Загадочная история Silk Road: процесс деанонимизации основателя крупнейшей торговой площадки теневой сети
Хотелось бы представить вам историю, повествующую о деанонимизации крупнейшей торговой площадки теневого сегмента интернета.
Всем салют, дорогие друзья!
Хотелось бы предоставить вам историю, повествующую о деанонимизации крупнейшей торговой площадки теневого сегмента интернета, а именно, детально-разъясняющую статью о проходившем процессе, который оставил больше вопросов чем ответов.
Статья получилась достаточно объемной, поэтому заваривайте чаек и усаживайтесь поудобнее.
Что такое Silk Road?
«Кто-то уже слышал о «Шелковом пути»? Это что-то вроде анонимного eBay, или Amazon. Я не думаю, что они торгуют тяжелыми веществами, но там все равно достаточно большой ассортимент. В качестве средства подключения, они используют Тор-браузер, а платежным инструментом является Биткоин. Кто-то может высказать свое мнение о проекте?». (c) Altoid — 2011, BitcoinTalk
В 2011 году, на самом известном форуме, посвященном криптовалютам (а именно Bitcoin Talk) появилась такого рода запись. Как оказалось, это была первая маркетинговая уловка Росса Ульбрихта, создателя легендарного сайта «Шелкового путь» арестованного ФБР в октябре 2013 года. Впоследствии он был осужден и приговорен к пожизненному заключению. Silk Road был создан в 2011 году как «скрытый» сервис, доступ к которому возможен только через Tor.
Silk Road - простой и удобный в использовании рынок для приобретения запрещенных веществ у продавцов по всему миру. Товар отправлялся напрямую от продавца к покупателю, без вмешательства основателя ресурса. Его единственной связью с наркотиками были деньги, поэтому он решил использовать биткоин, чтобы усложнить отслеживание.
Как спецслужбы сумели поймать основателя?
Официальная версия ФБР:
Это была нелегкая задача. Первоначально агенты не могли отследить конечный адрес платежей, не говоря уже о серверах, на которых был расположен Silk Road. Даже несмотря на то, что в их распоряжении был хакер из Anonymous, технической возможности реализовать деанонимизацию не было. Процесс изрядно застопорился, хотя руководство требовало результатов, агенты были полностью бессильны.
Шаг I. Все изменилось, когда нашли человека, первым упомянувшем название площадки в т.н. «клирнете». Было понятно, что раз он был первым, то он либо является автором ресурса, либо кем-то из очень приближенных. Его никнеймом был «Altoid», чья цитата приведена в начале статьи.
Шаг II. Таким образом, они нашли сообщение на сайте shroomery.org, где тема, созданная этим человеком, являлась маркетинговым продвижением Silk Road, и перенаправляла в блог WordPress, где были даны инструкции для доступа к сайту. Запросив ордер, спецгаенты смогли получить доступ к данным, и сумели обнаружить, что блог был создан за 4 дня до публикации темы на форуме.
Шаг III. Полиция продолжала отслеживать действия неизвестной личности, скрывающейся под личиной «Alotid», обнаружив, что на известном форуме Bitcoin Talk, тоже была создана похожая тема. В октябре 2011 года, там объявился Альтоид, который написал, что ищет «технически подкованного человека, способного работать с биткоинами» и попросил всех заинтересованных лиц отправить электронное письмо на адрес «rossulbricht@gmail.com».
Google, американская корпорация, всегда славилась тем, что раскрывала всевозможные данные представителям спецслужб. И даже на этот раз, после получения соотвествующего ордера, в корпорации наплевали на конфеденциальность.
