Dzisiaj o godzinie 16 Europol wspólnie z holenderską policja i amerykańskim Departamentem Sprawiedliwości ogłosiły ogromny sukces – zamknięcie i zatrzymanie właścicieli dwóch największych narkotykowych bazarów.
Trzeba przyznać organom ścigania, że odniosły niekwestionowany sukces. Udało się im jednocześnie zlikwidować dwa największe narkotykowe bazary w sieci Tor, AlphaBay i Hansa Market, a do tego Hansa Market był przez miesiąc w pełni kontrolowany przez holenderską policję, pozwalając na przejęcie kont sprzedawców także w innych serwisach. Do tego zatrzymano osoby odpowiedzialne za prowadzenie obu marketów. Wygląda na to, że przynajmniej w jednym przypadku założyciel popełnił katastrofalne błędy.
AlphaBay i Alexandre Cazes
Kilka dni temu opisywaliśmy tragedię domniemanego założyciela i właściciela AlphaBay, największego i najdłużej działającego narkotykowego marketu w sieci Tor, który, zatrzymany w Tajlandii, popełnił samobójstwo w areszcie. Dzisiaj znamy znacznie więcej szczegółów związanych z jego zatrzymaniem dzięki opublikowaniu aktu oskarżenia.
Według dokumentu prace nad AlphaBay zaczęły się w lipcu 2014 roku. Cazes był głównym założycielem i właścicielem serwisu, kontrolował konta pozostałych uzytkowników i to do niego trafiały zyski z działania sklepu (oparte na prowizji od transakcji). Serwis miał także dedykowanego administratora bezpieczeństwa (DeSnake), dział zwalczania nadużyć, osobę odpowiedzialną za reklamę oraz grono moderatorów. Aby potwierdzić zarzuty, agenci dokonali licznych zakupów narkotyków, fałszywych dokumentów, danych kart płatniczych i skimerów.
Tropem wskazującym na tożsamość założyciela serwisu miał być błąd popełniony w konfiguracji wiadomości z serwera forum. Otóż wg udostępnionych dokumentów w grudniu 2014, na samym początku działania AlphaBay, użytkownicy zakładający konta na forum otrzymywali powiadomienia (z informacją o założeniu konta), w których nagłówkach znaleźć można było adres [email protected]. Również w procesie odzyskiwania zapomnianego hasła wiadomości z forum miały ten sam adres w nagłówkach. Co ciekawe, informacja ta podobno dotarła do organów ścigania dopiero w grudniu 2016 – nie znamy wyjaśnienia tego opóźnienia.
Agenci szybko ustalili tożsamość osoby ukrywającej się za wspomnianym adresem email. W roku 2008 ktoś podpisujący się Alexandre Cazes i używający pseudonimu Alpha02 (takiego samego, jakiego długo używał założyciel AlphaBay) wysłał wiadomość na francuskojęzycznym forum www.commentcamarche.com dotyczącą bezpieczeństwa i podpisał ją tym samym adresem email (tu można znaleźć kopię jego profilu z roku 2008). Dodatkowo ustalili, że Cazes dysponuje małą fortuną i nie widać, skąd czerpie środki na luksusowe życie. Miał co prawda firmę hostingową, ale nie zarabiała ona aż tyle. Adres email był także powiązany z kontem Paypala, z którego z kolei płacono za konto na forum RooshV, gdzie Cazes przechwalał się swoim bogactwem i wiedzą o kryptowalutach. Ten sam adres email figurował także w wielu wyciek baz danych, jak np. LinkedIn, MySPace, Exploit.in. czy 000webhost.
Ile zarabiał właściciel AlphaBay
By ostatecznie potwierdzić, ze trafili na właściwą osobę, agenci nawiązali współpracę z tajskimi służbami i gdy popsuli na chwilę serwery AlphaBay czekali, aż zaloguje się na nie administrator. Wtedy do domu Cazesa wkroczyła policja, która złapała go z otwartym, odszyfrowanym laptopem. A tam, jak możecie się domyślać, było Eldorado:
- zalogowana sesja użytkownika Admin na AlphaBay,
- zalogowana sesja użytkownika Admin na forum AlphaBay,
- zalogowana sesja w serwerowni, gdzie stały maszyny AlphaBay,
- hasła i inne dane dostępowe do wszystkich serwerów AlphaBay,
- hasła i inne dane dostępowe do kont z kryptowalutą,
- plik opisujący majątek Cazesa, podzielony na nieruchomości, pojazdy gotówkę i kryptowaluty o łącznej sumie 23 milionów dolarów,
- listę kont kryptowaluty wraz z kluczami prywatnymi (!) które pozwoliły organom ścigania na bezproblemowe przejęcie wszystkich kryptowalut wartych ponad 8 milionów dolarów.
