VG har avslørt verdens største overgreps­forum.
Det ble drevet av politiet.

I dypeste hemmelighet ble verdens største nettforum for seksuelle overgrep mot barn flyttet til den andre siden av kloden.
Ingen skulle vite hvem som drev nettstedet videre.
Saken - kort fortalt
Les hele historien under
24. januar 2017
Brisbane – Australia

Begge mennene stivner til da VG konfronterer dem.

– Du må gjerne publisere det du vet om oss nå, hvis du mener det er rett. Men da må du være forberedt på konsekvensene, svarer Jon.

Ved siden av ham i en burgerbar i Brisbane sitter Paul.

VG har nettopp fortalt dem hva vi har avslørt. At det er de to som driver verdens største nettforum for overgrep mot barn.

Jon, australieren, blir blek. Paul, briten, rødmer så han blir lilla.

Det er januar 2017. På dette tidspunktet har de to drevet nettstedet Childs Play i tre måneder. Under deres ledelse har tusenvis av medlemmer delt bilder og filmer av barn som misbrukes. Et norsk medlem har skrytt av overgrep han har gjort i egen familie. Noen medlemmer har møttes fysisk, for å begå overgrep som de har filmet og delt på forumet.

«Det mørke nettet»

En del av internett hvor trafikken mellom deg og nettsidene du besøker krypteres på en slik måte at det ikke skal være mulig for utenforstående å identifisere deg. Dette gjør det til et egnet sted for personer som vil holde seg unna lovens håndhevere, enten det er av frykt for sensur eller fengsel.

The Onion Router
Det mest brukte av nettverkene på det mørke nettet er The Onion Router eller TOR, med omkring 30.000 nett-tjenester. Nettverket består av en rekke «noder», eller datamaskiner som er stilt opp for å motta, dekryptere og videresende beskjeder mellom brukere og nettsider på Tor.

Beskjed pakkes inn
All kommunikasjon i nettverket er kryptert. The Onion Router har fått navnet sitt fordi krypteringen har skall, som en løk. Når du vil sende en beskjed til en annen maskin på TOR-nettverket, pakkes beskjeden din inn i flere lag.

Pakken sendes
Deretter sendes pakken fra deg til en node. Hver node dekrypterer ett lag av løken, som gir noden beskjed om hvor pakken skal sendes videre. Hver node vet ingenting om pakken den mottar, annet enn hvilken node den kom fra og hvilken node den skal sendes til.

Kryperingslagene åpnes
Den krypterte beskjeden sendes til enda en node, og enda en. Hos hver node pakkes ett nytt kryptert lag av beskjeden din opp, inntil den når mottakeren.

Beskjed mottas
Når mottakeren får beskjeden er den ferdig utpakket. Slik skal det være nesten umulig å vite hvem som er avsender av en kryptert beskjed, eller hvem som besøker et nettsted.

At Jon og Paul skifter ansiktsfarge, er naturlig. Ingen skulle kunne oppdage dem. Nettstedet ligger på det såkalte «mørke nettet». Krypteringen skulle holdt både serveren og bakmennene skjult. Men nå har VG avdekket hvor i verden og fra hvilken datamaskin forumet blir drevet.

Jon og Paul er avslørt. De er ikke forbrytere. De jobber for australsk politis spydspiss på det mørke nettet, Task Force Argos. Jon Rouse leder enheten. Etterforsker Paul Griffiths driver flere av operasjonene. VG kan i dag avsløre at Task Force Argos i nesten ett år har infiltrert overgriperne på det mørke nettet – og at politienheten selv har delt bilder av seksuelle overgrep mot barn.

Jon Rouse, detective inspector og Paul Griffiths etterforsker (til venstre).
Jon Rouse, detective inspector og Paul Griffiths etterforsker (til venstre). Foto: Tore Kristiansen, VG

Hvor langt kan politiet gå i kampen for det gode? Hvor mye galt kan etterforskere gjøre for rettferdighetens skyld? Undercover-aksjonen i Australia, med navnet «Operasjon Artemis», har vært en del av en omfattende, internasjonal politioperasjon.

VG har kjent til operasjonen siden januar i år, og fulgt den tett, dels ved å overvåke trafikk på det mørke nettet, dels ved å hente inn informasjon fra politi, rettsinstanser og andre kilder verden over. Da VGs dataekspert Einar Otto Stangvik, som sto bak reportasjeserien «Nedlasterne», begynte å etterforske nettstedet og dets nordiske medlemmer høsten 2016, ante vi ikke at vi skulle avsløre en hemmelig politioperasjon.

Først i dag kan vi fortelle historien om hvordan Task Force Argos, USAs Homeland Investigations og kanadisk og europeisk politi arbeidet for avdekke lederne av nettets største overgrepsmiljø.

Fra første stund har «Operasjon Artemis» hatt ett klart mål: Å identifisere ofre og overgripere. Men behøvde politiet å drive overgrepsforumet i ett år for å få til det?

I USA gråter en mor da hun får høre at VG har funnet overgrepsbildene av hennes datter på nettstedet som politiet har driftet.

– Min datter skal ikke brukes som agn. Hvis bildene av henne deles på nettstedet politiet driver, burde hun bli betalt eller få kompensasjon for bruken. Det er ikke riktig at politiet skal promotere disse bildene, sier moren.

Også bilder av norske barn er delt i samme tidsrom.

Politiet avviser at de er ansvarlige for hva som ble delt på Childs Play gjennom året de drev det.

– Vi lager ikke disse nettstedene. Vi ønsker ikke at de skal finnes. Når vi finner dem, infiltrerer vi dem og kommer så høyt som mulig i nettverkets administrative hierarki, for å ødelegge det. Men vi kommer aldri til å selv skape et forum for overgripere, sier Jon Rouse.

Hvem bygde opp forumet han og Paul har drevet?

Vi skal til to andre land. Og to unge menn.

1990 – 2012
USA og Canada

Den første av guttene, Benjamin Faulkner, vokste opp i North Bay i Canada – en liten by nord for innsjøen Lake Nipissing, nord for de store sjøene. Huset lå i utkanten av byen, med en garasje nesten like stor som hovedhuset, og trampoline og basseng i bakhagen. Han var svømmeinstruktør på fritiden, spilte trompet i storband, men brukte mye tid på datamaskinen.

Patrick Falte, den andre gutten, vokste opp sør i USA, i Tennessee. Rett ved et spaghettikryss hvor to motorveier møtes på vei fra countryhovedstaden Nashville, ligger klyngen med hus han delte med foreldrene. På college drømte han ifølge faren om en jobb i FBI, hvor han skulle kjempe mot hackere. Som kanadieren brukte han mye tid på datamaskinen.

Patrick Falte.
Patrick Falte. Foto: Privat

Rettsdokumenter VG har tilgang til, forteller hvordan han 12 år gammel kjente at han var annerledes enn vennene. Hans drifter rettet seg mot barn, ikke andre ungdommer.

Det gikk år. Guttene tok utdannelse i det som opptok dem mest: Datasikkerhet. Kanadieren fikk jobb i Toronto, amerikaneren i Nashville.

Mens unggutten fra North Bay forsøkte å finne hjelp til det han kjente inne i seg, stengte amerikaneren det inne. Han visste at enhver lege, psykolog eller rådgiver ville melde fra hvis han fortalte at han var tiltrukket av barn.

Derfor gikk han heller online.

VG har avdekket at begge var aktive på det mørke nettet i 2011, på samme sted. Falte var blitt involvert på nettstedet «Pedosupport Community», hvor han hjalp til med å programmere de tekniske løsningene for nettstedet.

30. oktober 2012 får nettstedet besøk av Faulkner. Han presenterer seg i den første meldingen:

«Litt om meg selv for å etablere troverdighet her: Mitt navn er CuriousVendetta, og jeg jobber som sikkerhetstester for et firma som driver med IT-sikkerhet. På fritiden gjør jeg hva jeg kan for å skape litt ugagn på nettet, sammen med noen få venner».

