Journalistikk

En dypere prat med Einar Otto Stangvik om å grave i overgrepsforum

Forrige helg avslørte VG at det største overgrepsforumet på nettet ble drevet av australsk politi. Faksimile fra VG.no

Hva skal til for å identifisere bakmennene til det største overgrepsforumet på nettet? Vi har spurt VG-journalist Einar Otto Stangvik om hvilke verktøy og metoder de har brukt for å identifisere og kartlegge de pedofiles aktivitet på det mørke nettet.

7. oktober publiserte VG en omfattende og rystende sak om australsk politi sin rolle i det største overgrepsforumet på det mørke nettet.

I artikkelen avdekker VGs journalister at australsk politi tok over det største forumet for deling av overgrepsmateriale av barn, med hensikt om å fange så mange overgripere som mulig ved å la forumet fortsette å leve. Jobben VG har gjort for å kartlegge disse forumene, hadde antagligvis aldri kommet på plass uten en teknologisk kyndig journalist i redaksjonen.

Jeg frastøtes av det å jobbe med alt det vonde, men trekkes tilbake av følelse av å måtte gjøre det jeg kan.

Einar Otto Stangvik, som vi snakket med i forbindelse med en annen overgrepsavsløring, har bakgrunn som IT-konsulent, men må i dag kunne omtales som en av norges skarpeste datajournalister.

Gjennom metodisk arbeid har han bygget et system som kartlegger og indekserer utallige forum og chatterom på det mørke nettet, og utviklet verktøy som gjør det mulig å til en viss grad identifisere individuelle brukere på disse forumene.

Vi har snakket litt med ham om hvordan han jobber:

Hvordan begynte du arbeidet med å utvikle disse verktøyene?
Ved prosjektets (relativt uformelle) oppstart satte jeg opp en egen maskin på kontoret, som ville brukes til å gjøre gravejobb og indeksering mot darkweb-forumene. Denne maskinen kjører en nedstrippet Linux-variant, har ikke noe tilkoblet utstyr utover en nettverkskabel, og tillater bare sikre tilkoblinger fra et bestemt nettverks-subnet hos VG, med én bestemt krypteringsnøkkel.

I saker som denne er sikkerhet og dataintegritet viktig. Hvordan har du sørget for sikkerheten i dette systemet?
Drivere for tastatur, mus, USB-porter osv. er skrudd av. USB-enheter som kobles til vil ikke aktiveres. Harddisken er fullkryptert, og maskinen skrur seg av dersom den fikles med.

Innholdet på maskinen er tekst, men noen av samstillingene kan potensielt være identifiserende – og det er årsaken til at jeg satt det slik opp. Skulle den havne på avveie (som ikke skjer ofte, men heller ikke er uhørt i et kontorlandskap med mange besøkende), så vil ingen få tilgang til noe. Maskinen har aldri, så lenge den har vært i drift, blitt flyttet ut av redaksjonslandskapet.

Hvordan har du hentet ned innholdet fra de ulike forumene og møteplassene?
Hovedfunksjonen til systemet er en indekseringsmekanisme, hvor jeg har utviklet plugins for ulike forum- og chatvariasjoner. I noen tilfeller er disse pluginene en engangsjobb, som har blitt brukt til fullindeksering av et forum, og deretter aldri kjørt igjen. I andre tilfeller har jeg hentet oppdatert informasjon fra forum daglig.

Fra chatterom har det gjerne blitt hentet ny tekst hvert minutt. Siden mange chatrooms har CAPTCHA-blokkering, har jeg også utviklet verktøy som automatisk knekker disse CAPTCHA-ene, i de fleste tilfeller ved bildefiltrering og OCR.

Indekseren trekker ned alle tråder og meldinger på forumene. Alle disse dumpes inn i én og samme Elasticsearch-base, en server som er velegnet til lagring og sortering av store mengder data. Foran Elasticsearch har jeg Kibana, med ulike dashboard som viser aktvitetsutvikling for de ulike forum- og chatrommene. Jeg har også laget en søkeportal som gir en trådet visning for flere forum samtidig.

En av visningene Einar Otto har laget til Kibana, som gir en generell oversikt over størrelsesutvikling på de ulike forumene de overvåker. Foto: Einar Otto Stangvik/VG

Hvordan identifiserer du brukere?
I søkeportalen kan jeg filtrere med alle muligheter som Elasticsearch gir, i tillegg til noen egendefinerte filter på toppen som gjør det mulig å finne brukernavn som ligner på hverandre på tvers av forum og chatterom. Det gjør det mulig å finne igjen flere år med historikk på samme bruker, som er ganske nyttig når man vil tråkke om hvem en overgrepsforumbruker er eller gjør.

Videre har jeg utviklet kommandolinjeverktøy som går løs på enkeltbrukere sin aktivitet, og eksempelvis kartlegger frekvens gjennom år, måneder, dager og timer på døgnet. Dette har jeg eksperimentelt brukt til å plassere profiler geografisk.

