Der folgende Artikel ist eine Übersetzung eines Textes von Matti Nikki aus Finnland. Er zeigt darin, wie die Kinderschutzorganisatiom Save the Children, die maßgeblich an der Etablierung von Internet-Sperren in Finnland und anderen skandinavischen Ländern beteiligt war, über Monate hinweg selbst bei der Verteilung von „Kinderpornografie“ indirekt mitgeholfen hat. Er zeigt die Problematik des Overblocking und wie schnell man zum Verbreiter einschlägiger Inhalte werden kann.
Über dieses Dokument
Das Original dieser Seite stammt von Matti Nikki <muzzy@iki.fi>. Es wurde veröffentlicht mit dem Ziel, an der Diskussion über Filterung von Kinderpornografie und den damit verbundenen Schwierigkeiten teilnehmen. Dieser Artikel ist auch auf Finnisch unter dem Titel „Pelastakaa Lapset ry:n osallisuus lapsipornon levityksessä“ und Englisch („Save the Children Finland involved in distribution of child porn“) erhältlich. Danke an alle Helfer für die Übersetzung, insbesondere an Jochim, Yves und Sebastian.
Dieses Dokument beschreibt die Erkenntnisse, zu denen ich gelangte, als ich einen Fall von Schadsoftwareausbreitung auf den Save the Children-Seiten untersuchte. Während ich herauszufinden versuchte, wie die Seiten auf Googles Sperrliste für Schadsoftware gelandet waren, fand ich statt dessen im Google-Cache Hinweise darauf, dass sich auf den Seiten von August bis September 2009 in großem Umfang Kinderporno-Links befunden hatten.
Spam in den Foren
Während das Internet einerseits ein blühender Handelsplatz für Kinderpornografie ist, stellt es gleichzeitig eine äußerst feindliche Umgebung dafür dar. Eines der größten Hindernisse, das der Verkäufer von Kinderpornografie zu überwinden hat, besteht darin, neue Kunden zu erreichen. Zusätzlich zu E-Mail wird das Spammen in verschiedenen Foren zu Werbezwecken gebraucht – im Prinzip an jedem Ort, an dem man eine Nachricht hinterlassen kann, die wenigstens so lange lesbar bleibt, dass sie auch nur einen möglichen Kunden erreichen kann.
Die üblichen Ziele sind Foren, Blogs und Gästebücher. Eine diese Seiten war das Webmagazin von Save the Children Finnland, wo Leser bei einigen Artikeln Kommentare hinterlassen können. Diese Mitteilungen sind für ziemlich lange Zeit auf der Seite geblieben (wenn man bedenkt, dass Google sie für zwei Monate indiziert hat), während Spam üblicherweise zügig gelöscht wird und auch die verlinkten Seiten untersucht werden. Da es nicht komplett kostenlos ist, eine kinderpornografische Seite aufzusetzen, werden Direktlinks zu kommerziellen kinderpornografischen Seiten normalerweise nicht unmittelbar in diesen temporären Distributionsforen hinterlassen. Die Idee ist, zu möglichst vielen anderen, ähnlichen Foren zu verlinken, zusätzlich zu einer kleineren Zahl von Links zu stabileren Seiten, die unter der Kontrolle des Distributors stehen. Nachdem man sich durch genug Links geklickt hat, kann der Kunde am Ende das eigentliche kinderpornografische Material zum Kauf finden, unabhängig davon, in welchem Forum er oder sie angefangen hat. Deshalb dauert es etwas länger, bis die echten Verkaufsseiten an die Behörden gemeldet werden, vor allem weil sich die meisten unschuldigen Websurfer nicht durch die Links klicken, um die eigentliche Verkaufsseite zu finden. In der Tat kann es in manchen Ländern illegal sein, in den Spamlinks nach den eigentlichen kinderpornografischen Seiten zu suchen, unabhängig von der Absicht des Users. Letztendlich werden die Behörden hauptsächlich die wertlosen und temporären Teile dieses Verkaufsnetzwerks ins Visier nehmen.
