托马斯蠕动泵(《连线》杂志:多亏了比特币,网络上最大的虐童网站被捣毁)
Posted
篇首语:学向勤中得,萤窗万卷书。本文由小常识网(cha138.com)小编为大家整理,主要介绍了托马斯蠕动泵(《连线》杂志:多亏了比特币,网络上最大的虐童网站被捣毁)相关的知识,希望对你有一定的参考价值。
托马斯蠕动泵(《连线》杂志:多亏了比特币,网络上最大的虐童网站被捣毁)
他们认为他们的付款无法追踪,但他们大错特错了。这起案件的不为人知的故事粉碎了比特币匿名的神话。
信息来源自Wired,略有修改,作者Andy Greenberg
01
2017年秋天的一个清晨,在亚特兰大郊区的一个中产阶级郊区,克里斯·Janczewski独自站在一户人家的门口,他没有被邀请进入。
几分钟前,身穿防弹背心的国土安全调查局武装人员在这栋整洁的两层砖房周围就位,猛敲前门,当住在那里的一名家庭成员打开门时,他们蜂拥而入。Janczewski是美国国税局的一名刑事调查员,他静静地跟在后面,看着探员们搜查房屋并扣押电子设备。
本故事摘自《Tracers in the Dark The Global Hunt for the Crime Lords of Cryptocurrency》一书
他们把一家人分开,把父亲、当地一所高中的副校长和他们的调查对象放在一个房间里;他的妻子在另一个;两个孩子放在第三个房间。一名探员打开电视,播放米老鼠俱乐部的节目,试图分散孩子们的注意力,试图分散孩子们对入侵和审问的注意力。
在这次突击行动中,Janczewski只是作为一名观察员,从华盛顿特区飞来,在当地国土安全部执行搜查令的过程中观看并为其提供建议。但是,正是Janczewski的调查把探员们带到了这里,来到了这座看起来很普通的房子。他是基于一种奇怪的、新生的证据把他们带到这里的。Janczewski一直在追踪比特币区块链的链接,沿着这条链,直到它将这个普通的家与互联网上一个极其残酷的地方连接起来——然后将这个地方与世界各地的数百人连接起来。所有人都是同一个庞大的无法形容的虐待网络中的同谋。这些人都在Janczewski长长的目标名单上。
在过去的几年里,Janczewski和他的合作伙伴蒂格兰·Gambaryan,以及美国越来越多的三字母机构的一小群调查人员,利用这种新发现的技术,追踪一度看似无法追踪的加密货币,破获了一起又一起前所未有的史诗级犯罪案件。但这些方法从来没有把他们引向这样一个案件,在这个案件中,如此多的人的命运,无论是受害者还是行凶者,似乎都取决于这种新的取证方式的发现。那天早上,在亚特兰大附近郊区的搜索让Janczewski第一次意识到这些利害关系。正如他后来所说,这是一个“概念的证明”。
从Janczewski站在房子前面的地方,他可以听到国土安全局的探员们在跟父亲说话,父亲用一种断断续续、听天由命的声音回答。他听到在另一个房间里探员们在询问那名男子的妻子;她回答说,是的,她在她丈夫的电脑上发现了某些图片,但他告诉她,他是在盗版音乐时意外下载的。在第三个房间里,他能听到两个学龄儿童在看电视——他们的年龄和Janczewski的孩子差不多大。他们要吃点心,似乎对他们家正在发生的悲剧一无所知。
Janczewski还记得那一刻对他的沉重打击:这是一名高中管理人员、丈夫和两个孩子的父亲。不管他是有罪还是无罪,这支执法团队对他的指控(只要他们出现在他的家里)几乎肯定会毁了他的生活。
Janczewski再次想到了把他们带到这里的调查方法,就像数字占卜棒一样,揭示了隐藏在可见世界之下的一层非法联系。他希望(这不是他最后一次希望)它没有把他引入歧途。
几个月前的一个夏日,在伦敦泰晤士河南岸,南非出生的科技企业家乔纳森•Levin走进了英国国家犯罪局总部。一位友好的探员把他带到二楼,穿过办公室厨房,给他倒了一杯茶。
两个人手捧茶杯,坐在那名探员的办公桌前。Levin在那里对客户进行了一次例行拜访,了解探员和他的同事是如何使用他共同创立的公司开发的软件的。这家名为Chainalysis的公司是世界上第一家专注于追踪加密货币的科技公司。NCA是世界上数十家学会使用Chainalysis软件,将数字地下世界首选的交易方式变成了致命弱点的执法机构之一。
当比特币在2008年首次出现时,这种加密货币的一个基本承诺是,它只显示哪些比特币位于哪些比特币地址,而不包含任何有关这些比特币所有者的身份信息。这层模糊不清的东西给许多早期追随者留下了这样一种印象:比特币可能是自由主义和加密无政府主义者期待已久的完全匿名的互联网现金:一个新的金融世界,装满无标记货币的数字公文包可以在全球范围内瞬间易手。
比特币的神秘发明者中本聪甚至在早期描述这种加密货币的电子邮件中写道,“参与者可以匿名”。丝绸之路等暗网黑市的数千名用户将比特币作为他们的中央支付机制。但ChainAnalysis建立其业务所基于的比特币的反直觉真相是:每一笔比特币支付都被记录在它的区块链中,这是比特币网络中每一笔交易的永久、不可更改的、完全公开的记录。区块链确保硬币不能被伪造或多次使用。但这是通过让比特币经济中的每个人都成为每一笔交易的见证人来实现的。从某种意义上说,每一笔犯罪支付都是光天化日之下的确凿证据。
在比特币问世的几年内,学术界的安全研究人员——以及随后的chainalysis公司——开始在比特币用户地址和他们真实身份的面具上撕开裂口。当比特币从一个地址移动到另一个地址时,他们可以跟踪区块链上的比特币,直到它们到达一个可以与已知身份联系起来的地址。在某些情况下,调查人员可以通过与某人进行交易来了解他们的比特币地址,就像卧底的缉毒人员可能会进行买入一样。在其他情况下,他们可以追踪目标硬币到加密货币交易所的账户,在那里金融监管要求用户证明自己的身份。当时,Chainalysis的一位执法部门客户迅速向该交易所发出传票,足以剥去比特币匿名的任何假象。
Chainalysis将这些对比特币用户进行去匿名化的技术与允许其“集群”地址的方法结合在一起,结果显示有时几十到数百万个地址属于一个人或组织。例如,当来自两个或多个地址的比特币在一次交易中被花费时,它表明创建“多输入”交易的人必须控制两个花费者地址,从而让Chainalysis将它们合并为一个身份。在其他情况下,Chainalysis和它的用户可以跟踪“剥离链”——这一过程类似于追踪一沓现金,用户不断地把它取出,剥下几张钞票,然后把它放回不同的口袋。在这些剥离链中,比特币将从一个地址转移出来,一部分支付给接收人,然后剩余的部分返回给“变更”地址的消费者。识别出这些变化的地址可以让调查人员跟踪一笔钱从一个地址跳到另一个地址的过程,在比特币区块链的噪音中描绘它的路径。
多亏了这些技巧,比特币实际上成了“无法追踪”的反面,多年来一直在尽职尽责地记录着他们肮脏交易的证据。到2017年,美国联邦调查局、缉毒局和美国国税局的刑事调查部等机构已经追踪了比特币交易,并在Chainalysis的帮助下开展了一次又一次的调查。
这些案件开始时规模不大,但后来发展得势头迅猛。调查人员追踪了两名腐败的联邦探员的交易,发现在2013年丝绸之路被捣毁之前,一名探员从这个暗网市场窃取了比特币,另一名探员向其创造者罗斯·乌布利希出售了执法情报。接下来,他们追踪到了从Mt. Gox交易所被盗的5亿美元比特币,并显示这些收益被另一家加密交易所BTC-e的俄罗斯管理员洗黑钱,最终将该交易所的服务器定位在了新泽西州。最后,他们追踪比特币的踪迹,确定了AlphaBay创始人的身份。这个暗网市场规模已经扩大到丝绸之路的10倍。(事实上,就在Levin与NCA的探员交谈时,一个由六个执法机构组成的联盟正聚集在曼谷,准备逮捕AlphaBay的创造者。)
Levin一如既往地关注着Chainalysis的下一个重大调查。在与他讨论了几个未结案件后,国家安全局探员提到了一个最近进入该局视野的暗网中的不祥网站。该网站名为“Welcome to Video”。
他被眼前的一幕惊呆了:一整个旨在保密的犯罪支付网络暴露在他面前。
国家犯罪调查局是在一起可怕的案件中偶然发现这个地方的,案件涉及一个名叫Matthew Falder的罪犯。Falder是英国曼彻斯特的一名学者,他会假扮成一名女性艺术家,在互联网上向陌生人索要裸照,然后威胁说,除非受害者记录下自己进行越来越有辱人格和堕落的行为,否则就把这些照片分享给家人或朋友。最终,他会强迫受害者自残,甚至在镜头前对他人实施性虐待。在被捕时,他已经锁定了50人,其中至少有3人曾试图自杀。
