Adresseavisens metoderapport til Hell-konferansen
Silkeveiene_ Bidrag til kategori «Nyhetsjournalistikk» Den Trønderske journalistprisen 2014 Hovedsak publisert onsdag 5. november: http://www.adressa.no/pluss/article10313897.ece Jonas Alsaker Vikan, 928 28 316 [email protected] Ole Martin Wold, 986 31 898 [email protected] Adresseavisen Funn I en serie saker kjent som «silkeveiene» har Adresseavisen avdekket følgende som hittil ikke har vært kjent: Norske, organiserte nettverk har det siste året stått for minst 5500 salg av kokain, ecstasy, amfetamin, LSD og andre stoffer til norske kunder på en skjult del av internett, kjent som det mørke nettet --Omsetningen fra salgene er på mange millioner kroner. Pengene forsvinner med en anonym digital valuta som ikke kan spores av banker og myndigheter. Nettverkene har vært aktive i flere år --Narkotika sendes i brev med innenrikspost. I Norge er det ingen kontroll, eller sporing av innenlands brevpost. Nettverkene bruker intetanende postmenn som narkotikakurerer --I tillegg selger nettverkene fra Norge til kunder i hele verden. Det er tilnærmet ingen kontroll av brev og pakker på vei ut av landet. Det vet nettverkene, og bruker aktiv i markedsføring --Norske narkotikaselgere tilbyr nordmenn gratis stoff mot å skrive en rusrapport om virkningen. Rusrapporten brukes i markedsføring, som bevis på stoffets kvalitet --Nettverkene pusher kokain, ecstasy, amfetamin og andre stoffer på kunder de ikke aner hvem er. Blant kundene er barn under 18 år --Påtalemyndigheten henla i fjor 87 prosent av alle saker som stammet fra utenlandske narkotikabrev adressert til nordmenn --Antallet saker som ble påtaleavgjort er over fem ganger lavere enn antallet narkotikasalg som Adresseavisen kan dokumentere på det mørke nettet --- 2 Innhold 1.INNLEDNING __________________________________________________________________________________ 5 1.1.1 Oppstart __________________________________________________________________________ 5 2. METODER _____________________________________________________________________________________ 6 2.1 Datagraving ___________________________________________________________________________ 6 2.1.1 Lenkefarming _______________________________________________________________________ 6 2.1.2 Informasjonsinnsamling ______________________________________________________________ 7 2.1.3 Analyse av omdømmesystemet ________________________________________________________ 9 2.1.4 Søk krypteringsnøkkeldatabaser _______________________________________________________ 11 2.1.5 Søk html-arkiv _____________________________________________________________________ 14 2.2 Kartlegging sosiale medier ______________________________________________________________ 2.2.1 Deanonymisering: Fra BRUKER123 til «Øystein» __________________________________________ 2.2.2 Profilanalyse det mørke nettet ________________________________________________________ 2.2.3 Åpne søk _________________________________________________________________________ 2.2.4 Profilanalyse det åpne nettet _________________________________________________________ 2.2.5 Facebookanalyse __________________________________________________________________ 2.2.6 OSINT-søk «bak» Facebookprofil ______________________________________________________ 2.2.7 Deanonymisering: SELGER123 ________________________________________________________ 2.2.8 OSINT-søk «bak» Facebookprofil ______________________________________________________ 14 15 16 16 16 17 17 18 18 2.3 Bildeanalyse __________________________________________________________________________ 19 2.4 Dokumentgraving _____________________________________________________________________ 2.4.1 Analyse av Skånesak ________________________________________________________________ 2.4.2 Analyse av dom, tingsrätt og hovrätt ___________________________________________________ 2.4.3 Dokumenter unntatt offentlighet ______________________________________________________ 2.4.4 Siktelser Silk Road 1 og 2 _____________________________________________________________ 2.4.5 Politidokumenter __________________________________________________________________ 2.4.6 Internasjonal forskning ______________________________________________________________ 20 20 21 22 23 24 24 2.5 Spaning ______________________________________________________________________________ 25 3. SPESIELLE ERFARINGER _________________________________________________________________ 25 3.1.1 Operations security (Opsec) __________________________________________________________ 25 3.1.2 «Misbruk» av systemer ______________________________________________________________ 26 3.1.3 Trusler ___________________________________________________________________________ 27 4. PRESSEETISKE VURDERINGER __________________________________________________________ 28 4.1.1 Personer under 18 år _______________________________________________________________ 4.1.2 Narkotikakjøp _____________________________________________________________________ 4.1.3 Samtidig imøtegåelse _______________________________________________________________ 4.1.4 Bildebruk _________________________________________________________________________ 4.1.5 Falsk identitet _____________________________________________________________________ 3 28 28 28 28 29 5. KONSEKVENSER ___________________________________________________________________________ 29 5.1.1 Endring i postsystemet ______________________________________________________________ 29 5.1.2 Etterforskning av nettverk ___________________________________________________________ 30 5.1.3 Omverdenanalyse __________________________________________________________________ 30 6. PUBLISERINGSLISTE ______________________________________________________________________ 31 4 1.Innledning Denne rapporten vil beskrive arbeidet med prosjektet kalt «silkeveiene», hvor vi i en dokumentar og flere nyhetssaker har avslørt et hittil ukjent norsk narkotikamarked som skjuler seg i et mørkt hjørne av internett. For å få adgang til det mørke nettet kreves kunnskap om avansert teknologi og kryptering. Sentrale begrep som er viktig å merke seg er «det mørke nettet», TOR og kryptomarkeder. TOR er en programvare som anonymiserer brukerens nettsurfing. Kryptomarkeder er nettsider som bruker TOR for å skjule sin reelle adresse, og hvor tusenvis av brukere kan kjøpe og selge narkotika ved hjelp av den digitale valutaen Bitcoin. Det mørke nettet er utgjort av alle sidene som er satt opp ved hjelp av TOR. Arbeidet pågikk på fulltid mellom 5. august og 5. november 2014, og pågår fortsatt. Det har vært et svært omfattende prosjekt, og en lang prosess frem mot publisering. Den har vært utfordrende med en bratt teknologisk læringskurve. Prosessen har vekslet mellom konvensjonell, journalistisk metodebruk, utvikling av nye metoder for å utvinne informasjon fra skjult materiale på det mørke nettet, og analyse av store mengder innsamlede opplysninger og dokumenter. Rapporten vil drøfte metodebruken og resultatene den ga, i tillegg til å ta for seg de presseetiske problemstillingene som sakene har berørt. Sakene avslører grov narkotikakriminalitet med strafferammer på langt over ti år i fengsel begått av organiserte miljøer. Kriminaliteten på kryptomarkedene genererer milliarder av kroner årlig. Norsk politi har ikke etterforsket disse miljøene, og de er fortsatt på frifot. Derfor er det brukt anonymisering og en rekke grep for å ivareta kildevern og sikkerhet i denne rapporten. Utfyllende opplysninger rundt enkelttema kan oppgis til jury ved forespørsel. 1.1.1 Oppstart Arbeidet som skulle ende opp i «silkeveiene», begynte for Jonas i starten av 2014. I januar dukket en uforståelig lenke opp i forbindelse med research til en annen sak. Lenken fremsto som ulogisk, og ga «page not found». Jeg ble nysgjerrig: http://hj4ndbfe2vhvauck.onion/ Et vanlig google-søk viste at lenken pekte mot en nettside skjult av programvaren TOR. På grunn av andre forpliktelser og saker, ble det med noen spredte søk og sporadisk research fra lenken ble oppdaget og til jeg gikk ut i foreldrepermisjon i april. I løpet av permisjonen, da jeg fikk litt avstand til jobben og mulighet til å samle tankene, bestemte jeg meg for å gjøre et prosjekt på det som for meg fremsto som en ukjent del av internett. Ole Martin, som er fotograf, ble koblet på i slutten av september, et par måneder før publisering. 