Запрос в Google позволил агентам выяснить, что учетная запись была зарегистрирована под именем Росс Ульбрихт, и что, в свою очередь, она была связана с профилем Google+, который содержал фотографию потенциального основателя или администратора и ссылку на его любимые видео на YouTube. Специалисты были уверены, что они на правильном пути, ведь большая часть видеороликов, и опубликованный статей, как раз соотвествовала взглядам «Ужасного Пирата Робертса» (прим. никнейм Роса Ульбрихта на площадке Silk Road)
Шаг VI. Тщательно анализуря деятельность Росса в социальных сетях, агенты, шаг за шагом, натыкались на всевозможные упоминания о взглядах Роса, которые всецело соответствовали убеждениям его потенциального альтер-эго из теневого сегмента сети. Следующим немаловажным шагом, стала публикация о Silk Road в местечковой газете (прим. The Austin Cut в Остине, где вырос Ульбрихт). В статье, которая была опубликована после анонимного письма, объяснялся процесс создания площадки Шелкового пути, и идейная подоплека, подразумевающая ощущение полной свободы личности, что Автор анонимного письма утверждал, что создание такого рода магазина, полностью прекратило насилие, связанное с покупкой наркотиков. И что перенос торговли в .onion зону, уменьшил кримногоненную обставноку в США.
Шаг IV. Правительственные службы начали пристально следить за Росом, и изучать места, в которых он любит проводить время.
Шаг V. Далее, агенты обнаружили другую подсказку на сайте StackOverflow (веб-ресурс начинающих програмистов, посвященный взаимпопомщи), где Ульбрихт зарегистрировался в 2012 году, чтобы попросить помощи при подключении «к скрытому серверу Tor с помощью php через curl». В запрос он включил несколько строк кода, которые не работали. Чуть позже, осознав, что публикация под собственным именем не была хорошей идеей, Ульбрихт изменил свое имя на «Frоsty», после чего изменил еще и адрес электронной почты на frosty@frosty.com.
Я поставил в приоритет изучение открытого SSH ключа, который содержался на сервере Silk Road,. Он использовался для того, чтобы администратор сайта смог войти со своими правами доступа. У открытого цифрового ключа, концовка тождественна никнейму некого Росса Ульбрихта, в последствии изменившего свой никнейм на форуме программистов, а именно: «frosty@frosty». Исходя из своего опыта, я знаю, что ключи шифрования SSH состоят из длинных строк текста. Различные программы SSH генерируют открытые ключи по-разному, но все они генерируют открытые ключи в одинаковом формате с текстовой строкой, которая всегда заканчивается в формате «[user] @ [computer]». Компьютер в этой подстроке - это имя компьютера, который сгенерировал открытый ключ, а пользователь - это имя пользователя, который его создал. На основании моего опыта, это значит, что название учетной записи, и имя компьютера, с которого происходит подключение, является, соответственно frosty и frosty. На основании социалогических исследований, многие пользователи используют одинаковые никнеймы, практически на всех форумах, электронных ресурсах и даже собственных компьютерах . Следовательно, я считаю, что «Росс Ульбрихт» , пользователь Stack Overflow «Ross Ulbicht», который изменил свое имя на «frosty» и свой электронный адрес на frosty@frosty.com является тем же лицом, что и DPR, являющийся администратором Silk Road, который подключался к веб-серверу Silk Road с компьютера с именем «frosty», на котором имелся аккаунт пользователя «frosty».
Шаг VI. Далее, начинается самый интересный момент. Правительство утверждает, что они сумели обнаружить исходящий трафик по нескольким странам, что вызывает больше вопросов, чем ответов. Веб-сервер Шелкового пути был настроен так, чтобы администратору не было надобности вводить логин и пароль при подключении, если система считает сервера, с которых поступал трафик — надеждными. ФБР не делали никаких заявлений, касательно Tor, но некоторые считают, что система была взломана, чтобы шпионить за пользователями. Также возможно, что ФБР удалось взломать пароли Шелкового пути, а этого, в принципе, достаточно, чтобы обнаружить IP.
На основании имеющегося у меня опыта, я утверждаю, что данные настройки предусматривают задействование ключей шифрования с подключением по протоколу SSH (Secure Shell). Для возможности генерации такого шифрования, перед администратором стоит задача создать два ключа – «открытый», который расположен на сервере, и «закрытый» ключ, который находится на компьютере, с которого и осуществляется подключение к серверу. Как только эти ключи созданы, сервер может узнавать компьютер администратора на основе связи между закрытым ключом администратора и соответствующем ему открытым ключом, хранящемся на сервере.
