Nyheder
07 marts 2017

Hemmelighedsfuldt cyberpoliti om ny teknik til bitcoin-sporing: »Det har vakt opsigt, også internationalt«

I Rigspolitiets cybercrime-enhed arbejdes der med en ny teknik i opklaringsarbejdet, men det er småt med detaljerne.

Jakob Møllerhøj | Tirsdag, 7. marts 2017 - 5:11

Rigspolitiets nationale cybercrime center, kaldet NC3, har ifølge eget udsagn fået opbygget en kapacitet, så det nu er slut for kriminelle med at gemme sig bag kryptovaluta som eksempelvis Bitcoin.

Nyheden blev bekendtgjort forleden, blandt andet i form af en pressemeddelelse fra Anklagemyndigheden med titlen: »Gennembrud: Nye beviser ophæver kriminelles anonymitet på mørkenettet.«

‘Gennembrud’ lyder umiddelbart spændende, men det er småt med de tekniske detaljer i meddelelsen. Den indeholder dog følgende passage, der afslører lidt af, hvad der er tale om:

»Kriminelle har hidtil kunnet handle anonymt på mørkenettet, fordi man ikke kunne følge kommunikationen og dermed spore afsendere og modtagere af bitcoins. Men med den nye metode kan efterforskere dokumentere de enkelte transaktioner mellem kriminelle og markedspladserne, der udbyder alt fra narkotika til børneporno, stjålne kreditkortoplysninger og ydelser som drab, overfald, hacking og afpresning,« bliver det forklaret i pressemeddelelsen.

Kryptovaluta

Som nogen vil vide, så foretrækker mange kriminelle at handle online i kryptovaluta, hvor bitcoin er en af de mest udbredte af slagsen. Valutaen har den egenskab, at der i udgangspunktet ikke knytter sig en identitet til de adresser, der overføres bitcoins til og fra.

Det vil sige, at det er muligt at overføre penge elektronisk, uden at der knytter sig en identitet til modtageren eller afsenderen. Og sådan en egenskab kan selvsagt være ønskværdig for kriminelle i forbindelse med køb og salg af illegale varer - en handel der kan foregå på det såkaldte darknet.

Darknet indbefatter i denne sammenhæng blandt andet Tor-netværket. Sådanne tjenester har til formål at anonymisere brugerne, så de ikke kan spores via ip-adresser.

Derfor er det set med politimæssige briller ønskværdigt at kunne identificere folk på anden vis. Og her er det oplagt at se på de pengestrømme, der ofte er forbundet med eksempelvis narko-handel online.

Men da de monetære transaktioner på darknet i disse tilfælde foregår via kryptovaluta som bitcoin, så bliver selv det vanskeligt at benytte det klassiske efterforskningskneb med at ‘follow the money’ for at finde frem til bagmanden.

Aber dabei

Der er der dog et aber dabei forbundet med bitcoin og anonymiteten. For faktisk er det netop muligt at ‘follow the money’, da alle bitcoin-transaktioner i udgangspunktet fremgår af den åbne hovedbog/ledger kaldet Blockchain. Den kan alle dykke ned i, blandt andet her

Det vil sige, at hvis der på et eller andet tidspunkt er eller har været knyttet en identitet til en bitcoin-adresse noget sted i transaktionskæden, så bliver det pludseligt muligt at begynde at stykke brikkerne sammen i forhold til, hvem der har overført penge til hvem.

Anonymiteten i forhold til en bitcoin-adresse kan eksempelvis gå fløjten, hvis adressen har været brugt i en anden - eventuelt helt legitim - sammenhæng.

Måske sælger narkohandler A’s kone blomster, og af en eller anden grund tager hun også imod bitcoins. Og hvis den samme bitcoin-adresse fremgår af blomsterbutikkens hjemmeside og på narkohandels-pladsen på darknet, ja, så er det slut med anonymiteten.

Et andet og i denne sammenhæng mere sandsynligt eksempel på, hvordan anonymiteten kan forsvinde er, når bitcoins bliver omsat til rede penge og den anden vej rundt. Altså i forbindelse med køb og salg af bitcoin. I den forbindelse vil der ofte være bankkonti, betalingskort og andre ganske identificerbare elementer involveret.

For alligevel at sløre, hvem der køber og sælger bitcoin, så er der opstået et marked for de såkaldte tumbler-tjenester. Det er kort fortalt onlinetjenester, der splitter en bitcoin-transaktion op mellem mange adresser. Formålet er at gøre det svært at spore, hvem der faktisk sender og modtager bitcoin.

