Jak FBI próbowało zainfekować 215 tysięcy użytkowników pedofilskiej strony WWW

dodał 9 lipca 2015 o 07:42 w kategorii Prawo  z tagami:
Jak FBI próbowało zainfekować 215 tysięcy użytkowników pedofilskiej strony WWW

Na początku tego roku organom ścigania udało się namierzyć i przejąć serwer z dużym pedofilskim forum w sieci Tor. Zamiast jednak stronę zamykać, przez 2 tygodnie próbowano ustalić tożsamość jej 215 tysięcy użytkowników.

Agencja Reutera opisuje niemały sukces amerykańskiego FBI. Według jej doniesień 20 lutego 2015 agenci przejęli serwer w Północnej Karolinie, na którym działało duże i aktywne forum dla miłośników pedofilii. FBI spędziło dwa tygodnie by zlokalizować adresy IP odwiedzających stronę – i odniosło w tym zakresie pewne sukcesy.

Tajemnicze forum w Torze

Odtajniony 6 lipca nakaz przeszukania w sprawie internetowego forum dla miłośników pedofilii pozwolił po raz pierwszy przyjrzeć się przebiegowi oraz skutkom dużej akcji FBI. Z dokumentów do których dotarli dziennikarze Reutera wynika, że 20 lutego agenci FBI przejęli kontrolę nad serwerem dużego pedofilskiego forum, znajdującym się gdzieś w Północnej Karolinie. Serwis ten, określany jako „Website A”, istniał od sierpnia 2014 a zarejestrowanych w nim było 214 898 użytkowników. Agenci nie wyłączyli serwera i 4 marca otrzymali od sędziego nakaz przeszukania, który pozwolił im zainstalować na serwerze dodatkowe oprogramowanie, którego celem było ujawnienie tożsamości jego użytkowników. Co prawda w artykule nie pada nazwa sieci Tor, jednak mowa o tym, że serwis działał „w sieci zaprojektowanej tak, by ułatwić anonimową komunikację i ochronę prywatności użytkowników”. Biorąc pod uwagę liczbę kont użytkowników w serwisie można być w zasadzie pewnym, że chodzi właśnie o Tora.

Według agencji Reutera jednym z oskarżonych w tej sprawie jest niejaki Alex Schreiber, 66-letni były nauczyciel matematyki. Od września 2014 do marca 2015 spędził on rzekomo w serwisie 194 godziny, zalogowany pod pseudonimem philsic. Jak jednak mógł zostać namierzony jego komputer, skoro korzystał z Tora? Możliwe odpowiedzi na to pytanie znajdziemy w dokumentacji innej sprawy o podobnym charakterze.

NIT

Technologię służącą do identyfikowania użytkowników Tora przybliża dokument z 27 stycznia 2015, w którym Gary Reibert, podejrzany o odwiedzanie serwisu pedofilskiego, próbuje bezskutecznie zakwestionować dowody zebrane przez FBI. Dowiadujemy się z nich, że FBI otrzymało nakaz przeszukania, pozwalający na zdalne zainstalowanie na komputerze podejrzanego tzw. NIT (Network Investigation Technique). Sam NIT okazał się być programem we Flashu, którego zadaniem było przesłanie na serwer FBI informacji o prawdziwym adresie IP podejrzanego w momencie, gdy odwiedził on serwis z pornografią dziecięcą.

Z kolei w dokumencie z czerwca tego roku znaleźć możemy szczegółowy raport biegłych z analizy technologii NIT. Biegli otrzymali skompilowany plik Flash, który poddali dekompilacji i ustalili, że jego podstawową funkcją jest nawiązanie połączenia poza siecią Tor i przesłanie informacji o przeglądarce, systemie operacyjnym, architekturze procesora oraz identyfikatorze ECID (zawierającym identyfikator odwiedzanej strony, metodę połączenia oraz identyfikator sesji) do wskazanego serwera.

Analizowany kod

Analizowany kod

Biegli przeanalizowali także stronę serwerową platformy, a w szczególności mechanizmy korelacji zdarzeń między serwerem w sieci Tor a serwerem zbierającym logi połączeń poza siecią Tor. Co ciekawe, dokument informuje, że technologia NIT to tak naprawdę moduł Metasploita o nazwie Metaspolit Decloaking Engine. Techniczne szczegóły jego działania znajdzie w opinii biegłych. Podsumowując jej ustalenia biegli uznali, że mechanizm identyfikacji użytkowników funkcjonował prawidłowo, choć pozwalał jedynie na identyfikację osób korzystających z nieaktualnego Tor Browsera lub nieprawidłowo skonfigurowanych przeglądarek (Tor Browser już od 3 lat domyślnie blokuje pliki Flash). Czy pedofile mogą być tak nieostrożni, by używać przestarzałego oprogramowania? Najwyraźniej tak, a niedawno przeprowadzony eksperyment w sieci Tor wykazał, że kilka procent potencjalnych miłośników pedofilii nie zawaha się nawet przed uruchomieniem na swoim komputerze „oprogramowania testującego bezpieczeństwo”.

Nie wiemy, czy FBI nadal korzysta z tego samego pakietu narzędzi. Możemy jedynie podejrzewać, że zaktualizowało swoje eksploity, tak, by działały na nowszych przeglądarkach niż te z 2012 roku (świadczyć o tym może akcja przeciwko użytkowników Freedom Hosting). Z drugiej strony do tej pory wiadomo jedynie o pojedynczym przypadku przeszukania mieszkania pedofila, co przy ponad 200 000 kont użytkowników przejętego forum daje bardzo marny wynik. Pozostaje mieć nadzieję, że to dopiero początek akcji.