Het verhaal achter het offline halen van Hansa Market begon al twee maanden eerder met een andere belangrijke marktplaats op het darkweb, Alphabay. Het Team High Tech Crime van de nationale politie kreeg signalen door dat de FBI bezig was met een grote operatie omtrent AlphaBay, en zag direct kansen om die actie te combineren met een onderzoek dat op dat moment liep tegen Hansa Market.

Op dat moment deed de politie al volop onderzoek naar Hansa, waarvan een server in Nederland stond en er dus jurisdictie was om daarnaar te kijken. Dat onderzoek begon al in 2016, toen het team tips binnenkreeg van het European Cybercrime Centre van Europol én van beveiligingsbedrijf Bitdefender dat servers van Hansa ooit in Nederland gehost waren. Later bleek de infrastructuur verhuisd naar Litouwen, maar door een zogeheten ‘Mutual legal assistance treaty’ (MLAT) wist de politie samen te werken met de opsporingsdiensten in Litouwen. Daardoor kreeg de politie in één klap toegang tot alle informatie van Hansa Market.

Operatie Bayonet

“Het was makkelijk geweest om de website op dat moment neer te halen”, vertelt THTC-teamleidster Petra Haandrikman in een interview met beveiligingsonderzoeker Brian Krebs, “maar toen we hoorden dat de FBI een eigen onderzoek had lopen kwamen we op een veel beter idee.” Volgens Haandrikman wilde de FBI dat het offline gaan van AlphaBay er voor de gebruikers als een ‘exit scheme’ uit zien, waarbij het erop zou lijken alsof de eigenaren er plotseling met alle bitcoins vandoor zouden gaan.

“Ons idee was om er nog een schepje bovenop te doen en de darknet-marktplaatsen nog een extra klap te geven. Gebruikers denken dan dat ze gewoon naar een andere marktplaats gaan, maar in werkelijkheid lopen ze zo tegen de politie aan.”

Zo volgde een interessante operatie, genaamd ‘Bayonet’. Haandrikman: “We kregen fysieke toegang tot de machines in Litouwen, en we wisten die servers te clusteren met onze eigen servers die in ons eigen land stonden. Zo konden we de website makkelijk kopiëren zonder de sites offline te halen, zodat niemand het door had. Op die manier wisten we constant een real-time-kopie van de database te houden terwijl we rustig de code van de website konden overplaatsen. Er was dus een tijd dat de site op twee servers draaide terwijl we die kopieerden.”

Vanaf dat moment had de politie volledige toegang tot alle transacties via de website, alle berichten, en zelfs wachtwoorden en ip-adressen van kopers en verkopers. En toen de FBI AlphaBay offline haalde volgde inderdaad de voorspelde exodus. “We noemden de nieuwe bezoekers ‘AlphaBay-vluchtelingen’. Ze kwamen met zoveel tegelijk dat we tijdelijk de registratie van nieuwe bezoekers stop hebben moeten zetten. Dat leidde ook weer tot taferelen waarbij gebruikers hun bestaande Hansa Market-accounts te koop aanboden op Reddit.

Door de actie wist de politie ruim een maand lang alle gebruikers in de gaten te houden. Na dertig dagen ging de site alsnog op slot en kwam er een grote waarschuwing te staan aan alle bezoekers dat de website was overgenomen - inclusief een melding met nicknames én woonplaatsen van verdachten. Wie de aankondiging miste kon bovendien moeilijk heen om het bombarie waarmee het THTC de actie aankondigde, en de media-aandacht die de onconventionele aanpak wereldwijd wist te genereren.

Daarmee leek het belangrijkste doel van ‘Operatie Bayonet’ geslaagd: drugsverkopers laten zien dat zij ook op het darkweb niet volledig anoniem zijn.

Lovende reacties en kritiek

De actie van de politie op veel bewonderende reacties rekenen - zelfs van de gebruikers van Hansa die zelf getroffen worden. Uitgerekend op de stickied megathread op de /r/darknetmarkets-subreddit spreken lezers bewondering uit voor de geraffineerde wijze waarop de politie te werk ging. “‘Admin’ on Hansa handled a support ticket for me after 20th Jun and was very expedient and professional. 10/10 would use LE-controlled market again” schrijft iemand.