5 Å lære seg å bruke TOR-programvaren var den første utfordringen. Da jeg hadde det på plass, og surfet inn på det mørke nettet for første gang opplevdes det litt som Alice' sin ferd ned kaninhullet mot eventyrland. 2. Metoder Det har blitt brukt en rekke forskjellige metoder i arbeidet med «silkeveiene». For å gjøre det så oversiktlig som mulig har jeg delt inn skriftlige kilder i avsnitt om datagraving og dokumentgraving. 2.1 Datagraving Den største utfordringen med dette prosjektet var at det ikke eksisterte noen form for oppskrift som jeg kunne følge. Jeg hadde sett flere andre journalistiske prosjekter som hadde fulgt elektroniske spor, og gått etter bakmenn på ulike nettsteder. Felles for prosjektene var at de undersøkte personer som beveget seg på det åpne nettet. Der finnes det en rekke metoder for å følge elektroniske spor. Årsaken til at noen velger opererer på det mørke nettet, er at det gir anonymitet, støttet av teknologi som er avansert nok til å gi ressurssterke etterretningsbyrå som NSA problemer. Jeg så at eksisterende metoder ikke ville fungere. Jeg måtte finne egne måter for å samle inn informasjon fra data på det mørke nettet. 2.1.1 Lenkefarming Adressene til sider på det mørke nettet består av tilsynelatende tilfeldig utvalgte bokstaver. Ettersom sidene ikke fanges opp av Google, var jeg avhengig av å vite adressen til sidene som jeg skulle undersøke. Det var viktig å få oversikt. Men under oppstarten føltes det hele som å famle rundt i blinde. Jeg fant en lenke til kryptomarkedet Silk Road 2 (SR2) gjennom søk på det vanlige nettet. Her lå det mye rart tilgjengelig, men det så ut til at hovedinnholdet var narkotika. Fra SR2 fant jeg veien videre inn på et undergrunnsforum, som lå utenfor SR2-siden. To forskjellige brukere med falsk identitet ble opprettet på begge sidene, for å få tilgang til alt innholdet. Det viste seg at kryptomarkedene og undergrunnsforumene hadde forskjellig funksjon. På kryptomarkedene var det ikke mye informasjon som var tilgjengelig, utover narkolangernes «butikkvinduer» hvor de presenterte stoffene sine med tekst og bilder. Flere av selgerne sa også noe om sin erfaring og delte opplysninger som ble ledetråder som viste meg veien til funn av viktige opplysninger andre steder. 6 På undergrunnsforumene var det langt mer å hente. De var bygd opp for at kundene på kryptomarkedene skulle bruke forumene til å diskutere og utveksle erfaringer om alt mulig mellom himmel og jord. For en person som var helt ny i denne skjulte verdenen var informasjonen som lå her helt uvurderlig. Jeg brukte mye tid på å lese meg opp, samle skjermbilder og analysere innholdet på undergrunnsforumene. Da arbeidet ble gjort var det over 30 kryptomarkeder i virksomhet. Den første lenken, til SR2s undergrunnsforum, satte meg imidlertid i stand til å lære nok om systemene til å peke ut de fem største og viktigste. Jeg lette gjennom diskusjonstråder, artikler og informasjon fra selgere til jeg satt på «veibeskrivelser» til de største og viktigste kryptomarkedene: Evolution, Agora, Pandora, Cloud-Nine og Silk Road 2 På samme måte som jeg gjorde da jeg oppdaget SR2, gikk jeg systematisk gjennom undergrunnsforummene knyttet til kryptomarkedene i jakten på opplysninger om nordmenn, systemer, modus og stoffer. Dette tok en del tid. Hvert enkelt av kryptomarkedene som er gjennomgått har mange tusen selgere. Lenkeinnsamlingsmetoden ble tatt i bruk på nytt i oktober da arbeidet hadde kommet lengre. Etter en ny og mer målrettet gjennomgang av kryptomarkedene, satt jeg på lenker til kontoene til norske narkonettverk, butikkene deres og hemmelige forum. Målet var å sikre et bredest mulig tilfang av opplysninger om det organiserte systemet som jeg begynte å se omrisset av. Et system hvor nordmenn gjorde store penger på dop – uten at de så ut til å ofre risikoen for politiets innblanding en tanke. 2.1.2 Informasjonsinnsamling Parallelt med lenkefarmingen (og i tiden frem til midten av oktober) jobbet jeg med å sørge for skjermbilder av alle sider som jeg opplevde som relevante. Jeg satt etter hvert på hundrevis av sider med informasjon som var og kunne bli viktig. Dette var en rotete måte å jobbe på. Jeg innså at materialet måtte systematiseres før det ble for uoversiktlig til å bruke. Jeg brukte to metoder og opprettet et skjermbildearkiv (a) og et excelregister (b). A) Skjermbildearkiv Skjermbilder ble organisert i et mappesystem delt inn etter kryptomarkeder og navn på norske nettverk. Alle skjermbildene ble sortert etter relevans i mappen som passet. Volumet ble veldig stort, veldig fort, men opplysningene som ble samlet i arkivet ble helt sentralt for sakene. Jeg jobbet parallelt med innhenting av informasjon og analyse av materialet. Det kom en rekke funn fra skjermbildearkivet. To av dem var avgjørende: Forretningsideen: Nettverkenes narkosalg fra det mørke nettet bygde på å utnytte et sikkerhetshull i postvesenet. Ingen kontrollerer innenlandsbrev i Norge. Dermed 7 kunne nettverkene sende narkotika til kundene i A-post med tilnærmet null risiko for å bli tatt. Sammenholdt med bruken av TOR for å skjule ip-adresser, og krypterte eposter for å beskytte kommunikasjon fremsto det som svært vanskelig for politiet å stoppe flyten av brev på kryss og tvers av Norge. Samtidig ble kundene coachet i hvordan de skulle nekte befatning med brevene, dersom de ble kalt inn til politiavhør. Det skulle føre til en mer krevende etterforskning og, til slutt, henleggelser. Omdømmesystemet: Hjørnesteinen i kryptomarkedene er omdømmesystemet. Det var analysen av omdømmesystemet som ble nøkkelen til å si noe om omfanget av de norske nettverkenes narkotikasalg Forretningsideen forsto jeg relativt raskt, mens det tok lengre tid før jeg skjønte hvor viktig omdømmesystemet var. Da det gikk opp for meg, var det enkelt å gå tilbake til skjermbildearkivet og hente ut informasjonen jeg hadde samlet om omdømmesystemet Jeg fikk flere ganger bevis på hvor viktig det var å ha kontroll på dokumentasjonen mens jeg arbeidet med sakene. Det kunne det skje ting som påvirket tilgangen min på informasjon. Ved flere anledninger opplevde jeg at et kryptomarked plutselig ble utilgjengelig i lengre perioder, og samtidig skjedde det at en narkolanger jeg undersøkte forduftet fra det mørke nettet. B) Excel-register Lenker og sentrale data bygde jeg et Excel-register av. Tanken var at registeret skulle fungere som et støttedokument, slik at jeg hele tiden hadde oversikt over hvor de viktigste opplysningene mine, og hvor de kom fra. Informasjonsinnsamlingen som lå til grunn for Excel-registeret stammet fra en rekke kilder på det mørke nettet: Fra kryptomarkedene Butikksidene: Disse brukte narkotikanettverkene til å presenterte seg selv til kundene Markedsføring: Hvor selgerne presenterte bilder og detaljer om ulike typer og mengder narkotika Nettverkenes krypteringsnøkler: Hver selger har en unik krypteringsnøkkel som brukes til identifikasjon Fra undergrunnsforum Forumtråder: Jeg gikk gjennom hundrevis. Blant annet eksisterte det en egen diskusjonstråd kun for nordmenn som ble svært nyttig Sikkerhetsmanualer: I det internasjonale miljøet knyttet til kryptomarkedene jobbes det systematisk for å bygge opp en kunnskapsbase hvor metoder og informasjon deles etter beste praksis. Blant manualene jeg fant var «Narkotikahunder – hva de kan og ikke kan lukte» og «Hvordan pakke narkotika» i tillegg til instruksjoner om hvordan man skal bruke avansert kryptering og andre anonymiseringsverktøy Systematiseringen ga oversikt over kryptomarkedene, de viktigste funksjonene, men også forskjellen mellom dem og de unike detaljene: Pandora satset tungt på kundeservice, og ga publikummet hjelp på tysk, fransk og engelsk, Agora hadde ekstrem sikkerhet, mens Evolution ga kundene mulighet til å holde igjen penger til selgeren til varene var mottatt. 