Jak wpadają internauci poszukiwani przez organa ścigania

Często słychać o aresztowaniach osób, prowadzących w sieci działalność sprzeczną z obowiązującymi przepisami. Jeśli kiedyś zastanawialiście się, jak służby wpadają na trop internautów, to mamy dla Was dwie ciekawe historie z życia wzięte.

Co łączy Nerdo, jednego z organizatorów akcji Operation Payback, zmasowanych ataków Anonymous na różne firmy i organizacje, z założycielami internetowego sklepu z narkotykami The Farmer’s Market? Oprócz wykorzystania internetu do prowadzenia ich działalności, bez wątpienia wspólne są powody, dla których wszyscy zostali namierzeni i złapani.

Farmerzy w sieci

The Farmer’s Market nie osiągnął co prawda popularności SilkRoad, swojego większego brata, ale tylko od stycznia 2007 do października 2009 zgodnie z aktem oskarżenia zdążył sprzedać narkotyki takie jak LSD, MDMA czy DMT za ponad milion dolarów (dla porównania SilkRoad prawdopodobnie notuje roczny obrót powyżej 20 milionów dolarów). Swoją działalność zaczął w 2005 roku jako Adam Flowers, działając głównie pod adresem email [email protected]. Przez tę skrzynkę przez kilka lat przyjmowano i obsługiwano wszystkie zamówienia.

Asortyment Farmer’s Market

W styczniu 2010 sklep przeniósł swoją działalność oraz całą komunikację z klientami do sieci TOR. Do obsługi płatności wykorzystywał liczne wirtualne waluty, karty prepaid oraz osoby trzecie, które pobierały prowizje od transferu środków np. przez Western Union. Interes kręcił się świetnie aż do kwietnia 2012, kiedy to DEA, amerykańska organizacja rządowa walcząca z narkotykami, aresztowała 8 założycieli i administratorów serwisu oraz zatrzymała kilku klientów.

Przez sieć przetoczyła się fala wątpliwości co do bezpieczeństwa sieci TOR, w której od dwóch lat funkcjonował sklep. Co prawda lektura aktu oskarżenia sugerowała, że agenci uzyskali dostęp do treści komunikacji między organizatorami całego procederu pochodzącej z lat 2007 – 2009, lecz wątpliwości ciągle nie znikały. Dopiero kilka dni temu Roger Dingledine, jeden z twórców TORa, miał okazję spotkać się z jednym z agentów DEA, który pracował nad sprawą Farmer’s Market. Agent ten potwierdził, że kluczowe dla śledztwa informacje otrzymał od kanadyjskiej firmy prowadzącej serwis Hushmail.com, z którego od 2005 do 2009 korzystali założyciele sklepu.

Błąd farmerów

Błędem farmerów, który kosztował ich wiele lat w więzieniu (do możliwego wyroku dożywocia włącznie), było korzystanie z pozornie bezpiecznej usługi Hushmail. Założona w 1999 roku, jedna z pierwszych usług zapewniających prywatność poczty elektronicznej, do września 2007 była uznawana za całkowicie bezpieczną i anonimową. Hushmail twierdził, że nawet jego pracownicy nie mogą uzyskać dostępu do treści wiadomości, ponieważ są one szyfrowane z użyciem kryptografii symetrycznej na komputerze użytkownika. Status ten zmienił się drastycznie, kiedy ujawniono akt oskarżenia przeciwko sprzedawcom sterydów, z którego wynikało wprost, że Hushmail dysponuje niezaszyfrowanymi kopiami wszystkich wiadomości wysłanych i otrzymanych za pośrednictwem jego serwerów oraz został nakłoniony do ich przekazania amerykańskiemu wymiarowi sprawiedliwości. Analiza sprawy wykazała, że w 2006 roku Hushmail wprowadził, obok bezpiecznej wersji opartej o aplet Javy, również dużo wygodniejszą w obsłudze wersję usługi online, w której klucz prywatny użytkownika oraz (przez krótki moment) jego hasło były przechowywane na serwerze firmy.

Pozostaje zagadką, czemu, skoro już od 2007 roku cały świat mógł się dowiedzieć, że Hushmail nie jest bezpieczny, założyciele Farmer’s Market korzystali z jego usług jeszcze przez dwa lata. Bez odpowiedzi jest także pytanie, czemu po prostu nie skorzystali z publicznie dostępnych rozwiązań takich jak PGP. Być może jednak znali się tylko na handlu narkotykami, a z informatyką było dużo gorzej…

Anonymous nie tacy anonimowi

Druga historia opowiada o losach Nerdo, moderatora jednego z kanałów IRC, używanego do koordynacji ataków na instytucje finansowe pod koniec roku 2010. 22-letni Christopher Weatherhead, bo tak brzmi jego nazwisko, został oskarżony o organizowanie ataków na firmy takie jak Paypal oraz Mastercard. W jaki sposób brytyjska policja trafiła na jego trop?

Zapowiedź Operation Payback

Dostęp do kanałów IRC AnonOps nie był w żaden sposób ograniczony – sens operacji polegał na jej jak największej popularności. Wykorzystali to brytyjscy policjanci, którzy spędzili długie tygodnie obserwując ruch na kilku popularnych kanałach. W przeciwieństwie do swoich amerykańskich kolegów, którzy potrafili aresztować szeregowych uczestników ataków, brytyjscy funkcjonariusze skoncentrowali swoje wysiłki na liderach operacji. Jak jednak zidentyfikowali operatora kanału?

Okazuje się, że zawiniły, podobnie jak w przypadku Farmer’s Market, błędy przeszłości. Nerdo, wraz z kilkoma kolegami, korzystali na IRCu z takich samych pseudonimów, jakich używali od lat, na przykład na swoich kontach na platformie XBox lub forach internetowych. Te informacje, powiązane z fragmentami rozmów, w których operatorzy kanału ujawniali drobne fragmenty swojej tożsamości, wystarczyły, by policja mogła zastosować dalej idące środki, jak przeszukanie i analiza nośników komputerowych. Najwyraźniej wskazówki, pozostawione przez Nerdo w sieci, wystarczyły, by prawidłowo go zidentyfikować, ponieważ po przedstawieniu materiału dowodowego przyznał się do zarzucanych mu czynów. Wszystkie informacje, które doprowadziły do jego ujęcia, znajdowały się w publicznie dostępnych zasobach internetu.

Gdzie tkwił problem?

W obu przypadkach do zguby doprowadziły błędy, popełnione kilka lat wcześniej. Przywiązanie do pseudonimu, nadmierna gadatliwość czy brak wiedzy informatycznej lub zwykłej roztropności sprawiły, ze bez względu na stosowane później środki bezpieczeństwa, zarówno Nerdo, jak i administratorzy Farmer’s Market skazani byli na porażkę i złapanie przez organa ścigania. Jak pokazuje przykład SilkRoad, największego sieciowego sklepu z narkotykami, tylko przemyślana od postaw strategia zapewnienia anonimowości może być skuteczna.