Haastattelussa Spurdomarketin ylläpitäjä

Viranomaiset sulkivat Sipulimarketin joulukuussa 2020. Kovin kauan ei suomalaisten tarvinnut olla ilman kotimaista markettia, sillä kymmenisen päivää myöhemmin ovensa avasi Spurdomarket.

Ensimmäisenä Spurdomarketissa kiinnittää huomiota nimi. Spurdo, koko nimeltään Spurdo Spärde, on meemi suomalaisessa lautakulttuurissa. Ulkopuolisen silmin kyseessä on rumasti piirretty nalle, joka solkottaa sekavia.

Spurdo on kieltämättä erikoinen valinta marketin nimeksi. Mutta ei nimi miestä pahenna, ellei mies nimeä, kuten sanonta kuuluu. Spurdomarketissa on jo lähes parikymmentä vendoria, joista osa on tuttuja Sipulimarketista. Luottoa uutta markettia kohtaan siis näyttää löytyvän, ja se onkin se olennainen asia.

Olen ollut yhteydessä Spurdomarketin ylläpitäjään marketin perustamispäivästä saakka. Nyt market on noin kuukauden ikäinen, mistä voinee päätellä, että se on tullut jäädäkseen. Niinpä on oikea aika julkaista marketin ylläpitäjän haastattelu.

Spurdomarket tekee monet asiat eri tavalla kuin sen edeltäjät Sipulimarket ja Silkkitie. Lisäksi luvassa on paljon sellaista, mitä kotimaisessa skenessä ei ole ennen nähty. Pidemmittä lätinöittä siirrytään kysymyksiin ja vastauksiin.

Miksi juuri Spurdomarket?

Spurdomarket sopii Suomalaiseen nettikulttuuriin ja tulee kuulostamaan hauskalta lehtien otsikoissa.

Milloin aloit tehdä markettia ja mikä ratkaisi julkaisuajankohdan?

Ensimmäiset commitit Git repossa on jo kesältä 2017, mutta tämä projekti on edistynyt äärimmäisen hitaasti. Sipulimarketin sulkeutuminen motivoi pienen loppuspurtin.

Olet nyt kuukauden ajan ollut aktiivinen kirjoittelija Tor-verkon foorumeilla, Ylilaudalla ja jopa Twitterissä. Koskaan aikaisemmin ei suomalainen nettihuumekaupan toimija ole tehnyt tiliä sosiaaliseen mediaan. Miksi perustit Twitter-tilin?

Tulemme hakemaan näkyvyyttä keinoja kaihtamatta. Tänään Twitter-tili, huomenna kaupallinen yhteistyö julkisuuden henkilöiden kanssa. Etsimme tälläkin hetkellä kiinnostuneita henkilöitä jakamaan mainoslehtisiämme pääkaupunkiseudun postiluukkuihin.

Millaista kaupallista yhteistyötä suunnittelet?

Pääasiassa sponsoroituja Instagram-postauksia, mutta olisi ihan kiva, jos saataisiin joku muusikko ottamaan Spurdomarket lyriikoihinsa. Yhdysvalloissahan tälläistä musiikkia on paljon, esimerkiksi tämä:

https://www.youtube.com/watch?v=OiEym3XTCBw&feature=emb_logo&ab_channel=PerfectPlug

Olet kertonut, että asut ulkomailla, tietokoneesi on ikkunattomassa huoneessa ja pihallasi on kamerat. Mitä muuta voit kertoa itsestäsi ja kodistasi?

Kamerat hälyttävät ja antavat hyvin aikaa valmistautua, jos joku lähestyy kotiani. Työhuoneen oven avaaminen saattaa aktivoida tiettyjä varotoimia :) Työstän Spurdomarkettia vain tästä huoneesta varmistaakseni, etten koskaan tule tekemään virhettä, joka sallisi ulkopuolisen tahon pääsyn koneelleni sen ollessa salaamattomana päällä. Niin kutsuttuihin evil maid -hyökkäyksiin on varauduttu akullisilla kameroilla, ja jos kamerajärjestelmissä esiintyy odottamattomia ongelmia, menee tietokone heti vaihtoon. Nämä ovat hyvin yksinkertaisia varotoimia, joita odottaisin keneltä tahansa, joka tälläiseen leikkiin ryhtyy.