Enkelte av de meste aktive brukerene er så faste i rytmen at man kan se endringer i sommertid / vintertid, hvile midt på dagen som man finner i middelhavslandene, osv. Noen er aktive utelukkende i kontortid, andre bare på natten.

Bildet ovenfor viser én spesifikk brukers aktivitet over tid, og gir VG en indikasjon om hvor brukeren geografisk befinner seg, basert på når på døgnet brukeren poster på forumet. Foto: Einar Otto Stangvik/VG

Jeg har også skrevet verktøy som automatisk tar for seg mengder av brukere, og dytter identitetene inn i offentlig tilgjengelig profilsøk – som reverssøk mot Skype, Steam, Facebook, Twitter osv. Jeg slo opp brukernavnene i lekkede lister med mapping mellom brukernavn og epost, og gjør oppslag av de resulterende epostadressene – hvis treffene er forholdsvis konsekvente.

I artikkelen hadde dere en fin forklaring på hvordan dere fant ut lokasjonen til serveren ved å sjekke hvor lang tid det tok å få kontakt med serveren. Kan du si litt om det?
I januar, i forbindelse med geolokalisering av fire ulike overgrepsforum (deriblant Childs Play), leide jeg virtuelle servere flere steder i Europa, samt i Australia.

Disse brukte jeg for å komme tettere på IP-adressene jeg avdekket, og for å bekrefte/avkrefte antagelser om hvor nettstedet befant seg. «Childs Play» og «Preteen Feet Love» ble begge drevet i Sydney. «Kids World» og «Elysium», som henholdsvis har gått under jorden og blitt tatt av politiet, sto plassert i Europa.

I alle sammenhenger var det å få hint om IP-adresse den enkleste delen av jobben. Den vriene prosessen har vært å kunne teknisk sannsynliggjøre at IP-adressene faktisk har pekt mot forumprogramvaren jeg har sporet.

Hva driver deg til å jobbe med denne problematikken?
Saken om politikeren som hacket og spredte jenters bilder – der var motivasjonen å se om jeg kunne bruke teknisk kompetanse til å løse virkelige problemer. Det var også en reaksjon på en frustrerende jobbsituasjon i tiden før det.

Stangvik jobbet i 2013 som IT-konsulent, men hjalp VG med å avsløre hvem som hacket og spredte jenters bilder. Skjermbilde: VG.no

Veien videre til «Nedlasterne» var som følge av overflodsinformasjon fra forumene i den første saken, og sjokket over å oppdage hvor fritt overgrepsmateriale ble vekslet rundt på åpent nett. Allerede der og da var motivasjonen å prøve å få tak i produsentene, bakmennene, men de vi fant var «bare» nedlastere.

Jeg følte i liten grad at vi løste noen problemer med «Nedlasterne», men det belyste i alle fall tematikken ytterligere. Målet med å finne fysiske overgripere og bakmenn, derimot, var uforløst.

Så hele veien har målet vært å gjøre en forskjell med det man kan. Men med noen få unntak føler jeg i mindre og mindre grad at jeg lykkes med det.

Og når det gjelder hvorfor akkurat denne tematikken, så er det vel så enkelt som at ingenting gjør meg sintere eller mer lei meg enn barn som har det vondt, eller som blir behandlet urettferdig.

Hvor stor påkjenning er det å jobbe med dette?
Når det gjelder den psykiske påkjenningen, så går den i rykk og napp. Jeg gikk jo på en skikkelig knekk etter «Nedlasterne», først og fremst i fortvilelse over ikke å føle at jeg hadde fått til noe som helst, samtidig som jeg fikk en masse ufortjent «takk» fra mennesker som har gjennomlevd helvete. Og det gnager fortsatt i meg.

Holdningene som jeg blir oppmerksom på blant overgripere plager meg, spesielt som far.

Jeg har vel blitt flinkere til å gå vekk fra skjermen og problematikken når jeg kjenner at det blir for mye. Men samtidig trekkes man tilbake av at det man jobber med ikke er løst, avdekket, belyst.

Så jeg frastøtes av det å jobbe med alt det vonde, men trekkes tilbake av følelse av å måtte gjøre det jeg kan.

Hva skal til for at denne typen teknisk tilnærming til gravende journalistikk skal få bedre fotfeste i norske redaksjoner?
De store redaksjonene må bli flinkere på å utnytte de ressursene de faktisk har. Og alt fra små til store redaksjoner må være bevisste på hvilke ressurser de har som er interessert i å gå i retninger de ikke allerede har gått i.

For journalister, i retning programmering eller annen databehandling. For programmerere, i retning journalistikken.

Jeg har vært uhyre heldig som har fått lov til å flyte relativt fritt mellom de to disiplinene, og tror det har vært til nytte for VG.

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hvor lagret Stangvik dataene?

Hva mener Stangvik redaksjoner må gjøre mer av?

Hva avdekket VG?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *