и смотрит прямо в глаза.

– Итак, давайте договоримся сразу, что я ничего вам не скажу, поскольку это текущая операция. У нас есть только одна цель – остановить сексуальное насилие над детьми. Мы сделаем все возможное в рамках наших законодательных полномочий для достижения этой цели. А чего хотите вы?

– Мы хотим знать, чем вы занимаетесь, – продолжает журналист VG.

Роуз бросает на нас тяжелый взгляд:

– Я хочу знать, что вы знаете, и я хочу знать, как вы узнали, может быть, мы являемся администраторами сервера. Но я не буду этого говорить. Я не буду говорить о текущих операциях. Вы журналист и напишете статью. Мы сотрудники полиции и хотим предотвратить изнасилования детей. Поэтому у нас разные задачи.

Затем Роуз предполагает, что журналисты могли совершить что-то незаконное, чтобы раскрыть операцию.

– По австралийскому законодательству то, что вы сделали, приравнивается к взлому. Полиции разрешено взламывать, чтобы пресечь преступную деятельность, но вам это запрещено. Поэтому вы должны осознавать, что то, что вы сделали, потенциально может иметь последствия.

Позднее сотрудники полиции решат ответить на вопросы VG.

ПРОДОЛЖЕНИЕ СЛЕДУЕТ...

ИСТОЧНИК

Телеграм (18+)

ВК