8 De viktigste opplysningene ble presentert i en omfattende, interaktiv grafikk i dokumentaren «silkeveiene»: Se direktelenke her Excel-registeret ga meg i tillegg oversikt over hvilke opplysninger og detaljer jeg satt på om de norske nettverkene og narkotikalangerne: Antall salg av narkotika, e-postadresser, krypteringsnøkler, hvor de var i virksomhet og hvor lenge de hadde drevet kriminalitet fra det mørke nettet. Å opprette arkivet og Excel-registeret var en tidkrevende drittjobb som bremset fremgangen min. Jeg satt i dagevis og grupperte informasjonen. Jobben sparte meg imidlertid for masse arbeid senere i prosjektet. Informasjonen som lå i lenkene og skjermbildene var avgjørende for å forstå systemene som var i sving. 2.1.3 Analyse av omdømmesystemet Et av de mest sentrale funnene i sakene er at det har blitt gjort 5500 narkotikahandler mellom nordmenn som skjulte seg på det mørke nettet det siste året. For å komme frem til tallet ble brukte jeg tre ulike metoder: Analyse av omdømmesystemet Søk i databaser over krypteringsnøkler Nettverkenes egne opplysninger Analysen av omdømmesystemet var den viktigste av metodene og ble gjort først. De to andre metodene brukte jeg senere for å få et dypere tallmateriale. Da jeg begynte å arbeide med omdømmesystemet på kryptomarkedene hadde informasjonsinnsamlingsfasen gitt svar på mange spørsmål. Men jeg følte likevel at saken skrek etter tallmateriale som kunne si noe om det norske omfanget. For å finne et slikt tall måtte jeg forstå hvordan kryptomarkedene var bygd opp, hvordan de fungerte og hvordan de skilte seg fra andre digitale markedsplasser jeg hadde vært innom. Jeg stilte meg selv noen spørsmål: Hvordan bygges tillit i en skyggeverden hvor alle beveger seg rundt skjult av anonymitetsverktøy? Hvordan kan mennesker stole på hverandre når alt de har å forholde seg til er et dekknavn, en bitcoin-konto og en kryptert e-postadresse? Svaret på alle disse spørsmålene skulle vise seg å være omdømmesystemet på kryptomarkedene. Selv om kryptomarkedene har forskjellige funksjoner og tjenester, har alle en variant av omdømmesystemet. Det fortalte kundene noe om narkotikalangernes troverdighet: Omdømmesystemet er sider hvor kundenes tilbakemeldinger til en narkolanger blir publisert slik at enhver som er innom selgerens konto kan se dem. Kunden bruker omdømmesystemet til å gi narkotikaselgere en karakter. Karakteren er ofte mellom 1 og 5, og baseres på service, pris og kvaliteten på stoffet som kjøpes. 9 Tilbakemeldingene er synlige for alle, og det er også informasjon om hvor lenge det er siden hver kommentar ble publisert. 1 Utdrag fra omdømmesystemet hos det norske nettverket Norwegian. Skjermbilde tatt i oktober 2014 på Silk Road 2. Etter hvert skjønte jeg at systemet skal motvirke svindel på det mørke nettet. På kryptomarkedene er omdømmet en offentlig, men avlåst del av selgerens profil. Det vil si at en narkotikaselger ikke kan redigere, manipulere eller forfalske tilbakemeldingene som står her. De publiseres av kundene, og forutsetningen for å få skrevet en tilbakemelding, er at man har brukt kryptomarkedets infrastruktur til å handle narkotika. Én tilbakemelding stammer fra ett kjøp. Tidligere i arbeidet hadde jeg foretatt en grovtelling av antall tilbakemeldinger de norske narkonettverkene hadde fått på sine omdømmesider. Hvert nettverk eller narkolanger har alt fra 1 til 30 sider fulle av tilbakemeldinger. Det var opptil 30 tilbakemeldinger på hver enkelt side. Opprinnelig hadde jeg tenkt å bruke tallet som et anslag. Jeg var bekymret for tilbakemeldingene ikke kunne gi et troverdig tall på omfanget av narkotikasalget. Først mot slutten av september gikk det opp for meg hvor sentralt omdømmesystemet var. Det var imidlertid bruken av andre, mer tradisjonelle metoder som gjorde det helt klart at metodikken min var sterkere enn det jeg opprinnelig hadde trodd: Da jeg så at omdømmesystemet ble lagt til grunn som bevis i to rettsinstanser i Sverige (se pkt. 2.4.1 og 2.4.2), så følte jeg meg overbevist om at metodikken holdt vann: Jeg kunne kvantifisere størrelsen på det norske markedet, og de norske nettverkene ved å telle alle tilbakemeldingene som nordmennene hadde fått. 10 Siden jeg satt på skjermbilder fra hver enkelt side med tilbakemeldinger til alle de norske aktørene kunne jeg gå inn i arkivet jeg hadde etablert under informasjonsinnsamlingsfasen (se pkt. 2.1.2). Deretter var det en grei operasjon å telle over, og slå fast at det var begått mer enn 5500 salg av narkotika fra nordmenn til nordmenn i løpet av det siste året. At alt dette hadde fått foregå ved hjelp av Posten, uten innblanding fra politiet, synes jeg var oppsiktsvekkende. Mens jeg jobbet med denne metoden holdt jeg tallet jeg fikk opp mot tall jeg hentet ut fra søk i databaser over krypteringsnøkler (se under), noe som bidro til totalsummen. I enkelte tilfeller la jeg tall, som nettverkene selv oppga til kundene, til grunn. De publiserte eldre salgstall som en del av markedsføringen sin mot nye kunder. Tallene kunne jeg hente ut fra data jeg satt på i skjermbilderegisteret. Eksempler: 2 Det norske nettverket «Alfa&Omega» oppgir salgstall fra nå nedlagte kryptomarkeder. Skjermbilde hentet fra kryptomarkedet Evolution i slutten av august 2014. 3 Det norske nettverket «Foxhound Norway» oppga salgstall på et undergrunnsforum sommeren 2014. Skjermbilde tatt i slutten av august. Det virket usannsynlig at noen skulle oppgi et høyere salgstall enn de hadde faktisk stått for – og dermed eksponere seg selv for en langt strengere straffereaksjon. Likevel kunne jeg ikke utelukke det, og derfor rangerte jeg denne metoden som den minst viktige av de tre jeg brukte for å komme frem til totalantallet. 2.1.4 Søk krypteringsnøkkeldatabaser Selv om jeg kunne telle opp antall narkotikasalg nordmennene hadde gjennomførte på de fem kryptomarkedene som jeg hadde identifiserte som størst og viktigst i 2014, så var det tydelig at flere av aktørene hadde vært i sving på det mørke nettet en god stund. De hadde etablert rutiner for sikkerhet og kundebehandling, og utviklet modus for salg, pakking og sending av narkotika. Slikt tar tid. Under informasjonsinnsamlingsfasen (se pkt. 2.1.3) gikk jeg gjennom mange diskusjonstråder på ulike undergrunnsforum for å danne meg et inntrykk av menneskene, kulturen og historien bak det internasjonale miljøet på det mørke nettet. Flere steder fant jeg dedikerte 11 diskusjontråder som handlet om det opprinnelige kryptomarkedet Silk Road 1 (SR1), som ble bredt omtalt i internasjonale medier da det ble beslaglagt av FBI i oktober 2013. I etterkant av beslaget etablerte Black Market Reloaded og Sheep Marketplace seg som de største kryptomarkedene. Begge ble lagt ned i løpet av det neste halve året, men det måtte jo ha vært norsk aktivitet her og. Var det mulig å gå tilbake i tid og finne spor etter nordmennenes aktivitet? Under informasjonsinnsamlingsfasen kom jeg over en database på det mørke nettet som samlet de offentlige krypteringsnøklene til aktive narkotikaselgere. Formålet med databasen var, ifølge personene som sto bak, at den skulle være et stabilt verktøy hvor publikum på det mørke nettet kunne sjekke identiteten til en narkotikaselger basert på den offentlig tilgjengelige krypteringsnøkkelen som han / hun brukte til å identifisere seg selv med: 4 Dette er den offentlige krypteringsnøkkelen til det norske nettverket Foxhound Norway. Skjermbilde tatt i september 2014 på Silk Road 2. Databasen var etterspurt fordi mange narkonettverk hadde utviklet sine egne varemerker over tid, ikke ulikt slik man ser i mer vanlig forretningsdrift. Kryptomarkedene på det mørke nettet var imidlertid noe utsatt for «force majeure», noe FBIaksjonen i oktober 2013 ble et eksempel på. Det var også eksempler på at et kryptomarked kunne bli hacket, eller at bakmennene uten forvarsel la det ned. Etter hver hendelse migrerte kundene til nye kryptomarkeder, men hvordan skulle de vite at personene bak dekknavnet Foxhound Norway på Evolution var de samme som hadde stått bak dekknavnet på Sheep Marketplace noen måneder tidligere? 