在Falder的电脑上,NCA发现他是Welcome to Video的注册用户,这个犯罪集团的规模甚至让Falder的暴行都相形见绌。这条证据线索随后从国家安全局的儿童剥削调查小组转到了计算机犯罪小组,其中包括专注于加密货币的探员,Levin现在就坐在他的办公桌上。Welcome to Video是少数出售儿童性虐待片段以换取比特币的网站之一。一眼就能看出它的图像和视频库非常庞大,它正在被全球范围内不断扩大的用户群访问,并经常以全新的材料进行更新。
在Welcome to Video上贩卖的这类图像已越来越多地被儿童权益保护者和执法部门称为 “儿童性虐待材料”(child sexual abuse material),以消除任何关于它涉及对儿童的暴力行为的怀疑。CSAM多年来一直代表着暗网的巨大暗流,由Tor和I2P等匿名软件保护的数千个网站组成。这些匿名工具被全世界数百万试图避免在线监视的人所使用,也已成为一个令人憎恶的滥用网络的影子基础设施,这往往会挫败执法部门识别CSAM网站访问者或管理员的努力。
NCA的代理人向Levin展示了一个比特币地址,该机构已确定该地址是Welcome to Video金融网络的一部分。Levin建议他们将其加载到Chainalysis的加密追踪软件工具Reactor中。他放下茶杯,把椅子拉到探员的笔记本电脑前,开始绘制该网站在比特币区块链上的地址集合,这些地址代表了Welcome to Video从数千名客户那里收到付款的钱包。
他被自己看到的东西吓了一跳:这个儿童虐待网站的许多用户以及它的管理员几乎没有做任何事来掩盖他们的加密货币踪迹。整个本打算保密的犯罪支付网络就在他面前暴露无遗。
多年来,Levin目睹了一些暗网运营商识破了他公司的加密追踪伎俩。他们会通过大量的中介地址或“混合器”服务来避开调查人员,或使用更难追踪的加密货币Monero。但是看到那天在NCA办公室的Welcome to Video集群时,Levin立刻就能看出它的用户要天真得多。许多人只是从加密货币交易所购买了比特币,然后直接从自己的钱包将其发送到Welcome to Video。
而该网站钱包的内容则在几家交易所被清算——韩国的bithumb和Coinone,中国的Huobi——在那里它们被转换为传统货币。有人似乎一直在使用大量的、多重输入的交易来收集该网站的资金,然后将其套现。这使得Reactor可以很容易地立即自动对数千个地址进行聚类,确定它们都属于一个服务——Levin现在可以在软件中将其标记为Welcome to Video。更重要的是Levin可以看到,围绕着这个集群并与之相连的交易所群可能拥有必要的数据来识别该网站的广大匿名用户——不仅仅是谁在从该网站兑现比特币,还有谁在购买比特币并将其投入其中。Welcome to Video和其客户之间的区块链联系是Levin所见过的最明显的犯罪联系之一。
这些儿童性侵的消费者似乎对区块链上的现代金融取证状况完全没有准备。按。按照Levin多年来玩的猫捉老鼠游戏的标准,Welcome to Video就像一只从未遇到捕食者的倒霉的啮齿动物。
当他坐在NCA探员的笔记本电脑前时,Levin也许比以往任何时候都更清楚地意识到,他生活在加密货币追踪的“黄金时代”——像Chainalysis这样的区块链调查人员已经比他们的目标获得了显著的领先优势。他记得当时自己在想:“我们创造了一种非常强大的东西,我们领先于这类运营商一步。”“你们犯下令人发指的罪行,而我们的技术在一瞬间就将其突破,并以非常清晰的逻辑揭示了谁是幕后黑手。”
看到有人通过韩国的两个交易所兑现Welcome to Video的大部分收入,Levin已经可以猜到,管理员很可能位于那里。该网站的许多用户似乎是直接从他们在美国Coinbase和Circle等交易所购买硬币的地址向该网站付款。摧毁这一全球虐童网络,可能只需要让美国或韩国的另一个执法机构参与进来,他们可以要求从这些交易所获取详细信息。Levin想到的正是这个机构。
“有些人可能会感兴趣,”他告诉NCA探员。
但首先,当他准备离开时,Levin默默地记住了探员给他看的“Welcome to Video地址的前五个字符。Chainalysis的Reactor软件有一个功能,可以根据比特币地址的前几个唯一的数字或字母自动补全地址。五个字符就足够了——一个简短的密码就能解锁全球犯罪阴谋的活地图。
02
在泰国的一个晚上,Levin与克里斯·Janczewski和提格兰·Gambaryan进行了交谈。2017年7月初的那个晚上,美国国税局的两名刑事调查特别探员正坐在曼谷素万那普机场,因在史上最大规模的暗网市场攻坚战中被忽视而倍感沮丧。
到2017年,美国国税局已经掌握了美国政府中一些最巧妙的加密货币追踪工具。事实上,正是Gambaryan在丝绸之路调查中追踪了两名腐败探员的比特币,然后破获了BTC-e洗钱案。通过与Levin的合作,Gambaryan甚至追踪到了AlphaBay服务器,并将其定位在立陶宛的一个数据中心。
然而,当Gambaryan和Janczewski来到曼谷逮捕AlphaBay的管理者、法裔加拿大人亚历山大·卡兹时,他们被负责该行动的缉毒局和联邦调查局探员的核心圈子排除在外。他们没有被邀请到卡兹被捕的现场,甚至没有被邀请到其他探员和检察官观看逮捕行动视频直播的办公室。
对于Gambaryan和Janczewski来说这是非常典型的。IRS-CI的探员们像FBI和缉毒局的同行们一样做侦查工作,带着枪进行逮捕。但由于美国国税局的公众形象不佳,他们经常发现其他探员把他们当会计一样对待。当他们在会议上被介绍时,来自其他执法部门的同行们会开玩笑说:“不要审计我”。大多数IRS-CI的探员听到这句话太多次了,以至于他们马上就会翻白眼。
在曼谷无所事事的时候,Gambaryan和Janczewski花了很多时间思考他们的下一个案件,浏览Chainalysis的区块链追踪软件Reactor以激发灵感。像AlphaBay这样的暗网市场似乎已经被泰国的行动搞得一团糟,它们需要几个月甚至几年的时间才能恢复。这些探员曾考虑对一家暗网赌博网站采取行动。但非法的在线赌场似乎不值得他们关注。
在他们离开泰国的那天,Gambaryan和Janczewski到达机场时,发现他们飞往华盛顿的航班严重延误。他们被困在航站楼里,有几个小时的时间可以打发,他们半梦半醒地坐在那里,无聊极了。为了打发时间,Gambaryan决定给Chainalysis的Levin打电话,讨论下一个案子。当Levin拿起电话时,他有消息要告诉大家。他一直在调查一个不符合国税局通常目标的网站,但他希望他们愿意检查一下:Welcome to Video。
儿童性剥削案件历来是FBI和国土安全部,而不是国税局调查的重点。在某种程度上,这是因为儿童性侵图片和视频通常在没有金钱交易的情况下被分享,调查人员称之为“棒球卡交易”系统,这使它们不属于国税局的管辖范围。Welcome to Video则不同。它有一条资金线索,而且似乎非常清晰。
回到华盛顿后不久,Gambaryan和Janczewski从一家名为Excygent的合同技术公司聘请了一位名叫Aaron Bice的技术分析师,他们曾与该公司一起调查过加密货币交易所BTC-e。他们一起绘制了Welcome to Video in Reactor的图表,并看到了Levin立刻意识到的东西:它是多么明显地将自己作为一个目标。它的整个财务结构摆在他们面前,数以千计的比特币地址聚集在一起,其中许多地址几乎不加掩饰地在交易所进行付费和提现。很快,Janczewski就把这个案子交给了联邦检察官Zia Faruqui。Faruqui立刻接受了处理Welcome to Video的提议,并正式启动了调查。
Gambaryan、Janczewski、Bice和Faruqui组成了一个致力于破获大规模儿童剥削网络的团队。Janczewski是一位身材高大的中西部探员,有着方下巴,就像山姆·洛克威尔和克里斯·埃文斯的混合体,看着电脑屏幕时戴着角质框眼镜。他曾在反恐、毒品走私、政府腐败和逃税案件中证明了自己的能力,后来他从印第安纳州的国税局办公室被招进了华盛顿特区的计算机犯罪小组。Bice是数据分析方面的专家,用Janczewski的话来说,他拥有“半机器人”的计算机技能。Faruqui是一位助理美国检察官,在国家安全和洗钱的起诉方面有着丰富经验。他有一种近乎狂躁的专注和紧张,说话语速快得滑稽,而且在他的同事看来,他几乎不睡觉。还有Gambaryan,他是一名留着浓密头发和整齐胡子的探员,到2017年,他已经成为美国国税局加密货币耳语者和暗网专家。Faruqui称他为“比特币耶稣”。
