14.09.2013 | 08:21

Adam Haertle

FBI przyznało się do przeprowadzenia ataków na użytkowników TORa

Zamknięcie Freedom Hosting, poprzedzone wyrafinowanym atakiem na część jego użytkowników, nie pozostawiało zbyt wielu wątpliwości co do tożsamości sprawców, do dzisiaj jednak brakowało dowodów potwierdzających, że była to sprawka FBI.

Kiedy pierwszego sierpnia padł największy serwis hostingowy w sieci TOR, Freedom Hosting, wielu użytkowników spodziewało się jego rychłego powrotu, tak, jak miewało to już miejsce w przeszłości. Cztery dni później okazało się jednak, że założyciel serwisu został aresztowany i oskarżony o pomoc w dystrybucji dziecięcej pornografii. Sytuacja ta była dużym zaskoczeniem – wszyscy spodziewali się, że działający od wielu lat serwis jest nie do namierzenia. Większym zaskoczeniem okazał się jednak plik JavaScript, który niektóre strony umieszczone na Freedom Hosting przez krótki czas serwowały odwiedzającym. Był nim sprytny exploit, skierowany na starszą wersję przeglądarki umieszczanej w Tor Browser Bundle. Zadaniem exploita było przesłanie adresu IP oraz adresu MAC karty sieciowej na serwer, znajdujący się w USA. Choć pojawiły się pogłoski o udziale NSA w tym ataku, to okazały się one fałszywe.

Walka o kontrolę nad serwerami

W czwartek miało miejsce przesłuchanie oskarżonego w tej sprawie Erica Marquesa, podczas którego kilka nowych informacji dotyczących całej sprawy wypłynęło na światło dzienne. Okazuje się, że mimo posiadania własnej firmy hostingowej, Marques hostował serwery Freedom Hosting w „pewnej francuskiej firmie” (i nikt nie pokazuje tu palcem na OVH). Nie jest jasne, w jaki sposób agentom FBI udało się je zidentyfikować i przejąć nad nimi kontrolę (ten drugi krok zapewne został zrealizowany za pomocą nakazu sądowego), jednak wiemy, że pod koniec lipca, gdy Marques zorientował się, że ktoś przejął infrastrukturę, odbił ją z rąk agentów i zmienił hasła dostępu. Agentom udało się szybko dostęp odzyskać.

Eric Marques

Eric Marques

Pieniądze doprowadziły do sprawcy?

Za swoje serwery Marques płacił z konta w banku w Las Vegas, założonego pod własnym nazwiskiem i z adresem korespondencyjnym w postaci skrzynki pocztowej również założonej pod własnym nazwiskiem. Posiadał także drugie konto w USA oraz konto w Irlandii. Korzystał także z usług firmy Paypal. Według agentów FBI, zeznających na przesłuchaniu, tylko przez jego konto w Bank of America przepłynęła kwota 1,5 mln dolarów. Szczegółowość informacji zebranych na temat finansów oskarżonego może sugerować, że to właśnie ten trop mógł doprowadzić do jego wpadki. Agentom zapewne mógł też pomóc fakt, że Marques został zatrzymany w trakcie, gdy jego laptop wciąż pracował – według informacji przedstawionych w sądzie rzucił się do niego w momencie zatrzymania. Może to sugerować, że korzystał z szyfrowania dysków i nie zdążył ich zamknąć, dając agentom szansę na zapoznanie się z ich zawartością.

Nie tylko właściciel hostingu

Podczas przesłuchania zostały także podane informacje dotyczące zawartości serwerów Freedom Hosting. Według agentów znaleziono tam ok. 100 serwisów z pornografią dziecięcą, w których zarejestrowane były tysiące użytkowników, a same serwery oferowały miliony zdjęć z pornografią dziecięcą. Sam Marques rzekomo odwiedzał niektóre z nich, a w jednym z nich pełnił funkcję administratora.

Fałszywy paszport nie pomaga

Oprócz znanych już wcześniej informacji o tym, że Marques był zainteresowany tym, jak otrzymać rosyjskie obywatelstwo, ujawniono także, że na jego komputerze znaleziono bardzo dobrej jakości skan amerykańskiego paszportu na nazwisko Edward Thomas Brown. Według agentów paszport był tak dobrej jakości, że mógł pozwolić jego posiadaczowi przejść kontrolę graniczną. Sam skan został znaleziony w poczcie Marquesa, którą wysłał do firmy hostingowej w Rosji, by wynająć tam serwer. Marques do tej pory nie okazał sądowi oryginału paszportu, co okazało się być  jednym z powodów, dla których jego wniosek o zwolnienie za kaucją został właśnie odrzucony. Jego rozprawa ekstradycyjna prawdopodobnie odbędzie się dopiero w przyszłym roku.

Powrót

Komentarze

  • 2013.09.14 10:50 steppe

    Mam nadzieję, że wyłapią też przynajmniej część użytkowników tych stron…

    Odpowiedz
    • 2013.09.14 18:01 elmo

      jasne juz to widze ze na sercu im strasznie ciazy dziecieca pornografia, mieli tysiac powodow by kolesia dorwac a ten z pornografia byl na samum koncu

      Odpowiedz
  • 2013.09.14 12:07 jan kowalski

    A podobno JS nie może wydobyć adresu IP i MAC’a karty….

    Odpowiedz
    • 2013.09.14 17:07 gość

      sam JS nie, ale razem z dziurawą przeglądarką…

      Odpowiedz
      • 2013.09.14 18:02 elmo

        co robic jak zyc —> wylaczyc JS

        Odpowiedz
    • 2013.09.15 12:17 Kuba

      Sam JS nie, ale JS wysyłając zapytanie (np. używając AJAXa) do skryptu PHP (nie w TORze), który zwraca IP, może łato IP odczytać. Z MAC jest problem – tutaj trzeba jakąś lukę wykorzystać…

      Odpowiedz
  • 2013.09.15 16:15 Komino

    bez js internet byłby ubogi…

    Odpowiedz
  • 2013.10.09 10:11 bzdura

    Komino źle majaczysz. Za czasów HTML 4.01 strony były bardzo ładne, a mogły być jeszcze ładniejsze. JS całą pracę zrzuca na twój komputer, a nie na serwer i tylko dlatego zyskał popularność. Bez JS strony działały szybciej i sprawniej. Teraz dzięki JS można łatwo exploitować przeglądarkę, która uruchamia skrypt.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

FBI przyznało się do przeprowadzenia ataków na użytkowników TORa

Komentarze