12 Jeg så tidlig at det var vanlig at narkolangere publiserte sin offentlige krypteringsnøkkel på selgerkontoen sin. Kundene brukte nøkkelen til å sende krypterte beskjeder til selgeren, og de krypterte beskjedene kunne bare dekrypteres ved hjelp av en hemmelig nøkkel selgeren selv satt på. Eksempel: Beskjeder kryptert med den offentlige krypteringsnøkkelen til det norske nettverket Foxhound Norway kunne bare dekrypteres med nettverkets egne, hemmelige nøkkel. Hvis dekknavnet var stjålet, og noen utga seg for å være Foxhound Norway for å dra nytte av det etablerte varemerket Foxhound Norway, så var det en smal sak å sende en slik kryptert beskjed ved hjelp av den offentlige krypteringsnøkkelen. Dersom det ikke kom et svar, var det bevis på at personene som nå kalte seg Foxhound Norway ikke var personene de utga seg for å være. Databasen jeg undersøkte hadde samlet 4500 offentlige krypteringsnøkler og gjort nøklene søkbare. Dermed kunne kundene verifisere at en nøkkel som var publisert på kryptomarkedet Evolution i oktober 2014, fortsatt førte til svar fra den samme langeren som hadde bygget seg et omdømme som stabil og serviceinnstilt over fem måneders virksomhet på Silk Road 1 i juni 2013. På samme måte som jeg oppdaget under analysen av omdømmesystemet (se punkt 2.1.3), var dette verktøyet tilgjengelig som resultat av et utstrakt behov for å etablere tillit i et miljø som var helt anonymt og preget av kriminelle som primært er ute etter å tjene penger. Nøkkeldatabasen ble et identifikasregister hvor man kunne spore personer og nettverk over tid, og gjennom virksomhet på flere kryptomarkeder. Da jeg forsto hvordan databasen fungerte, skjønte jeg at jeg hadde tilgang til en tidsmaskin. Jeg satt allerede på krypteringsnøkler til de norske aktørene og brukte de til å søke i systemet. Det førte til viktige funn som i utgangspunktet ikke var tilgjengelig for meg fordi de stammet fra tiden før jeg begynte på prosjektet: Salgstall til norske selgere og nettverk på kryptomarkeder som hadde blitt beslaglagt, nedlagt eller hacket i 2013 Dato for når de ulike dekknavnene ble registrert med den aktuelle krypteringsnøkkelen Databasen utvidet tidshorisonten for undersøkelsene mine av den kriminelle aktiviteten på det mørke nettet. Samtidig fikk jeg datoer for når de enkelte nettverkene og selgerne begynte virksomheten sin. Virksomheten var ikke så ny som jeg trodde. Nordmennene var i gang med å selge narkotika allerede i 2012. Dette var over ett år tidligere enn jeg trodde. 13 2.1.5 Søk html-arkiv I november fikk jeg tilgang til et lagret arkiv av alle selger-kontoene fra det opprinnelige kryptomarkedet, Silk Road. I filene lå det lagret informasjon om over 1200 narkotikanettverkog langere. Jeg visste at flere av nettverkene og personene som jeg omtalte hadde holdt på lenge. Nå satt jeg på informasjon som kanskje kunne gi et tidsbilde av aktiviteten deres i 2012 og 2013. Utfordringen var at arkivet besto av lagrede nettsider, i html-format. Hver fil hadde navn bestående av tilfeldige bokstaver og tall slik at jeg måtte åpne en og en for å lese innholdet. Dette var svært upraktisk. Jeg var interessert i norske aktører, og på jakt etter maks ti oppføringer i det store arkivet. Løsningen kom fra Jonas Nilsson ved Adresseavisens utviklingsdesk, som også sto for utsmykkingen av «silkeveiene»-dokumentaren online. Han hjalp meg kjøre filene inn i programmet Sublime Text. Sublime Text er et tekstredigeringsprogram som ofte brukes til å skrive kode. Programmet viste all koden som lå i de 1200 sidene, men det hadde en søkefunksjon. Dermed kunne jeg enkelt lete meg frem i kode og tekst ved å søke på “Norge” eller lignende. Det ga meg nye opplysninger, og lot meg følge de norske aktørene bakover i tid. Det viste seg at enkelte av dem hadde byttet dekknavn, men ved hjelp av å sammenholde opplysninger om e-postadresser og krypteringsnøkler klarte jeg å identifisere dem igjen: Eksempel: Nettverket som jeg ble kjent med som Foxhound Norway i august 2014, hadde i august 2013 kalt seg Loyal Success. 2.2 Kartlegging sosiale medier Alle som handler narkotika på det mørke nettet tror de er hundre prosent anonyme. Men anonymiteten fungerer kun dersom man bruker teknologien og de ulike verktøyene riktig. I tillegg må man være forsiktig slik at man ikke røper identifiserende opplysninger. I løpet av arbeidet med saken brukte jeg sosiale medier på det åpne nettet til å søke etter personer jeg fant spor etter på det mørke nettet. Det lykkes noen ganger. Samtidig var det ikke gull alt som glimret. 14 2.2.1 Deanonymisering: Fra BRUKER123 til «Øystein» Historien om «Øystein» (16) ble publisert i Adresseavisen torsdag 6. november, som del av papirutgaven av dokumentaren «silkeveiene». I rettsdokumenter fra Sverige (se pkt. 2.4.2) går det frem at en narkolanger sto for 1880 salg på det mørke nettet. Kundene var i alderen fra 18 til 50 år. Etterforskerne fortalte meg imidlertid at de var overbeviste om at systemene på det mørke nettet også ble brukt til å pushe narkotika på barn selv om de enda ikke hadde klart å finne konkrete spor til kunder under 18 år. Kunne jeg finne spor etter barn på det mørke nettet? Hvis det var så enkelt å bruke det mørke nettet at barn kan sitte hjemme og ha tilgang til alle mulige typer narkotika, så ville det være svært bekymringsfult. I forbindelse med informasjonsinnsamlingsfasen (se pkt. 2.1.2) lastet jeg ned, og skrev ut en diskusjon mellom norske brukere på et av undergrunnsforumene knyttet til kryptomarkedene. Diskusjonstråden, som var lest over 15 000 ganger av nordmenn, gikk over hele 2014 og besto av rundt nitti sider med mange hundre innlegg. I et av innleggene dukket det opp en person som jeg i denne rapporten kaller «BRUKER123». «BRUKER123» er ikke det ekte dekknavnet han brukte. Jeg har valgt å anonymisere dekknavnet i tillegg til den reelle identiteten til personen siden denne rapporten skal publiseres. Begge deler er gjort av kildevernhensyn. Våren 2014 skrev «BRUKER123» i et av sine første innlegg at han fersk på det mørke nettet, og at han ønsker å kjøpe narkotika. Han vet ikke hvordan han skal kryptere meldingene sine, men det får han opplæring i fra de andre nordmenn. De setter ham i stand til å handle stoff. Gutten gjør nybegynnerfeil og kjøper fra utenlandske selgere. «BRUKER123» fortalte videre at han må inn til avhør, men får beskjed om å nekte kjennskap til narkobrevet. Litt senere skriver «BRUKER123» at saken hans ble henlagt. Et annet sted skriver «BRUKER123» at han bor i Midt-Norge. Jeg måtte finne «BRUKER123» og forsøke å få snakket med ham, men jeg vurderte det som uaktuelt å kontakte ham på det mørke nettet hvor jeg ikke har kontroll over omstendighetene: Det er lett å ikke svare, enda enklere å slette brukeren, endre dekknavn og andre opplysninger og alt dette ville føre til at jeg mistet sporet av ham. Jeg brukte flere forskjellige metoder, og fant til slutt «BRUKER123» i den virkelige verden. 15 2.2.2 Profilanalyse det mørke nettet Jeg begynte med å analysere profilen til «BRUKER123» på undergrunnsforumet. Det lå ingen opplysninger der, utover dekknavnet og hans offentlige krypteringsnøkkel som han brukte til å kryptere meldingene sine med. Ettersom jeg hadde lært en del om krypteringsnøkler visste jeg at jeg kunne bruke den offentlige krypteringsnøkkelen til å vise meg hvilken e-postadresse den var knyttet opp mot. Håpet mitt var at «BRUKER123» hadde slurvet med sikkerheten, og ikke opprettet en egen, isolert e-postadresse som han kun brukte på det mørke nettet. Jeg hadde flaks, «BRUKER123» hadde ikke vært nøye nok: Analysen av krypteringsnøkkelen viste at den var knyttet til «[email protected]». 2.2.3 Åpne søk At dekknavnet og e-postadressen var den samme ga meg nye muligheter, og tydet på at «BRUKER123» ikke hadde rukket å bli like paranoid med tanke på sikkerhet som mange på det mørke nettet. Kunne det også bety at «BRUKER123» hadde brukt dekknavnet sitt på det åpne nettet? Et googlesøk avdekket at det hadde han. Selve dekknavnet utløste bare en lang rekke svadatreff, men dekknavet som del av en hotmail.com-adresse ga meg nye spor: E-postadressen var brukt i flere sosiale medier. 