团队开始意识到,尽管这个案例看起来很简单,但它的复杂性实际上是压倒性的。
然而,这四人都没有处理过儿童性剥削的案件。他们没有接受过处理虐待儿童图像和视频的培训,在普通美国人手中,仅仅拥有这些图像和视频就是一项重罪。对于他们即将接触到的图像,他们没有任何情感或心理准备。
尽管如此,当两名探员向Faruqui展示他们在区块链中看到的东西时,这位检察官并没有因为他们在儿童剥削领域的集体缺乏经验而被吓倒。作为一名专注于洗钱案件的律师,他认为在Janczewski和Gambaryan交给他的犯罪付款证据面前,他们没有理由不能把Welcome to Video视为根本上的财务调查。
“我们将像对待其他任何案件一样对待这个案件,”他说。“我们将通过追踪资金来调查此事。”
Janczewski还记得,当他独自看到一组缩略图时,他感到一种茫然的震惊,他的大脑几乎拒绝接受它所看到的一切。插图:PARTY OF ONE STUDIO
当Janczewski和Gambaryan第一次复制这个网址mt3plrzdiyqf6jim.onion时,迎接他们的是一个光秃秃的网站,上面只有“Welcome to video”字样和一个登录提示。他们各自注册了一个用户名和密码并进入。
经过第一个问候页面,网站显示了大量的、似乎无穷无尽的视频标题和缩略图,它们以每段视频四张显然是从文件的帧中自动选择的静态图正方形排列。这些小图片是一幕又一幕的儿童被性虐待和强奸的场景的目录。
探员们已经做好了观看这些图像的准备,但他们仍然对现实毫无防备。Janczewski还记得他在看到这些缩略图时感到的一种茫然的震惊,他的大脑几乎拒绝接受它所看到的一切。他发现该网站有一个搜索页面,上面写着拼写错误的“Serach videos”。在搜索栏下面,它列出了用户输入的热门关键词。第一位是“一岁”,第二位是“两岁”。
Janczewski一开始以为他一定是误会了。他本以为会看到青少年或未成年人遭受性虐待的记录。但当他滚动鼠标时,他发现该网站上充斥着虐待幼儿甚至婴儿的视频。
“这是真的吗?不,”Janczewski麻木地讲述了他第一次浏览该网站时的反应。“这上面有这么多视频?”不。这不可能是真的。”
这两名探员知道,在某些时候他们将不得不至少实际观看一些广告视频。但是幸运的是,在他们第一次访问该网站时,他们无法访问这些视频;要做到这一点,他们必须向网站提供给每个注册用户的地址支付比特币,在那里他们可以购买“积分”,然后可以用这些积分进行下载交易。由于他们不是卧底探员,他们没有购买这些积分的授权——他们也不是特别渴望购买。
在网站的底部有一个版权日期:2015年3月13日。Welcome to video已经上线两年多了。甚至一眼就能看出,它已经发展成为执法部门所见过的最大的儿童性侵视频库之一。
“你不能一边让一个孩子被强奸,一边去搞垮韩国的服务器。”简单地将网站下线并不是他们的首要任务。
Janczewski和Gambaryan分析了网站的机制,他们发现用户不仅可以通过购买积分,还可以通过上传视频来获得积分。这些视频随后被其他用户下载的越多,他们获得的分数就越多。“不要上传成人色情内容,”上传页面提示说。该页面还警告称,上传的视频将被检查是否具有唯一性;只有新的材料才会被接受——对探员们来说,这一特点似乎是为了鼓励更多的儿童虐待行为。
然而,Gambaryan发现该网站最令人不安的部分是一个聊天页面,用户可以在这里发表评论和反应。该页面充满了各种语言的帖子,暗示着该网站的国际影响力。大多数的讨论让Gambaryan感到不寒而栗——这是人们可能会在普通的 YouTube 频道上找到的那种随意评论。。
多年来,Gambaryan一直在追捕各种各样的罪犯,从小规模的欺诈者到腐败的联邦执法部门同事,再到网络犯罪的头目。他通常觉得他能从根本上理解他的目标。有时,他甚至会对他们产生同情心。“我认识的一些毒贩可能比一些白领逃税者更有人情味,”他喃喃自语。“我能理解其中一些罪犯。他们的动机只是贪婪。”
但现在他进入了一个人们在他完全无法理解的动机驱使下犯下了他无法理解的暴行的世界。他在饱受战争蹂躏的亚美尼亚和苏联解体后的俄罗斯度过了童年,从事过地下犯罪的工作,他认为自己对人们所能做的最坏的事情非常熟悉。现在他觉得自己太天真了:他第一次看到Welcome to Video,就暴露并摧毁了他关于人性的理想主义隐藏的残余。“它扼杀了我的一小部分,”Gambaryan说。
当Gambaryan和Janczewski亲眼看到Welcome to Video真正代表的东西时,他们意识到这个案件的紧迫性甚至超过了一般的黑网调查。该网站每上线一天,就会有更多的儿童受到虐待。
Gambaryan和Janczewski知道他们最好的线索仍然在区块链上。最重要的是,该网站似乎没有任何机制让其客户从他们的账户中提取资金。只有一个他们可以在网站上支付积分的地址。这意味着他们所能看到的从该网站流出的价值超过30万美元的比特币几乎肯定都属于该网站的管理员。
Gambaryan开始联系他在比特币社区的联系人,寻找可能认识韩国两个交易所Bithumb 和Coinone高管的交易所工作人员,Welcome to Video的大部分资金都被汇入了这两个交易所,还有一个美国交易所也收到了一小部分的资金。他发现,只要提到儿童剥削的问题,加密货币行业通常对政府干预的抵制似乎就烟消云散了。Gambaryan说:“不管你想成为什么样的自由意志主义者,这是每个人的底线。”甚至在他发出正式的法律请求或传票之前,这三家交易所的员工就已准备好提供帮助。他们承诺尽快向他提供他从Reactor中提取的地址的详细信息。
Gambaryan忍不住了:他坐在自己的DC办公隔间的电脑屏幕前,盯着他发现的漏洞笑了起来。
与此同时,Gambaryan继续调查Welcome to Video网站本身。在网站上注册了一个账号后,他想尝试对其安全性进行某种基本检查——他认为成功的可能性很小,但不会有任何损失。他右键单击页面,然后从结果菜单中选择“查看页面源代码”。这样,他就可以在Tor浏览器将网站的原始HTML渲染成图形网页之前看到它。无论如何,看着大量的代码块肯定比看着无穷无尽的人类堕落的卷轴要好。
他几乎立刻就找到了他要找的东西:一个IP地址。事实上,令Gambaryan吃惊的是,该网站上的每张缩略图似乎都在该网站的HTML中显示了其实际托管的服务器的IP地址:121.185.153.64。他把这11位数字复制到电脑的命令行中,并运行了一个基本的traceroute功能,沿着它在互联网上的路径返回到该服务器的位置。
令人难以置信的是,结果显示这台计算机根本没有被Tor的匿名网络所掩盖;Gambaryan正在查看Welcome to Video服务器的实际、未受保护的地址。这证实了Levin最初的预感,该网站是在韩国首尔以外的一家互联网服务提供商的住宅连接上运行的。
Welcome to Video的管理员似乎犯了一个新手错误。该网站本身托管在Tor上,但它在主页上的缩略图似乎是从同一台计算机上获取的,而没有通过Tor路由连接,这或许是为了使页面加载得更快而做的错误尝试。
Gambaryan忍不住笑了:他坐在自己DC办公室的小隔间里的电脑屏幕前,盯着一个网站管理员暴露的位置,他可以感觉到他被逮捕的日子越来越近了。
Janczewski当时正在马里兰州的一个射击场,等待射击训练轮到他,这时他收到了他的团队传唤的美国加密货币交易所发来的电子邮件。邮件中包含了涉嫌将网站收入兑现的Welcome to Video管理员的身份信息。
电子邮件的附件显示,一名地址在首尔以外的中年韩国男子,这与Gambaryan发现的IP地址完全吻合。这些文件甚至还包括一张该男子举着身份证的照片,显然是为了向美国交易所证明自己的身份。
有那么一瞬间,Janczewski觉得他好像在与Welcome to Video的管理员面对面。但他记得,当时他觉得有些不对劲:照片中的男子的手明显很脏,指甲里有土。他看起来更像一个农场工人,而不是他所期望的那种在暗网上运营网站的那种手握键盘的人。
在接下来的几天里,随着其他交易所履行他们的传票,答案开始变得清晰起来。两家韩国交易所向Gambaryan发送了关于控制Welcome to Video套现地址的人的文件。他们不仅提到了这名中年男子,还提到了一个更年轻的男子,21岁,名叫Son Jong-woo。这两个人列出了相同的地址和姓氏。他们是父子吗?