Jakie zyski przynosił market? To najlepiej pokazuje dokument opisujący przejęte ruchomości i nieruchomości Cazesa. Na liście możemy znaleźć:
- Lamborghini Aventador (kupiony za 900 000 dolarów),
- Porsche Panamera S (kupiony za 292 000 dolarów, którym chwalił się na forum RooshV),
- Mini Coopera (dla żony, kupiony za 81 000 dolarów),
- motocykl BMW (kupiony za 21 000 dolarów),
- dwie nieruchomości w Bangkoku,
- dwie inne nieruchomości w Tajlandii,
- nieruchomość na Cyprze (kupioną za 2,3 mln dolarów w celu otrzymania cypryjskiego obywatelstwa),
- nieruchomość na Antigua i Barbuda (kupioną za 400 000 dolarów, Cazes otrzymał obywatelstwo Antiguy i Barbudy w lutym tego roku),
- 1605 BTC,
- 8309 ETH,
- 3691 ZEC,
- rachunki bankowe w Tajlandii, Liechtensteinie i Szwajcarii (to ostatnie z saldem 781 000 dolarów),
plus zawartość licznych portfeli z przejętych serwerów.
Hansa Market
Równoległe z oficjalnym ogłoszeniem zamknięcie AlphaBay organy ścigania ogłosiły także, że holenderska policja od miesiąca kontrolowała największą konkurencję AlphaBay, Hansa Market. Użytkownicy, którzy po zamknięciu AlphaBay szukali nowej przystani, trafiali prosto w objęcia holenderskiej policji (ten ciąg wydarzeń był podobno zaplanowany). Obecnie strona Hansa Marketu wygląda następująco:
Trzeba przyznać, ze Holendrzy świetnie trolują klientów sklepu, pisząc „Serwis został przejęty (i był kontrolowany od 20 czerwca)”. Według dostępnych informacji, holenderska policja od miesiąca kontrolowała stronę sklepu i zmodyfikowała kod źródłowy, by rejestrować wszystkie możliwe informacje, w tym także hasła wszystkich użytkowników. Następnie wykorzystała użycie tych samych haseł by przejąć konta sprzedawców w innych serwisach. Co więcej, przejmowała także przelewane bitcoiny, które trafiały na konto prokuratury prowadzącej sprawę. To oznacza, ze klienci sklepu, składając zamówienia, de facto finansowali śledztwo przeciwko sobie. Śledztwo zidentyfikowało podobno 10 000 adresów klientów i sprzedawców, które zostały (lub wkrótce zostaną) przekazane organom ścigania w innych krajach.
Holenderska policja ma także swoją stronę w sieci Tor, gdzie nie tylko wymienia złapanych sprzedawców, ale także zamieściła zestaw pytań i odpowiedzi dotyczących zamknięcia Hansa Marketu. Wśród nich można znaleźć taki fragment:
Have you de-anonymized TOR?
No. But if we would have, we wouldn’t tell you ;).
czyli
Czy zdeanonimizowaliście TORa?
Nie. Ale gdybyśmy to zrobili to byśmy Wam nie powiedzieli ;)
Tym komentarzem zakończmy kolejną edycję wpadek i porażek twórców narkotykowych bazarów.
Jeśli lubicie takie historie, to dwie poprzednie odsłony to:
Aktualizacja 2017-07-20 23:00
Co bardzo ciekawe, już 11 dni temu (!) na Reddicie jeden z użytkowników poinformował, że Hansa jest prowadzona przez organy ścigania. Ten sam użytkownik dorzucił dzisiaj informację, że ten sam los spotkał nadał działający Dream Market, największy z pozostałych serwisów.
