Jak nie prowadzić narkotykowego bazaru, czyli historia wpadek SR 2.0

dodał 6 listopada 2014 o 21:34 w kategorii Wpadki  z tagami:
Jak nie prowadzić narkotykowego bazaru, czyli historia wpadek SR 2.0

Krok pierwszy: zacznij od zatrudnienia agenta federalnego jako bliskiego współpracownika od pierwszych dni działania serwisu. Krok drugi: kup serwer z własnego adresu email. Krok trzeci:  łącz się do serwera z domowego adresu IP.

Kiedy wpadł Ross Ulbricht, właściciel Silk Road, myśleliśmy, że jego następcy nie popełnią już takich głupich błędów. Bardzo się myliliśmy. Właściciel Silk Road 2.0 okazał się być wielokrotnie głupszy od Dread Pirate Robertsa. Historia jego wpadek to materiał na kilka artykułów, ale postaramy się je streścić w jednym.

Agent naszym przyjacielem jest

Przybliżony przebieg wypadków, które doprowadziły kilka godzin temu do zamknięcia Silk Road 2.0, można wyczytać z aktu oskarżenia właściciela serwisu. Historia zaczyna się 7 października 2013, kiedy to krótko po upadku SR powstaje forum dedykowane stworzeniu nowego serwisu. Zaproszeni na nie zostają tylko zaufani członkowie społeczności – w tym agent agencji ICE (Immigration and Customs Enforcement) z wydziału bezpieczeństwa wewnętrznego (Homeland Security Investigations). Agent ten otrzymał dostęp do obszarów forum, zastrzeżonych tylko dla administratorów nowego serwisu i pozostawał w gronie zarządzającym bazarem aż do jego zamknięcia. Jego historia sugeruje, że musiał zdobyć zaufanie innych członków społeczności już w czasach Silk Road 1.0. Spodziewamy się, że wkrótce poznamy jego pseudonim – wystarczy od listy administratorów odjąć osoby, które zostały lub wkrótce zostaną zatrzymane.

Przejęty serwis Silk Road 2.0

Przejęty serwis Silk Road 2.0

Silk Road 2.0 początkowo był zarządzany przez osobę ukrywającą się pod pseudonimem Dread Pirate Roberts (kontynuując legendę założyciela oryginalnego SR), jednak jeszcze w 2013 roku DPR został zastąpiony przez niejakiego Defcona. Wydarzenie to wiązało się z zatrzymaniem 3 członków załogi SR 2.0, którzy pracowali również przy SR 1.0. Inigo, Libertas oraz SSBD najwyraźniej zapomnieli, ze oryginalny DPR trzymał skany ich dowodów tożsamości na swoim zaszyfrowanym dysku, przejętym przez FBI. DPR 2.0 postanowił nie ryzykować i oddał zarządzanie serwisem Defconowi, który przez około rok radośnie rządził SR 2.0. Był, podobnie jak oryginalny DPR, jedynym panem i władcą. Administrował serwerami, zarządzał systemem obrotu BTC, podejmował wszystkie kluczowe decyzje i kontrolował przychody i zyski serwisu oraz rekrutował nowych sprzedawców. Zarządzał również personelem i wypłacał mu pensje – zatrudniony przez niego agent otrzymał równowartość ok. 30 tysięcy dolarów za swoją ciężką pracę. Według informacji FBI, 150 tysięcy użytkowników SR 2.0 generowało obrót ok. 8 milionów dolarów miesięcznie i zysk ok. 400 tysięcy dolarów.

defcon

Magiczna identyfikacja serwera

Jeden z najbardziej tajemniczych fragmentów aktu oskarżenia to informacja o identyfikacji serwera WWW serwisu. Dokument mówi po prostu „W maju 2014 FBI zidentyfikowało serwer poza granicami USA”. Władze kraju, w którym znajdowała się maszyna, wykonały jego obraz. Na dysku znaleziono zarówno serwis SR 2.0 jak i jego forum (świetny pomysł, by trzymać obie usługi na jednym serwerze, ale to daje tylko przedsmak geniuszu administratora) oraz… historię czatów Defcona, w tym wiele jego rozmów z poprzednim administratorem SR 2.0. Pogratulować.