这些探员认为他们正在接近该网站的管理员。但他们逐渐明白,仅仅关闭网站或逮捕其管理员很难满足正义的需要。“Welcome to Video的比特币地址群在区块链上形成了一个庞大而繁忙的联系点,既包括消费者,也包括更重要的儿童性虐待材料的生产商。
这时,Faruqui已经召集了一个由其他检察官组成的团队来帮忙,其中包括Lindsay Suttenberg,一位擅长处理儿童剥削案件的美国助理检察官。她指出,即使是将网站下线也不一定是他们的首要任务。“你不能一边让一个孩子被强奸,一边去搞垮韩国的服务器,”Faruqui这样总结她的论点。
该团队开始意识到,尽管这个事件一开始看起来很简单,但在轻易查明该网站管理员的身份后,它的复杂性实际上是令人难以承受的。他们需要追踪的不仅仅是韩国的一两个网站管理员的资金,还需要从这个中心点追踪全球数以百计的潜在嫌疑人——既有活跃的施虐者,也有他们同谋的助推者。
Gambaryan用鼠标右键发现了该网站的IP地址,以及加密货币交易所的快速合作,都是幸运的突破。真正的工作还在后面。
03
就在Levin提供线索的两个星期后,由IRS-CI探员和检察官组成的团队几乎准确地知道了Welcome to Video的主机位置。但他们也知道他们需要帮助才能走得更远。他们既没有与韩国国家警察厅的联系--该机构以形式主义和不可逾越的官僚主义著称--也没有资源来逮捕可能是数以百计的网站用户,而这一行动需要的人员远远超过国税局的能力。
Faruqui建议他们让国土安全部调查此案,并与科罗拉多州斯普林斯的某个办事处合作。他之所以选择这个机构和它遥远的前哨,是因为他曾经在那里与一名名叫托马斯·塔姆西的探员合作过。一年前,Faruqui和塔姆西一起破获了朝鲜的一次武器交易行动,该行动试图通过韩国和中国走私武器部件。在调查过程中,他们飞到首尔与韩国国家警察会面,在HSI驻首尔联络人的介绍下,他们与韩国官员一起喝酒和唱卡拉OK,度过了一个晚上。
团队中的其他人不忍心听Suttenberg描述这些视频。“他们会要求我不要说了,把它写下来”她回忆道,“然后他们会告诉我写下来更糟糕。”
在当晚一个特别值得纪念的时刻,韩国探员一直在嘲笑美国队所谓的热狗和汉堡包的饮食。一名探员提到了sannakji,这是一种小型章鱼,一些韩国人不仅生吃,而且是在还活蹦乱跳的时候吃。塔姆西赌气地回答说他要试试。
几分钟后,几名韩国探员把一只拳头大小、活蹦乱跳的章鱼端到了桌上。塔姆西把整个蠕动的章鱼放进嘴里,咀嚼、吞咽,它的触手在他的嘴唇间蠕动,黑色的墨水从他的脸上滴到桌子上。塔姆西说:“这太可怕了。
韩国人觉得这很搞笑。塔姆西在韩国国家警察的某些圈子里获得了近乎传奇的地位,在那里,他后来被称为“章鱼男”。
和他们小组的大多数人一样,塔姆西在儿童剥削案件中没有任何经验。他甚至从未参与过加密货币的调查。但Faruqui坚持认为,为了在韩国取得进展,他们需要章鱼男。
不久之后,塔姆西和一名被授权执行秘密行动的HSI探员飞往华盛顿特区。他们在一家酒店租了一间会议室,在Janczewski的注视下,卧底探员登录了Welcome to Video,支付了一笔比特币,并开始下载数千兆字节的视频。
这一奇怪的地点选择——酒店而不是政府办公室——是为了更好地掩盖探员的身份,以防Welcome to Video在Tor的保护下仍能以某种方式追踪其用户,也是为了在起诉的时候,特区检察官办公室将被赋予管辖权。(至少,HSI探员在下载时使用了Wi-Fi热点,以避免通过酒店的网络窃取网络中最有害的内容。)
卧底探员的工作一结束,他们就把文件分享给了Janczewski,Janczewski和Lindsay Suttenberg在接下来的几周内观看了这些视频,他们将所有能找到的线索一一归类,以确定涉案人员的身份,这也让他们的脑海里充斥着足以让任何人在余生中做噩梦的虐童画面。
Suttenberg多年的儿童剥削检察官经历让她有些麻木;她会发现团队中的其他人甚至无法忍受听她描述视频的内容,更不用说观看了。“他们会要求我不要说了,把它写下来,”她回忆道,“然后他们会告诉我写下来更糟糕。”
Janczewski是这个案子的首席探员,他的任务是整理一份宣誓书,作为最终可能提交给法庭的任何指控文件的材料。这意味着要观看数十个视频,寻找那些能代表网站上最恶劣材料的视频,然后为陪审团或法官撰写技术描述。他把这种体验比作《发条橙》中的一个场景:一段无休止的蒙太奇,他一直想转移视线,但被要求不能这样做。
他说,观看这些视频改变了他,尽管他只能用抽象的方式来描述——甚至连他自己都不确定自己是否完全理解。“没有回头路了,”Janczewski含糊地说。“一旦你知道了你所知道的,你就不可能不知道它。你在未来看到的一切都是通过你现在所知道的那个棱镜进来的。”
在2017年秋季的前几周,调查Welcome to Video网络的团队开始了艰苦的过程,在区块链上追踪该网站的每一个可能的用户,并向世界各地的交易所发出了数百份法律请求。为了帮助分析Welcome to Video在Reactor中的比特币地址集群的每一个线索,他们请来了Chainalysis的一位名叫Aron Akbiyikian的工作人员,他是一位来自弗雷斯诺的亚美尼亚裔美国前警察,Gambaryan从小就认识他,并向Levin推荐了他。
Akbiyikian的工作是进行他所谓的“集群审计”——从该网站的加密货币追踪中挤出每一条可能的调查线索。这意味着他要手动追踪从一个之前的地址到另一个地址的付款,直到他找到Welcome to Video客户购买比特币的交易所,以及该交易所可能拥有的识别信息。许多Welcome to Video的用户让他的工作变得很简单。Akbiyikian说:“这是一个美丽的Reactor集群。”“它是如此清晰。”在某些情况下,他会在资金到达交易所之前通过几次跳转来追溯支付链。但他说,对于数百名用户来说,他可以看到钱包地址从交易所收到钱,然后将资金直接投入Welcome to Video的集群中,正如Akbiyikian所说,这些交易创造了“尽可能干净的线索”。
随着交易所对这些用户的身份信息的反馈开始涌入,该团队开始为他们的目标建立更完整的档案。他们开始收集数以百计的男人的名字、面孔和照片——他们几乎都是来自世界各地各行各业的男性。他们的描述跨越了种族、年龄、阶级和国籍的界限。所有这些人似乎都有一个共同点,那就是他们的性别,以及他们与一个世界性的、隐蔽的虐待儿童的天堂的经济联系。
这时,调查小组认为他们已经信心十足地锁定了该网站的韩国管理员。他们已经获得了对Son Jong-woo的Gmail账户和他的许多交易记录的搜查令,他们可以看到,似乎只有他一个人从该网站获得了兑现的收益,而不是他的父亲,在调查人员看来,他的父亲越来越像一个不知情的参与者,他儿子劫持了他的身份创建了加密货币账户。在Son Jong-woo的电子邮件中,他们第一次发现了他的照片,他给朋友们看的他在一次车祸中掉了一颗牙的自拍。他是一个瘦削的、看起来不起眼的年轻韩国人,眼睛睁得大大的,留着一头披头士式的黑发。
但随着这位管理员的形象逐渐成形,其他数百名使用过该网站的男性的资料也逐渐成形。调查小组立即注意到了其中一些人:令托马斯•塔姆西和他的国土安全局同事们感到失望的是,其中一名嫌疑人是德克萨斯州的一名HSI探员。他们带着另一种恐惧看到有一个人是佐治亚州一所高中的副校长。这所学校管理人员在社交媒体上发布了自己与学校十几岁女孩合唱卡拉OK的视频。这些视频可能会被认为是无辜的,但考虑到他们对这名男子的比特币支付的了解,在儿童剥削方面有更多经验的探员警告Janczewski,这些视频可能反映了一种形式的诱导行为。
这些人拥有特权地位,有可能接触到受害者。调查人员立即意识到,正如他们所怀疑的那样,他们需要尽快逮捕Welcome to Video的一些用户,甚至在他们能够安排捣毁该网站之前。儿童剥削问题专家曾提醒他们,一些犯罪者有一套系统,可以在执法部门逮捕或控制他们时向其他人发出警告。尽管如此,Welcome to Video调查小组认为他们别无选择,只能冒这个险迅速采取行动。
大约在同一时间,另一名嫌疑人因不同的原因进入了他们的视野:他住在华盛顿特区。事实上,这名男子的家就在美国检察官办公室附近,靠近首都的Gallery Place社区。他恰好住在其中一名检察官最近才搬出的公寓里。
他们意识到,那个位置可能对他们有用。Janczewski和Gambaryan可以轻松地搜查这个人的家和他的电脑作为一个测试案例。如果这能证明这名男子是Welcome to Video的客户,他们就可以在特区的司法管辖区起诉整个案件,从而克服一个关键的法律障碍。
然而,随着调查的深入,他们发现这名男子曾是一名国会工作人员,并在一家著名的环保组织担任高级职位。逮捕或搜查这样一个有背景的目标人物的家会不会引起公众的强烈抗议,从而使他们的案子失败?
然而,就在他们将目光对准这名嫌疑人时,他们发现他在社交媒体上出奇地沉默。团队里有人想调出他的旅行记录。他们发现他已经飞往菲律宾,正准备经由底特律飞回华盛顿。
旅行箱还没有完全打开。这名男子前一天晚上点了一份披萨,其中一部分还留在桌子上没有吃。
这一发现让调查人员和检察官产生了两个想法:首先,菲律宾是臭名昭著的性旅游目的地,经常以儿童为对象——HSI在马尼拉的办公室一直在处理儿童剥削案件。其次,当这名男子飞回美国时,海关和边境保护局可以合法拘留他,并要求查看他的设备寻找证据——这是美国宪法保护中一个奇怪而有争议的条款,在本案中可能会派上用场。
他们在华盛顿的嫌疑人会在调查刚开始的时候拉响警报,揭开调查的真相吗?