2.2.4 Profilanalyse det åpne nettet [email protected] ledet meg til en konto på Google +. Det var ikke et ekte navn på kontoen, men et bilde av en ung gutt, noe som støttet hypotesen om at «BRUKER123» faktisk var 16 år. E-postadressen ledet meg i tillegg til en Youtube-konto, også opprettet med et dekknavn. Under «info» hadde imidlertid personen bak kontoen oppgitt riktig alder (16 år) og i tillegg et fornavn. I denne rapporten bruker jeg fornavnet «Øystein» om ham. Det viktigste funnet var at Youtube-kontoen var koblet opp mot kontoer i andre sosiale medier, den samme Google +-kontoen og i tillegg en konto på Facebook. Facebook-kontoen viste samme fornavn, «Øystein», som på Google + og som ble oppgitt på Youtube-kontoen. Det var samme bilde som på Google + og et etternavn. 16 E-postadressen, som var utgangspunktet mitt, lå ikke på Facebooksiden: Jeg ville ikke funnet 16-åringens fulle navn hvis jeg ikke hadde fulgt brødsmulene gjennom de andre profilene hans. 2.2.5 Facebookanalyse Jeg satt på «BRUKER123s» navn, men han var 16 år og sto ikke i telefonkatalogen. Jeg var egentlig ikke nærmere å kontakte ham enn tidligere, og hadde fortsatt kun mulighet til å bruke nettet. 16-åringen oppga ikke e-post, telefonnummer eller adresse på Facebook. En gjennomgang av profilen hans førte imidlertid til morens profil. Hun hadde et annet etternavn så det var først etter å ha sett gjennom en del bilder at det var mulig å stadfeste identitet og slektskapet. Moren hadde ikke tatt særlige hensyn til anonymitet da hun opprettet sin profil: Hun hadde oppgitt 16-åringen som sin sønn slik Facebook ber brukerne gjøre. 2.2.6 OSINT-søk «bak» Facebookprofil Før jeg tok kontakt med 16-åringen diskuterte jeg fremgangsmåte med redaksjonsledelsen. Se redegjørelse for problemstillingene under pressetiske vurderinger (punkt 4.1). I telefonkatalogen sto moren oppført med tre mobilnummer. Hvilket hørte til 16-åringen? Ved å utnytte et OSINT-søk utviklet av den tidligere FBI-agenten Michael Bazzell kunne jeg sjekke de tre telefonnumrene opp mot Facebook-kontoer. OSINT er etterretningssjargong, og betyr «Open source intelligence». ilgang til verktøyet fikk jeg etter å ha deltatt på et av kursene på SKUPs graveskole i 2012. Mer om Michael Bazzell her. OSINT-verktøyet fra Bazzell muliggjør søk etter informasjon som ikke er direkte delt på FBkontoenes «about», eller «contact» sider. Jeg satt på tre telefonnummer. Da jeg sjekket det første fikk jeg opp profilen til 16-åringens mor. Det andre nummeret hørte til en jente som antakelig er søsteren til gutten. Det tredje nummeret fikk opp 16-åringens profil. Endelig var jeg sikker på at jeg hadde direkte kontaktinformasjon. Jeg tok sjansen på at han ikke ville sjekke nummeret mitt og videre hvem jeg var, og brukte min egen telefon til å ringe ham. Jeg fikk kontakt, og han fryktet først at jeg var politi. Da det gikk opp for ham at jeg var journalist, ble han satt ut. - Har jeg noe valg, spurte han da jeg sa jeg ønsket å møte ham for å høre hans historie. Etter å ha avklart at han ville være anonym i saken og beskyttet av kildevern, gikk han med på å treffe meg og fotograf Ole Martin. Noen timer senere fortalte han oss hvordan han hadde registrert seg og fått opplæring på undergrunnsforumet. 17 Jeg kunne verifisere opplysningene, fordi jeg hadde analysert diskusjonstråden hvor han hadde vært aktiv. 16-åringen hadde hørt om kryptomarkedene, og det mørke nettet, fra en kamerat som var 14 år. Kameraten satt da allerede på «et lager av hasj og viagra» som han hadde kjøpt og fått i posten. Fra 16-åringens historie ble det tydelig at også barn var aktive på kryptomarkedene, og at de brukte det mørke nettet til å kjøpe stoff fra norske narkotikanettverk. Å høre ham fremstille det som relativt normalt, var rystende. 2.2.7 Deanonymisering: SELGER123 I dette punktet skal jeg redegjøre for hvordan jeg fant identiteten til minst en person som kan ha vært involvert i organisert narkotikasalg på kryptomarkedene. Opplysningene er en del av pågående arbeid, og derfor er dekknavnet byttet ut med «SELGER123». Fremgangsmåten var som følger: Jeg oppdaget under innformasjonsinnsamlingsfasen (se pkt. 3.1.2) at et norsk/svensk nettverk av hasjselgere skjuler seg bak dekknavnet «SELGER123». Nettverket har gjennomført hundrevis av transaksjoner, og har vært i virksomhet i flere år. Jeg satt på e-postadressen nettverket brukte. Adressen ble gjenstand for diverse søk, på samme måte som ved deanonymiseringen av «BRUKER123». Ingen av de organiserte nettverkene hadde brukt e-postadressene de oppga på det mørke nettet andre steder. «SELGER123» var unntaket. E-postadressen nettverket fortsatt opererer med, peker til en Facebookside som bærer samme navn som nettverket. Det gjorde at jeg kunne undersøke Facebooksiden for å prøve å finne ut hvem som sto bak. 2.2.8 OSINT-søk «bak» Facebookprofil Det samme søkeverktøyet som ga meg telefonnummeret til 16-åringen fra Facebook, kunne også undersøke Facebook-profilen til «SELGER123». Fremgangsmåten har noen likhetstrekk, men bygger på andre opplysninger. Hver Facebook-konto har et såkalt screen name, en variant av navnet på kontoen. Ditt screen name kan ses i nettleserlenken som vises når du går inn på din profil. Hos meg er det jonas.vikan (selv om jeg heter Jonas Alsaker Vikan på Facebook). «SELGER123s» screen name blir da selger.123. Søkeverktøyet til den tidligere FBI-agenten kan bruke screen name til å finne profilens user number, som igjen kan brukes til å gjøre andre, åpne undersøkelser basert på informasjon som ligger på Facebook. 18 En bieffekt ved å bruke screen name til å finne user number er at det samtidig kommer frem andre opplysninger, blant annet om nasjonalitet og navn på profilen. Her oppdaget jeg noe uvanlig ved «SELGER123s» profil: Vedkommende som opprettet profilen hadde riktignok brukt dekknavnet «SELGER123» da profilen ble opprettet i 2012. Men på «innsiden» hadde personen brukt et ekte navn. Det ekte navnet, her kalt «PER PERSSON», ble stående. Da jeg fikk opp user number, dukket også det ekte navnet opp. Siden navnet var relativt vanlig, var det ikke bare å søke opp personen. Jeg kunne imidlertid bruke samme søkeverktøey til å gjøre søk etter innlegg hvor «PER PERSSON» var tagget. Da jeg fikk opp innleggene var det ikke vanskelig å klikke seg videre inn på «PER PERSSONs» profil, og slik fikk jeg deanonymisert en av narkoselgerne ved hjelp av åpent tilgjengelige verktøy. Dette fungerte fordi teknologien i Michael Bazzells verktøy bruker Facebooks egen graph search. Graph search ble introdusert for norske brukere i 2013 og «SELGER123» / «PER PERSSON» opprettet sin profil i 2012. Det er mulig å sperre kontoen sin for graph search, men det måtte altså gjøres i tiden etter at det ble introdusert i 2013, noe «SELGER123» åpenbart ikke hadde gjort. Sikkerhetsbristen gjorde det mulig for meg å identifisere minst en av personene bak dekknavnet. 2.3 Bildeanalyse En del av forretningsideen bak kryptomarkedene er å gi narkotikanettverkene mulighet til å presentere bilder av stoffene sine. I løpet av, og etter innformasjonsinnsamlingsfasen (punkt 2.1.2) utviklet jeg rutiner for å se gjennom bilder jeg lagret i et eksternt program. Jeg var på jakt etter elektroniske spor i bildefilene. Dersom bildet ikke «renses» kan det ligge igjen opplysninger i metadata. Sporene kan si noe om utstyr, tid, dato og geografisk plassering. Generelt er min erfaring at aktørene på det mørke nettet er disiplinerte med å fjerne avslørende data. Jeg opplevde imidlertid en situasjon hvor jeg fravek fra min egen rutine. Det kunne fått svært kjedelige konsekvenser for sakene. I forbindelse med jakten på «SELGER123s» Facebook-profil lastet jeg ned bildene som lå publisert på FB-kontoen. Ett av dem viste en person ikledd en Guy Fawkes-maske (kjent fra Anonymous-bevegelsen). Bildet så relativt proft ut, og var blant de bedre som jeg hadde funnet fra de ulike nettverkene. Jeg tenkte umiddelbart at det måtte gå an å bruke i saken, enten som en faksimile, eller som bilde fra det som er en åpen Facebook-profil. Litt senere i arbeidet kom jeg over bildet i arkivet mitt igjen. Av en eller annen grunn bestemte jeg meg for å sjekke metadata, selv om jeg ikke hadde gjort det den første gangen jeg hentet det ned. 19 Metadataene avslørte et navn, et navn på en kvinne. Jeg tenkte umiddelbart at det var en person som var involvert, eller en kjæreste. Et nytt, konkret spor å gå etter i den virkelige verden var sjelden vare i dette prosjektet. Da jeg googlet navnet kom jeg inn på kvinnens hjemmeside. Kvinnen viste seg å være frilansfotograf. I oversikten over hennes arbeider fant jeg igjen det samme bildet, som var tatt i forbindelse med et besøk hjemme hos noen som dyrket cannabis. Det hadde ingen verdens ting med det mørke nettet og gjøre. «SELGER123» hadde rett og slett rappet det, og brukt det til å profilere seg med. Heldigvis sjekket jeg metadataene på nytt og oppdaget dette. Det ble et bilde på hvor viktig det var å ha kontroll på detaljene i saken. 