20.01.2015 | 10:58

Adam Haertle

Czego przestępca nie powinien trzymać na dysku

Tak jak się spodziewaliśmy proces założyciela Silk Road zapewnia nieprzerwany strumień ciekawych wiadomości oraz przykładów, jak nierozsądny przestępca może dostarczyć organom ścigania gotowych dowodów na swoją działalność.

Ostatnią rewelacją procesu Rossa Ulbrichta była próba udowodnienia, że przez dłuższy czas to Mark Karpeles, założyciel Mt Gox, był na celowniku śledczych szukających twórcy Silk Road. Dzisiaj obie strony procesu złożyły dokumenty dotyczącego tego zagadnienia a sędzia musi zdecydować, czy wątek będzie mógł być dalej poruszany.

Zaufanie dla szyfrowania dysku gwoździem do trumny

Głównym dowodem łączącym Mt Gox z Silk Road miał być fakt, że domena silkroadmarket.org, reklamująca właściwą stronę w sieci Tor, była zarejestrowana w firmie Kalyhost, należącej do Marka Karpelesa. Domena była zarejestrowana na fałszywe dane, zatem istniało prawdopodobieństwo, że Karpeles może mieć z nią coś wspólnego.


Dane właściciela domeny silkroadmarket.org

Dane właściciela domeny silkroadmarket.org

Aby obalić tę teorię, oskarżenie uchyliło rąbka tajemnicy i pokazało fragment pliku z dysku Rossa Ulbrichta. Przypomnijmy, że Ulbricht został „oderwany” od komputera przez agentów FBI w miejscu publicznym i nie zdążył go zablokować.

Zrzut ekranu pokazujący pliki na dysku Ulbrichta

Zrzut ekranu pokazujący pliki na dysku Ulbrichta

Jeśli powiększycie powyższy obrazek, to zobaczycie, że jest to zrzut ekranu z programu FTK Imager, popularnego narzędzia do analizy dysków. Pokazuje on fragment struktury folderów oraz zawartość pliku znajdującego się w ścieżce

/home/frosty/Documents/archive/Documents/op prof sek/security/aliaces/Richard Page/info.txt

Nazwa folderu jest dość ironiczna – „security” zdecydowanie nie zadziałało, ponieważ w pliku znajdują się dokładnie te same dane, które podano przy rejestracji domeny silkroadmarket.org wraz z hasłami dostępu do poczty, klucza PGP i konta w firmie hostingowej. Widać również, że Richard Page nie był jedynym aliasem używanym przez Ulbrichta – innym był Max Borders.

Ross Ulbricht tak bardzo ufał swojemu zaszyfrowanemu dyskowi, że powierzał mu wszystkie największe tajemnice. Z innych fragmentów dowodów wiemy, że znajduje się tam również jego pamiętnik oraz szczegółowy spis działań podejmowanych w trakcie administracji serwisem.  Jeśli zatem jego obrona nie wyciągnie jakiegoś niezwykłego asa z rękawa, marnie widać szanse na umiarkowany wymiar kary.

Inną ciekawą informacją zawartą w nowych dokumentach jest donos od Mt Gox, wskazujący na konto, które mogło być używane przez Silk Road. Oskarżenie wiąże je z osobą Ulbrichta, ponieważ logowano się na nie z adresów IP do niego należących. Co ciekawe, konto to zostało rzekomo okradzione w maju 2013 z około 2 milionów dolarów. Kwestie przepływów BTC i tego, jak wskazują na powiązanie Ulbrichta z Silk Road, przedstawimy już wkrótce.

Powrót

Komentarze

  • 2015.01.20 15:00 romuald

    Nie miał szans. Powinien był używać siatki konspiracyjnych lokali, a wrażliwe pliki mieć jeszcze dodatkowo zaszyfrowane i montować je tylko, gdy na nich pracuje, a nie samo FDE.

    Odpowiedz
    • 2015.09.22 15:47 Mr?

      was not like J-23, it fell

      Odpowiedz
  • 2015.01.20 15:49 dzikus

    Jaki manager haseł z szyfrowaniem polecicie do trzymania haseł nie w plikach txt? Mile widziana wersja na macosx albo cli.