Komentarze
Super artykuł! Jesteście moją ulubioną stroną w sieci :)
moją tez, trzecią ulubioną stroną w sieci :)
Prawdziwe zagrożenie to nie złamanie TORa tylko woda sodowa uderzająca do głowy po pierwszym milionie USD.
OPSEC na poziomie bujania się Lamborghini, logowanie się z laptopa w niezabezpieczonym miejscu i wiele innych błędów wynikających z lenistwa, bylejakości czy przyzwyczajenia.
Najciekawsze, że gdyby ten gość po zarobieniu 20 mln USD zwinął interes i zajął się czym innym, nikt by go pewnie w życiu za nic nie skazał. Morał historii : trzeba znać umiar.
Ten kto ma 30 mln dolarów jest bogatszy od tego co ma 20 mln. Apetyt rośnie w miarę jedzenia. Zwiększając swój poziom życia zwiększasz zapotrzebowanie na szmal… Sky is the limit.
Podążając Twoim tokiem myślenia mógłby równie dobrze tak postąpić przy 10 mln z rzędu.. Po prostu są ludzie i ludziska. „OPSEC na poziomie bujania się Lamborghini..” z całym zamiłowaniem do polityki bezpieczeństwa ale „OPSEC” brzmi jak nazwa pozłacanych sedesów spod Żarowa ;D. No i ten bijący „jad” odnośnie Lambo..stary wiesz jak ciężko się „bujać” taką maszyną, wszak „bujanie” przebiega wprost proporcjonalnie do: „ruchu pedałem gazu, peałem hamulca, „łopatką” – i jak tu się skupić bez Amfetaminy? ;D.
Można? Można bez zakazywania i wyłączania TOR-ów :)
I pomyśleć, że mógł sobie teraz spokojnie grać w Boccia-Boccia w Chorwackim kurorcie z Ożujskiem w ręce i kurzajką na nosie.
Boccia to taka gra dla niepełnosprawnych … ;)
ci co sie nie zaćpali, to się zaćpią, ale gorszym gównem
„klienci sklepu, składając zamówienia, de facto finansowali śledztwo przeciwko sobie”
To chyba za duży skrót myślowy. Gotówka i inne lambo przejęte w wyniku śledztwa zazwyczaj nie są przeznaczane na wypłaty dla służb.
W przypadku Hansa to były bitcoiny które sprzeda prokurator i trafią do skarbu państwa z którego idą pensje dla śledczych.
Adam, a w Polsce też tak to działa? Co nasza policja robi (zrobiłaby) jakby przejęła biczkojny?
Pozdrawiam, dzięki za artykuł :)
Czyli co? De facto przyznali się do zdeanonimizowania Tora, nie pisząc tego wprost :D
Większość wpadek następuje zazwyczaj na styku spraw organizacyjnych (opłacanie hostingów, zbieranie i wypłacanie prowizji, zaopatrzenie), a nie przez bugi. Ale akurat w tej konkretniej sprawie bardzo wątpliwe, żeby ujawnienie tożsamości nastąpiło przez błędną konfigurację. Podsumowując: jak robić biznes o takiej skali, najlepiej siedzieć w krajach poza jurysdykcją USA. Rosja byłaby świetnym wyborem. Nawet jak kogoś łapsną, dostanie max kilka lat. A możliwe, że nigdy nie wpadnie, bo tam łapówka działa cuda. Nigdy nie zrozumiem tych, ktorzy mieszkają w krajach takich jak Tajlandia, ktora przecież jest jednym z najbliższych sojuszników USA.
Może lubi dziewczyny z siusiakami?
Nie przyznali się, bo nie da się Tora zdeanonimizować.
.
Przykładowo: deanonimizujący atak Sybil wymaga wysycenia całej sieci Tor olbrzymią ilością zatrutych hostów – nie do wykonania w realu, gdy sieć Tor tworzą tysiące hostów i każdy internauta może dołączyć i stać się hostem-mostkiem. Zobaczcie jaki olbrzymi jest ruch w Torze: https://torflow.uncharted.software/
Oprogramowanie jest dziurawe jak sito i rok w rok łatają kilkaset błędów w sofcie torowym. A specsłużby mają ciągły dostęp do 0dejów. Już samo to wystarczy do deanonimizacji. A przecież jest też mnóstwo innych sposobów, np. wychwytywanie dźwięków z otoczenia i tworzenie unikalnego odcisku maszyny na ich podstawie.