2.4 Dokumentgraving Denne delen av rapporten vil redegjøre for skriftlige kilder som er brukt og hvordan tilgang til disse ble skaffet. I sakene har jeg brukt det jeg fant av rettskilder i Norge og utlandet, noe forskning, nasjonale og internasjonale politirapporter samt etterforskningsdokumenter. Volumet på materialet var på rundt 1500 sider. 2.4.1 Analyse av Skånesak Kilde: Länskriminalen i Skåne Tidlig i prosjektet tenkte jeg at det måtte ha vært en norsk etterforskning av disse miljøene. Det klarte jeg ikke å finne, og derfor begynte jeg å se mot andre land. Politiet i Sverige hadde vært involvert i en etterforskning. I januar 2013 hadde noen etterforskere begynt å se på organisert narkotikasalg fra det mørke nettet. Jeg fant ut at flere personer ble pågrepet i 2013, og det ble etter hvert tatt ut en alvorlig tiltale mot flere av dem. Fra erfaringer jeg har gjort i andre kriminalsaker visste jeg at pressen i Sverige har rett til å be om å få utlevert etterforskningsdokumentene i en sak med en gang det er tatt ut tiltale. Jeg bestemte meg for å få tak i dokumentene og rettet en formell henvendelse til riktig instans, som var länskriminalen i Skåne. Det tok litt tid, men jeg fikk tilgang. Materialet besto av cirka 1200 sider og var delt inn i seks ulike .pdf-dokumenter. Det var for mye til å lese digitalt så jeg printet ut sidene. Etterforskningen var svært omfattende, og opp mot tretti personer hadde deltatt. Svensk politi hadde brukt mye ressurser på å spane på en mann på 30 år som var mistenkt for 1880 tilfeller av narkotikasalg fra kryptomarkedet Silk Road i 2013. Det viste seg at mannen postet 25-30 brev om dagen. Politiet hadde åpnet og undersøkt en rekke brev, og fotografert dem. Svensken solgte også til Norge, og i etterforskningsdokumentene fant jeg adresser og navn til kunder i Norge og Trondheim. Det var spor å gå videre med. 20 Den omfattende etterforskningen sa også mye om fremgangsmåter og modus. Jeg visste at dette ble delt etter «beste praksis»-metoden på det mørke nettet, så det var rimelig at også norske nettverk opererte på lignende måte. Analysen av dokumentene viste i tillegg at svensk politi hadde trukket samme konklusjoner rundt omdømmesystemet som jeg hadde gjort (se pkt. 2.1.3). Etterforskerne la også til grunn at hver tilbakemelding måtte være bevis for at det hadde skjedd et salg av narkotika. Samtidig fortalte de meg at det var umulig å gjennomføre så mange narkotikasalg på gata på samme tidsrom. Det mørke nettet var tydeligvis et effektivt verktøy. Med det som utgangspunkt, og Posten som uvitende narkotikakurerer, kunne narkotikanettverkene stå for langt flere salg enn ved gatesalg, spre mye mer stoff, tjene langt mer penger, og alt dette på kortere tid. Bonusen for nordmenn var at politiet i Norge ikke etterforsket dette slik kollegene i Skåne gjorde. Selv om svenskene hadde hatt besøk av politi fra flere land som ville lære om metodene så var det ingen i norsk politi som hadde tatt kontakt. 2.4.2 Analyse av dom, tingsrätt og hovrätt Kilde: Helsingborgs tingsrätt I mai 2014 ble svensken (30) dømt for 1880 tilfeller av narkotikasalg. Han fikk 8 år i fengsel, og anket uten at det hjalp. Jeg kontaktet Helsingborgs tingsrätt og hovrätten og fikk utlevert rettsavgjørelsene. Jeg måtte sjekke hva retten hadde lagt vekt på. Det var viktig å se hvordan omdømmesystemet ble vurdert. I dommen fra tingsrätten går det frem at retten anså det som bevist at en tilbakemelding via omdømmesystemet var bevis på et salg. Hovretten opprettholdt dommen. At to svenske rettsinstanser hadde vært enig i tilsvarende metodebruk som jeg hadde jobbet frem, var betryggende. I dommen bemerker også retten noe rundt denne nye formen for narkotikasalg som jeg ikke hadde reflektert over: Det ble sett på som straffeskjerpende at distribusjonen fra det mørke nettet bidro til så mange salg - til så mange forskjellige kunder. At spredningen ble så stor, førte til en strengere dom. Min gjennomgang av de norske nettverkene viste at flere hadde stått for over 1000 salg det siste året. Minst to av dem var nesten oppe på det nivået som svensken fikk 8 år i fengsel for. 21 2.4.3 Dokumenter unntatt offentlighet Kilde: Oslo Tingrett Selv om det ikke hadde vært noen norsk etterforskning av det organiserte narkotikasalget, fikk jeg tips om at en person knyttet til et norsk nettverk, hadde blitt pågrepet tilfeldig våren 2014. Hva skjedde med saken hans? Utfordringen med dette var at jeg ikke hadde opplysninger som kunne identifisere saken. Det ble et forsøk på å finne nåla i høystakken. Jeg tok utgangspunkt i at det var mest sannsynlig at dette hadde skjedd i en stor by, og begynte med Oslo. På domstol.no fant jeg ut at det hadde vært hundrevis av fengslingsmøter i Oslo tingrett våren 2014. Etter å ha gått gjennom alle kjennelsene som omhandlet narkotikasaker, fikk jeg treff. En 24-åring ble fengslet 16. april. Det var imidlertid et problem: Kjennelsen var i sin helhet unntatt offentlighet etter Domstolovens § 130 første ledd fordi politiet fryktet for at bevis skulle bli forspilt hvis saken ble omtalt. Jeg måtte få opphevet forbudet. Det lå interessante opplysninger i rettsdokumentene, opplysninger om modus, men også om manglende etterforskningsskritt. Jeg fant ut at 24-åringen aldri ble refengslet, og at han var på frifot da jeg satt og jobbet med dette i september. Det ble hovedargumentet i min begjæring til tingretten om å oppheve forbudet mot offentlig gjengivelse av avgjørelsen. Etter å ha behandlet begjæringen i et par dager, fikk jeg medhold av en dommer. Dermed ble forbudet mot offentlig gjengivelse opphevet. Jeg fikk adgang til å referere fra kjennelsen. 22 2.4.4 Siktelser Silk Road 1 og 2 Kilde: Det amerikanske justisdepartementet 5 Siktelse mot en amerikansk narkotikaselger fra kryptomarkedet Silk Road. I oktober 2013 ble en amerikaner pågrepet i et bibliotek i San Francisco, mistenkt for å stå bak det opprinnelige kryptomarkedet kjent som Slik Road. I løpet av tiden etter pågripelsen ble siktelsen mot ham frigjort av det amerikanske justisdepartementet. Jeg hentet inn disse dokumentene i håp om at de ville si noe konkret om størrelsen på handelen på kryptomarkedet. Det viste seg at FBI mener å kunne bevise at det ble omsatt for over en milliard dollar på kryptomarkedet. Siktelsen ga meg i tillegg opplysninger om hvordan siden var kodet, hvilke funksjoner den hadde og hvordan de skulle skape tillit i markedet. Etter publiseringen av de første sakene fra prosjektet, slo politi fra 16 land til mot flere kryptomarked. Etterfølgeren til Silk Road, kjent som Silk Road 2, ble beslaglagt og en ny bakmann i 20-årene pågrepet. På samme måte som tidligere, hentet jeg inn dokumentene som beskrev hans aktivitet. Siktelsen mot ham ble frigitt av justisdepartementet. Dokumentene ga meg nye opplysninger om hvordan systemene ble endret for å svare på den første FBI-aksjonen i 2013 og ble lagt til grunn i flere oppfølgingssaker. Jeg brukte også siktelser mot selgere på kryptomarkeder som hadde blitt pågrepet av FBI: Siktelsene ga meg informasjon om metodebruk og modus. 