Шаг VII. Далее, ФБР мистическим образом находит сервера Silk Road. Главный сервер находился в стране, которая имеет договор с США о правовой помощи, поэтому ФБР смогло получить больше информации. Там они заметили, что открытый ключ сервера заканчивался на «frosty@frost » и что на сервере использовалась версия кода, опубликованного в StackOverflow.
Если кто-то создает пару ключей SSH, используя компьютер MyComputer, и пользователь вошел в систему как John, открытый ключ, сгенерированный в результате, закончится подстрокой John @ MyComputer
Шаг VIII. В июле 2013 года, по всей видимости, в ходе обычной проверки таможенные агенты перехватили посылку, прибывающую из Канады, куда направлялись девять поддельных удостоверений личности, все с разными именами, но с использованием фотографии Ульбрихта. Пакет был адресован отслеживаемому адресу в Сан-Франциско.
Шаг IX. Три дня спустя агенты отправились навестить Ульбрихта в его доме в Сан-Франциско. Росс долго отнекивался, но в конце концов, сказал, что его любой сосед, в состоянии купить такие же на Silk Road, и они придут ему по почте.
Шаг XI. На основании фактов, изложенных выше, спецагент запросил ордер на арест Роса, и привлечения его к ответственности.
Неофициальная версия:
Главный аргумент юриста Ульбрихта - Джошуа Дратела заключается в том, что Росса подставило правительство США. Да, звучит весьма конспирологически, но теория имеет право на существование. В начале судебной тяжбы, защита взяла на себя ответственность за создание Silk Road, однако, заявила, что проект был создан в качестве небольшого «экономического эксперимента», который впоследствии был продан. Юрист уверенно заявляет, что Ульбрихт — далеко не Ужасный Пират Робертс, который управлял форумом. И что на самом деле, форум курирует несколько человек, которые совершали преступления, прикрываясь личиной Роса. Его основным аргументом являлось то, что агенты ФБР сами вынудили Роса начать заниматься незаконной деятельностью на веб-ресурсе Silk Road. Он также говорит, что компьютер Росса был взломан и что на нем специально были размещены компрометирующие документы, чтобы дискредитировать личность Росса, и сделать виновным. На что обвинение ответило, что это является "теорией заговора», и не приняла эти факты во внимание.
Новые подробности включены в документы, опубликованные правительством США, которые были опубликованы в ответ на запросы адвокатов Ульбрихта, требующих, чтобы ФБР предоставило больше информации. Защита хотела узнать, какое программное обеспечение использовалось для регистрации подтверждений того, что посредством CAPTCHA следователю выдало IP-адрес серверов Шелкового пути. Но, согласно ответу ФБР, у агентства не было никакой дополнительной информации, чтобы предоставить данную информацию. Из-за того, как был настроен веб-сайт Шелкового пути — с внешним сервером и внутренним сервером, и только данные первого могут быть доступны второму — это было бы фактически невозможно для кого-то возиться с капчей на странице входа для доступа к внутреннему серверу.
ФБР также предоставило данные трафика с сервера (прим. кликабельная ссылка) Шелкового пути , но опять-таки, вызывает вопросы их внешний вид. Журналы не показывают, что ФБР получает IP-адрес от просочившейся CAPTCHA, а просто дает нам лог страницу конфигурации PHPMyAdmin. Так что теперь возникает другой вопрос. Если ФБР не нашло сервер из-за утечки CAPTCHA, как они нашли страницу PHPMyAdmin?
Мы предполагаем, что журналы указывают на что-то еще, возможно, на мониторинг интернет-портов. Если бы ФБР или вспомогательное правительственное агентство, такое как АНБ, контролировали соединения с Исландией и из нее, где оказалось, что страницы администратора размещались, они могли бы легко найти пароль и использовать его для входа на сервер.
Что касается нахождения этой страницы PHPMyAdmin: один из способов, которым это можно было бы найти, - это сканирование всего Интернета на наличие SSL-серверов, а затем поиск строки «Silkroad» на полученной веб-странице.
Исходя из всего вышесказанного, мы предполагаем, что могло иметь место дело «параллельной конструкции» — когда доказательства представляются в том виде, в котором они получены одним способом в поддержку судебного дела, но на самом деле получены другими способами.