I senere meldinger forteller han om jobben som svømmeinstruktør:

«I bassenget er jeg fri og kan skape mine egne fantasier. Jeg har flere jenter i fanklubben min enn jeg kan telle».

North Bay er en liten by. Han blir oppdaget av noen foreldre, som ber ham holde seg unna barna deres. Men han slipper politianmeldelse.

18. juni 2013
North Bay – Canada
Benjamin Faulkner.
Benjamin Faulkner. Foto: Privat

18. juni 2013 var en varm dag i North Bay. Så langt nord på det amerikanske kontinentet er klimaet som på Østlandet i Norge: Kaldt når solen er borte, stekende hett når den er der.

Søsknene gikk i shorts. Selv var gutten som senere skulle bli WarHead, kledd i svarte jeans og langermet skjorte. Familien feiret et jubileum. Alle smilte inn i kameraet.

På dette tidspunktet var Faulkner etter hva VG kjenner til, ikke aktiv på Pedosupport eller andre overgrepsnettsteder

Det skulle ikke vare.

Høsten 2015 besøkte han et nytt sted: «The GiftBox Exchange». Mens han var pålogget, fikk han en melding fra administratoren:

«Hei, jeg har ikke sett deg på lenge. Jeg er sjefen her omkring».

Det var CrazyMonk fra Pedosupport, amerikaneren Falte.

Slik begynte bekjentskapet. De må ha sett noe i den andre, som gjorde at de våget å ta skrittet ut fra den krypterte nettverden og ut i virkeligheten, hvor alle kan se hvem du er.

Kanadiske Faulkner ble raskt en del av ledertemaet på Giftbox, men han ønsket å være noe mer enn bare én av flere på toppen.

Han ville være den ene.

15. April 2016
Et sted på det mørke nettet
Foto: Krister Sørbø, VG

Fredag 15. april 2016 så nettstedet «Childs Play» dagens lys på det mørke nettet. Det var ledet av én administrator med et hoff av moderatorer. Lederen kalte seg WarHead.

At det var Faulkner, den samme mannen som andre steder gikk under navnet CuriousVendetta, visste ingen.

«På grunn av mangelen på gode fora bestemte jeg meg for å bringe Childs Play til miljøet. Målet til Childs Play er å tilby et gratis og lett tilgjengelig forum til miljøet, samtidig som det er et trygt og sikkert sted å snakke sammen og bare være oss selv».

WarHead fikk overstrømmende respons. Forslag om hvordan gjøre nettstedet bedre og tryggere for medlemmene, veltet inn. Ett av forslagene var å ha en underseksjon for tortur av barn. Kanadieren ble ekspert på å leve med flere identiteter. I den fysiske verden var han livredderen, korpsmusikeren, datanerden, storebroren. På nettet var han kongen blant likesinnede.

Allerede januar i år skrev VG om Childs Play, et nettsted som på kort tid hadde vokst seg til å bli et av de største overgrepsnettstedene.

De største overgrepsforumene
Dette er de største overgrepsforumene på det mørke nettet, basert på totalt antall registrerte profiler på hvert forum (kan inneholde duplikater).

Childs Play

Myndighet: Argos, Australia

Stengt: September 2017

Drevet av politiet i 11 måneder

En del av «Operasjon Artemis»

Playpen

Myndighet: FBI, USA

Stengt: Februar 2015

Drevet av politiet i to uker

Elysium

Myndighet: BKA, Tyskland

Stengt: Juni 2017

Politiet hadde tilgang i et par dager før de stengte det

Over 1 000 000

profiler

181 475

92 218

47 769

45 818

The Giftbox Exchange

The Love Zone

Myndighet: Europeisk land

Stengt: November 2016

Drevet av politiet i ca. én måned

En del av «Operasjon Artemis»

Myndighet: Argos, Australia

Stengt: Desember 2014

Drevet av politiet i 6 måneder

Per nå finnes det minst tre store forum som sprer overgrepsmateriale på det mørke nettet

Childs Play

Myndighet: Argos, Australia

Stengt: September 2017

Drevet av politiet i 11 måneder

Over 1 000 000

profiler

Elysium

Myndighet: BKA, Tyskland

Stengt: Juni 2017

Politiet hadde tilgang i et par dager før de stengte det

The Giftbox

Exchange

Myndighet: Europeisk land

Stengt: November 2016

Drevet av politiet i ca. én måned

45 818

92 218

181 475

Operasjon Artemis

The Love Zone

47 769

Myndighet: Argos, Australia

Stengt: Desember 2014

Drevet av politiet i 6 måneder

Playpen

Myndighet: FBI, USA

Stengt: Februar 2015

Drevet av politiet i to uker

Per nå finnes det minst tre store forum som sprer overgrepsmateriale på det mørke nettet

Childs Play

1 052 826

profiler

The Giftbox

Exchange

Elysium

Playpen

45 818

92 218

181 475

profiler

Operasjon Artemis

The Love

Zone

47 769

Childs Play

Myndighet: Argos, Australia
Stengt: September 2017
Drevet av politiet i 11 måneder

Giftbox Exchange

Myndighet: Europeisk land
Stengt: November 2016
Drevet av politiet i ca. én måned

Playpen

Myndighet: FBI, USA
Stengt: Februar 2015
Drevet av politiet i to uker

The Love Zone

Myndighet: Argos, Australia
Stengt: Desember 2014
Drevet av politiet i 6 måneder

Elysium

Myndighet: BKA, Tyskland
Stengt: Juni 2017
Politiet hadde tilgang i et par dager før de stengte det

Per nå finnes det minst tre store forum som sprer overgrepsmateriale på det mørke nettet
Vis detaljer

Gjennom 2015 og 2016 etablerte Falte og Faulkner seg som lederne for de to største miljøene for overgripere og pedofile, under navnene CrazyMonk og WarHead. På det meste hadde GiftBox 45.000 brukere, mens Childs Play etter hvert skulle passere 1.052.000 brukerregistreringer.

I realiteten var det langt færre ekte mennesker – ifølge Task Force Argos noen titusener. Et hundretalls av dem var hva miljøet kaller «produsenter», overgripere som filmer voldtekter av barn, og deler filmene på forumene.

Dette vekket etterforskere over hele verden. I Brisbane satt Paul Griffiths og leste alt som de to mennene hadde skrevet om seg selv. Han sukket: To IT-spesialister.

«Vi kommer aldri til å finne ut hvem disse gutta er», sa han til kolleger.

Men det stoppet ham ikke.

WarHead og CrazyMonk visste at plassen på toppen av dette dystre hierarkiet var utsatt.

I private samtaler med andre medlemmer på forumet skrev Faulkner at han visste hvilken slutt som ventet ham. Det bekrefter han selv.

– Du kan ikke være i dette miljøet uten å vite at du blir nøye gransket av politiet. Jo høyere du kommer i miljøet, jo mer vet du at de ser etter deg. Vi tok mange forholdsregler for å motvirke dette. Og mye av det fungerte, skriver han i en epost til VG.

4. januar 2017
Oslo – Norge
Einar Otto Stangvik.
Einar Otto Stangvik. Foto: Krister Sørbø, VG

Også VGs dataekspert Einar Otto Stangvik overvåket Faulkners mørke nettsted. Gjennom et datasystem han programmerte høsten 2016 ble alle åpne meldinger på Childs Play lastet ned, indeksert og analysert.

Mens julen nærmet seg, forsøkte han flere ulike metoder for å se om det var mulig å identifisere mennene på forumet.

Dét var det. Flere medlemmer ble identifisert – nordmenn, svensker og en danske. Men nettstedet selv, sammen med de to som drev det, var umulig å finne.

Om kvelden 4. januar 2017 forsøkte Stangvik en ny strategi. I stedet for å analysere teksten på selve forumet, tok han en kikk under panseret og kontrollerte motoren som driver nettstedet – programvaren.