Mitä minuun tulee, olen seitsemän proxyn takana elävä vainoharhainen tietoturvaosaaja, joka on käyttänyt aivan liikaa aikaa sipuliverkon kanssa pelailuun jo yli vuosikymmenen ajan. Olen vuosien kuluessa obsessiivisesti selvittänyt kaiken mahdollisen tähän mennessä suljetuista piilopalveluista ja pidätetyistä sipuliverkon henkilöistä, enkä aio toistaa samoja virheitä.

Miten Spurdomarket eroaa Sipulimarketista teknisesti?

Sipulimarket perustui Eckmarin julkiseen markettimoottoriin. Eckmar-viritys näyttää nätiltä, mutta kärsii useista tietoturvaongelmista. Spurdomarket on rakennettu Pythonilla Flaskia ja Jinjaa käyttäen. Kyseessä on lähinnä henkilökohtainen preferenssi eikä mikään merkittävä yksityiskohta. Oleelliset tekniset erot keskittyvät enemmän tietoturvapuolelle.

Miten olet panostanut tietoturvaan?

Spurdomarketin moottori on rakennettu puhtaalta pöydältä, ensisijaisena tavoitteena sivun ja sen asiakkaiden tietoturva. Käyttämämme teknologiat takaavat ettei sivuilta tule löytymään mitään yksinkertaisia SQL-injektio tai XSS-aukkoja. Olemme myös varautuneet muita suomalaisia marketteja piinanneisiin TOCTOU-aukkoihin, jotka johtivat ryöstöihin Silkkitiellä ja Sipulimarketissa.

Tallennamme asiakkaistamme paljon vähemmän tietoja kuin edeltäjämme, tilaukset katoavat tietokannastamme välittömästi palautteen antamisen jälkeen. Emme säilytä bitcoin-siirtohistoriaa Sipulimarketin tavoin. Kaikki tilausosoitteet ja viestit salataan automaattisesti myyjän PGP-avaimella, eikä selkotekstisiä tilaustietoja koskaan tallenneta palvelimillemme. Vaikka viranomaiset saisivat tietokantamme käsiin, ei sieltä irtoaisi tietoja, joiden varassa pystyttäisiin nostamaan syytteitä.

Ehkä suurin "innovaatiomme" on erotella sivu kahteen osaan. Meillä on erikseen tietoja väliaikaisesti välimuistissa sälyttävä frontend-palvelin, johon asiakkaiden liikenne ohjautuu, ja salainen backend-palvelin, jolla kaikki varsinainen bisneslogiikka tapahtuu. Jos viranomaiset takavarikoivat frontend-palvelimemme, voivat he pahimmassa tapauksessa saada välimuistista käsiinsä tietoja vain viimeisen parin tunnin aikana sisään kirjautuneista käyttäjistä.

Kommunikaatio frontend- ja backend-palvelinten välillä tapahtuu Tor-verkon ylitse, joten päästäkseen käsiksi sivun oikeaan tietokantaan viranomaisten pitäisi pystyä deanonymisoimaan backend-palvelimen piilopalvelu, jonka osoitetta he eivät tiedä. Tämä on käytännössä mahdotonta.

Onionbalancen ansiosta frontend-palvelimellamme ei myöskään ole pääsyä Spurdomarketin sipuliosoitteen avaimiin, joten mahdollisen takavarikon sattuessa emme joudu katselemaan Tullin takavarikkosivua, vaan kauppa tulee jatkumaan parin tunnin sisällä.

Viranomaiset saivat haltuunsa Sipulimarketin palvelimen ja sulkivat sivuston. Voiko sama tapahtua Spurdomarketille?

