Lapsipornon ostajien tilien jäädytys

Yleistä

Tätä sivua ylläpitää Matti Nikki <muzzy@iki.fi>, tarkoituksena osallistua keskusteluun lapsipornon suodatuksesta internetissä ja siihen liittyviin ongelmiin.

"Pedofiilien luottokortit kuivumaan"

Iltalehden mukaan Hollannin oikeusministeri tahtoo jäädyttää lapsipornon ostajien tilit. Ajatuksessa on paljon ongelmia, se on käytännössä vaikea toteuttaa ja koko idea suorastaan vaarallinen. Tarkoitus olisi tehdä jäädytys ilman tuomioistuimen päätöstä [dutchnews.nl] aivan kuten Internet-suodatuksen kanssa tehdään. Rahavuohon puuttuminen on kuitenkin todennäköisesti yksi niistä harvoista toimivista tavoista puuttua kaupalliseen lapsipornoon, joten ei ammuta tätä ihan heti alas. Toteutuessaankin pulmia olisi kuitenkin ratkottavana ihan siitä lähtien miten saadaan selville ostajat, erityisesti jos oletetaan että lapsipornoteollisuus käy vastatoimiin vaikeuttaakseen selvitystyötä.

Lapsipornon myyjät tuppaavat ottamaan vastaan rahat esim. paypalilla, western unionilla, webmoneyllä ja monia lapsipornoteollisuuden käyttöön soveltuvia vaihtoehtoja löytyy verkkomaksamiselle. Työsaraa on siis paljon, yhteistyötä pitäisi tehdä kymmenien maksupalvelujen eikä pelkästään pankkien kanssa. Mikäli vain luottokortteihin kohdistetaan näitä toimia, anonyymimmät maksumuodot yleistyvät myyjien keskuudessa vaikeuttaen entisestään rikostutkintaa. Lisäksi Internet-rikollisuuden yleisen kehittymisen myötä kehittyvät myös laittomiin palveluihin keskittyvät maksupalvelut, jotka saattavat hallinnoida itse kymmeniä peitetilejä johon ottavat maksut vastaan ja välittävät rahat eteenpäin lapsipornosivustojen ylläpitäjille muuta kautta. Näissä maksupalveluissa eri asiakkaat ohjataan maksamaan eri tileille, ja maksujen jäljille pääsee helposti vain kymmenillä valeostoilla pitkän ajan yli, tietomurrolla laittomaan maksujärjestelmään tai maksujärjestelmän virheitä muuten hyväksikäyttäen.

Jäädytyksen tarkoitus

Ajatus tilien jäädytyksen takana olisi ilmeisesti se, että lapsipornon ostaja ei voisi ostaa lisää lapsipornoa. Mikäli ostajan henkilöllisyys kuitenkin tiedetään ja on todisteet siitä että lapsipornoa on ostettu, luulisi että kutsu kuulusteluihin tai puhelinsoitto luottokorttifirmalta ajaisi saman asian. Harvempi jatkaa ostamista jäätyään kiinni, tai jos jatkaisi niin todennäköisesti avaisi uuden tilin muualla. Aina on tietysti sekin vaihtoehto että ostot on tehty varastetuilla korttitiedoilla, mutta tähän voidaan ymmärtääkseni puuttua jo muutenkin eikä erityiskäytäntöjä tarvita lapsipornon takia.

Erityisen hankalaksi tilin jäädyttämiseksi kuitenkin tekee idea siitä että jäädytys tehtäisiin ennen tuomiota, ja ilman tuomioistuimen päätöstä ja yksin poliisin harkinnasta. Käytäntö olisi siis sama kuin Internet-sensuurin kanssa, poliisi ottaisi tuomarin roolin. Voisiko jäädytyksestä tällöin edes valittaa? Jäisikö kortti jäihin myös tuomion langettamisen jälkeen, ja kiellettäisiinkö tuomitulta uuden kortin hankkiminen? Ideana taitaa olla sama kuin Internet-sensuurissa, halutaan ohittaa raskas oikeuslaitos ja aikaansaada "tuloksia" ilman raskasta oikeusjärjestelmää. Syyllinen kunnes toisin todistetaan.

Kaikenkaikkiaan luulisi että tarkoituksenomaisempaa olisi jäädyttää lapsipornon myyjän tilit. Jos kerran on olemassa todisteet ostotapahtumasta, pitäisi olla tiedossa myös rahan vastaanottanut taho...