Han fant én svakhet: Ved å stille serveren det rette spørsmålet, ville den avsløre sin egen IP-adresse.

Spørsmålet ble stilt, og serveren svarte. Den sto i Sydney, og var eid av serverleverandøren Digital Pacific.

Det er ikke helt enkelt å forstå, men det du nettopp leste, er en verdensnyhet.

Få andre har tidligere klart å spore opp et nettsted som ligger på det mørke nettet.

Det som ikke skal være mulig å gjøre, tok VGs dataekspert noen kveldstimer den første onsdagen i 2017.

23. januar 2017
Sydney – Australia
Andrew Koloadin.
Andrew Koloadin. Foto: Tore Kristiansen, VG

Mandag 23. januar er VG i Sydney. Hos serverleverandøren Digital Pacific lytter daværende direktør Andrew Koloadin nøye til hva VG forteller. På en av hans servere ligger Childs Play lagret, forteller vi ham. Nå vil VG vite hvem som driver nettstedet. Finne bakmennene.

– Jeg er like interessert som deg i få klarhet i dette. Vi skal ikke skru av serveren, og vi skal ikke gjøre noe som vil kompromittere ditt arbeid, svarer han til slutt.

Som serverleverandør er han ikke juridisk ansvarlig for hva som lagres på serverne som han leier ut. Det ansvaret har den enkelte som leier serveren. Men Koloadin ønsker å gjøre hva han kan for at nettstedet skal forsvinne og at WarHead kan tas.

Noen tastetrykk senere er det klart: Serveren leies av Task Force Argos i Brisbane.

Koloadin drar hånden rådvill gjennom håret.

– Dette bryter jo fullstendig med alle våre vilkår, å lagre materiale som dette på våre servere. Jeg skulle ønske at politiet hadde snakket med oss i ledelsen om dette, men jeg forstår at de ikke gjorde det. Det er en hemmelig operasjon.

– Hva tenker du om at politiet har lagret overgrepsmateriale på dine servere?

– Overgripere er smarte og vet å sette opp ulike løsninger for å komme seg unna politiet. Dermed må politiet være like smarte. Det er de tydeligvis her. Men jeg liker dårlig at de har gjort det bak vår rygg.

24. januar 2017
Brisbane – Australia
Brisbane.
Brisbane. Foto: Tore Kristiansen, VG

Dagen etter i Brisbane. Vi har kontaktet Task Force Argos. De har gått med på å snakke med oss. Om hva vet de ennå ikke. For ti minutter siden spaserte de to etterforskerne nedover gaten fra hovedkvarteret mens slipsene vaiet i vinden.

– Vi har et veldig godt samarbeid med det norske og svenske politiet. La oss snakke og spise samtidig. Denne dagen er virkelig hektisk, sa politioverbetjent Jonathan Rouse mens solen gnistret i tennene.

Jon Rouse.
Jon Rouse. Foto: Tore Kristiansen, VG

Nå sitter han urørlig på barkrakken og stirrer på VGs journalist, som har fortalt ham dette:

– Vi vet at det er dere som driver nettstedet. Vi vet at dere har drevet det i flere måneder.

– La oss ta dette først, jeg kommer ikke til å si dere noe. Dette er en pågående operasjon, sier Rouse med sammenbitte tenner.

Musikken fortsetter å spille, men stemningen har forandret seg.

– Vi har ett mål: Å redde barn fra overgrep. Vi gjør det som må til innenfor vårt juridiske rammeverk for å oppnå det. Hva vil dere med dette?

– Vi vil vite hva dere gjør.

Rouses blikk er knallhardt:

– Jeg vil vite hva dere vet, og jeg vil vite hvordan dere fant ut at det kanskje er vi som administrerer serveren. Men jeg snakker ikke, sa han og la trykk på det siste ordet:

– Jeg snakker ikke om pågående operasjoner. Du er journalist og vil skrive en historie. Vi er politimenn og vil hindre at barn blir voldtatt. Så vi har ulike mål med arbeidet vårt.

Rouse mener at VG må ha gjort noe kriminelt, siden vi klarte å avsløre operasjonen.

– Under australsk lov er det dere har gjort det samme som hacking. Vi som politi har lov til å drive hacking for å avdekke kriminell aktivitet, men ikke dere. Så dere må være klar over at det kan ha potensielle konsekvenser, det dere har gjort, sier han.

Politimennene skal senere velge å svare på spørsmål fra VG.

Slik avdekket han politioperasjonen

IP-adresser og plassering av servere på Tor-nettverket er nærmest umulig å finne. Så hvordan fikk VGs dataekspert Einar Otto Stangvik overgrepsnettstedet til å lekke denne informasjonen?

1. Opplasting av profilbilde
Forumet ga brukerne mulighet til å laste opp sitt eget profilbilde, og dette kunne også hentes fra en link på nettet.

2. Lekkasje gjennom Tor-nettverket
Her skjer lekkasjen. Riktig konfigurert ville forumets programvare ha hentet dette bildet med en oppkobling via Tor. Det gjorde ikke Childs Play - trafikken gikk på det åpne nettet.

3. IP-adressen avsløres
Ved å be forumet hente bildet fra sin egen server, kunne Stangvik avsløre at trafikken kom fra en IP-adresse hos serverleverandøren Digital Pacific i Sydney. Han brukte flere lignende teknikker for å bekrefte at nettverksoppslagene kom fra denne samme IP-en.

4. En mellomstasjon?
Neste spørsmål var hvorvidt IP-en tilhørte en Tor Exit Node, et VPN eller en proxy. En IP kan skjule hva som helst. Hvordan kunne han bekrefte at dette var overgrepsserveren, og ikke bare nok et ledd i en lengre kjede av omdirigeringer? Stangvik benyttet seg av tre avanserte teknikker:

5. Timing mellom serverne
Han kjøpte en virtuell server hos Digital Pacific - samme sted som den mistenkte IP-adressen var lokalisert. Deretter gjennomførte han profilbildeopplastingen på nytt, og ba forumserveren hente bildet fra hans nye virtuelle server. Stangviks server svarte med å dirigere forumet til stadig nye adresser på vei mot profilbildet. Dette førte til flere beskjeder, fram og tilbake, mellom serverene. Stangvik målte svært lav totaltid og gjennomsnittstid, og kom fram til at forumet måtte befinne seg i umiddelbar nærhet til hans innleide maskin.

6. Måling av mellomledd
Stangvik målte også såkalt «Time To Live», som sier noe om hvor mange mellomledd en datapakke har passert fra opprinnelsespunktet. Målingen viste at det var maksimalt ett mellomledd - et typisk resultat for servere som befinner seg i samme serverrom.

7. Måling av pakkestørrelser
Den siste testen var virkelig teknisk avansert: Måling av MTU (Maximum Transmission Unit) og fragmentering.

Hver datapakke i et datanettverk har en maksimal størrelse avhengig av hvilke mellomledd den skal passere. Hver «ekstra-teknologi», som et VPN, vil gi pakken en eksta innpakking.

Ved å bruke svært lange profilbilde-adresser, og ved å sette spesifikke pakke-flagg, i svarene sendt fra den skreddersydde webtjeneren, kunne Stangvik se at MTU for mellomleddene tilsvarte det man kan forvente i et høykapasitets- lokalt nettverk. Et VPN var altså neppe inne i bildet.

Oktober 2016
Serveren flyttes

I oktober i fjor ble kanadieren Faulkners nettsted flyttet til serveren i Sydney. Dette var et halvt år etter at han hadde etablert det.

Hva hadde skjedd?

I mai 2016 fikk Paul Griffiths beskjed fra politiet i et land i Europa. De hadde arrestert en person som viste seg å være en av moderatorene for nettstedet The Giftbox Exchange – nettstedet som Falte drev. Kunne Task Force Argos være interessert i å overta kontoen til europeeren og utgi seg for å være ham?