Kaikki on mahdollista, mutta pidän tätä äärimmäisen epätodennäköisenä. Jotta viranomaiset pystyisivät todella sulkemaan Spurdomarketin, tulisi heidän löytää Spurdomarketin salaisen piilopalvelun takana oleva tietokantapalvelin. Viranomaiset eivät tiedä palvelimen onion-osoitetta, joten tätä palvelinta on lähes mahdoton alkaa etsimään takavarikoimatta ensiksi Spurdomarketin frontend-palvelinta. Jos näin kävisi, vaihtaisimme heti tietokantapalvelimen osoitteen ja jatkaisimme toimintaa.

Palvelimemme myös sijaitsevat paikassa, josta Suomen viranomaisten tulee olemaan hyvin vaikea saada oikeusapua, mutta en luota tähän sokeasti.

Spurdomarketissa ei voi antaa kirjallista palautetta. Miksi?

Yksinkertaistettu palautesysteemi oli paljon pyydetty ominaisuus kun kyselin Keskustorilla. Voi olla, että myöhemmin laitetaan kirjalliset palautteet päälle, jos niille näyttää olevan tarvetta.

Olet kertonut, että Spurdomarket alkaa palvella myös englanniksi. Miksi näin ja millä aikataululla?

Tällä hetkellä noin puolet sivusta on englanniksi, koska kehitän englanniksi ja käännän vasta jälkikäteen. Useat myyjämme ovat englanninkielisiä, joten en ole kiirehtinyt käännösten kanssa. Parin viikon sisällä lisään kielivalinnat ja viimeistelen käännökset. Aiomme laajentua muihinkin maihin, joten kielivalinnoille tulee olemaan tarvetta.

Suomalaisissa marketeissa on aina käytetty vain bitcoineja. Olet kertonut, että tulevaisuudessa Spurdomarketissa voi maksaa bitcoinin lisäksi myös monerolla. Miksi tällainen lisäys?

Bitcoin-siirrot ovat kaikille julkisia, monero-siirrot eivät.

Tammikuun 2. päivä alkoi palvelunestohyökkäys Suomilautaa, Keskustoria ja Spurdomarketia kohtaan. Suomilauta kaatui ilmeisesti lopullisesti ja Keskustori halvaantui tilapäisesti, mutta Spurdomarketiin hyökkäys ei vaikuttanut. Mistä tämä johtuu?

Meillä taitaa olla enemmän palvelinkapasiteettia kuin laudoilla. Palvelimiin menee noin tonni kuussa, tuolla rahalla saadaan yhteensä 128 CPU ydintä. Veikkaisin, että laudoilla on ehkä kymmenesosa tästä käytettävissä. Hyökkäys söi pahimmilaan lähes kaiken meidän palvelinkapasiteetin, muttei kuitenkaan riittänyt kaatamaan sivuja.

Olet kertonut, että tulet avaamaan F2F-kaupankäyntiin pohjautuvan sivuston. Mitä voit kertoa siitä?

F2F-alustallamme mainostaminen tulee olemaan maksullista, todennäköisesti noin 20e/pvä pk-seudulla ja halvempaa vähemmän aktiivisilla alueilla. Maksulliset mainokset on helpoin tapa vähentää rottailua, mistä on tullut harmittavan yleistä katukaupassa.

Mitä terveisiä lähetät Punaisen Kolmion lukijoille?

Turvallisia kauppoja! Pitäkää itsestänne huoli ja ottakaa ainakin PGP käyttöön.

Spurdomarketin osoite: http://leholhxqh5zsjblyhhjc6oqztjxb74pkv642rcsfaz76vsk2tk3gkpqd.onion

Spurdomarketin Twitter-tilin löydät täältä.