Toch is er ook veel kritiek op het neerhalen van de website, al gaat dat niet altijd over de dubieuze handelswijze. Er bestaat een sterk gepolariseerde discussie over het bestaansrecht van online drugsmarktplaatsen in het algemeen, met voorstanders die zeggen dat drugs via handelsplaatsen als AlphaBay en Hansa Market juist extra veilig zijn omdat er een community-based rating achter zit. Bovendien, zegt deze groep, verplaatsen takedowns zoals die van AlphaBay en Hansa het probleem alleen maar naar andere marktplaatsen of zelfs weer gewoon naar straat. “Het is niet zo alsof de kopers dan ineens stoppen met drugs”, schrijft een reageerder op Reddit.

Heeft het wel effect?

Een belangrijk deel van de actie is dan ook niet het stoppen van drugshandel, maar het afschrikken van criminelen. De afschrikwekkende werking van de acties moet criminelen laten zien dat ze ‘ook online niet zo anoniem zijn als ze denken’. Dan maakt het niet zoveel uit als verkopers uiteindelijk naar andere websites gaan.

Van der Gouwe noemt dat het ‘waterbedeffect’: waar aan de ene kant het aantal gebruikers van een neergehaalde marktplaats drastisch daalt, stijgt het weer bij een nieuwe marktplaats. Dat is enigszins vergelijkbaar met de bestrijding van piraterij, waarbij het blokkeren van websites zoals The Pirate Bay juist zorgt voor een flinke stijging van bezoekers van andere downloadwebsites.

© PXimport

Toch zijn de twee situaties ook verschillend, omdat de bestrijding van piraterij veel minder prioriteit heeft voor de politie. Meer gebruikers maken zich dan ook schuldig aan illegaal downloaden, de pakkans is kleiner, en het is makkelijk om een downloadsite op te zetten. Daarom wordt piraterijbestrijding vaker het Hydra-effect genoemd, waarbij voor iedere offline gehaalde website juist méér nieuwe websites opkomen.

Bij de bestrijding van drugsmarktplaatsen gaat het vaak om één enkel bekend alternatief waar gebruikers naartoe stromen als een andere website offline wordt gehaald. Juist dat is het succes geweest voor deze politieactie. “Toen we merkten dat de FBI bezig was met een actie tegen Alphabay konden we al voorspellen dat veel gebruikers dan naar Hansa zouden verplaatsen”, legt Haandrikman uit in een interview aan Brian Krebs. “Daar hebben we handig op ingespeeld.”

Nóg een verschil met piraterij: bij het bestrijden van drugsmarktplaatsen lijkt die aanpak nog te werken ook. TNO deed onderzoek naar de effecten van de specifieke Hansa-actie en ontdekte dat slechts twintig procent van de verkopers op AlphaBay en Hansa overstapten naar de nieuwe grote marktplaats Dream Market.

Lopend onderzoek

Een belangrijk deel van het succes van Operatie Bayonet betreft overigens wel de slechte veiligheidsmaatregelen door de slachtoffers. Hetzelfde onderzoek laat namelijk ook zien dat meer dan de helft van de verkopers die na de actie overstapten van AlphaBay of Hansa naar Dream Market dezelfde gebruikersnamen, wachtwoorden, en PGP-sleutels behield. Naar alle waarschijnlijkheid heeft dat weer te maken met het belang van reputaties op dergelijke websites: verkopers willen na de actie hun klanten niet verliezen en weer opnieuw beginnen met het opbouwen van een reputatie.

Ondertussen lopen er tientallen onderzoeken naar voornamelijk Nederlandse gebruikers van de site - zowel verkopers als kopers zelf. Ook is informatie overgebracht naar buitenlandse opsporingsdiensten. De politie wil vanwege het lopende onderzoek nog niet zeggen hoe het achter de echte identiteiten van gebruikers is gekomen, maar wel zegt THTC-leidster Haandrikman tegen Krebs dat er overleg is geweest met sommige Hansa-gebruikers door om zaken te vragen waarmee personen en geld zijn opgespoord. En de politie? Die heeft 1.158 in beslag genomen bitcoins aan het OM gegeven. Levert toch nog een mooi zakcentje op …