Det var de. Som en av få politienheter verden over er Task Force Argos blitt dyktige i å opptre med skjult identitet på det mørke nettet, som overgripere.

Paul Griffiths.
Paul Griffiths. Foto: Tore Kristiansen, VG

Slik begynte Operasjon Artemis. Målet for Griffiths og Task Force Argos var klart: Overta nettstedet. La det råtne fra innsiden, mens de avlytter all kommunikasjon mellom medlemmene. Identifiser overgripere og ofre. Arrester.

– Når du har fått kontroll over nettstedet, kan du gjøre hva du vil. Da kan du flytte det hvor du vil i verden. Det er slik Internett fungerer, sier Griffiths.

Mannen som Argos hadde overtatt identiteten til, var bare en moderator. Han hadde ingen makt til å flytte eller endre nettstedet, slik eieren CrazyMonk kunne. Foreløpig kunne de derfor bare observere.

Task Force Argos har de siste tiårene samarbeidet med flere politienheter i kampen mot seksuelle overgrep mot barn. Flere ganger i året møtes etterforskere fra ulike land for å gå gjennom operasjoner og etterforskninger. I mellomtiden er de en telefon unna hverandre. De vet at de kan stole på hverandre. Og få hjelp av hverandre, gjerne fra den andre siden av verden.

Da et annet lands etterforskere fant IP-adressen til GiftBox, sendte de den til Argos.

Politiet tok kontakt med serverhotellet hvor GiftBox lå. På dette tidspunktet kunne de ha tatt kontroll over serveren, og tatt alle data over besøkende. Men da ville toppfolkene gå under jorden, og det var dem politiet var ute etter. De valgte ikke å gjøre noe, annet enn å avlytte nettstedet via en bakdør i selve serveren.

Samtidig som Argos lette etter en vei inn for å overta GiftBox, dukket Childs Play opp på det mørke nettet. Politiets analyser av blant annet meldingene til WarHead og CuriousVendetta viste at de antagelig var fra samme land.

Kanskje var de også samme person.

– Det var mye god etterretning som ga indikasjoner på at en av lederne for Giftbox også drev Childs Play. Vi antok at det var en kobling mellom de to nettstedene, forteller Griffiths.

Følg pengene! I andre kriminelle nettverk er det et essensielt råd i jakten på bakmenn.

Men i overgripernes nettverk er det langt mindre penger i omløp. Der er det bildene som er valutaen. Å leie server til nettstedet koster likevel penger. I dette tilfellet ble det betalt med bitcoin, en virtuell valuta.

USAs Homeland Security Investigations begynte jakten på hvem som sto bak innbetalingen.

Den var enklere enn fryktet. Personen bak kallenavnet CrazyMonk hadde registrert bitcoin-lommeboken med sin egen private epostadresse.

Adressen pekte i følge politiet til en 27-åring i Tennessee, som hele livet hadde bodd hjemme hos foreldrene i huset en halvtime utenfor Nashville:

Patrick Falte.

CuriousVendetta var ikke like enkel å finne. Av de to lederne for GiftBox var han den tekniske eksperten. Sommeren 2016 får han imidlertid et problem med noe programkode. Han forsøker å reparere koden selv, men det fungerer ikke. Til slutt må han be Internett om hjelp.

Han tar et skjermbilde av koden, laster den opp og spør andre datakyndige på et nettforum for programmerere om råd.

Det er feilen som skal felle ham.

På det åpne nettet ser Google alt. Da en etterforsker i Homeland Investigations så at Giftbox hadde et problem, tenkte han: Hadde jeg hatt dette problemet, ville jeg bedt nettet om hjelp. De googlet, og fant spørsmålet til CuriousVendetta. Skjermbildet av koden – et uskyldig bilde av tekst – ligger lagret på en russisk server som nesten utelukkende brukes til å lagre overgrepsbilder.

Det måtte være ham.

Mannen som stilte spørsmålet, var en mann i midten av tyveårene fra North Bay i Canada:

Benjamin Faulkner.

Arbeidet med å nærme seg de to mennene startet. Hvordan skulle politiet pågripe dem før de rakk å ødelegge bevis? I det stille ble livene til de to mennene undersøkt. Var det mulig å montere et kamera hjemme hos dem eller på arbeidsplassen? Kunne politiet bryte seg inn og installere et dataprogram på pc-en som overvåket alt mennene tastet inn?

Alle forsøk ble forkastet. Hvis mennene fikk den minste mistanke, ville de med få tastetrykk fjerne nettstedet og alle data, ikke bare om seg selv, men om titusenvis av medlemmer. De måtte tas før de hadde mulighet til å melde fra til andre.

I løpet av etterforskningen oppdaget politiet noe oppsiktsvekkende: Falte og Faulkner kjente hverandre. Ikke bare på nett. Men også i virkeligheten.

– Vi visste at de hadde for vane med å møte hverandre. Vi visste bare ikke hvorfor. WarHead hadde vært i USA fire-fem ganger tidligere, og vi antok at han og CrazyMonk hadde møttes alle gangene. Antagelig møtte de hverandre første gang høsten 2015, sier Griffiths.

Etterforskerne bestemte seg for å vente.

– En eller annen gang kommer WarHead til å krysse grensen til USA. Når de møtes, tar vi dem, forteller Griffiths at de bestemte.

Dette var i juli 2016. Det ble august. Faulkner og Falte reiste ingen steder.

September gled mot slutten. Ingenting skjedde.

Også VG har valgt å vente. Allerede i januar avdekket vi at serveren i Sydney skjulte en ny, stor operasjon ledet av Task Force Argos, i samarbeid med flere land.

Først i dag, over ni måneder senere, publiserer vi avsløringen.

– Etter møtet med Griffiths og Rouse forstod vi at journalistene hadde avslørt en pågående politioperasjon. Selv om det var en spektakulær nyhet som åpenbart hadde offentlig interesse, besluttet vi å vente med å publisere. Situasjonen var uoversiktlig. Vi trengte mer informasjon før vi tok stilling til hva som kunne trykkes. I verste fall kunne VG skadet etterforskningen og utsatt uskyldige for fare, sier Gard Steiro, ansvarlig redaktør i VG.

30. september 2016
Alarmen går

Fredag 30. september 2016 gikk alarmen i Boston, Toronto og Brisbane.

Faulkner hadde krysset grensen fra Canada til USA.

Frem til torsdag 29. september i fjor hadde han vært svært aktiv på Childs Play. Denne dagen skulle bli siste gang forumet fikk høre fra ham på lang tid. Klokken på datamaskinen hans viste 23:46 da han logget inn som WarHead og skrev en kort takkemelding til et medlem som hadde lagt ut en film med et overgrep mot en ti år gammel jente:

«Takk for henne! Jeg ante ikke at du hadde mer av henne».

Så reiste han. Han kjørte fra leiligheten i utkanten av Toronto, over landegrensen mellom de to nordamerikanske nasjonene og inn i staten New York, deretter sørover til Nord-Virginia.

Idet WarHead krysset grensen til USA, gikk en melding fra USAs grensekontroll til Homeland Investigations. Derfra gikk meldingen til Canada og Australia: Faulkner har krysset grensen.

I Australia fikk Griffiths meldingen fredag ettermiddag, lokal tid. De neste dagene ble kritiske. Ville operasjonen lykkes?

Homeland Investigations sjekket hvor CrazyMonks bil befant seg. For flere uker siden hadde de montert en sporingsenhet på bilen. Siden hadde den knapt beveget seg utenfor Nashville-området. Nå hadde den med ett flyttet seg langt.

CrazyMonk var 200 kilometer hjemmefra, på vei østover.

I flere måneder hadde Homeland, Argos og Toronto ventet på at dette skulle skje.

Nå var øyeblikket kommet. De to skulle møtes.

