Adresseavisen avdekket i januar at resultatene fra en internasjonal politiaksjon mot overgrepsbildenettstedet Playpen hadde ført til minst sju pågripelser i Norge.

Det skjulte nettstedet Playpen ble av FBI omtalt som et av de mørkeste stedene på jorda. Slik så innloggingssiden ut.

Metodene som amerikanske FBI hadde brukt, hacking eller såkalt dataavlesing, var ikke tillatt i Norge i 2015. Utenlandske myndigheter har heller ikke lov til å ta seg inn i datamaskiner her i landet. I USA har flere domstoler i tillegg slått fast at FBIs metode var ulovlig, fordi den har blitt brukt utenfor nedslagsfeltet til retten som godkjente bruken. Det er hacket maskiner over hele USA og hele verden.

Nå kan Adresseavisen fortelle at sakens norske omfang er langt større. Ifølge Kripos er det opprettet sak mot 43 nordmenn som følge av Playpen-saken.

FBI har dermed hacket 43 nordmenn over hele Norge.

LES OGSÅ KOMMENTAR: Hvor er lovens voktere?

Kripos har ikke svart

I samtlige saker er utgangspunktet, hackingen, omtalt av Kripos på en slik måte at verken domstoler, forsvarere eller lokalt politi har forstått at utgangspunktet er bevis innhentet ulovlig. Dataeksperter avviser at forklaringen er teknisk mulig.

Dette fratar de siktede og domstolen muligheten til å utfordre politiets metodebruk. Det er svært problematisk, ifølge jusprofessor Alf Petter Høgberg ved Universitetet i Oslo.

- Fremleggelse er i høy grad regulert i Norge. Tiltalte og hans forsvarer skal som utgangspunkt gis tilgang til alle relevante dokumenter, sier Høgberg.

Kripos har siden høsten 2016 nektet å svare på Adresseavisens gjentatte spørsmål om utgangspunktet for sakene, men bestrider at de har vært kjent med opplysninger som tilsier at IP-adressene ikke kunne brukes.

Anmeldelsene, som er grunnlaget for de norske sakene, ser i et overveldende flertall av de 43 tilfellene slik ut:

«I forbindelse med aksjonen ble det logget en norsk IP-adresse: XXXXXXXX Det ble i denne forsendelsen ikke oppgitt hva brukeren av den angitte IP-adressen hadde foretatt seg på de ulike sidene. 09.06.15 mottok Kripos informasjon fra Europol som inneholdt hva brukeren av IP-adresse XXXXXXXX gjort på nettsiden.».

Førstestatsadvokat Bjørn Kristian Soknes ved Trøndelag statsadvokatembeter uttalte i januar at han mente at domstoler og forsvarere burde ha blitt informert om at mistanken mot de siktede stammet fra FBIs hacking.

Førstestatsadvokat Bjørn Kristian Soknes var i januar kritisk til at rettsvesenet og forsvarere ikke ble informert om FBIs hacking av norske borgere.

- Det burde vært opplyst om metodebruken til regional påtalemyndighet og dernest til forsvarene, slik at det kunne vært prosedert rundt bevisene i retten. Det er kritikkverdig at det ikke skjedde, og at domstolene ikke har fått tatt stilling til bevisene og kontrollert det opp mot norsk jus. Men hvem som bør kritiseres for dette - det vet jeg ikke, sa Soknes.

Ikke teknisk mulig

IP-adresser brukes ofte av politiet for å identifisere personer som begår kriminelle handlinger på nett. En slik adresse er en tallrekke som kan avsløre hvor man fysisk befinner seg.

De 43 nordmennene som ble hacket, benyttet seg imidlertid av det mørke nettet - et avgrenset nettområde som kun er tilgjengelig via nettleseren Tor. Nettleseren kamuflerer IP-adressen til brukerne, slik at de ikke kan leses av, eller logges slik Kripos oppgir.

Adresseavisen har spurt NTNU-professor Stig Frode Mjølsnes om Kripos-forklaringen er tilstrekkelig til å beskrive hvordan de 43 nordmennene har blitt identifisert. Mjølsnes, som er ekspert på kryptografi og kommunikasjonssikkerhet, har vært oppnevnt datasakkyndig i flere straffesaker.

NTNU-professor Stig Frode Mjølsnes er ekspert på kryptografi og kommunikasjonssikkerhet.

Ifølge professoren er det ikke teknisk mulig å gjøre det politiet skriver.

- Logging av en IP-adresse skal ikke være mulig slik metoden antydes her, det er et grunnleggende designkriterium for Tor. Den enkle beskrivelsen av det digitale beviset du siterer her, bør ikke aksepteres for norske domstoler, slår Mjølsnes fast.

Runa Sandvik arbeidet i fire år for Tor, stiftelsen bak teknologien som brukes for å nå det mørke nettet. Hun avviser også Kripos-forklaringen som umulig:

Runa Sandvik, sikkerhetsdirektør i New York Times, arbeidet i fire år for Tor, stiftelsen bak teknologien som brukes for å nå det mørke nettet.

- Dette forklarer ikke hvordan IP-en er logget, nei. Det er kun mulig å få en reell IP hvis brukeren har gjort noe feil, eller fordi du har sendt brukeren et program som kommuniserer tilbake uten å bruke Tor-nettleseren, sier Sandvik, som det siste året har vært sikkerhetsdirektør i New York Times.