“是的,这一切都有可能毁掉我们的案子,”Janczewski说。“但我们必须采取行动。”
10月下旬,底特律大都会机场的海关和边境保护局拦下了一名从菲律宾飞回华盛顿的男子,要求他靠边站,把他带到了一个二级检查室。尽管他强烈抗议,但边境人员坚持要带走他的电脑和手机,然后才允许他离开。
几天后,也就是10月25日,曾与嫌疑人住在同一栋华盛顿公寓楼的检察官看到了一封来自她的旧楼管理部门的电子邮件;尽管搬了出去,但她仍然在收信人名单上。这封邮件指出,大楼后面巷子里的停车场坡道将于当天上午关闭。邮件解释说,一名不愿透露姓名的居民从自家公寓的阳台上跳下来,摔死在了那里。
检察官将两者联系起来,根据事实推断跳楼者是他们Welcome to Video的“测试案例”。Janczewski和Gambaryan立即开车前往公寓楼,向管理人员确认他们调查的第一个目标刚刚自杀。
当天晚些时候,两名IRS-CI探员带着搜查令回到了这名男子的死亡现场。他们和大楼经理一起乘坐电梯上了11楼,经理对国税局的介入感到非常困惑,但他还是默默为他们打开了门。在里面,他们在里面发现了一套高档的、有点凌乱、天花板很高的公寓。旅行箱还没有完全打开。这名男子前一天晚上点了一份披萨,有一部分还在桌子上没有吃。
Janczewski还记得,当他想象着前一天晚上他面临的绝望选择时,他感觉到了这个男人空荡荡的家的阴郁寂静。从11层楼的阳台往下看,探员可以看到下面巷子里的一块地方,那里的人行道最近被冲洗过。
华盛顿特区的大都会警察局提出向探员们展示一段该男子坠楼身亡的监控录像。他们礼貌地拒绝了。与此同时,底特律的海关和边境保护局证实,他们已经搜查了在机场从这名男子那里缴获的电脑——其中部分存储是加密的,但其他部分没有——并发现了儿童剥削视频,以及秘密录制的成人性爱视频。他们决定将这名男子作为目标的目的已经达到:他们的试验性案件得到了肯定的结果。
华盛顿的检察官们暂停了他们的工作,并承认该男子的死亡给他们带来了超现实的冲击——他们对一个横跨半个地球的网站的调查已经导致几个街区之外的人自杀。“这只是提醒我们,我们正在调查的问题有多严重,”Faruqui说。尽管如此,这群人还是一致同意:他们不能让自杀事件影响他们的工作。
“我们必须把重点放在这里的受害者身上,”Faruqui记得他们彼此说。“这提供了清晰的思路。”
Janczewski说,他更希望这名男子被逮捕和起诉。但此时,他已经被迫观看了一小时又一小时的儿童性侵视频。在这件案子的早期,他就把自己的情绪放在一边,对一个明显是购买这些材料的顾客而言他没有多少同情心。
他承认,如果他有什么感觉的话,那就是如释重负:他们还有数百名Welcome to Video的客户要追究。
Janczewski发现了一件让他震惊的事:在录像的某一处,视频中的女孩腰上系着一件红色法兰绒衬衫。摄影:Tabitha Soren
他们名单上的下一个人是高中副校长。几天后,Janczewski飞到乔治亚州,加入了由HSI探员组成的战术小组,展开搜索行动。这是他第一次在自己家乡与一名被指控的Welcome to Video客户面对面。
尽管他坚忍克己,但这第二个测试案例对Janczewski的影响比华盛顿的目标还要大。在这座整洁的砖砌两层楼房,父母在不同的房间接受询问。孩子们和Janczewski的孩子一样大,正在看米老鼠俱乐部的节目。当他站在亚特兰大郊外那所房子的入口处时,调查的全部代价冲击着他——他们名单上的每一个名字都是一个有人际关系的人,在许多情况下,是一个家庭。指控嫌疑人犯下如此不可饶恕的罪行也对他们的生活产生了不可逆转的影响。
Janczewski和HSI的探员在那所房子里待了很长时间,他们搜查了房子,询问了该男子,并扣押了他的设备进行分析。Faruqui说,除了这名男子为Welcome to Video的内容付费的证据外,这名男子还承认“不适当地触摸”了他所在学校的学生。这名男子后来被指控对未成年人进行性侵犯,但他不认罪。
至少对Janczewski来说,他第一次与仅基于加密货币追踪的嫌疑人对峙后,他最后的疑虑在几个小时内被打消了。“在一天结束的时候,我感到更加自信,”他说。“我们是对的。”区块链没有撒谎。
团队正在稳步地完成他们的“Welcome to Video 目标和测试案例”高优先级的简短列表。但在2017年12月,他们发现了一个不同的线索,这将再次扰乱他们的优先级。
在追踪Welcome to Video的财务记录时,调查人员一直在仔细地记录着该网站聊天页面的全部内容。在该页面上,用户仍在源源不断地发表评论。该网站似乎完全不受管理,在任何地方都看不到管理员的电子邮件。但Janczewski开始注意到,有一个账户重复发送的消息似乎提供了该网站最接近联系人的东西。它包含了Torbox,一个以隐私为中心的基于Tor的电子邮件服务上的一个地址。
这是网站的版主吗?甚至是管理员、网站的所有者、他们现在认为是Son Jong-woo的那个人?
在Janczewski试图破译这些信息背后的人时,他检查了Torbox地址中“@”前面的用户名,这是一个由6个字符组成的独特字符串,在检查它是否与Welcome to Video中的用户相匹配后,果然他发现有一个人用同样的用户名上传了一百多个视频。
在墙上,Janczewski注意到一张他在视频中看到的海报。他一时觉得自己好像穿过自己的电脑屏幕,掉进了恐怖电影的场景里。
Excygent的Aaron Bice在IRS-CI调查加密货币交易所期间,将Torbox的电子邮件地址与BTC-e的数据库进行比对以寻找线索。结果Bice发现了一个匹配信息:BTC-e上的一个账户是用一个包含相同的六个字符的独特字符串的电子邮件地址注册的。这不是Torbox的电子邮件地址,而是来自另一个专注于隐私的电子邮件服务公司Sigaint的邮件地址。
Janczewski知道,Torbox和Sigaint这两家本身都是暗网服务公司,它们不会回应要求获取用户信息的法律请求。但BTC-e的数据包括同一用户过去10次登录该交易所的IP地址。在10次登录中,有9次的IP地址被VPN或Tor掩盖。但在一次访问BTC-e时,该用户犯了一个错误:他们暴露了自己的实际家庭IP地址。“这打开了整扇大门,”Janczewski说。
一项追踪显示,该IP地址指向一个住宅互联网连接——这次不是在韩国,而是在德克萨斯州。是否存在第二个Welcome to Video管理员,而这个人在美国?Janczewski和Bice继续以越来越紧迫的态度,向互联网服务提供商索要用户的账户信息。
那是12月初的一个周五早上,当Janczewski收到传票的结果时,他正在IRS-CI办公室的桌子前喝咖啡。他打开电子邮件,找到了一个名字和一个家庭地址。这名男子是一名三十多岁的美国人,住在圣安东尼奥市外的一个小镇上。他不太可能与一名21岁的韩国人合作,在15个时区之外经营一家儿童剥削网站。但是,当Janczewski查到此人的就业情况时更加震惊。他是国土安全部的另一名工作人员,这次是一名边境巡逻人员。
Janczewski很快开始从他的社交媒体账户中收集有关这名探员的公开信息。他先是找到了这名男子妻子的Facebook页面,后来又找到了该男子本人的账户,他的名字是倒着写的,以掩盖其含义。Bice 还挖出了他的亚马逊页面,在那里他似乎对数百种产品留下了评论,并将其他产品列入了“愿望清单”,其中包括可以容纳数千兆字节视频的外部存储设备、隐藏式摄像机等。
最后,Janczewski带着一种令人毛骨悚然的恐惧感,看到这位边境巡逻人员的妻子有一个年幼的女儿,他在GoFundMe上创建了一个众筹页面,以筹集资金合法地收养这个女孩作为他的继女。“操,”Janczewski心想。“他上传过女儿的视频吗?”