1. oktober 2016
Manassas – USA

Lørdag. Mennene tok inn på et hotell i Virginia. Om kvelden dro de videre til et hus, og var der til sent. Rettspapirer VG har lest, beskriver at agentene fra Homeland overvåket begges biler ved huset sent lørdag kveld.

Søndag morgen reiste de fra hotellet med hver sin bag, og overnattet i et annet hus.

Klokken 06.30 mandag morgen ble de vekket av at inngangsdøren ble slått inn av væpnet amerikansk politi.

Faulkner var langt hjemmefra. Var han blitt tatt i Canada, ville straffen blitt langt mildere. Nå? Satt opp mot veggen av agentene som endevendte huset, var valget han fikk, tydelig: Gi oss alt du vet nå, så slipper du kanskje ut av fengselet før du dør.

Etter få minutter hadde han gitt dem alt. Egne brukernavn, passord, krypteringsnøkler.

– Han kunne knapt vente med å fortelle. På nettet er de tøffe og diskuterer hvordan de er forberedt hvis purken kommer, at de har all verdens tiltak på plass for å hindre at vi skal få tilgang til materialet. Men da en politimann sparket hengslene av døren, pekte på ham med et våpen og beordret ham ned på gulvet, ble det tydelig for kanadieren at han var langt hjemmefra.

Griffiths ler kort.

I Australia nærmet klokken seg ni på kvelden. Alt Homeland fikk ut av Faulkner og Falte ble sendt direkte til Argos, som umiddelbart testet passordene. Var de riktige? Meldingene føk mellom USA og Australia: Skulle tallene skrives inn som bokstaver eller tall? Kom de seg inn på nettstedet?

Det som nå skjedde, skulle få store konsekvenser:

Blant all informasjonen Faulkner slynget ut mens han fortsatt satt på sengen, dukket passordene til Childs Play opp.

I ett jafs hadde Homeland i USA arrestert de som viste seg å være bakmenn og administratorer for ikke bare ett, men de to største overgrepsnettstedene på det mørke nettet.

Alt de hadde med seg, ble gjennomsøkt: minnekort, datamaskiner. Passord, brukernavn, nøkler. Politimennene visste de hadde dårlig tid.

Hvis WarHead og CrazyMonk var for lenge fralogget fra nettstedene de drev, ville de paranoide medlemmene rømme. Da ville alt arbeidet være forgjeves.

Blant meldingene som ble sendt til Australia denne morgenen, var én spesiell: Agentene hadde funnet bilder av overgrep av et lite barn. Bildene var tatt lørdag kveld.

En ny melding like etter: «Fikk alle med seg den forrige meldingen?».

Griffiths satt hjemme hos seg selv og arbeidet med passordene da han så meldingen.

– Hva skulle jeg si? Det var ingen å si noe til. Det var bare å fortsette å jobbe.

Politiet fant 30 bilder og tre videoer. De viste en fire år gammel jente og det hun hadde måttet gjennomleve i huset Faulkner og Falte hadde besøkt. Faulkners hånd ble identifisert på et av bildene.

For amerikaneren Falte tok kjøreturen fra Nashville i overkant av ti timer. Han hadde god tid til å vurdere om det han var på vei for å gjøre, var riktig. Han kjørte over Smoky Mountains, gjennom frodige skoger, hvor høsten fikk trærne til å flamme rødt. Han fortsatte. Stoppet han noen gang for å vurdere om det å voldta en fire år gammel jente var riktig? Uansett fortsatte han.

Også Faulkner fortsatte, hele veien fra Toronto til huset i Virginia.

På det mørke nettet delte de et kongedømme av likesinnede, som beundret dem og gjorde hva de kunne for å oppnå deres gunst.

En av dem var en mann med tilgang til den fire år gamle jenta. Ifølge en politirapport var det han som filmet overgrepene. Bildene viste at i hvert fall én av de tre mennene hadde voldtatt jenta den septemberlørdagen.

9. september 2017
Amerikansk fengsel

Det spraker i telefonen mens mannen som tilbød fireåringen til Faulkner og Falte snakker til VG fra fengselet hvor han har sittet i snart et år. Han har selv valgt å ringe oss for å gi sin versjon av hva som hendte.

Fengslet mann.
Fengslet mann.

– Det er ikke mye privatliv her i fengselet, så det er ikke mye jeg kan si på telefonen, sier han, før han forteller.

– Jeg skal ikke lyve. Det var jeg som kontaktet CrazyMonk først.

VG har data som viser at han har vært innom flere av de største overgrepsnettstedene. Her hadde han lagt ut overgrepsbilder og bedt om hjelp fra andre medlemmer til å finne flere.

Å få snakke med CrazyMonk, lederen av nettstedet selv, var stort. Det kjente mannen. For å få kontakt viste han Falte bilder av fireåringen. Slik begynte det.

Bare uker senere kom Falte hjem til ham. I avhør forteller Falte at han ved dette første besøket i 2015 voldtok barnet «inntil hun klaget», som det står i rettspapirene.

Dette var det første av i alt fem besøk i det lille huset i Virginia. Det var knapt bikket over til nytt år før Falte kom på besøk igjen, nå sammen med Faulkner.

I samtaler med VG sier politiet at de ikke ante hvorfor WarHead og CrazyMonk skulle møtes. De hadde likevel mye informasjon om mennene.

Etter at politiet i juli hadde funnet serveren hvor nettstedet lå lagret, hadde de overvåket all kommunikasjon, også private meldinger mellom administratorene. Politiet overvåket hvor de reiste i Virginia, hvor de overnattet, hvilket hus de besøkte.

Likevel hadde ingen mistanke om at et barn var i ferd med å bli voldtatt.

– Men det er klart vi lurte på hvorfor de skulle møtes. Det spørsmålet hang over hodene våre, sier Jon Rouse i Australia.

– Noen av disse mennene ønsker så desperat noe mer enn bare bekreftelsen de får via nettet. De har et ønske om å møte likesinnede, om så bare for å ta en øl, sier Griffiths.

– Hvorfor ble de ikke arrestert før overgrepet hadde skjedd?

– Vi hadde ingen anelse om at det skulle skje. De snakket aldri noe i meldingene vi så om å møtes, sier Griffiths.

Mannen som filmet de to mennenes overgrep, bekrefter dette til VG. Avtalene om å møtes ble gjort i et kryptert chatteprogram, forteller han.

Dette hadde politiet tilgang til først etter at de hadde fått alle passord fra CrazyMonk og WarHead.

Det samme forteller Faulkner og Falte selv til VG, i en epost fra fengselet i USA.

– Vi var nøye på ikke å snakke om detaljer andre steder enn på Tox (kryptert chat) og engangstelefoner med kontantkort, skriver de.

De er overrasket over hva agentene klarte å finne under ransakingen.

– Jeg følte meg trygg på at de hadde lite på oss begge, hva gjaldt bevis de kunne bruke i retten. Datamaskinene våre var fullstendig krypterte, alt ble kjørt på virtuelle maskiner og alle lagringsenheter var fri for noe inkriminerende. De visste ikke noe om hva som foregikk i huset i Virginia, skriver Faulkner.

ANNONSE

Rent etterforskningsmessig var pågripelsene en suksess. Task Force Argos hadde overtatt alle brukernavn og passord fra Faulkner og Falte.

Argos var blitt WarHead, men ingen visste det.

Griffiths og kollegene arbeidet frenetisk for å vite alt om Faulkners opptreden på nett, slik at de kunne overta hans identitet uten å bli avslørt.

Dette tok lengre tid enn medlemmene av Childs Play likte. WarHead hadde tidligere lagt ut meldinger ofte, gjerne flere ganger daglig. Nå var det stille fra ham. Et medlem skrev nervøst.

«Har noen hørt fra WarHead de siste syv dagene? Jeg venter på en beskjed fra ham. Ingenting skjer»

«Merkelig. Hun forsvinner, og samtidig blir forumet tregere og tregere…», skrev en annen. Han brukte pronomenet de fleste på forumet brukte om hverandre, til tross for at de langt fleste der inne var menn.