Ładnie pojechałeś. Błędy w Tor Browserze można policzyć na palcach dwóch rąk, ciekawe skąd kilkaset wziąłeś.
Być może powinienem napisać torowych w cudzysłowie, zresztą na początku miało być o okołotoroym sofcie. Jednak tak jak jest obecnie nie jest aż tak błędnie zdefiniowane. Przecież Tor to cała masa kryptosystemów ktôre są łatane na potęgę, a także soft serwerowy i inny. Na tym też stoi Tor. Przez bugi w jednym, można atakować całą sieć. Może nie jest to proste, ale dla służb FBI oraz NSA nic nie będzie na tyle trudne, żeby odpuścić i nie dopiąć swego. Poza tym to jest zbyt duża i skomplikowana infrastruktura, żeby człowiek pozostał anonimowy.
Trochę tych błędów jest.
https://trac.torproject.org/projects/tor/query?resolution=fixed&max=1000&col=id&col=summary&col=owner&col=type&col=priority&col=milestone&col=component&order=priority
Nie napisałem przecież, że wszystkie są od razu krytyczne. Chciałem tylko zaakcentować, że przy dużej ilości sporo też może być tych ważnych.
Takich prowadzących do udanych ataków deanonimizujacych pamietam może z 4 czy 5…
Uruchomili bug bounty to będzie więcej udokumentowanych ataków.
Stare metody deanonimizacji polegające na błędach we Flashu odeszły do lamusa.
W Tor Browserze kategorycznie zabronione jest używanie Flasha oraz Javy i Silverlighta. Nad JavaScriptem czuwa skonfigurowany dodatek NoScript. Niewiele już więc zostało do zhakowania, oprócz prawdopodobnych błędów w samym Firefoksie, ale na to nie ma rady – przy dzisiejszym oprogramowaniu z setkami tysięcy linii kodu, nie ma szans żeby nie było buga.
.
Nie trzeba wcale używać FF żeby być w Torze, bo można przecież użyć innych przeglądarek.
.
Żeby dorwać cyberprzestępcę, trzeba dziś sięgać po inne metody ze szpiegowskiej kuchni.
Jakie „oprogramowanie”, co masz na myśli?
Jeśli protokół Torowy, to na pewno się mylisz, bo jest on bardzo dobrze zaprojektowany, zresztą trwają prace nad ulepszoną wersją trasowania cebulowego.
Jeśli masz na myśli Tor Browsera, to wybacz ale jest to tylko przeglądarka internetowa spreparowana dodatkami (z najważniejszym NoScriptem), więc:
Tor Browser != Tor.
.
Sieć Tor ma się bardzo dobrze.
Co więcej, jest protoplastą kilku innych sieci anonimizujących wzorowanych na nim, np. eksperymentalnej sieci Vuvuzela albo sieci Riffle.
@Adam &BD: https://scholar.google.pl/scholar?start=0&q=de-anonymization+tor&hl=pl&as_sdt=0,5&as_vis=1
Błędy projektowe lub specyfikacja sieci umożliwiająca wykrycie też należy zaliczyć do bugów. Tylko część jest zmieniana, większość jednak musi być pozostawiona tak jak jest.
@zx
Znaczące błędy dla bezpieczeństwa jeśli są – oprócz już wyżej wymienionych – to błędy w protokołach warstwy wyższej.
A link który podałeś do pracy o deanonimizacji BitTorrenta jest już w ogóle żałosny – bo sieć Tor nie została zaprojektowana do ruchu P2P.
@BD: Błędy są w każdej warstwie, bo one nie pojawiają się na zawołanie tylko w warstwach wyższych. Tak naprawdę nigdy nie było audytu bezpieczeństwa Tora z prawdziwego zdarzenia. A P2P i torrenty to tylko jedna z więlu prac, ktore tam są podane. Może żeby było więcej lepszej jakości wyników, trzeba wpisać do już podanej frazy „network”?
Gdy się nie docenia wroga tak się to kończy. Dzisiejsza policja to nie jest wasaty gubszy pan z maszyna do pisania. Tam też siedzą fachowcy.