23 2.4.5 Politidokumenter Kilde: Politidirektoratet, KRIPOS, Europol Jeg har ikke klart å finne en ekspert på narkotikasalget fra det mørke nettet i norsk politi. Derfor måtte jeg lete bredere for å kunne svare på hva politiet faktisk kunne om dette. Jeg hentet inn relevante rapporter fra KRIPOS. KRIPOS skal være Norges spydspiss mot grov og organisert kriminalitet. I KRIPOS’ egen rapport for 2014 siterer organisasjonen fra gamle Europol-dokumenter for å beskrive nettsalg av narkotika. Samtidig fortalte en annen rapport om KRIPOS’ strategi mot denne typen kriminalitet. Rapporten som skulle dekke også 2015, sa fint lite. Ettersom Norges dyktigste politietat viste til gamle Europol-dokumenter måtte det være her kunnskapen var samlet. Jeg kontaktet det europeiske politisamarbeidet for å få utlevert deres dokumenter. I en rapport som skal beskrive kriminalitetstrender for 2014 var kryptomarkedene sjenket to linjer blant 79 sider. Omtrent samtidig som FBI beslagla det første kryptomarkedet etablerte Europol European Cybercrime Centre. Mens jeg var i ferd med å sluttføre arbeidet med prosjektet, slapp ECC en gedigen rapport som pekte ut kryptomarkedene som en trygg havn for kriminelle. Disse skriftlige politikildene forsterket inntrykket jeg satt med, og som var utbredt på det mørke nettet: Norsk politi kan lite, og gjør enda mindre med det organiserte narkotikasalget som gjør alle typer stoff tilgjengelig for personer i alle aldre, på store og små steder i Norge. 2.4.6 Internasjonal forskning Kilde: «Drugs on the dark net» (Martin), og «Not an Ebay for Drugs» (Decary-Hetu og Aldrige) Forskning på narkotikatrafikken fra det mørke nettet er i startgropa. Jeg kontaktet Statens Institutt for Rusmiddelforskning (SIRUS), men der fikk jeg opplyst at ingen nordmenn hadde begått forskning på området. Internasjonalt fant jeg noen arbeider. Forskeren James Martin har doktorgrad i politivitenskap og etterretning ved et universitet i Australia. Rundt oppstarten på prosjektet mitt ga Martin ut en bok om narkohandelen. Jeg kjøpte tilgang til boka «Drugs on the Dark Net: How Cryptomarkets are transforming the global trade in illicit drugs», og leste den. Martins forskning, som var basert på tall hentet inn fra kryptomarkedet Silk Road i 2013 slo fast at de teknologiske virkemidlene som narkotikalangerne bruker, kan endre salg av narkotika slik verden kjenner det. 24 Jeg hentet i tillegg inn forskning som Judith Aldrige og David Decary-Hetu ved universitetene i Manchester og Montreal publiserte i mai 2014. Forskerne så også på kryptomarkedene som et paradigmeskifte i handelen med narkotika. Samtidig hadde de noen andre funn: Deres data pekte på at mye av handelen skjedde i større kvantum, noe de mente underbygget at det dreide seg om organiserte kriminelle som handlet med og fra organiserte kriminelle. Det var oppsiktsvekkende fordi konsensus har vært at enkeltbrukere handler av selgere. 2.5 Spaning Fra analysen av Skåne-saken (pkt. 2.4.1) , og fra innformasjonsinnsamlingsfasen (se pkt. 2.1.2), hadde jeg opplysninger om flere brukere av det mørke nettet. Noen av de holdt til i Midt-Norge. Etter at fotograf Ole Martin ble koblet på spanet vi ved flere anledninger på adressene vi visste de hadde oppgitt. Vi ønsket å se om det var mulig å få tatt bilder av dem. Ved flere tilfeller viste det seg at det var oppgitt falske navn til eksisterende adresser. Vi dokumenterte postbokser og postkasser flere steder. I tillegg møtte vi kunder som ble fotografert. 6 En av adressene vi holdt øye med i forbindelse med saken. Det er bestilt narkotika til en av disse postboksene. 3. Spesielle erfaringer 3.1.1 Operations security (Opsec) Formålet med det mørke nettet er at det skal forbli mørkt, ukjent og anonymt. Sentralt for å oppnå dette er noe narkoselgere og kunder kalte «Opsec», som betyr Operations Secruity (operasjonssikkerhet). Begrepet er lånt fra etterretningssjargong og viser til hvilke grep man må ta for å operere uten fare for å bli oppdaget eller pågrepet. Opsec var et begrep jeg også måtte ta seriøst. Vanligvis ville det være et problem å følge narkotikasalget digitalt, fordi bakmenn kunne sitte på teknologi til å lese av IP-adressen min. 25 Men siden dette var det mørke nettet, hvor TOR var en vesentlig del av opsec, så var jeg like usynlig som alle andre. I tillegg tok jeg andre grep: Jeg sørget også for å bruke falske identiter (se mer i pkt. 4.1.5) som ikke kunne knyttes til meg som person, eller til rollen min som journalist. For å opprette identitetene måtte jeg oppgi e-poster. Her brukte jeg en e-posttjensten «Yopmail» som gir brukerne anledning til å finne på midlertidige e-postadresser. Jeg måtte unngå at e-postadressen kunne spores tilbake til meg som journalist. Jeg opererte samtidig med flere krypterte e-postadresser til å kommunisere med kilder. Jeg har i flere år hatt en countermail-adresse, etter arbeid med en annen kriminalsak. Countermail går for å være en av de sikreste på markedet, noe som bidro til at kilder kunne ha tillit til at jeg tok anonymitet på alvor. Jeg brukte min personlige countermailadresse til å hente inn tilsvar, mens jeg hadde andre som jeg kommuniserte med kilder på. I noen tilfeller brukte jeg programmet TOR chat til kildesamtaler. TOR chat er en chattetjeneste som kjører i bakgrunnen mens brukeren er logget inn på TORnettverket. Det skal sørge for at man er hundre prosent anonym. Samtidig har ikke brukerne egne profiler, men fremstår som skjult bak tilfeldig utvalgte bokstaver og tall. Det var avgjørende å operere med falsk identitet for å få tilgang til enkelte av kryptomarkedene (Agora krever en invitasjon). Det var avgjørende å ikke fortelle om rollen min hvis jeg skulle sikre informasjon om de norske nettverkene. 3.1.2 «Misbruk» av systemer Da jeg begynte med saken hadde jeg aldri sett for meg at aktiviteten skulle være så organisert. Men: narkotikahandelen fra det mørke nettet har eksistert internasjonalt siden 2011, og er et eksempel på hvordan systemer og infrastruktur får vokse frem og bli spisset gjennom kontinuerlig tilpasning i det internasjonale miljøet som nettet er. Det norske miljøet så rett og slett til hva som ble gjort internasjonalt, og tok etter dette. Det krevde mye kunnskap før jeg var i stand til å identifisere de ulike systemene, og hvilke formål de tjente (eksempel: omdømmesystemet, krypteringsnøkler), men da jeg satt med kunnskapen var det altså mulig for meg å «misbruke» systemene til å lage journalistikk om det som foregikk i skjul for norske myndigheter. Det viste seg at systemene ga meg muligheten til å måle, og kvantifisere narkotikasalget. At verktøy som kan følge og spore kriminelle handlinger gjøres offentlig tilgjengelig av det samme kriminelle miljøet, var overraskende. De er imidlertid nødvendige i en verden hvor alle er anonyme. 26 I løpet av arbeidet med saken har jeg etter hvert kommet over søkeverktøy som gjør at fremtidig journalistisk arbeid på det mørke nettet vil være lettere. Søkemotorene gjør at det går an å søke på dekknavn og enkeltord. 3.1.3 Trusler Da de første sakene ble publisert slo de ned som en bombe i miljøet på det mørke nettet. Selv om det er et nasjonalt miljø og Adresseavisen er en regionavis så hadde de tilgang på sakene umiddelbart, både digitalt og i papirform. Miljøet mener at narkosalget fra det mørke nettet er positivt, og derfor ble kritisk journalistikk tatt ille opp. Det ble laget en diskusjonstråd på et hemmelig forum hvor den mest aktive diskusjonen handler om våre saker. Der uttaler nettverkene seg også, og de levner liten tvil om hva de synes om journalistikken, eller journalisten. Eksempler: «Når dere leser de håper jeg litt flere forstår hva slags følelser vi har mtp Jonas...» «Fokuser heller sinnet deres på den som faktisk er fienden her, avisa, journalisten og politiet.» «Denne artikkelen setter oss i fare, så ja nå er han i fare!!» Det ble også antydet at det er bestilt narkotika i Jonas’ navn, og sendt til hans hjemmeadresse. Formålet skal være å bestille det fra utenlandske selgere slik at det blir stoppet av Tollvesenet (slik at journalisten skal bli kalt inn til avhør). Det ene nettverket fikk tilsendt et bilde av Jonas’ pressekort, som de satte som forutsetning for å svare på e-post om tilsvar. Det viste seg at de ikke hadde tenkt å bruke det til å komme med tilsvar. I diskusjonen om sakene i Adresseavisen skriver de: «Jeg spurte journalisten om ID slik at vi har identiteten hans for.. la oss kalle det senere bruk..Han trodde det bare var for å avkrefte at han var politi, nå har vi både bilde og navn på han.» Jeg skal ikke legge skjul på at det ikke er hyggelig å lese slike innlegg. Det har imidlertid aldri vært aktuelt å la innleggene påvirke det videre arbeidet, eller ytterligere omtale av nettverk eller enkeltselgere. Summen av innholdet i innleggene, gjorde at Adresseavisen valgte å anmelde dem som trusler. En anmeldelse ble levert til Sør-Trøndelag politidistrikt i desember. 