Noe måtte gjøres. Hvis forumet ikke hørte fra WarHead raskt, ville de ane at han var pågrepet. Medlemmene kunne begynne å slette sine egne spor. Det måtte ikke få skje.

Kriminaliteten på nettet er grenseløs. Det er et problem, men denne gangen snudde Argos og partnerne det til sin fordel.

Da WarHead ga fra seg tilgangen til Childs Play og GiftBox, lå nettstedene etter hva VG kjenner til, lagret på servere i hvert sitt land i Europa. Hvilke land ønsker hverken etterforskere, advokater eller tiltalte å si.

Både politiet i Australia og dette landets politi så at det ville ha åpenbare fordeler dersom nettstedet ble drevet av australsk politi og ikke europeisk.

Australias lover gir politiet sjeldent vide fullmakter til å overvåke mistenkelige handlinger på nett.

– Under en såkalt «kontrollert operasjon» får vi tillatelse fra en dommer om lov til å handle på måter som vanligvis ville ha vært betraktet som lovbrudd. Vi får rett til å begå visse kriminelle handlinger, og vi er fritatt fra rettsforfølgelse, fordi vi etterforsker disse spesifikke forbrytelsene, forklarer Griffiths.

På et møte med noen av verdens ledende etterforskere av nettrelaterte overgrep i Haag i vår, fortalte han om et tilfelle der han hadde hacket seg tilgang til en persons konto på et nettforum.

– Jeg så meg rundt i rommet, og visste at ingen av de andre etterforskerne hadde lov til å gjøre det samme. Teknisk sett var det ikke vanskelig. Men juridisk sett ville de ikke hatt lov, sier Griffiths.

Det er et problem, mener han.

– Det gjør at de mister muligheten til å identifisere noen av de verste lovbryterne på Internett.

– Hva er konsekvensen av at norsk politi ikke kan bruke de samme teknikkene?

– Jeg vil egentlig ikke kommentere Norge spesifikt. Men hvis de hadde hatt mulighetene vi har, er jeg sikker på at de ville tatt personer de ikke får tatt i dag. Men det må gjøres på riktig måte, innenfor et gitt rammeverk. Man må ha en viss kunnskap og kontroll for at det skal fungere. Det føler jeg vi har, sier Griffiths.

Med tillatelse fra den ukjente europeiske politipartneren gikk Task Force Argos inn i serveren, overtok nettstedet, kopierte det og flyttet det til en server i Sydney – den samme som VG oppdaget i januar.

Eksperter VG har snakket med, sammenligner det som skjedde med hvordan USA tidligere fløy terrormistenkte for å bli avhørt i land som ikke tok menneskerettigheter så alvorlig.

Jon Wessel-Aas
Jon Wessel-Aas Foto: Gorm Kallestad / NTB scanpix

– Det synes å være samme logikk som brukes i denne saken. Og det er betenkelig og problematisk om politiet «outsourcer» etterforskning til et land hvor politiet har friere tøyler. I alle fall om det skjer bevisst og systematisk. Men her er de juridiske grensene uklare, sier Jon Wessel-Aas, advokat og spesialist på personvern og menneskerett.

Etterforskning over landegrenser er krevende, både juridisk og etisk.

– I mangel på gode reguleringer kan man ende opp med at politiet i landene med minst rettssikkerhet vil få ansvaret for å drive etterforskningen, sier han.

For Wessel-Aas er dette en metode politiet bør være forsiktige med å bruke:

– Hvis politikerne mener at våre lover om rettssikkerhet har noe for seg, er det vanskelig å forstå at denne typen politiarbeid kan «outsources».

6. oktober 2016
«Warhead» er tilbake

Fire dager etter pågripelsen var WarHead tilbake på Childs Play og skrev:

«Puh, for en måned dette har vært! En måned av livet mitt som jeg ikke får tilbake. Teknisk sett var det i oktober og ikke september at det verste skjedde, derav min noe sene melding»

Deretter kjeftet han på undersåttene: «Beklager igjen min sene ankomst, men jeg spurte faktisk staben om å trå til og dekke for meg i mitt påtvungne fravær».

Han, WarHead, var ikke lenger Faulkner, men Task Force Argos’ Paul Griffiths.

Med dette begynte undercover-fasen av Operasjon Artemis.

Fire dager etter at kanadieren var pågrepet, hadde Griffiths finlest hver eneste melding WarHead hadde skrevet. Han hadde lært seg WarHeads typiske skrivefeil og måter å ordlegge seg på, han kjente det lille av bakgrunnshistorie han hadde avslørt om seg.

Dette gjorde han på dagtid. Nettene ble brukt til telefonkonferanser med kollegene i Europa og USA.

Klokken var to om natten i Brisbane når alle kunne snakkes.

Å kunne ordlegge seg som en annen person handler ikke bare om grammatikk og biografi. For å kunne skrive som ham måtte Griffiths bli som WarHead. Det var en mental anstrengelse som han og kollegene på Task Force Argos likte dårlig.

– Når du skal være en person som har skrevet mye på nettet, og som mange mennesker kjenner, som vet hvordan denne person skriver og ordlegger seg – du kan ikke bare dukke opp og bruke et helt annet vokabular. Du må sette deg inn i hvilken tegnsetting han bruker, smilefjes og andre tegn.

Det er likevel ikke nok for å lykkes.

– Du må sette deg inn i hvordan han føler. Det er skadelig. Virkelig vanskelig. Jeg har jobbet i dette feltet i 22 år. Det å se bilder har ikke lenger noen effekt på meg. Men å sitte på nettet og snakke som en av disse karene ... hver gang jeg har gjort det, føler jeg at jeg må ta en dusj etterpå.

Paul Griffiths.
Paul Griffiths. Foto: Tore Kristiansen / VG

Blant venner kalles han «Griff». Paul Griffiths går for å være blant de ledende i verden på å identifisere ofre og overgripere ut fra bilder.

Han har arbeidet med identifisering av overgrepsofre i 22 år. Hvis et menneske har forgrepet seg på et annet, og det er blitt filmet, har han antagelig sett det.

– Hovedmotivasjonen er å identifisere barna og få dem ut av den grusomme situasjonen de er i. Det er dét som gjør at jeg klarer å jobbe med det. Og så har jeg nok et snev av Aspergers. Det sier i hvert fall min kone. Hun sier jeg ikke har noen empati, sier Griffiths og ler kort:

– Det gjør det enklere å stå i denne jobben.

Samtidig har han et fotografisk minne, og husker alt som bilder. Selv når han må gå gjennom millioner av bilder, vet han hvilke han har sett før, og hvor og når.

– Vi har gode databaser, men som regel finner jeg det raskere enn dem.

For fem år siden så han et bilde. Det var et bilde av en naken mann. Griffiths tok en kikk på bildet, og visste umiddelbart at han hadde klart å identifisere en av nettets råeste og mest beryktede overgripere: Falko.

Mannen på bildet hadde et kjennetegn som Griff husket fra overgrepsfilmene Falko delte på nettet. Ingen hadde klart å identifisere hverken Falko eller ofrene, for han hadde vært påpasselig med aldri å vise ansiktet sitt under overgrepene han begikk.

Men Griff kjente igjen et merke på penisen hans.

Slik ble Falko tatt og satt lenge fengslet i Kasakhstan. I dag er han på rømmen, etter en spektakulær flukt som involverte å kaste seg ut av vinduet i en rettssal, brekke begge beina og deretter rømme fra sykehuset. Men det var Griff som fanget ham.

«Vi er, kan jeg forsikre dere om, like trygge som vi alltid har vært, og jeg håper vi vil fortsette å være det»,

skrev Griffiths som WarHead.

Medlemmene trodde på ham.

Det neste året skulle Task Force Argos drifte et av nettets mest populære overgrepssider, mens de sopte inn informasjon om medlemmene.