Nigdzie przestępca nie może czuć się bezpieczny.
I tak ma być.
Głupie pytanie. Na Reddicie czytam, że było wiadomo, że tak będzie, bo strona używała JavaScriptu. Ktoś jest mi w stanie wytłumaczyć dlaczego używanie JS-a w Darknecie jest niepożądane?
Większość Torowiczów korzysta z Tor Browsera opartego na Firefoksie. Dużo ataków na Tor Browser wykorzystywało błędy w obsłudze JavaScript. Wyłączenie JS zmniejsza ryzyko ataku.
Nie znam sie na javaScript ale czy nie jest tak, ze strona gdzie dzialaja skrypty moze pozyskac prawdziwy adres IP odwiedzajacego nawet jesli laczy sie on przez siec Tor? Myslalem ze to wlasnie jest uzasadnienie wylaczania JavaScript w TorBrowser, a nie mozliwe podatnosci.
Domyślnie nie ma takiej opcji. Musi być błąd w JS. Zdarza się raz na ruski rok.
Robi interes jaki robi, a nie stać go na killswitcha? Jak to ktoś powiedział „za samą głupotę powinni go zamknąć”. A kamerę IP można kupić już za $100.
23 miliony dolarow to raczej skromna kwota. Daleko mu do bonzow polswiatka a co dopiero do ludzi ktorzy przeszli kilka poziomow wyzej. Na Ukrainie w jednej prywatyzacji wiekszego przedsiebiorstwa pewnie w setkach $ a mozne nawet miliardach $ mozna bylo zyskac.
Zgadza się, ale tam musisz być jakąś grubą rybą, a w TORze w teorii każdy może się dochrapać :) DPR czy ten tutaj to jakieś tam moćki z Wąchocka, żadne szychy, także te $23M jakieś wrażenie na mnie robi.
A po co właściwie się przyznawali do przejęcia Hansa Marketu? Powinni byli zostawić ten serwis czynny i wyłapywać kolejnych chętnych. Naturalnie zauważono by, że serwis nie wysyła towaru, ale i tak zawsze trafiłby się ktoś, kto tam wejdzie nie sprawdzając wcześniej newsów.
Artykuł dość naiwny.
-jak pisal już Kolega wyżej nie da się użyć przejętych w wyniku śledztwa środków na finansowanie instytucji śledczych. Tj jakby konfiskaty szły na konto prokuratorów to Autor tekstu by drżał zamiast pisać takie bajki.
-wlasxiciel bazarów to nie pojedynczy człowiek. Najprawdopodobniej za nim stały mafie. Mafia nie pozwala na podczepianie się pod zyski osobom niezależnym. Gość był internetowym pośrednikiem, czyli dilerem. Diler dla kogoś pracuje.
-zamkniecie serwisu bez odnalezienia źródeł narkotyków które przez bazary przechodziły jest chyba skrajnie nieprofesjonalne. Kogo łapali? Dilera? A dostawcy mogą spać spokojnie ? Znajdą sobie nowego dilera albo nawet pięciu.
-ze mogą spać spokojnie to oczywiste bo jak pisze autor sprawca… popełnił samobójstwo w ..tajskim więzieniu. ;))) Tak, bo jak wiemy tajskie więzienia są znane z procedur ochrony kluczowych więźniów.
Ogólnie rzecz biorąc wygląda na scieme. Zamknięcie bazarka nie zmniejszylo liczby narkotyków na świecie. Zatem albo było końcem znacznie dłuższej opoeracji albo pretekstem do 'skasowania’ nieostrożnego dilera,zanim narobi więcej głupoty.
Nie można też wykluczyć naiwności policji holenderskiej powiązanej z marketingiem rzekomej skuteczności dla gawiedzi.
Prosimy zatem o więcej wnikliwości przy tekstach.
Ojej, Sima ale zagubiona jesteś. Piszesz o naiwności kogoś, kto wykonał realną pracę abyś sobie coś poczytał po czym sam podajesz tak naiwne teorie że aż głowa boli.
Dziękuję z3s za fajny art :-)
obstawiam, że tajskie służby miały swój procent i nie chciały, aby to wyszło na jaw
Artykuł dość naiwny.