Ostajatietojen selvittäminen

Valeostot

Suoraviivaisin tapa selvittää ostajia olisi ostaa lapsipornoa ja seurata rahaa, sen jälkeen ottaa selville ketkä kaikki ovat maksaneet samalle tilille ja tutkia tästä eteenpäin. Joissain tapauksissa valeostoa ei edes tarvita, jos kohdetili selviää ilman että myyjälle antaa mitään tietoja. Jokatapauksessa tämä lähestysmitapa vaatisi että pankki luovuttaisi poliisin käyttöön tietoja tilisiirroista tai mahdollisuuden tehdä hakuja maksutapahtumiin. Ymmärtääkseni tämänlaista kehitystä on jo tapahtumassa.

Laittoman maksupalvelun suunnitteluvirheet

Palvelujen suunnitteluvirheiden avulla olisi teoriassa mahdollista selvittää ostajia. Esimerkiksi yksi kaupallisen lapsipornon maksupalvelu sisältää asiakastuen jolla saa unohtuneen salasanan takaisin, jos muistaa asiakasnumeronsa ja luottokortin neljä viimeistä numeroa. Se on kuitenkin suunniteltu väärin, ja asiakasnumeron annettua se kertoo ostopäivän kellonaikoineen, tililtä velotetun summan, ja luottokortin kaikki numerot neljää viimeistä lukuunottamatta. Luottokortin alusta selviää maa ja pankki, ja koska viimeinen numero on tarkistussumma jäisi siivilöitäväksi vain tuhat asiakasta. Näistä todennäköisesti vain yksi on tehnyt annettuna päivänä annetun suuruisen tilisiirron, joten teoriassa rahaa pääsisi seuraamaan. Ehkä poliisilla pitäisi olla mahdollisuus hakea tuomioistuimelta lupa tälläisiin hakuihin? Pankkitietoja kai säilytetään kuitenkin aika pitkään, joten tuomioistuimen käyttö ei hidastaisi merkittävästi. Lapsipornon myyjien järjestelmien suunnitteluvirheisiin perustuva tutkinta on kuitenkin loppupelissä lyhytnäköistä, ja maksuvälittäjä korjaa tiedot pois näkyviltä heti kun tajuaa että viranomaiset niitä tonkivat.

Palvelintakavarikko

Yksi skenaario on että poliisi saa tiedot ostajista takavarikoidessaan kaupallisen lapsipornon myyntiin tarkoitetun palvelimen. Tähän myyjät ovat kuitenkin jo varautuneet, ja maksupalveluja on hajautettu. Tutkimassani maksupalvelussa oli kymmeniä sivuja joilla sai maksaa, kaikki eri palvelimilla. Järjestelmä oli siis hajautettu niin että tietokanta oli eri paikassa kuin maksusivut, hankaloittaen viranomaistoimien eli palvelimien takavarikon kohdistamista. Tietokantapalvelimen osoite löytyy vasta kun jonkin maksupalvelimen takavarikoi, ja tietokantapalvelin voi olla itsessään bounce-palvelin, joka ohjaa kaiken liikenteen eteenpäin muualle. Koska takavarikoissa voi kestää kuukausia, kolmen takavarikon tekeminen ennen tietokantapalvelimen löytymistä todennäköisesti tarkoittaa että se ehtii vaihtaa osoitettaan. Yksi mahdollisuus olisi tietysti tehdä tietomurto tietokantaa vastaan samalla yhteystavalla kuin mitä maksusivu käyttää itse tietokannan kanssa kommunikointiin. Tällöin tarvittaisiin vain yhden maksupalvelimen takavarikointi ja osaava hakkeri rakentamaan hyökkäys ennenkuin tietokantapalvelinta ehditään siirtää.

Lapsipornoteollisuuden vastatoimet

Lapsipornon myynnille on olemassa tähän nimenomaiseen tehtävään omistautuneita maksuvälittäjiä, jotka voisivat halutessaan tehdä äärimmäisen hankalaksi ostajien selvittämisen. Tällähetkellä niiden pääasiallinen tarkoitus on rahanpesu ja myyjien piilottaminen, mutta ostajien turvallisuudesta aletaan varmasti huolehtia enemmän mikäli ostajat rupeavat jäämään kiinni ja rahantulo heikkenee.

Varastettuja pankkitilien tietoja voi ostaa ja näille on olemassa markkinat. Usein tässä yhteydessä puhutaan vain rahan varastamisesta, mutta tyhjätkin tilit ovat arvokkaita rahanpesussa ja maksujen vastaanotossa. Lapsipornon myyjät voisivat ostaa halvalla satoja tilejä, joita sitten käyttävät rahan vastaanottamiseen ja siirtelyyn. Nykyäänkin tietojeni mukaan lapsipornon myyjät käyttävät kymmeniä tilejä, eikä mitään uutta tekniikkaa tarvita useamman tilin käyttöönottoon.