Ved å ha full kontroll over nettstedet så de alt som skjedde der. De kunne lese private meldinger, meldinger som var slettet, epostadresser og slik sette sammen et bilde av hvem medlemmene var. I tillegg kunne de legge inn biter i programkoden som styrer nettstedet, for å finne medlemmenes IP-adresse. De har forsøkt flere ulike teknikker for å kunne identifisere medlemmene på Childs Play. Hvilke, ønsker de ikke å si til VG.

– Hvis det var krig, tror du at generalen hadde gitt deg tilgang til kommandorommet? Vi vil ikke fortelle disse folkene hvordan vi arbeider, og jeg håper virkelig ikke du gjør det heller. Operasjonelle metoder får du ikke, sier Jon Rouse.

– Vi prøver å gjøre noe som aldri er gjort før. Da skriver du på en måte dine egne – jeg vil ikke si regler, men du skriver ditt eget manus. Vi bruker teknikker som aldri har vært anvendt før, og det er ikke alltid vi vet hvordan vi skal forberede oss på resultatet, sier Griffiths til VG.

Som en mørkets sosialantropolog lærte Griffiths kulturen blant overgriperne å kjenne: Hva man ikke skulle legge ut (torturvideoer), hva man kunne dele i en liten gruppe kjente (torturvideoer), hvilke medlemmer som var populære og innafor og hvem som slett ikke var det.

Tilgangen til medlemmenes privatmeldinger dem imellom ga Griffiths en overraskelse: Flere av dem visste at nettstedet nå var drevet av politiet.

– Et betydelig antall av dem visste nøyaktig hva som hadde skjedd. De hadde avslørt oss som politi og gjennomskuet alt vi hadde kastet av kamuflasje rundt WarHead. De visste at vi var oss. Men de fortalte det ikke til noen. De som avslørte oss, snakket med hverandre, men de advarte ingen andre.

Griffiths forsøkte å skrive så få innlegg som mulig, men det var ett det australske politiet ikke slapp unna: Den månedlige statusmeldingen fra WarHead.

Avtalen mellom WarHead og nettstedets medlemmer var at et fravær av statusmeldingene betydde at nettstedet var overtatt av andre. Derfor var disse meldingene viktige. De måtte skrives slik som de alltid hadde vært skrevet.

Ifølge reglene som Faulkner hadde laget, måtte hver statusmelding avsluttes med et overgrepsbilde.

– Antagelsen var at vi i politiet ikke kunne dele slike bilder, og at det dermed ville være umulig for oss å drive nettstedet, sier Griffiths.

Han er opprinnelig brite.

– I Storbritannia kunne vi ikke ha gjort det. Men når man har jobbet lenge på dette feltet, blir det åpenbart hva som må gjøres og hvorfor. Ved å gjøre dette, gir vi oss selv en mulighet til å identifisere de som produserer nye overgrep. Bildene vi deler har de fleste mest sannsynlig sett før.

3. januar i år publiserte Griffiths og hans kolleger i Argos den månedlige statusmeldingen. Her skrev WarHead om arbeidet han hadde gjort med forumet – det vil si, det arbeidet som medlemmene trodde skulle gjøre dem tryggere. Slik rundet han av:

«Jeg håper at noen av dere har fått muligheten til å gi en spesiell gave til smårollingene i livene deres, og tilbrakt tid med dem. Det er en fin tid på å året til å kose seg foran peisen og skape minner».

Han avsluttet meldingen som han måtte. Med to overgrepsbilder.

– Kan denne meldingen sees på som en oppfordring til overgrep?

– Vel, det er ingen ... Jeg mener, du vet, sier Griffiths.

– Det er ting som kan leses inn i setningene, men det betyr ikke nødvendigvis at vi oppfordrer til noe. Vi kan ha snakket om overgrep på et antall ulike forum og plattformer, men vi vil aldri oppfordre til overgrep, sier han.

– Enhver deling av et bilde er et overgrep mot det barnet. Men for «the greater good» og for å forhindre pågående overgrep av barn, er det noe vi kan rettferdiggjøre.

– Hva tror du barna på bildene tenker om at dere deler bildene av dem?

Han blir stille et sekund.

– Jeg håper de forstår at vi prøver å ta så mange lovbrytere som mulig.

Carissa Byrne Hessick.
Carissa Byrne Hessick. Foto: Einar Otto Stangvik, VG

Jusprofessor Carissa Byrne Hessick ved Universitetet i Nord-Carolina reagerer på Griffiths’ argumentasjon. Hun er blant verdens ledende juridiske eksperter på etterforskning av overgrep.

– Det høres ut som om politiet forteller én historie om hvor skadelige bildene er når andre deler dem, og en annen historie når de deler dem. Det er en type hykleri som jeg liker dårlig. Men dette belyser argumentasjonen om at enhver deling av et bilde er et overgrep. Hvis politiet sier at de bare deler bilder som har vært delt tidligere, innebærer det at politiet ikke mener at enhver deling er like skadelig, sier Hessick.

Hun reagerer da hun får høre at politiet selv har delt overgrepsbilder.

– Jeg synes ikke nødvendigvis det er feil at de kan utføre kriminelle handlinger når de gjennomfører skjulte operasjoner. Min bekymring er ikke at de bryter loven. Min bekymring er om vi får nok informasjon om balansen i det de gjør.

Hessick fortsetter:

– Hvis nettstedet blir brukt til å legge til rette for faktiske overgrep av barn, og politiet fortsetter å drive den, så setter jeg spørsmålstegn ved deres evner til å balansere dette.

Til dette svarer Griffiths:

– Det er definitivt en balanse mellom hva vi ønsker å oppnå og hvordan vi gjør det. En gang kommer vi til et punkt hvor det ikke er verdt å drive forumet videre. Men så lenge vi identifiserer ofre, produsenter og overgripere, vil vi fortsette å drive det.

Han forteller om en tidligere operasjon, hvor de i noen få måneder drev nettstedet «The Love Zone». Griffiths hevder at de identifiserte over 80 barn.

– Du kan spørre dem om det var verdt at vi drev forumet, sier han.

– Er det ikke en fare for at nedlastere utvikles til å bli overgripere?

– Overgripere er overgripere. Folk som har et ønske om å forgripe seg på barn kommer til å forgripe seg på barn uansett, mener Rouse.

1. september 2017
New York

1. september i år får VG kontakt med en kvinne i New York. Bildene av overgrepene mot hennes datter har vært delt tusenvis av ganger. Nå også på Childs Play, under påsyn av Argos.

Da VG forteller henne hva vi vet, begynner hun å gråte. Så tar hun seg sammen.

– Politiet kan argumentere for at det de gjør er til fordel for datteren min i det lange løp, siden målet er å fange pedofile. Men å la dem dele bildene av min datter hjelper henne ikke. Det skader henne bare mer, sier moren.

Hennes advokat, James Marsh, er mer positiv til politiets bruk av overgrepsbilder. Han representerer flere av barna hvis overgrepsbilder er blant de mest delte.

– Flere av mine klienter ville ha ønsket velkommen at politiet brukte deres bilder i kampen for å finne overgripere. De vet hvor dyktige disse mennene er til å skjule seg, og forstår hva som kreves for å ta dem, sier Marsh.

Han forstår likevel hvorfor moren reagerer. Bildene av hennes datter har vært delt såpass sjelden sammenlignet med andre, at enhver deling får desto større konsekvenser.

– Jeg er enig med henne om at politiet burde kompensere ofrene, men ikke med penger. Hvis ofrene får bli konsultert underveis, vil det gi dem en følelse av kontroll. Og det var nettopp kontrollen som ble fratatt dem under overgrepene, sier Marsh.

Hjelp oss å finansiere viktig journalistikk: Kjøp VG+ her.