Sipulimarketin tilinpäätös

Vuosi 2020 sai yllättävän lopun Tor-verkon huumeskenessä, kun 11. joulukuuta Tulli tiedotti takavarikoineensa Sipulimarketin palvelimen. Tullin mukaan se takavarikoi myös bitcoineja.

Huhtikuussa 2019 perustettu Sipulimarket oli yli viisi vuotta toimineen Silkkitien seuraaja. Kukaan tuskin arvasi, että sen taival päättyisi näin nopeasti. Sipulimarket tunnettiin luotettavana ja hyvin toimivana kauppapaikkana, jonka ylläpitäjä kuunteli käyttäjien toiveita ja kehitti aktiivisesti sivustoaan.

Mitä tapahtui? Miten viranomaiset jäljittivät palvelimen?

Sipulimarketin ylläpitäjä otti minuun yhteyttä sähköpostitse pian sen jälkeen, kun Tulli oli sulkenut marketin. Hän itse pohdiskeli palvelimen takavarikkoa näin:

"Aika varmasti se liittyi siihen noin päivänmittaiseen katkokseen noin 1,5kk sitten. Market oli palvelimella datakeskuksessa Puolassa, ja sieltä ainakin heidän mukaansa kärähti koneen virtalähde. Heidän piti sitten kuulemma vaihtaa palvelimen alle uutta rautaa ja siinä sitten ilmeni uusi ongelma, koska olin alkanut vuokraamaan isompaa kiintolevytilaa, eikä palvelinta saatu siirrettyä oikein ilman heidän manuaalisesta säätöä. Luultavasti he tässä vaiheessa sitten huomasivat että palvelimella voi olla jotain epäilyttävää. Tai sitten Tulli huomasi katkoksen ja lähti selvittelemään missä datakeskuksessa on ollut häiriöitä kyseiseen aikaan."

Julkisuudessa ei ole kerrottu, kuinka paljon bitcoineja Tulli takavarikoi. Kysyin asiaa Sipulimarketin ylläpitäjältä.

"Tulli vei 3,1 bitcoinia. Yleensä pidin palvelimella vain sen verran että kaikki saavat varmasti nostot tehtyä välittömästi, vaikka en kävisi marketissa noin viikkoon. Eli jäi mulle talteen osa escrowista ja tilien saldoista, mutta tätä sotkua en ala enää selvittelemään. Kahdesta varkaudesta alkuvuonna maksoin jo omista bitcoineista."

Sipulimarketin ylläpitäjä ei pidä mahdollisena, että hän perustaisi uuden kauppasivuston.

"Varmaan jokainen ymmärtää, että mun kannattaa nyt kadota Tor-verkosta lopullisesti, koska todistetusti Tulli, Europol, Eurojust ja Puolan poliisi yrittää jahdata mua. Varmaan KRP:n kaverit ja ties ketkä myös. Täysin järjetöntä olisi enää jatkaa näitä puuhia."

Viimeisen meilinsä minulle Sipulimarketin ylläpitäjä päätti lämminhenkisesti.

"Oli hauska seurata sun blogia, ja jutella market-asioista."

Jep, oli kyllä hauska jutella. Yhteydenpitomme alkoi toukokuussa 2019, kun julkaisin Sipulimarketin ylläpitäjän haastattelun. Hänen ja Silkkitien Kapteenin suurin ero oli se, että hän oli tavoitettavissa. Hän vastasi aina kysymyksiini ja usein kirjoitti minulle oma-aloitteisesti siitä, miten oli markettia kehittänyt ja mitä haasteita oli kohdannut. Opin häneltä valtavasti Tor-verkon huumekaupasta ja marketin pyörittämisestä. Pääsin kulissien taakse ja sain tietää skenestä asioita, joita en voi kertoa julkisesti.

Sipulimarketin ylläpitäjä ehdotti, että hän voisi laittaa marketin etusivulle linkin blogiini. Sinnehän se sitten ilmestyi vasempaan alakulmaan.

Sipulimarketin ylläpitäjältä sain myös tietoa marketin myynnistä, ja se johti mielenkiintoiseen havaintoon.