Janczewski回头看了看Welcome to Video,看到了这个用户名上传的视频的一些缩略图显示了对一个与他女儿年龄相仿的年轻女孩的性侵犯。他意识到他现在有责任尽可能迅速地将这个边境巡逻人员与受害者分开。
接下来的10天里,Janczewski几乎没有离开他的办公桌。他会开车回家,和家人在弗吉尼亚州阿灵顿的小别墅里快速吃完晚饭,然后开车回办公室工作到很晚,经常打电话给Bice和Faruqui直到深夜。
Faruqui说:“你的时间很少是零和的。”“在我们不处理那个案子的每一刻,都可能有一个小女孩被强奸。”
Janczewski让他们的卧底HSI探员下载了德克萨斯探员上传的视频,然后他开始了一个接一个地观看这些视频的折磨人的过程。看了几段视频后,他发现在录像中,视频中的女孩在腰上系了一件红色法兰绒衬衫。他回头看了看那个女孩在GoFundMe主页上的照片,发现她也穿着同样的红色法兰绒衣服。
这个边境巡逻人员是Welcome to Video的管理员吗?还是版主?这并不重要。Janczewski现在相信他已经找到了一个活跃的儿童强奸犯的身份,这个人与他的受害者生活在一起,并一直在记录他的罪行,并与数千名其他用户分享他的罪行。这个德克萨斯人已经成为他们的头号目标。
在圣诞节前两周,也就是他确认了这名边境巡逻队人员身份的第10天,Janczewski与HSI的托马斯·塔姆西和他的团队中关注儿童剥削的检察官林赛·萨滕伯格一起飞往德克萨斯州南部。在一个凉爽、干燥的夜晚,在距离墨西哥边境约100英里的地方,塔姆西和一群德州警察在目标人物下班后开车回家时对他进行了跟踪,并将他拦下。他们与一群联邦调查局探员一起,将该男子带到附近的一家酒店进行审问。
该小组最初的高优先级嫌疑人名单终于被核对。他们可以转向他们的主要目标:Son Jong-woo。
与此同时,Janczewski和一群当地国土安全局的调查员进入该男子的房子,开始搜寻证据。Janczewski回忆说,这所两层楼的房子破旧凌乱不堪——除了该男子位于二楼的井然有序的家庭办公室,他们在那里找到了他的电脑。穿过办公室的走廊,他来到女孩的卧室,立刻认出这就是那个男人上传视频的地方。在墙上,他注意到一张他在录像中看到的海报,刹那间,他觉得自己好像透过自己的电脑屏幕掉进了恐怖片的场景。
国税局探员和检察官带来了一位有过儿童剥削经历的联邦调查局采访者,这位采访者将女孩与搜查她家的探员分开,并将她带到了一个更安全的地方。这个女孩最终向采访者详细讲述了她所遭受的虐待。
在对边境巡逻人员的家进行搜查后不久,Janczewski就来到了酒店房间,其他探员正在讯问他们的嫌疑人。他第一次看到了他在过去一周半中瞄准的目标。那人高大魁梧,仍然穿着制服,头发稀疏。Janczewski说,他最初拒绝谈论他可能犯下的任何身体虐待行为,但他最终承认拥有、分享并最终制作了儿童性侵视频。
Janczewski被这名男子描述自己行为的近乎冷静的方式所震惊。他把家里电脑的密码交给了审讯者,仍在家里的一名探员开始从机器上提取证据,并把它发给Janczewski。其中包括该男子在其硬盘上积累的每一个儿童性剥削视频的详细电子表格,而且从表面上看,这是在他自己家里拍摄的。
这名男子电脑上的另一个电子表格包含了一长串其他 Welcome to Video用户的登录凭证。在审讯中,该男子解释了他的计划:他会在网站的聊天页面上发布信息,假装成管理员,然后让上钩的用户把用户名和密码发给他,他就用这些用户名和密码登录他们的账户,并观看他们的视频。
这名边境巡逻人员根本就不是 Welcome to Video的管理员或版主,只是一个特别狡猾的访问者,愿意欺骗其他用户来满足自己的胃口。
在紧张的10天之后,他们确认并逮捕了另一名涉嫌虐待儿童的人,甚至救出了受害者。但是当Janczewski飞回华盛顿时,他知道Welcome to Video庞大的虐待网络仍然非常完整。在他们关闭网站之前,该网站将继续提供包括边境巡逻人员从德克萨斯州上传给和他一样的匿名消费者的视频。
04
2018年1月初,华盛顿特区调查人员从托马斯·塔姆西那里得到消息,他和团队逮捕了Welcome to Video的另一名联邦执法部门客户,即在他们的区块链追踪和传票中早早出现的HSI探员。尽管这第二名探员似乎与边境巡逻队探员的案件无关,但他也曾在德克萨斯州工作,距离他们刚刚突袭的那名男子的家不到一小时的路程。
除了这个可怕的巧合之外,HSI探员被捕的消息也意味着特区调查组的首要嫌疑人名单最终被核对了。他们可以转向他们的主要目标Son Jong-woo,以及由他控制的Welcome to Video服务器。
到2月,以韩国为重点的行动逐渐成型。在德克萨斯州的逮捕行动之前,Janczewski、Gambaryan、Faruqui和塔姆西已经飞往首尔,与韩国国家警察署会面。在当地HSI专员安排的晚宴上,KNPA的负责人亲自告诉塔姆西,美国人将得到他“最好的团队”的帮助。很快,他们就开始监视Son Jong-woo的行踪。他的家位于首尔以南两个半小时车程的忠南地区。
当时正值朝鲜半岛的隆冬时节,就在韩国平昌冬奥会举办一周后,美国探员再次抵达首尔。Gambaryan不得不留下来参加一个不合时宜的会议,该机构的负责人主动要求他发言。但Janczewski和Faruqui带来了Aaron Bice和一名韩裔美国人、计算机犯罪检察官Youli Lee。至此,围绕此案的国际力量也在不断壮大。英国国家犯罪署在Levin访问伦敦后就启动了对Welcome to Video的调查,并向首尔派出了两名探员,德国联邦警察也加入了该联盟。事实证明,德国人在得知国税局的调查之前就一直在独立追查该网站的管理员,但他们从未获得韩国国家警察的合作。
Faruqui记得,有一次当他们站在首尔一家酒店外的寒风中,一名德国官员问他,美国人是如何如此迅速地让韩国人加入进来的。“哦,章鱼男。”Faruqui解释道。“你没有章鱼男,但我们有。”
在首尔的头几天,抓捕小组在韩国国家警察局办公室反复开会讨论他们的计划。根据Gambaryan对IP地址的追踪,似乎表明该网站的服务器并不位于任何网络托管公司的数据中心,而是位于Son Jong-woo自己的公寓——一个大规模儿童性侵视频网络的证据中心就在他的家里。这让事情变得简单:他们将逮捕他,关闭他的网站,并利用这些证据对他进行定罪。该小组制定了一个计划,在星期一的清晨在他的公寓逮捕他。
然后,在前一个星期五,Janczewski感冒了。周末的大部分时间,他都和检察官Youli Lee呆在一起,茫然地在首尔的市场和商店间徘徊。周日晚上,他服用了一剂他希望相当于韩国版Nyquil的药物,打算睡上一觉,及时恢复体力,以便在逮捕时全力以赴。
就在这时,KNPA向队员们通报说计划发生了变化:Son Jong-woo出人意料地驱车前往首尔过周末。现在追踪他下落的团队认为,他已经开始深夜驱车返回位于城南的家。
如果警察能在当晚开车到Son的家,并在那里设卡,也许当他回来时,他们就可以在他家门口逮捕他。这样一来,他就不能销毁证据,或者自杀。Janczewski说:“我们不得不仓促行事。
那天晚上,Faruqui坚持让这群人在酒店大堂加油打气。然后他和Lee上楼去睡觉了。Janczewski因为吃了感冒药而半睡半醒,他从酒店房间里抱着一个枕头走进倾盆大雨中,与HSI联络员一起上了一辆车,开始了向南的漫长夜路。HSI的探员曾请求Janczewski驾驶车队中的另一辆车,而不让他队里的一位韩国老人开,他说,这位老人的驾驶技术是出了名的差。但Janczewski坚持说他服用的药量太大,无法在离家7000英里的国家的黑暗、潮湿的公路上行驶。
几个小时后,团队到达了Son公寓的停车场,开始了他们在雨中的漫长监视。当他们看到Son的车终于开进公寓的停车场时,已经是午夜过后了。
一群韩国探员一直在那里等着他。一名特别威严的警官带着一队便衣警察,在Son进入电梯时侧身进入他旁边的电梯。探员们默默地和他一起乘坐电梯上到Son所在的楼层,并在他离开时走了出来。就在他到达前门时,他们在没有任何反抗的情况下逮捕了他。
该服务器上有超过25万个视频,按数量计算,比历史上任何儿童性虐待材料案件的内容都要多。
在那次逮捕以及随后对Son公寓长达数小时的搜查中,Janczewski和其他外国人一直被困在雨中的停车场的汽车中。只有国家警察才有权对Son下手或进入他的家中。当韩国官员给年轻的Son Jong-woo戴上手铐时,他们询问他是否同意让Janczewski或任何美国人也进来。不出所料,Son拒绝了。因此,Janczewski只能通过FaceTime,在韩国探员搜查证据并扣押他的设备时,参观Son与他的离异父亲(即他们检查的第一张照片中手脏兮兮的那个人)共同居住的小而不显眼的公寓。
带着Janczewski四处参观的韩国探员最终把手机摄像头对准了放在Son卧室地板上的一台台式电脑上,那是一台外观廉价的塔式电脑,机箱在一侧打开。电脑的内部显示出Son似乎一个接一个地添加了硬盘,每个硬盘都装满了数兆字节的儿童剥削视频。
这就是Welcome to Video的服务器。
Janczewski回忆道:“我本来以为会有某种发光的、不祥的东西,结果就是这台笨重的电脑。真是太奇怪了。这台在世界范围内造成了巨大破坏的笨重电脑,就放在这个孩子的地板上。”