Flere av de involverte i Operasjon Artemis vil ikke la seg intervjue eller identifisere. Etterforskeren som overvåket det skandinaviske underforumet, er en av dem, ei heller de europeiske partnerne i operasjonen. Agentene fra Homeland Investigations har avvist intervjuforespørslene, med henvisning til at rettssakene mot WarHead og CrazyMonk ennå ikke er over.

– Det er mye vi ikke kan si om denne operasjonen, spesielt ikke det som våre partnere har gjort, sier Jon Rouse.

Også noen av hans australske etterforskere er kritiske til at VG har fått informasjonen.

– Flere av mine internasjonale kolleger vet at dere er her og snakker med oss i dag. De er ikke veldig glade for arbeidet kollegaen din gjorde med å avsløre oss. Vi har gjort mye bra arbeid sammen, og jeg vil det skal fortsette. Derfor må du ikke bruke navnet mitt, sier en av dem.

Vi får likevel intervjue ham om jobben som undercover-agent.

– De som sier at de ikke har grått i denne jobben, lyver. Du gir en del av deg selv til jobben, og denne delen blir venn med dem du etterforsker. Da vi var ferdig med en av de siste operasjonene kjentes det som om jeg hadde sperret inne alle vennene mine i fengsel.

Dette er agenten som foruten Griffiths i stor grad har vært WarHead. Alle medlemmene fulgte nøye med på hva han skrev. Å lykkes i å fremstå som overgriper på nett er en krevende oppgave.

– Det er som om du tvinger deg til å ha en splittet personlighet, og du laster ned denne andre personen inn i en del av hjernen din og overlater den delen hjernen din til ham. Det er hardt.

Childs Play statistikk

Antall innlegg dag for dag

Akkumulerte innlegg med bilder*

* Hver post kan inneholde flere bilder / filmer

Aktiviteten hadde vært høy på Childs Play mens politiet drev det.

I januar, da VG skrev om Childs Play første gang, hadde nettstedet 427.000 registrerte kontoer. Frem til september i år var det blitt registrert over én million kontoer.

25. oktober 2016, to uker etter at Argos hadde overtatt nettstedet, ble det delt en film og flere bilder av overgrep mot en åtte år gammel jente.

Frem til august i år hadde den fått 770.617 visninger – alt mens politiet drev nettstedet.

13. september 2017
Childs Play stenger

Onsdag 13. september i år: Etter å ha drevet nettstedet i 11 måneder stenger Task Force Argos endelig Childs Play. Det blir ingen fanfarer.

Alt som kreves, er noen tastetrykk, så forsvant forumet fra det mørke nettet.

Hvis du klarer å finne det som var nettadressen, vil du bare få beskjed om at det ikke ligger noe der. Childs Play er borte.

Nå begynner arbeidet med sende ut saker til politi verden over. Et dusin land er allerede involvert i etterforskning av medlemmene. Griffiths har en liste på mellom 60 og 90 personer fra hele verden som er hans primære mål.

Et annet lands politi skal ha en liste over nærmere 900 personer de mener bør tas. Noen er allerede arrestert, men flere vil komme. Hvor mange av de norske brukerne som vil bli siktet, er ennå ikke kjent.

Hvor mange barn som er identifisert og reddet, er også usikkert.

Kanadisk politi forteller at de har identifisert og reddet «et dusin» barn, og sendt ut omkring hundre saker til andre land. Argos selv ønsker ikke å gi VG tall.

– Pressen har for vane å bruke tallene som «våpen» mot oss og våre kolleger verden over, og det ønsker vi ikke, sier Griffiths til VG.

Professor Carissa Hessick reagerer på de manglende tallene.

– Hvis de driver etterforskningen uten engang å sjekke om personene blir pågrepet, er det vanskelig for Argos å argumentere for at slike politioperasjoner er nødvendige. Jeg er bekymret over at politiet tilsynelatende tenker at de ikke trenger å rettferdiggjøre en slik operasjon, sier hun.

FBI drev en lignende operasjon i 2015. Svaret kom først i vår, altså to år senere. 870 personer er arrestert eller dømt som følge av operasjonen, ifølge FBI. 259 barn ble reddet eller identifisert.

I jakten på overgripere kan det se ut som om politiet har funnet metoden som gir best resultat: Ikke overlat markedsplassene til de kriminelle. Driv nettstedene selv.

– Vår jobb er å sørge for at vi spiller på samme nivå som overgriperne. Gjør vi ikke det, vil de alltid være foran oss, sier Jon Rouse.

15. september 2017
Richmond, Virginia

Fredag 15. september sto to 27 år gamle menn foran dommeren i rettssalen i Richmond, Virginia. Aktor hadde bedt om 50 år i fengsel. Deres egne forsvarere ba om at de to 27-åringene kun skulle sone i 30 år.

Dommeren hørte ikke på noen av partene. De to ble dømt til livsvarig fengsel.

Ingen av dem kommer noen gang til å slippe ut. Ikke fordi de som CrazyMonk og WarHead hadde drevet nettets største overgrepsfora, men fordi de som Benjamin og Patrick hadde voldtatt en fireåring.

I Tennessee forbereder USA rettssaken mot mennene som skal ha drevet «The GiftBox Exchange».

I en epost til VG fra fengselet skriver Falte og Faulkner at de vil kjempe sin sak i retten.

– Vi skulle gjerne snakket mer om Giftbox, Childs Play og noen andre nettsteder, men vi kan ikke gå inn i det før etter rettssaken. Vi kan ha vært involvert på alle nivåer, i årevis, med å eie og skape flere nettsteder, chattetjenester, skriver Falte og Faulkner.

De legger senere til at de ønsker å anke livstidsdommen fra Virginia.

Advokatene deres har ikke besvart VGs henvendelser.

Om Childs Play, nettstedet som Task Force Aros drev i nesten ett år, vil det antagelig aldri bli noen rettssak. Faulkner er uansett dømt til resten av livet i fengsel.

Plaza-mysteriet
Hvorfor har ingen etterlyst den unge, elegante kvinnen som ble funnet død på Oslo Plaza? Etter 22 år er graven åpnet.
Makt­spillet om nød­sentralene
Her spiser de kake under åpningen av den nye operasjonssentralen i Oslo. Men bak den idylliske fasaden har det i flere år rast en rå maktkamp.
Fosterhjems­kongen
Tyske Peer Salström-Leyhs (63) stiftelser har fått nærmere en halv milliard for å drive fosterhjem i Norge. Etter få år sitter de igjen med store overskudd — samtidig som millioner er ført ut av landet.
Ambassadøren
Mens Stig Traavik var Norges høyeste representant i Indonesia innledet han hemmelige forhold til tre lokale kvinner. Én av dem mottok 1,4 millioner bistands­kroner til organisasjonen sin fra den norske ambassaden.
SKUP-prisen 2016
Tvangsloggene
VG har gjennomgått og digitalisert innholdet i over 2500 beltelegginger fra tvangsprotokollene. Dette materialet gir et innblikk i hvordan mekaniske tvangsmidler brukes og begrunnes ved norske sykehus.
SKUP-diplom 2016
Millionærer på bistand
VG kan dokumentere at oppdrag for verdens fattigste har blitt god business for eiertrioen bak International Law and Policy Institute (ILPI).
Årets nyhetsdekning
Treholt-bløffen
Privatetterforsker, journalist og forfatter Geir Selvik Malthe-Sørenssen (50) har de siste fem årene beskyldt politiet for bevisjuks og forfalskninger i Treholt-saken. Nå avsløres han selv for juks.
Årets digitale historie
SKUP-diplom 2016
Utpresserne
Et lydopptak kunne legge advokatkarrieren til Amir Mirmotahari i grus. Noen tjente store penger på det. Dette er jakten på de ukjente pengeutpresserne.
Årets digitale historie
SKUP-diplom 2016
Advokaten og torpedoen
Forsvarsadvokat Amir Mirmotahari ba torpedoen kidnappe og dope ned et voldtektsoffer. Målet var å holde henne unna rettssalen – slik at klienten hans gikk fri.