Lidt mere lys

For at få kastet lidt mere lys over de tekniske elementer i efterforskningsmetoden, har Version2 rettet henvendelse til Kim Aarenstrup, chef for NC3.

»Tidligere har det været sådan, at når man overgik til den virtuelle valuta, så blev politiet koblet fra. Og der er vi nu i stand til at fortsætte efterforskningen, og i visse situationer finde frem til gerningsmanden,« siger Kim Aarenstrup.

Han vil dog ikke løfte sløret for, hvordan NC3 nu er i stand til at afsløre identiteten bag bitcoin-handlende på darknet.

»Vi vil helst ikke gå for meget i detaljer, fordi vi dermed hjælper de forkerte personer,« siger han.

Udnytter I eksempelvis at kunne se i den åbne bitcoin-ledger?
»Jeg kan ikke komme ind på, præcist hvad det er, vi gør, da vi dermed risikerer at eksponere nogle flanker, som vi ikke er interesserede i.«

Der var dog lidt mere om teknikken forleden i en artikel hos Berlingske Tidende, hvor Kim Aarenstrup også medvirkede under titlen ‘Dansk gennembrud: Narkohandlere kan ikke længere gemme sig bag bitcoins’.

Her fremgår det, at politiets nye efterforskningsteknik involverer at koble oplysninger fra blockchain sammen med oplysninger om bitcoinkøbere, som bitcoinsælgere er forpligtede til at indsamle.

Det fremgår ikke nærmere, hvad der menes med bitcoin-sælgere, men der tænkes nok på salg via de online-børser, hvor kryptovalutaen handles, og hvor det ofte er en forudsætning for at kunne bruge tjenesten, at brugerne på en eller anden måde identificerer sig.

Heller ikke i Berlingskes artikel ønsker Aarenstrup at gå detaljeret ind i teknikken bag efterforskningsmetoden, der blotlægger kriminelle aktiviteter på darknet.

Chainalysis

Et bud i forhold til en del af det tekniske setup hos NC3 kunne være, at software fra den dansk-amerikanske startup Chainalysis er involveret i projektet.

Virksomheden har blandt andet slået sig op på at lave et system, der kan bruges til at spore bitcoin-transaktioner, selvom der er tumbler-tjenester involveret.

Administrerende direktør og medstifter af Chainalysis Michael Gronager har tidligere fortalt forholdsvist åbent om virksomhedens værktøj Reactor i et interview med Version2, bragt februar sidste år.

»Værktøjet bruges af politi og efterretningstjenester til at følge pengesporet og se, hvor en enkelt BitCoin bevæger sig hen. Vi har kontrakter med mange europæiske landes politi-enheder og flere myndigheder i USA og Asien,« sagde Michael Gronager.

Han ønskede i den forbindelse ikke at komme ind på, hvorvidt dansk politi var i kundegruppen.

Af Chainalysis-artiklen fremgik det også, at virksomheden var ved at indgå et samarbejde med den europæiske politienhed Europol.

Løbende udvikling


Af pressemeddelelsen fremgår det, at NC3's nye metode har ført til lange fængselsstraffe for narkohandel. Og der henvises i den forbindelse til en dom helt tilbage i april 2016.

Det må være et system, I har arbejdet med noget tid efterhånden?

»Det er det også. Metoden er en kombination af forskellige aktiviteter, og den har vi udviklet yderligere over tid,« siger Kim Aarenstrup til Version2 og fortsætter:

»Det startede i det små med noget analysearbejde, hvor vi høstede nogle af de første resultater. Denne udviklingsproces førte til et par domme, men også til et videre udviklingsarbejde, hvor vi nu kan skabe endnu flere interessante politimæssige resultater.«

Kim Aarenstrup påpeger, at der ikke er tale om et enkeltstående produkt, men om en kombination af flere elementer.

»Den samlede analytiske metode har dansk politi hos NC3 tilvejebragt, og metoden genererer nogle effektive resultater. Det har vakt opsigt, også på internationalt plan,« siger han

Kim Aarenstrup fortæller i den forbindelse, at NC3 har afholdt flere workshops og seminarer i forhold til NC3's opklaringsmetode.

I pressemeddelelsen fra Anklagemyndigheden står der, at 150 narkohandlere er blevet identificeret på en eftermiddag. Er det danskere?

»Det vil jeg ikke udtale mig nærmere om. Men faktum er, at vi har kunnet gøre det, og på relativt kort tid, så det åbner jo for et helt nyt perspektiv,« siger Kim Aarenstrup.

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

FacebookTwitterLinkedinMailPrint

Også interessant

Hoofd media partner
Media partners