当他们看到Son的车终于开进大楼的停车场时,已经是午夜过后了。
插图:Hokyoung Kim
在返程途中,Janczewski明白了HSI联络员让他开另一辆车的确切原因。那位年长的HSI员工不知怎么的,在这个不眠之夜之后迷失了方向,在高速公路的出口匝道上拐错了路,险些发生撞车,这吓坏了他的乘客Aaron Bice。
在勉强躲过这场灾难之后,太阳开始升起,雨也停了下来,这群人在高速公路旁的一个停靠站停下车,吃了一顿泡面当早餐。Janczewski还生着病,精疲力竭,对这一切看起来多么虎头蛇尾感到震惊。他期待这一刻已经有六个多月了,但他没有感到欣喜。
没有击掌,没有庆祝。探员们回到他们的车里,继续长途跋涉返回首尔。
第二天,在终于睡了一觉之后,Janczewski开始明白他们是多么幸运。他从检查过Son Jong-woo电脑的分析师那里得知,Son并没有对他的服务器进行加密。所有的东西都在那里:Welcome to Video的所有内容,它的用户数据库,以及处理所有比特币交易的钱包。
现在他们可以看到视频收集的全部内容,其规模是惊人的。服务器上有超过25万个视频,按数量计算,比历史上任何一起儿童性虐待案件的内容都要多。当他们后来与国家失踪与受虐儿童中心(NCMEC)分享这些视频时,NCMEC发现其中45%的视频以前从未见过。该中心帮助编目、识别和删除互联网上的CSAM材料。Welcome to Video的独特性检查和对新鲜内容的奖励制度似乎已经达到了目的,引发了无数记录虐待儿童的新案件。
然而对调查人员来说,真正的奖励是该网站的用户信息。韩国国家警察给了美国团队一份Welcome to Video数据库的副本,他们在首尔的美国大使馆大楼里开始工作,在他们自己的机器上重建这些收集到的数据。与此同时,为了避免向网站用户泄露网站被关闭的消息,他们迅速在自己的服务器上建立了一个看起来像Welcome to Video的主页,使用从真实服务器上提取的私钥来接管其暗网地址。当用户访问该网站时,它现在只显示一条信息,说网站正在建设中,很快会“升级”回来,其中还模仿了Son的蹩脚英语拼写的错别字。
Bice花了两天时间埋头重建网站的用户数据,使之成为他们可以轻松查询的形式——Janczewski和Faruqui站在他身后,缠着他看系统是否已经准备好了。当Bice完成后,美国团队得到了该网站假名用户的完整目录,按照他们的Welcome to Video用户名列出。他们现在可以将他们最初在区块链上映射出的每一笔比特币支付与这些用户名联系起来,并准确查找每个用户上传或下载的内容。
到2月底美国人准备回家时,他们已经将加密货币交易所传票中去掉匿名的身份整合到一个可搜索的数据库中。它绘制了整个Welcome to Video网络,包括用户的真实姓名、照片,以及那些向该网站付款的用户的付款记录和这些客户购买的虐待儿童视频的具体内容。“你可以看到整个画面,”Janczewski说。“它就像一本字典、词库和维基百科的集合。”
在他们面前排列着的是Welcome to Video全球儿童剥削的完整结构,包括数百个消费者、收藏者、分享者、制作者和实际施虐者的详细资料。现在该案件的最后阶段可以开始了。
在接下来的几个星期里,科罗拉多州的托马斯·塔姆西团队开始向HSI探员、当地警察和世界各地的外国警察机构发送他们的Welcome to Video档案。这些“目标包”包括对嫌疑人的描述、他们的交易记录、他们收集到的关于他们的任何其他证据,以及关于比特币及其区块链如何运作的简短介绍。
这个案子的被告分布得太广,也太国际化,不适合同步的全球性打击行动。相反,搜索、逮捕和采访开始在全球范围内展开,优先考虑那些活跃的施虐者,然后是上传者,最后是下载者。慢慢地,随着Welcome to Video的用户一一被揪出,DC团队开始听到关于他们工作结果的反馈——结果令人痛心,有时令人欣慰,但往往是悲惨的。
如果不是因为加密货币,以及由于其所谓的不可追踪性而设置的长达数年的陷阱,这起案件中被捕的337名恋童癖者以及获救的受害者可能永远都不会被发现。
一名堪萨斯州的IT工作者在探员到达之前,已经删除了他电脑上所有的虐童视频。当他们发现他的妻子在家中经营一家婴幼儿日托所时,他们把逮捕他列为了首要任务。检察官表示,当电脑存储中的残余文件与Welcome to Video服务器上的记录相匹配时,他供认了罪行。
华盛顿特区的一名惯犯在HSI小组进入他家时试图自杀;他躲在浴室里割断了自己的喉咙。其中一名逮捕人员恰好接受过陆军军医培训。他设法止住了血,让那个人活了下来。后来,他们在他的电脑上发现了45万个小时的虐童视频——包括边境巡逻人员上传的德克萨斯州女孩的视频。
几个月过去了,各种各样肮脏、悲伤和骇人听闻的故事不断堆积。一位70多岁的老人上传了80多部虐童视频。一名20岁出头的男子患有创伤性脑损伤,他服用的药物提高了他的性欲,降低了他的冲动控制能力,他被认为与他所目睹的受虐儿童具有相同的认知发展水平。新泽西州一名男子的通讯记录在通过搜查令被披露时,似乎显示了他正在谈判购买一个孩子以供自己进行性剥削。
托马斯·塔姆西作为负责此案的HSI探员,比其他人协调了更多的Welcome to Video逮捕行动,以至于这些行动变得模糊起来,只有最令人震惊的时刻仍清晰地留在他的脑海中。他在地下室发现了那个几乎全裸的被告,这名嫌疑人告诉他,他曾参加过童子军,而且“孩子们总是被他吸引”。受害者的父母强烈否认他们的朋友可能做了塔姆西描述的那些事情,当塔姆西把经过编辑的截图打印出来的时候,他们的脸变白了。
这些案件横跨全球,远远超出了美国的范围。在捷克共和国、西班牙、巴西、爱尔兰、法国和加拿大,数十名Welcome to Video用户被逮捕。在英国,整个案件始于一名探员向Levin提供的线索,该国的国家犯罪署逮捕了一名26岁的男子,他涉嫌虐待两名儿童,并向该网站上传了6000多份文件。在另一个国际案件中,一名匈牙利驻秘鲁大使从Welcome to Video网站下载了内容,结果发现他的电脑上有超过19000张CSAM图片。他被悄悄地从南美的职位上撤职,被带到匈牙利并受到指控;他最终认罪。
对于DC团队来说,许多国际案件落入了某种黑洞:一位沙特阿拉伯的Welcome to Video用户回到了自己的国家后,被该国的执法部门抓获。Faruqui和Janzewski说,他们从来没有听说过这个人的下场;他被交给了沙特自己的司法系统,该系统对一些性犯罪者处以基于伊斯兰教法的鞭打甚至斩首的惩罚。当探员搜查一名居住在西雅图附近、在亚马逊工作的中国人的汽车时,他们发现了一只泰迪熊,以及该地区游乐场的地图,尽管这名男子自己没有孩子。这名男子随后逃到了中国,据检察官所知,他再也没有被找到。
在该小组发出的数百份情报包中,每一个都列出了Chris·Janczewski的联系方式,如果有任何问题,可以拨打这个电话。Janczewski发现自己一遍又一遍地向HSI探员和美国乃至世界各地的当地警察解释区块链及其在此案中的核心作用,其中许多人甚至从未听说过比特币或暗网。Janczewski说:“你收到一条线索,上面写着,‘这是一个网站,这是一笔有趣的互联网资金。’”他想象着那些接收情报的人一定看到了这条线索,“现在你需要去逮捕这个家伙,因为某个书呆子会计这么说了。”
Janczewski总共去了6个国家,和50多个不同的人谈话,以帮助解释这个案件,每次交谈往往要进行多次——包括一个美国检察官和探员团队,他和他们进行了20多次谈话。负责监督重建服务器数据的Bice说,他和更多的探员和官员交谈过——据他统计,已经超过了100人。
最终,从案件开始到服务器被查封后的一年半,全球执法部门因参与Welcome to Video而逮捕了不少于337人。他们还将23名儿童从性剥削环境中解救出来。
这337名被逮捕的用户仍然只是Welcome to Video总注册用户的一小部分。当美国团队检查他们在韩国的服务器数据副本时,他们发现该网站上有数千个账户。但他们中的绝大多数人从未向网站的钱包中支付过任何比特币。由于没有资金可追踪,调查人员的线索通常会消失。
换句话说,如果不是因为加密货币,以及它所谓的不可追踪性所设下的长达数年的陷阱,在Welcome to Video案件中被捕的337名恋童癖者以及获救的受害者中的大多数可能永远都不会被发现。
05
美国国税局和华盛顿特区的美国检察官办公室采取了一种前所未有的方法,将一宗大规模的儿童性侵材料案件作为一项金融调查来处理,而且它取得了成功。在他们所有的调查工作中,比特币的区块链一直是他们的指路明灯,引导他们完成了一个里程碑式的案件。Faruqui认为,如果没有加密货币的追踪,他们将永远无法找到并识别出该网站的这么多用户。
“那是穿过黑暗的唯一途径,”他说。
然而,把洗钱调查人员扔进互联网的CSAM污水坑的最深处,却付出了代价。几乎每个团队成员都有自己的孩子,几乎所有人都表示,由于他们的工作,他们对这些孩子的保护程度大大提高,以至于他们对家人周围人的信任严重受损。
Janczewski在案件发生后从华盛顿搬到了密歇根州的大急流城,他不让自己的孩子自己骑自行车上学,而他自己小时候也这么做。即使是看似无辜的互动——比如一位友好的家长主动提出在游泳池的另一端照看他的孩子——现在也会在他的脑海中触发红色警报。Youli Lee说,她不会让自己9岁和12岁的孩子自己去公共厕所。她也不会允许孩子们去朋友家玩,除非朋友家的父母有最高机密的安全审查。