Es ist für den Verkäufer nicht weiter schlimm, wenn Teile des Forums abgeschaltet oder auf Sperrlisten gesetzt werden, während der Kunde die Links durchsucht, solange mindestens einer der Links funktioniert und den Kunden weiterleitet. Am Ende wird der Benutzer eine von mehreren Verkaufsseiten finden, die einige Gratisbilder und Zugang auf ein größeres Bezahlangebot bieten. Nachdem er bezahlt hat, erfährt der Kunde eine weitere – geheime – Adresse, mit der er in den privaten, nur für Mitglieder zugänglichen Bereich gelangt. Diese Adressen sickern nur selten zu den Ermittlungsbehörden durch. Einige dieser privaten Seiten merken sich die Nutzer auf Basis ihrer IP-Adressen und sperren den Zugriff, falls die Adresse sich ändert, was bedeuten könnte, dass die Zugangsdaten in die Hände der Polizeiermittler gelangt sind. In solchen Fällen wird man auf den Seiten keinerlei verbotene Inhalte finden. Die versteckten Teile kommerzieller Kinderporno-Seiten können unter der gleichen Adresse über Jahre aktiv bleiben, da die Polizei nur über tatsächlich zahlende Kunden Kenntnis erlangt. Dieses Vorgehen ist resistent gegen Ausfälle und vorteilhaft für den Anbieter illegaler Inhalte.
Der Fall von Save the Children Finnland
Der Kommentarbereich eines Artikels im Webmagazin von Save the Children Finnland wurde offenbar über mindestens zwei Monate für die Distribution von Kinderpornografie benutzt. Mit Hilfe des Google-Caches konnte verifiziert werden, dass dies mindestens für den Zeitraum von August bis September 2009 der Fall war. In dieser Zeit hätten Leser der Therapeutin Lila Tuisku Kinderpornografie finden können, wenn sie sich durch die Links klickten, die in dem Kommentarbereich einer ihrer Kolumnen aufgetaucht waren. Die Links traten in einer älteren Kolumne von 2008 auf, weshalb Save the Children Finnland es offenbar versäumte, die Kommentare zu diesen älteren Artikeln zu beobachten. Wenn eine Organisation wie Save the Children Finnland unbeabsichtigt in die Distribution von Kinderpornografie involviert wird, zeigt das nur, wie schwierig es ist, Kinderpornografie zu bekämpfen, indem man die Kommunikation im Internet beschränkt. Andere Spam-Opfer waren Foren für Open-Source-Projekte, Foren, die von einigen Universitäten aufgesetzt wurden, sogar einige Regierungen haben Foren unterhalten, die vorübergehend zu Distributionsplattformen für Kinderpornografie wurden.
Die Nutzung von Zugangssperren, um diese Art von Marketing einzuschränken, ist extrem schwierig, weil man immer auch Auswirkungen auf legitime Seiten als Kollateralschäden in Kauf nimmt. Es gab beispielsweise einen kleinen Skandal in Finnland, als die Polizei eine Gedenkseite für die Prinzessin von Thailand als Kinderpornografie blockiert hat, wodurch der komplette Adressbereich eines Internetproviders auf die Sperrliste geriet. Durch die Proteste wurde die Blockierung zwar schnell wieder rückgängig gemacht, nachdem die betreffenden illegalen Bilder entfernt wurden, aber zur gleichen Zeit wurden bereits neue in einem frei zugänglichen Forum auf dem gleichen Server eingestellt.
Die folgende Grafik (Anklicken für Großansicht) verdeutlicht die Verknüpfungen von Kinderpornografie.
Grüne Trapeze stellen Blogs, Gästebücher oder Foren dar, in denen Nachrichten eher schnell verschwinden. Um die Grafik zu vereinfachen, wurden nicht alle Verbindungen eingezeichnet. In Wirklichkeit hat jedes Forum mindestens ein Dutzend Verknüpfungen zu ähnlichen Angeboten. In diesen vorübergehend genutzten Foren ist es nicht weiter wichtig, wie lange die Nachrichten lesbar bleiben oder ob andere Leute wie Konkurrenten oder Aktivisten ebenfalls Artikel schreiben können.
- Gelbe Sechsecke stehen für stabilere Foren, die entweder selbst von den Verkäufern kinderpornografischen Materials betrieben werden oder sich auf andere Weise als stabil erwiesen haben. Diese Foren sollen längerfristig und regelmäßig aktualisiert Verweise auf aktuelle Kinderpornoseiten bereithalten. Die Verkäufer können auf diesen Seiten Moderatorrechte besitzen. Diese Art von Angeboten können auch statische Seiten auf kostenlosen oder gestohlenen Webhostingangeboten sein. Mitunter sind es auch einfach nur Bilder mit den Adressen der Bezahlangebote, die auf kostenlosen Fotoportalen abgelegt werden.
- Rote Quadrate stehen für die öffentlichen Startseiten kommerzieller Kinderporno-Angebote, auf die der Kunde früher oder später gelangt, indem er den Verweisen in den Foren folgt, die gerade von Spammern benutzt werden.