Adresseavisen har i høst på ulike måter fått undersøkt 40 av de 43 norske sakene som stammer fra Playpen-etterforskningen. Det er ikke funnet ett eneste tilfelle hvor en domstol, en forsvarer eller lokalt politi på eget initiativ har stilt spørsmål ved beskrivelsen av hvordan IP-beviset er innhentet. Så langt er det avsagt over ti dommer i komplekset.

Sakene fordeler seg på alle landets politidistrikt. Vestlandet, hvor noen inngår i Dark Room-komplekset, Oslo og Trøndelag har flest med fem eller seks saker hver.

Få advokater vil snakke

I nær hver sak har det blitt beordret ransaking basert på opplysningene fra Kripos, uten en rettslig vurdering av hvordan politiet kan knytte de siktede til kriminalitet.

Svært ofte finner politiet andre typer overgrepsmateriale hos mennene. For å få saken ut av verden samtykker de siktede i mange tilfeller til forenklet saksbehandling hvor de tilstår, gjerne uten å ha hatt bistand fra forsvarere overhodet.

Selv i tilfeller hvor de siktede har forsvarere, fanges ikke hackingen opp. Flere forsvarere Adresseavisen har vært i kontakt med, har vanskelig for å tro at grunnleggende bevis er fremlagt uten at det er opplyst om ulovlige etterforskningsmetoder.

- Jeg har aldri vært borti saker med ulovlig innhentede bevis. Jeg har holdt på med dette i 30 år og kan ikke huske noe lignende, sier advokat Jon Reidar Aae, som er forsvarer i en av sakene som oppsto på grunn av FBIs hacking.

- Jeg har aldri vært borti saker med ulovlig innhentede bevis. Jeg har holdt på med dette i 30 år og kan ikke huske noe lignende, sier advokat Jon Reidar Aae.

Få av advokatene vil snakke om sakene i etterkant av at dom har falt, av hensyn til klientene:

- Han ga full tilståelse i retten og er dessuten psykisk syk. Som du ser av dommen var dette et resultat av tvangstanker der hans frykt for at han selv eller nærstående kunne bli utsatt for seksuelle overgrep medførte at han til slutt ble innehaver av en del overgrepsbilder. Dette er derfor ikke en sak jeg kan fronte på hans vegne, sier advokat Per Stautland, som var forsvarer i en av sakene i en liten kommune.

Tilgjengelig på google

Siden slutten av 2016 har det ikke lykkes Adresseavisen å få svar fra Kripos på hvorfor anmeldelsene er utformet slik de er, eller å få en kommentar til etterforsknignsmetoden som var ulovlige i Norge. Kripos vil heller ikke svare på om funnene kan få konsekvenser for hvordan informasjon fra internasjonale samarbeidspartnere behandles i fremtiden. Reinert Ottesen, leder av retts- og påtaleenheten i Kripos, opplyser følgende på generelt grunnlag om mottak av bevis fra utlandet:

- Det gjøres en konkret vurdering av hvorvidt og hvordan informasjonen kan brukes i Norge i hvert enkelt tilfelle. I denne vurderingen inngår blant annet vår kunnskap om og kjennskap til politimyndighetene i avsenderlandet og deres arbeidsmetoder.

Ottesen vil ikke svare på konkrete spørsmål om FBI-sakene og hvorfor det i de norske anmeldelsene står at IP-adressene er «logget». Han skriver videre i en e-post til Adresseavisen:

- Når vi får informasjon på denne måten gjennom våre samarbeidskanaler er det et etablert utgangspunkt at informasjonen vi mottar er innhentet etter de regler som gjelder i det aktuelle landet. Kripos er ikke kjent med opplysninger som skulle tilsi at den mottatte informasjonen ikke kunne benyttes som grunnlag for opprettelse av saker.

Fremgangsmåten FBI brukte i Playpen-saken har vært tilgjengelig via google-søk siden få måneder etter at aksjonen skjedde i 2015.

LES OGSÅ - Veldig alvorlig

Åpent spørsmål

Jusprofessor Jon Petter Rui ved Universitet i Bergen mener det er et rettssikkerhetsproblem dersom politiet ikke har informert om utgangspunktet for en sak, slik at domstoler og forsvarere får tilgang til opplysningene. Rui uttaler seg på generelt grunnlag og sier følgende om ulovlige bevis:

- Det er ikke slik at bevis som er innhentet lovlig i samsvar med andre lands rett, også vil anses som lovlig ervervet her til lands.

Jon Petter Rui er jusprofessor ved Universitet i Bergen.

Ifølge Rui, som er ekspert på straffeprosess, har norske domstoler tillatt bruk av ulovlige beviser, men at det i det siste har vært en dreining mot det motsatte.

- Det har vært en viss tendens i senere rettspraksis i retning av at beviser som er innhentet ved uhjemlede krenkelser av en persons privatliv, ikke tillates ført. Grunnen er at selve innhentingen da er en krenkelse av grunnloven og Den europeiske menneskerettighetskonvensjon. Det er altså et åpent juridisk spørsmål i hvilken grad slike ulovlig ervervede bevis skal tillates ført, sier Rui.

Adresseavisen var fredag i kontakt med Riksadvokatens kontor som opplyser at embedtet ikke ser grun til å gå inn i de norske Playpen-sakene.