Faruqui说,他在调查过程中观看了15个左右的视频,这些视频在他的脑海中留下了“不可磨灭的印记”,并永久地提高了他对世界给孩子带来的危险的认识。他说,他和妻子就自己的过度保护倾向发生了争执。“你总是看到人性最坏的一面,所以你失去了洞察力,”他引用妻子对他说的话。“我说,‘你缺乏远见,因为你不知道外面有什么。’”
Gambaryan的妻子Yuki说,Welcome to Video一案是她那身经百战、出生于苏联的丈夫唯一一次与她讨论一个案件,并承认这让他意识到自己在情感上与之斗争。Gambaryan说,尤其是参与该网站虐待的社会阶层的广度,至今仍困扰着他。
“我看到每个人都能做到这一点:医生、校长、执法人员,”他反思道。“不管你怎么称呼它,邪恶,或者随便它是什么:它存在于每个人身上——或者它可以存在于任何人身上。”
2020年7月初,Son Jong-woo身穿黑色长袖T恤,拎着一个装着自己物品的绿色塑料袋走出了首尔的一所监狱。由于韩国对儿童性虐待的法律过于宽松,他只被判了18个月的有期徒刑。
包括Faruqui在内的美国检察官主张应将他引渡到美国,在美国司法系统中面对指控,但韩国拒绝了他们的要求。Welcome to Video的创建者和管理员获得了自由。
负责Welcome to Video一案的华盛顿团队仍然对Son因运营史上最大的儿童性侵材料网站而获得的令人困惑的轻判深感不满。但Janczewski说,韩国社会对此案的强烈反响让他感到欣慰。Son被迅速释放后,该国社交媒体上爆发了愤怒。超过40万人签署了请愿书,阻止负责该案件的法官被考虑在该国最高法院任职。一名韩国议员提出了允许引渡判决上诉的法案,韩国国会还提出了加强对网上性虐待和下载儿童性虐待资料惩罚的新法案。
与此同时,在美国,此案的连锁反应持续了多年。Janczewski、Bice和Suttenberg说,他们仍然会接到执法官员根据他们收集的线索打来的电话。在华盛顿调查人员的第一个测试案例——即自杀的前国会工作人员——的电脑上,他们在一个加密货币交易账户中发现了他也曾向另一个暗网性材料来源支付过费用。他们追踪这些钱到一个名为Dark scandal的网站,结果发现这是一个规模较小但同样令人不安的暗网性虐待记录库。
Janczewski、Gambaryan和同一组检察官在Welcome to Video调查的尾声跟进了Dark scandal一案,类似地,跟踪区块链可以追踪该网站的现金流出。在荷兰国家警察的帮助下,他们逮捕了该网站在荷兰的所谓管理员,一名名叫Michael Rahim Mohammad的男子,他的网名是“Mr. Dark”。他在美国面临刑事指控,案件仍在审理中。
从Welcome to Video中以洗钱为重点的探员和检察官的角度来看,本案最有趣的连锁反应可能来自于他们在德克萨斯州逮捕的HSI探员的命运,就在他们前往韩国进行网站捣毁之前。这名德克萨斯男子采取了一种罕见的法律辩护方式:他承认拥有儿童性侵材料,但他也对自己的定罪提出上诉。他认为他的案子应该被驳回,因为美国国税局探员在没有搜查令的情况下追踪他的比特币付款,从而确认了他的身份。他声称这侵犯了他的第四修正案隐私权,是违宪的“搜查”。
一个上诉法官小组审议了这一论点并予以驳回。在一份长达九页的意见书中,他们解释了自己的裁决,树立了一个先例,清楚地阐明了他们认定比特币的交易离隐私有多远。
“每个比特币用户都可以访问公共比特币区块链,可以看到每个比特币地址和相应的转账。由于这种公开性,可以通过分析区块链来确定比特币地址所有者的身份。”“这并不是对宪法保护区域的侵犯,因为区块链上的信息不存在宪法隐私利益。”
美国司法系统长期以来一直认为,只有当搜索进入被告有“合理的隐私预期”的领域时,才需要有搜查令。法官的裁决认为,在本案中不应该存在这样的预期。这位HSI探员并不是因为国税局探员侵犯了他的隐私而在Welcome to Video的围网中被抓。法官的结论是,他之所以被抓,是因为他错误地认为自己的比特币交易一开始就是隐私的。
摄影:JOOEUN BAE
Chris Janczewski表示,直到2019年10月,Welcome to Video案件终于被公开宣布,并在网站主页上发布了扣押通知的那天,他才感受到该案件的全部影响。那天早上,Janczewski意外地接到了国税局局长Charles Rettig打来的电话。
Rettig告诉Janczewski,这个案子是“这一代的阿尔·卡彭”——也许这是IRS-CI内部能给予的最高褒奖,卡彭因逃税而被逮捕的故事几乎是神话般的存在。
同一天,司法部召开新闻发布会宣布调查结果。美国律师Jessie Liu向一群记者发表了演讲,讲述了这起案件的意义——追踪资金如何让探员们战胜了“可以想象的最糟糕的邪恶形式之一”。
Chainalysis的Jonathan Levin坐在观众席上。之后,一位名叫Greg Monahan的国税局官员,也就是Gambaryan和Janczewski的主管走过来感谢Levin在此案中所发挥的作用。毕竟,这一切都始于Levin在曼谷机场向两个无聊的国税局探员提供的情报。Monahan告诉Levin,这是他职业生涯中最重要的一次调查,他现在可以退休了,因为他知道自己曾从事过真正有价值的工作。
Levin握了握国税局主管的手。当时,他和Monahan都不知道接下来还会有哪些案件发生:IRS-CI和Chainalysis将联手打击朝鲜黑客、恐怖主义融资活动,以及世界上最大的两个比特币洗钱服务。他们将追查近7万枚从丝绸之路被盗的比特币,以及另外12万枚从Bitfinex交易所被盗的比特币,以今天的汇率计算,总价值超过75亿美元,这是司法部历史上最大的金融扣押——无论是加密货币还是其他形式的。
但在回答Monahan的问题时,Levin再次想到了区块链的大量证据:无数有待侦破的案件,永久保存在琥珀中的数百万加密货币交易,以及它向任何准备挖掘它们的调查人员展示的犯罪取证的黄金时代。
Levin说:“还有很多事情要做。”“我们才刚刚开始。”
相关参考
炒币不如屯币(血染比特币:马斯克割韭菜的样子,像极了当年的李笑来?)
撰文/陈邓新编辑/高智比特币,似乎有撑不住的迹象。2021年5月19日,比特币兑美元的价格暴跌,非但跌破4万美元大关,更是击穿30周线,创了近三个月的新低,也打开了进一步下跌的空间。更为糟糕的是,虚拟货币整体价格雪崩...
炒币不如屯币(血染比特币:马斯克割韭菜的样子,像极了当年的李笑来?)
撰文/陈邓新编辑/高智比特币,似乎有撑不住的迹象。2021年5月19日,比特币兑美元的价格暴跌,非但跌破4万美元大关,更是击穿30周线,创了近三个月的新低,也打开了进一步下跌的空间。更为糟糕的是,虚拟货币整体价格雪崩...
...一夜暴富,也能让暴富者从天堂跌入泥潭。5月以来,以比特币、以太坊为主的加密货币进入了“下跌周期”,比特币价格目前已跌破20000美元,较今年高峰时期价格腰斩一半,跟2021年历史最高点相比,也缩水近2/3。受此影响,...
...一夜暴富,也能让暴富者从天堂跌入泥潭。5月以来,以比特币、以太坊为主的加密货币进入了“下跌周期”,比特币价格目前已跌破20000美元,较今年高峰时期价格腰斩一半,跟2021年历史最高点相比,也缩水近2/3。受此影响,...
...切,手中有币,心中无币。自2009年创世区块诞生以来,比特币已经走过了十个年头。比特币历经艰难险阻,从一文不值到价值万刀,始终以最耀眼的方式吸引着全世界的注意力,以最颠覆的理念震撼着经济动荡中的芸芸众生。...
比特币还能炒吗(比特币不是法定货币,虚拟货币交易在中国属于非法金融,被打击)
大家好,我是小白自媒体人,请点击关注。这段时间比特币等主流虚拟货币暴跌,不知道又有多少炒币玩家爆仓。比特币是虚拟货币的一种,是虚拟货币中的巨无霸,被有的人称为软黄金,这段时间比特币暴跌,不少炒币的玩家...
怎样炒比特币才能赚钱(挖比特币容易吗?从设置钱包到开采,三个步骤教你成为一名矿工)
比特币价值连年攀升,很多人只知道比特币,但却不知道去哪里挖,该如何去挖,其实这个很简单,重要的不是方法,而是价值连城的设备,本篇文章将教会大家将如何去挖比特币。设置比特币钱包如果你刚刚入门,请下载软...
怎么能赚到比特币(比特币“造富运动”:我500元入场、2小时成百万富翁)
比特币,这个产生不过12年的币种,正变得让人越来越疯狂。它是第一个加密的数字货币,2008年,极客中本聪提出了这一概念,2009年1月3日正式发行。它具备货币的基本属性:能交易,能储蓄,同时能作为一种价值尺度而存在。...
...庭的案子。一个是2017年初,一位王先生在火币网上投资比特币亏了40多万,他把火币网告上了法庭,最终被驳回请求。一个是2018年初,一位高女士投资“蒂克币”亏了3万多而闹上法庭,法院也称“虚拟货币是不合法物,不受法...
...庭的案子。一个是2017年初,一位王先生在火币网上投资比特币亏了40多万,他把火币网告上了法庭,最终被驳回请求。一个是2018年初,一位高女士投资“蒂克币”亏了3万多而闹上法庭,法院也称“虚拟货币是不合法物,不受法...