Tein vuonna 2020 kaksi blogausta koronapandemian vaikutuksesta Sipulimarketin myyntiin (tässä niistä ensimmäinen ja tässä toinen). Samana vuonna julkaistut jätevesitutkimukset osoittivat, että Sipulimarketin myynti heijastui koko Suomen huumeiden käyttöön. Toisin sanoen jos jotain ainetta myytiin marketissa paljon, käytettiin sitä runsaasti koko maassa, ja jos jonkin aineen tarjonta heikkeni marketissa, väheni sen käyttö koko maassa.

Seuraavaa jätevesitutkimusta odotellessa muutama havainto viime vuoden lopulta. Ilmeisesti koronapandemian toinen aalto vaikutti huumeiden maahantuontiin, sillä kokaiini loppui Sipulimarketista lokakuussa. Myös MDMA:n tarjonta väheni selkeästi. Marras-joulukuussa sitä oli myynnissä vain yhdellä vendorilla, ja aina ei silläkään. Piriä oli tarjolla runsaasti.

Subutexia ja LSD:tä ei jätevesitutkimus huomioi, mutta niistä on sanottava, että subua oli loppuvuodesta jatkuvasti tarjolla ja happoa yllättävän hyvin, usein kolmella vendorilla.

Kun Sipulimarket suljettiin, monet vendorit siirtyivät ulkomaisiin marketteihin. Esimerkiksi PohjolanBudit myy nyt Cannazon Marketissa ja Puhdas DarkFox Marketissa.

Kovin kauaa ei tarvinnut odottaa uutta suomalaista markettia, sillä 20. joulukuuta ovensa avasi Spurdomarket. Ensimmäisenä Spurdomarketissa herättää huomiota erikoinen nimi ja jokseenkin karu (mutta toisaalta selkeä) ulkoasu. Kaikki muu Spurdomarketissa vaikuttaa kuitenkin olevan kunnossa. Tämän voi päätellä siitä, että kauppaa siellä käy jo kymmenen vendoria, joista osa on tuttuja Sipulimarketista.

Lienee vain ajan kysymys, milloin loputkin ulkomaisiin marketteihin siirtyneet vendorit tekevät tilin Spurdomarkettiin.

Spurdomarketin ylläpitäjä on vastannut kysymyksiin ja keskustellut aktiivisesti Keskustorilla ja Suomiskenessä. Näiden Tor-verkon foorumien lisäksi hän käyttää myös Twitteriä. Kyllä vain, Spurdomarketilla on Twitter-tili. Koskaan aikaisemmin ei suomalainen nettihuumekaupan toimija ole tehnyt tiliä sosiaaliseen mediaan. Twitter-tilin löydät täältä.

Olen ollut yhteydessä Spurdomarketin ylläpitäjään sivuston aukeamispäivästä saakka ja tulen julkaisemaan hänen haastattelunsa tämän kuun aikana.

Sipulimarketin ylläpitäjään minulla ei enää ole yhteyttä, sillä hän poisti sähköpostiosoitteensa. Ehkä hän joskus vielä ottaa yhteyttä ja kertoo kuulumisiaan.

Lopuksi haluan mainostaa Herrasmieshakkerit-podcastin viimeisintä jaksoa, jossa minä olen vieraana. Vuonna 2020 media haastatteli minua usein Tor-verkon rikollisuuden asiantuntijana. Vuosi huipentui kutsuun Herrasmieshakkerit-podcastiin, jota vetävät F-Securen tietoturvagurut Mikko Hyppönen ja Tomi Tuominen. Jakso kannattaa kuunnella, mikäli painava asia Tor-verkosta ja huumekaupasta vähänkään kiinnostaa. Löydät podcastin täältä.

Jos käytät Facebookia, käyhän tykkäämässä Punaisen kolmion sivusta. Se onnistuu täältä.

Hyvää alkanutta vuotta 2021!