Das Bildschirmfoto auf der rechten Seite (Anklicken für Großansicht) stellt die Ergebnisse einer Google-Suche mit einigen Daten dar. pelastakaalapset.fi ist das offizielle Internetangebot von Save the Children Finnland.
Der Artikel ist ein schönes Beispiel dafür, dass Sperren (in diesem Fall die Schadsoftwarewarnliste von Google), im Gegensatz zum Löschen, den Webseitenbetreiber und Hoster ahnungslos läßt was er da hostet. Seiten sind aus den gleichen Gründen schon auf echten Sperrlisten gelandet, ohne dass sich die Listenersteller die Mühe machen die Seitenbetreiber darauf aufmerksam zu machen. Dies ist eins der Hauptprobleme der Sperren: die Inhalte sind weiterhin im Netz abrufbar, ausser für diejenigen, die eh nicht an solchen Dingen interessiert sind.
Kleine Korrektur: Der Screenshot stellt keine Bildersuche da, sondern eine Websuche.
"Einige dieser privaten Seiten merken sich die Nutzer auf Basis ihrer IP-Adressen und sperren den Zugriff, falls die Adresse sich ändert, was bedeuten könnte, dass die Zugangsdaten in die Hände der Polizeiermittler gelangt sind."
Hiermit habe ich Verständigungsprobleme. Bei dynamischer IP- Vergabe, was ja durchaus der überwiegende Teil sein dürfte, ändert sich die IP ja fortwährend, spätestens nach 24 Stunden. Wenn dann bereits der Zugriff gesperrt würde, kann der Nutzer das Angebot nicht mehr erreichen. Ebenso bedeutet dies keinesfalls unbedingt, dass die Zugangsdaten in die Hände der Ermittlungsbehörden gelangt sein könnten.
"In solchen Fällen wird man auf den Seiten keinerlei verbotene Inhalte finden."
Das ist unschlüssig. Nach Wechsel der IP würde dann der pädophile Nutzer kein KiPo- Material mehr finden? Der Anbieter kann anhand einer geänderten IP dies nicht erkennen. Wie soll er darüberhinaus es automatisiert anstellen, in solchen Fällen sein Angebot entsprechend auszudünnen?
"Die versteckten Teile kommerzieller Kinderporno-Seiten können unter der gleichen Adresse über Jahre aktiv bleiben, da die Polizei nur über tatsächlich zahlende Kunden Kenntnis erlangt. Dieses Vorgehen ist resistent gegen Ausfälle und vorteilhaft für den Anbieter illegaler Inhalte."
Wenn die Ermittlungsbehörden Zugangsdaten zu derart geschlossenen Netzwerken erhalten und dies aufgrund einer Ermittlung, wo einschlägiges Material beim Nutzer gefunden wurde, sollte es doch möglich sein, dagegen vorgehen zu können`?
(Used google translator to read comments, however I figure it's better to answer in English)
Johannes, some of the sites I found did an IP check when changing address, giving a message to contact the billing and support. I don't know what kind of mechnism it was exactly, it could well have been based on previous time of access, perhaps to prevent two users from using it at the same time with a rather loose time frame configured.
Also, most "dynamic IP addresses" today aren't very dynamic unless you're using a dialup. Most systems assign same IP for the same mac address, so you can get the same "dynamic" address every day for months. Especially so if you have a router NAT based router (adsl modem or such) that is always on and connected.
What about to inform the admin of pelastakaalapset.fi about the availability of such nasty links. Still 47 hits at google with the mentioned options. "site:pelastakaalapset.fi/verkkolehti pretXXX"
"Website of Save the Children Finland is temporarily closed because of data security control."
Hi Matti and thank you for the answer.
"Also, most "dynamic IP addresses" today aren't very dynamic unless you're using a dialup."
Also Flatrate- DSL contracts with NAT- Router will be unconnected after 24 hours. Then the router gets a new IP- address if it is a dynamic IP delivering system (DHCP) We don't talk about months with the same IP!
The IP I get (and see) changes after every new logon after restart or finally after 24 hours.
"...some of the sites I found did an IP check when changing address, giving a message to contact the billing and support."
The webmasters use in the most cases PHP scripts to check the IP or more of a connected client. If the username and the IP are a stored combination, it is not possible to connect without a new identification. Is it so? Well, that could be a security policy of the website's owners. The customers should know how is the way to connect again. It is possible for high risk issues, I guess. It could be interesting how does the mechanism run...?
Best regards,
J.D. (I know, my English could be better)