27 4. Presseetiske vurderinger Det er tatt flere presseetiske vurderinger i forbindelse med sakene. Tema har vært personer under 18 år, kjøp av narkotika, samtidig imøtegåelse, bildebruk og falsk identitet. 4.1.1 Personer under 18 år I Adresseavisen kontaker vi foreldre først dersom vi ønsker å intervjue personer under 18 år. Det ble en utfordring i denne saken, i forbindelse med deanonymisering av «BRUKER123» (se pkt. 2.2.1) som jeg fant ut var 16 år gamle «Øystein». Det var langt fra sikkert at «BRUKER123s» foreldre kjente til at han brukte det mørke nettet, eller at han bestilte narkotika derfra. Etter å ha konferert med redaksjonsledelsen ble vi enige om at det var best å ta kontakt med «BRUKER123» direkte, uten å gå gjennom foreldrene. Dette ivaretok 16-åringens kildevern. En forusetning for at han skulle snakke med oss var at han ble anonymisert. Det gikk vi med på, fordi vi vurderte at han satt på en viktig historie som illustrerte problemet som oppstår når ungdommer kan sitte på gutterommet og ha tilgang på alle mulige typer narkotika. 4.1.2 Narkotikakjøp Kjøp av narkotika ble vurdert som metode i denne saken. Det ble imidlertid avgjort at vi ikke skulle gjennomføre et slikt kjøp fordi det er ulovlig. 4.1.3 Samtidig imøtegåelse I dagene før publisering ga jeg meg til kjenne til nettverkene og langerne jeg kom til å omtale. Selv om det dreide seg om personer som skjulte seg bak dekknavn var det rimelig å opprettholde retten til samtidig imøtegåelse. Ingen av dem jeg kontaktet ønsket å uttale seg i noen særlig grad.. Enkelte ønsket imidlertid identifikasjonspapirer fra meg (se mer i pkt. 3.1.3 om trusler). 4.1.4 Bildebruk I forbindelse med spaning (se pkt. 2.5) tok vi bilder av postkasser og postbokser på flere adresser. Bildene ble ikke brukt i sakene fordi vi ikke kunne være hundre prosent sikre på at personene bak postkassene var de samme som vi satt på opplysninger om. Det var blant annet vanlig å bruke falske navn på postkasser. 28 Det ble trykket bilder av 16 år gamle «Øystein» (se pkt. 2.2.1), men bildene ble anonymisert av hensyn til gutten. Vi anonymiserte også de svenske etterforskerne fra Skåne etter ønske fra dem. Selv om de uttalte seg med fullt navn, arbeider de videre som spanere i tungt kriminelle miljø. Det ville vært skadelig for deres videre arbeid dersom det lå bilder av dem på nettet. 4.1.5 Falsk identitet Jeg har i denne saken operert med flere falske identiter på kryptomarkedene fordi jeg vurderte at det å identifisere seg som journalist ville føre til at tilgangen til kilder og innformasjon ville forsvinne. Vær Varsom-plakaten sier følgende om denne typen metode: 3.10. Skjult kamera/mikrofon eller falsk identitet skal bare brukes i unntakstilfeller. Forutsetningen må være at dette er eneste mulighet til å avdekke forhold av vesentlig samfunnsmessig betydning Forutsetningen for at jeg skulle klare å samle inn innformasjon fra det mørke nettet, var at brukerne av kryptomarkedene oppfattet meg som «en av dem», og at jeg ikke skilte meg vesentlig ut. Jeg mener at funnene i denne saken forsvarer bruken av falsk identitet – og at forholdene som er avdekket er av vesentlig samfunnsmessig betydning. De har blant annet ført til endringer i postsystemet (se pkt. 5.1.1). 5. Konsekvenser 5.1.1 Endring i postsystemet Da sakene ble publisert beskrev politimester Nils Kristian Moe funnene som «svært alvorlig og omfattende kriminalitet som er forholdsvis ubehandlet». Han medga i tillegg at det var vanskelig for politiet å følge narkotikasendinger i innenlandsposten, og åpnet for at en lovendring måtte vurderes. Noen uker senere annonserte justisminister Anders Anundsen og samferdselsminister Ketil Solvik-Olsen at et nytt kontrollregime for innenlandsposten skulle innføres umiddelbart. Anundsen beskrev Adresseavisens funn fra det mørke nettet som «en helt uakseptabel situasjon» mens Solvik-Olsen karakteriserte det som «et stort problem». Derfor fikk de Postens samtykke til at politiets narkotikahunder skal ha adgang til å gjennomføre regelmessig søk i innenlandsposten. Utgangspunktet for den nye ordningen er Østlandsterminalen hvor 60 prosent av norsk post håndteres daglig. 29 Samtidig sa konsernsjef i Posten Dag Mejdell at Posten stiller seg bak et forslag om lovendring i etterkant av Adresseavisens saker. Lovendringen skal gi politiet adgang til å åpne brev uten en rettslig kjennelse og lette etterforskningen av slik narkotikakriminalitet. 5.1.2 Etterforskning av nettverk Ett døgn etter publisering av de første sakene 6. november gikk politi fra 16 land til aksjon mot flere av de viktigste kryptomarkedene. Tre av dem ble beslaglagt av FBI og EUROPOL som ledet aksjonen. Med i dragsuget gikk selgerkontoene til de norske nettverkene, samt forumet nordmennene brukte til å kommunisere, utveksle sikkerhetstips og til å lære opp nye brukere og kunder. Det er snakk om store mengder data, bevis på den omfattende kriminelle aktiviteten som vi har beskrevet i sakene. Materialet leveres ut til norsk politi etter forespørsel fra KRIPOS. Da jeg kontaktet KRIPOS i forbindelse med artikkelserien fikk jeg opplyst at «internasjonalt samarbeid var svært viktig for å avsløre kriminalitet på nettet». I Haag ligger tusenvis av dokumenter, omdømmesystemet og meldinger til og fra norske narkotikanettverk: Et koldtbord av informasjon og bevis på den omfattende narkotikakriminaliteten som blir begått av norske, profesjonelle aktører. Men selv om justisministeren sier at narkotikasalg fra det mørke nettet er uakseptabelt, og KRIPOS selv hevder at internasjonalt samarbeid er svært viktig for dem, har etaten så langt ikke valgt å be om å få materialet utlevert. Jeg mener det er oppsiktsvekkende, og dette vil bli gjennstand for oppfølgingssaker. 5.1.3 PODs omverdenanalyse En måned etter sakene ble jeg kontaktet av en av politiets anlytikere. Analytikeren arbeidet med tekst som skal i Politidirektoratets omverdenanalyse for 2015. Omverdenanalysen er et dokument som POD sender ut til landets politidistrikter, og den skal ta for seg trender og utfordringer innenfor ulike kriminalitetsområder. «Omverdenanalysen skal være ett av bakgrunnsdokumentene som POD bruker til sin flerårige virksomhetsplan, men den skal også ligge til grunn når politidistrikter og særorgan skriver egne strategiske analyser.» Analytikeren var opptatt av funnene og modus som ble beskrevet i Adresseavisens sakene, og ville inkludere det i den neste omverdenanalysen. Politidirektoratets omverdenanalyse utgis i april 2015. 30 6. Publiseringsliste 5.11: Adressa Pluss «silkeveiene» (Hovedsak) 6.11: Adresseavisen s. 1 og s. 8, 9, 10 og 11 6.11: Adressa.no - Kryptomarkeder er en trygg havn for kriminelle 6.11: Adressa.no Internasjonal storaksjon mot det skjulte narkotikasalget 7.11: Adresseavisen s. 1 og s. 2 og 3 7.11: Adressa.no Stengte svensk narkomarked 8. 11: Adresseavisen s. 8 10.11: Adresseavisen s. 10 11.11: Adressa.no Her eksploderer antallet anonyme norske nettbrukere 11.11: Adresseavisen s. 1 og 2, 3 og 4 14. 11: Adresseavisen s. 2 og 3 15.11: Adressa.no Narkonettverk gir opp 15.11: Adresseavisen s. 10, 11 og 12 1.12: Adressa.no Norske nettverk fortsetter å spy ut narkotika 3.12: Adressa.no – Et stort problem 3.12: Adressa.no – Svært alvorlig og omfattende kriminalitet 3.12: Adressa.no – En stor utfordring for samfunnet 4.12: Adresseavisen s. 7 20.12: Fikk årevis i fengsel for skjult narkosalg Jonas Alsaker Vikan, 928 28 316 [email protected] Ole Martin Wold, 986 31 898 [email protected] Adresseavisen 31
© Copyright 2024