-jak pisal już Kolega wyżej nie da się użyć przejętych w wyniku śledztwa środków na finansowanie instytucji śledczych. Tj jakby konfiskaty szły na konto prokuratorów to Autor tekstu by drżał zamiast pisać takie bajki.
-wlasxiciel bazarów to nie pojedynczy człowiek. Najprawdopodobniej za nim stały mafie. Mafia nie pozwala na podczepianie się pod zyski osobom niezależnym. Gość był internetowym pośrednikiem, czyli dilerem. Diler dla kogoś pracuje.
-zamkniecie serwisu bez odnalezienia źródeł narkotyków które przez bazary przechodziły jest chyba skrajnie nieprofesjonalne. Kogo łapali? Dilera? A dostawcy mogą spać spokojnie ? Znajdą sobie nowego dilera albo nawet pięciu.
-ze mogą spać spokojnie to oczywiste bo jak pisze autor sprawca… popełnił samobójstwo w ..tajskim więzieniu. ;))) Tak, bo jak wiemy tajskie więzienia są znane z procedur ochrony kluczowych więźniów.
Ogólnie rzecz biorąc wygląda na scieme. Zamknięcie bazarka nie zmniejszylo liczby narkotyków na świecie. Zatem albo było końcem znacznie dłuższej opoeracji albo pretekstem do 'skasowania’ nieostrożnego dilera,zanim narobi więcej głupoty.
Nie można też wykluczyć naiwności policji holenderskiej powiązanej z marketingiem rzekomej skuteczności dla gawiedzi.
Prosimy zatem o więcej wnikliwości przy tekstach.
Nie twierdzę że mafie nie obserwują darknetowych sklepów, robią to na pewno bo to przecież ich konkurencja i duża kasa ucieka im sprzed nosa. Ale na pewno nie jest im łatwo dopaść adminów jak ci z Alpha/Hansa. Mafie mogą dużo ale to nie służby, chyba że istnieją pomiędzy nimi nieformalne połączenia jak to jest w Rosji. Teza że za Alpha na pewno stała mafia jest przedwczesna. Jakieś poszlaki?
Duży Pies: W Polsce, ale też w innych krajach „służby”, to są również przestępcy, ale po drugiej stronie.
Jeśli jesteś „dużym psem”, to powinieneś wiedzieć, że „służby” często bronią nie-rządowych przestępców przed sądami, prokuraturą, policją.
Oni są im do wielu rzeczy potrzebni, np. do finansowania pewnych akcji. Oni żyją w symbiozie.
Wiem o tym, ale słowo „często” jest tu dużą przesadą.
Natomiast jest to moralnie obrzydliwe i niszczy społeczne zaufanie do służb.
Duży Pies: :-) Kto przejmuje się w firmie cywilami? :)
Ciekawe jak z odpowiedzialnością. Skoro służby przez miesiąc prowadziły ten sklep, to czy nie odpowiadają za współudział gdy ktoś zabije kogoś z nielegalnej broni, którą służby wpuściły celowo na rynek? Penie ktoś gdzieś pierwszy raz spróbował narkotyków sprzedanych mu przez służby specjalne. Kiedy służby sięgają po przestępcze metody same stają się przestępcami. To jak z tajniackim autem z fotoradarem. Ściga przekraczających prędkość samemu ją łamiąc i narażając innych na utratę życia lub zdrowia na równi z ściganym. Co innego, gdy od razu po stwierdzeniu złamania przepisów rozpoczyna pościg z włączoną syreną. Nie, cel nie uświęca środków. To jak na tych amerykańskich filmach. Gość pomyka jak szaleniec przez miasto. Z bocznej uliczki wyjeżdża zaczajony radiowóz i rozpoczyna pościg na sygnale, a nie ściga się bez niego. Po to są służby, żeby chronić ludzi, a łapać przestępców. Łapanie przestępców narażając niewinnych ludzi (zabitych/zranionych z nielegalnie kupionej za błogosławieństwem służb broni). Dobrze prawią tam w stanach, że to chyba coś nie tak jest, kiedy skradzione amerykańskim służbom oprogramowanie służy do szkodzenia amerykańskim obywatelom.