Lapsipornon maksupalvelut koittavat naamioida itsensä laillisiksi maksupalveluiksi välttääkseen yllätyksellisiä takavarikkoja. Viranomaiset kuitenkin todennäköisemmin kysyvät ensin saadakseen tietoja, jolloin laittoman palvelun ylläpitäjä saa ennakkovaroituksen. Eräskin löytämäni lapsipornon maksupalvelu oli ilmeisesti ollut olemassa yli 5 vuotta kunnes välitin todisteet ulkomaisille viranomaisille että palvelu oli yksinomaan lapsipornon myyntiä varten olemassa. Ai mitenkö selvitin? Skannasin läpi jokaisen tuotenumeron mitä heillä oli myynnissä ja otin talteen myytävien palvelujen nimet. Tämä puhui selvästi sen puolesta että maksuvälittäjä oli olemassa nimenomaan vain ja ainoastaan lapsipornon myyntiä varten. Tämmöisessä skannauksessa ei taida olla mitään laitonta ja poliisikin olisi niin voinut tehdä, jos olisi vain tajunnut ja osannut.

Luottokortit eivät myöskään ole ainoa tapa maksaa netissä, ja huhujen mukaan webmoney, e-gold, pecunix ja fethard ovat erityisen suosittuja lapsipornon ja muiden laittomien asioiden myyjien keskuudessa. Ilmeisesti nämä eivät aina tarkista tilin luojien henkilöllisyyttä joten tilejä voi luoda kuka tahansa, ja rahaa voi nostaa käteisenä lähes anonyymisti jossain rahaoperaattorin toimipisteissä. Rahanpesu on siis poikkeuksellisen helppoa, jonka lisäksi maksuja on hankalampi seurata. Mikäli syystä tai toisesta luottokorteilla maksaminen ei enää toimi lapsipornon ostamisessa, myyjät voivat koska tahansa ruveta tarjoamaan materiaalia digitaalista rahaa [wikipedia.org] vastaan, jotkut myyjät jo tekevät näin. Ostajalle voi olla pienehkö kynnys luoda tili tämmöiseen palveluun, muttei mitenkään ylitsepääsemätöntä.

Loppusanat

Lapsipornon ostajien ja myyjien jäljittäminen Internetissä on vaikeaa. Poliisille ollaan haluamassa lisää valtuuksia, ja olettaisin että tilien jäädytys on vain eräänlainen tekosyy kun oikeasti haluttaisiin lisävaltuuksia jäljittää lapsipornon ostajia. Esitettyä jäädytystä kun ei voida tehdä ilman että poliisille myönnettäisiin samalla läjä muita valtuuksia ostajien löytämiseen. Nämä valtuudet kattaisivatkin sitten tuomioistuimen ohitse menevän mahdollisuuden saada ihmisistä pankkitietoja, hakuja maksutapahtumiin, jne. Näitä sitten haluttaisiin varmastikin käyttää muuhunkin rikostutkintaan eikä vain lapsipornotapauksiin, joten on erityisen vaarallista mikäli tämä kehitys tapahtuu ilman tiukkaa ja tasapainoista lainsäädäntöä.

Pelkään hieman että Hollannin ministerin ideana on tehdä vapaaehtoisiin sopimuksiin perustuva tiedonantojärjestelmä, enkä ihmettelisi vaikka tämän lisäksi uhka pakottavasta lainsäädännöstä odottaisi nurkan takana. Tämmöiset järjestelmät eivät kuitenkaan toimi hyvin elleivät ne ole laajoja ja koko maailmaa kattavia, joten eiköhän tätä kohta Suomessakin ehdoteta. Tällöin tulee pitää huoli ettei Internet-sensuurista tuttuja virheitä toisteta. Poliisi ei saa olla tuomari!

Toisaalta minun täytyy myöntää, että tiedän kansainvälisillä viranomaisilla olevan kaiken aikaa hallussaan tiedot tuhansista luottokorteista joilla on ilmeisesti ostettu lapsipornoa, muttei resursseja tehdä asialle mitään. Näiden korttien jäädytys jo esitutkinnan alussa olisi kuitenkin täysin järjetöntä ja lähtee siitä olettamasta että mitään ei muuten tule tapahtumaan kuukausiin. Poliisille tulisi mieluummin myöntää riittävät resurssit rikostutkintaan, että tunnetut lapsipornon ostotapaukset saataisiin tutkittua ja jutut oikeuden eteen. Oikeusjärjestelmän poistaminen kuvasta ei ole ratkaisu itse ongelmaan, vaan epätoivoinen ja lyhytnäköinen yritys puuttua resurssipulan seurauksiin.