    Odpowiedz
    • 2015.01.20 16:37 chesteroni

      keepassx – działa właściwie wszędzie, choć jako gui.

      Odpowiedz
      • 2015.01.20 17:07 kgsz

        KeepassX jest straszliwy, spróbowałbym raczej uruchomić to na mono albo odpowiedniku. Generalnie keepass (w wersji 2) wydaje się najsensowniejszy na windows (ma znakomite klienty nawet na Androida, BB, iOS), ale chętnie zobaczyłbym tu wątek z rekomendacjami :)

        Odpowiedz
        • 2015.01.20 21:43 s

          KeePassX jest bardzo fajny, na Linuksie przynajmniej.

          Odpowiedz
          • 2015.01.21 13:06 demystyfikator

            KeePassX jest tak wolny na linuksie, że bez zmniejszenia liczby iteracji nie da się go używać.

    • 2015.01.20 16:47 adfasdf

      keepass.info

      Odpowiedz
  • 2015.01.20 16:49 adfasdf

    Dobrze jest używać czegoś jak Tails – system sam się wyłącza i czyści pamięc jeśli wyciągnie sie nośnik (pendrive). Wtedy na szybko można wyciągnąć nośnik, albo nawet „przywiązać penka do siebie”, tak żeby sam wypadł jak się gwałtowniej ruszymy lub ktoś nas szarpnie…

    Odpowiedz
    • 2015.01.21 10:49 peja xD

      Laptop bez baterii i linka do przewodu zasilającego. Gwarantowany killswitch.

      Odpowiedz
      • 2015.01.21 13:35 wb

        Tylko że jak ogarnięci to i z ramu swoje wyciagną ;)

        Odpowiedz
        • 2015.01.21 16:55 Linuxxx:)

          Dane w RAMie padają po odłączeniu zasilania

          Odpowiedz
      • 2015.01.21 21:29 adfasdf

        cold boot attack

        Najpierw trzeba wyczyścić RAM, potem odciąć zasilanie. Bateria, która trzyma 60-90 sekund, Tails lub system z podobnym rozwiązaniem i sznurek do kabla zasilającego i pendrive z tailsem.

        Jeśli ktoś woli coś innego niż Tails to można napisać prosty program lub skrypt, który uruchomi dd zapisujące do ramu i potem zamknie system.

        Jak dla mnie wysoki poziom bezpieczeństwa zapewinia system uruchomiony w wirtualce, której cały ruch jest tunelowany przez TOR + VPN, z taką konfiguracją systemu, że wyjęcie pendriva czyści RAM i zamyka system, a bateria starcza na góra 100 sekund. Dobrze jest też siedzieć tak, aby ekran był tyłem do potencjalnych „agentów”, jeśli wpadną na akcję z kamerami to nagranie z ekranu (góra kilka sekund do czasu włączenia mechanizmu zabezpieczjącego) może być użyte jako dowód. Najlepiej jest chyba siedziec przy ścianie z murem za plecami.

        Jeszcze bezpieczniejsza wersja to mały ładunek wybuchowy obok RAMu, odpalany przez pociągnięcie linki, a jeszcze bezpieczniejsza wersja to ładunek wybuchowy niszczący RAM i dysk twardy. Łatwiej jest zniszczyć SSD, ale wydaje mi się że szyfrowanie jest „lepsze” na HDD.

        Odpowiedz
  • 2015.01.21 16:01 Mareczek88

    Bardzo dobrą rzeczą jest Poradnik Bezpiecznej komunikacji Jolly Rogersa. Został os stworzony na potrzeby podziemnych bazarów. Szkoda, że admini go nie czytali lub nie chcieli się stosować do tego co jest tam napisane.

    Odpowiedz
  • 2015.01.21 16:55 Linuxxx:)

    Ile mu grozi?

    Odpowiedz
  • 2015.01.22 03:25 Xisidudu

    W sumie z prokuratorem pięciu typów :-)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Czego przestępca nie powinien trzymać na dysku

Komentarze