Wszystkie błędy administratora

Teraz zaczniemy najlepszy fragment, czyli jak FBI zidentyfikowało właściciela serwisu. Otóż… zapytało firmę hostingową. Serwer okazał się być kupiony przy użyciu adresu email [email protected]. Jak nazywał się prawdziwy administrator? Tak, Blake Benthall. A to dopiero początek…

W dniu, w którym tworzony był obraz serwera (30 maja 2014) jego właściciel narzekał na niedostępność maszyny. Przesłał w tej sprawie kilka zgłoszeń do firmy hostingowej. Wszystkie zgłoszenia pochodziły z publicznego adresu IP. Tego samego dnia, z tego samego adresu IP, logowano się 146 razy do skrzynki [email protected], umieszczonej na serwerach Google. Innego dnia zgłoszenia serwisowe przesyłano z innego adresu IP, należącego do hotelu, w którym przez przypadek akurat tego dnia zatrzymał się Blake Benthall (zameldował się w nim równiez na 4square…). W skrzynce Blake’a, którą udostępniło Google, FBI znalazło także link do wpisu na wspomnianym wcześniej forum, wysłany 20 października przez niego samego do siebie. Twitter, GitHub, LinkedIn, Facebook, Instagram – wszystkie konta społecznościowe Blake’a zawierały mniejsze lub większe wskazówki mówiące, że zna dobrze technologię BTC oraz kibicuje reanimacji Silk Road. To oczywiście nie wszystko.

Blake był taki mądry, że pod swoim osobistym adresem email założył konta na giełdach BTC i w serwisach umożliwiających bezpośrednią sprzedaż wirtualnych walut. FBI otrzymało pełną historię jego kont i ustaliło, że sprzedał za ich pomocą BTC za ponad 300 tysięcy dolarów. Z kolei historia jego konta pocztowego wskazała, że na początku 2014 kupił za BTC luksusowy samochód elektryczny Tesla Model S. Jakby tego było mało, FBI przedstawia kolejne dowody łączące Blake’a z Defconem. Na przykład agent działający na SR 2.0 miał dostęp do logów HTTP wskazujących, że Defcon korzysta z dość nietypowej konfiguracji przeglądarki i systemu operacyjnego – było to Chrome w wersji beta i OS X w wersji o kilka miesięcy starszej niż najnowsza dostępna na rynku. Taką samą konfigurację zarejestrowały serwisy pośredniczące w sprzedaży BTC Blake’a.

FBI na tym nie poprzestało. Przeprowadziło także kilkudniową obserwację fizyczną Blake’a, korelując jego zachowania takie jak obecność w lokalu lub jego opuszczenie z obecnością Defcona w sieci – otrzymano idealną zgodność obserwacji. Do tego rejestracja kierunków wymiany pakietów za pośrednictwem jego łącza internetowego wskazała na intensywne używanie sieci Tor.

Inne ciekawe informacje

Zamknięcie SR 2.0 było poprzedzone plotkami sugerującymi problemy serwisu. Od wczoraj słychać było doniesienia o problemach sprzedawców z dostępem do swoich środków lub całych kont, krótko potem okazało się, ze moderatorzy forum nie mogą się zalogować. Już kilkanaście godzin przed ujawnieniem akcji FBI pojawiały się głosy, że to koniec SR 2.0.

Internet donosi, ze oprócz serwisu SR 2.0 i jego forum zniknęły również takie sklepy i serwisy jak Cloud9, BlueSky, TheHub, Hydra, Onionshop, Alpaca oraz Pandora. Podobno Blake przyznał się do zarzucanych mu czynów w trakcie zatrzymania. Co ciekawe, Blake również, jak oryginalny DPR, mieszkał w San Francisco, które powoli staję się oficjalnym inkubatorem narkotykowych bazarów. Ciekawe, czy to właśnie tam powstał otwarty dosłownie godzinę temu Silk Road 3.0.

Dziękujemy kilkunastu Czytelnikom, którzy donieśli nam o problemach SR 2.0 i cierpliwie czekali od paru godzin na nasz wpis.