Ktoś zhakował OVH, by namierzyć Freedom Hosting, Tormaila i Silk Road?
Ciągle nie znamy wyjaśnienia przyczyn zeszłorocznych wpadek najpopularniejszych serwisów w sieci Tor – Freedom Hosting i Silk Road. Trzeba jednak przyznać, że pod koniec lipca w serwerowni OVH działy się dość dziwne rzeczy.
Przez ładnych kilka lat dwa serwisy w sieci Tor grały na nosie organom ścigania. Freedom Hosting, obsługujący większość istniejących stron pedofilskich (oraz jak mówią szacunki ok. połowę wszystkich witryn w sieci Tor) a także Silk Road, największy narkotykowy bazar w historii sieci, wydawały się być nie do namierzenia i zablokowania. Tymczasem w ciągu 2 miesięcy nie tylko oba serwisy zostały zamknięte, ale także aresztowano ich założycieli. Jak mogło do tego dojść?
Chronologia zdarzeń
Nie wiemy, czy opisane poniżej zdarzenia są ze sobą powiązane. Trzeba jednak przyznać, że jeśli mamy do czynienia ze zbiegiem okoliczności, to jest on naprawdę wyjątkowy. Przeczytajcie i oceńcie sami.
10 lipca 2013 – „przypadkowe” przechwycenie cennej przesyłki
Amerykańskie służby celne przechwytują przesyłkę adresowaną do Rossa Ulbrichta, zawierającą 9 fałszywych dowodów tożsamości z jego zdjęciem, ale na różne nazwiska. Jeden z dokumentów to brytyjskie prawo jazdy
22 lipca 2013 – incydent w OVH
Pod koniec lipca OVH ogłasza, że padło ofiarą wyrafinowanego włamania do własnej sieci. Włamywacze, pokonując kilka poziomów zabezpieczeń, uzyskali dostęp najpierw do konta email jednego pracownika, potem do połączenia VPN innego administratora, a w końcu do bazy danych wszystkich europejskich klientów firmy oraz infrastruktury firmy w Kanadzie, która umożliwiała zdalny dostęp do każdego serwera w OVH, którego administrator nie usunął domyślnego klucza SSH za pomocą którego OVH odzyskuje dostęp w razie problemów. Sprawcy zdarzenia nigdy nie zostali zidentyfikowani.
22 lipca 2013 – wykonanie obrazu serwera Tormail (hostowanego na Freedom Hosting)
Akt oskarżenia w sprawie internetowego serwisu drukowania fałszywych kart kredytowych wspomina mimochodem:
23 lipca 2013 – wykonanie obrazu serwera Silk Road
Akt oskarżenia przeciwko Rossowi Ulbrichtowi, oskarżonemu o prowadzenie Silk Road, mówi:
29 lipca 2013 – OVH ogłasza, że nie pozwala na hostowanie serwerów Tor w swojej infrastrukturze
Komunikat OVH omawia nowe warunki korzystania z usług firmy, przy okazji informując, że:
Koniec lipca 2013 – aresztowanie Erica Marquesa, zarządzającego Freedom Hosting
Według informacji mediów, Eric wynajmował serwery od „pewnej francuskiej firmy”.
1 sierpnia 2013 – przestaje działać Freedom Hosting
Użytkowcy zgłaszają problemy z niedostępnością serwisu i wszystkich prowadzonych na nim witryn
3 sierpnia 2013 – ujawnienie ataku na użytkowników Freedom Hosting
Pojawiają się pierwsze dowody na to, że w trakcie gdy strony Freedom Hosting informowały użytkowników je odwiedzających o niedostępności serwerów, jednocześnie przeglądarki były traktowane exploitem na JS.
20 grudnia 2013 – FBI dziękuje Francuzom
FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road
22 stycznia 2014 – odwołana wspólna prezentacja Francuzów i FBI na temat Silk Road
Krótko przed zaplanowaną prezentacją pt. „Informacje o wspólnej operacji FBI i francuskiego oddziału ds. zwalczania przestępczości internetowej przeciwko Silk Road” zostaje ona odwołana z nieznanych powodów.
Spekulacje
Oczywiście powyższy ciąg wydarzeń może być tylko zbiegiem okoliczności, ale równie dobrze ich przebieg mógł wyglądać następująco:
- Amerykanie przechwytują fałszywe dokumenty Ulbrichta i znajdują dane, pod którymi zamawia serwery w OVH.
- Francuzi lub Amerykanie włamują się do bazy OVH, lokalizują interesujące ich maszyny i wykonują ich obrazy (np. wszystkich maszyn, działających jako hidden service).
- Na serwerach FH znajdują wystarczająco dowodów, by aresztować Marquesa, przy okazji zastawiają pułapkę na innych użytkowników.
- Wykorzystują także serwer Tormaila, by zebrać dowody do innych postępowań.
- Na serwerach SR brak wystarczającej ilości dowodów, zatem ich zbieranie potrwa jeszcze 2 miesiące.
- OVH nie jest zbyt zadowolone z przebiegu sprawy i eliminuje ryzyko na przyszłość zakazując korzystania z Tora.
Być może lipcowy incydent w OVH nie miał nic wspólnego z Freedom Hosting i Silk Road… Ale jakoś trudno nam w to uwierzyć.
Podobne wpisy
- Jak połączyć brzydkie Lambo, potężnego teścia i talent do przestępstw komputerowych
- Jak po numerze filtra maski przeciwgazowej zidentyfikowano podpalacza radiowozu
- Jak FBI namierzyło panią, która podpaliła dwa policyjne radiowozy
- Przejście na jasną stronę mocy, czyli historia współpracy hakerów z policją
- Szpiegostwo przemysłowe czy narodowe? W Dolinie Krzemowej trudno je odróżnić
Świetny art :)
Ta historia to ciekawy materiał na scenariusz do filmu… Pozdrawiam.
No i za ten artykuł pojawiliście się na celowniku NSA
;P
zamiast ’22 stycznia 2013′ dajcie ’22 stycznia 2014′
Ciekawe… :) btw. chyba 22 Stycznia 2014 r. :)
>Francuzi lub Amerykanie włamują się do bazy OVH, lokalizują interesujące ich maszyny i wykonują ich obrazy (np. wszystkich maszyn, działających jako hidden service).
brzmi filmowo, ale czy nie wystarczyłoby żeby francuzi uśmiechnęli się do OVH i dostali razem z listą kont wszystkie obrazy dysków? mając HADOOPI za plecami wątpię, żeby mieli jakoś szczególnie wolnościowe te przepisy…
artykuł ogółem całkiem ciekawy!
Adamie, trochę to niespójne. Przecież Amerykanie jasno piszą, że otrzymali to co chcieli: „w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją” więc po co mieliby oni (albo tym bardziej Francuzi) się włamywać?
Prawdopodobne jest oczywiście, że wszystko stało w OVH ale normalny* scenariusz wygląda tak, że przychodzą panowie i mówią: proszę o obraz maszyny tej i tej, a następnie wychodzą.
Tak samo jak fałszywe dokumenty Rossa Ulbrichta przejęli na granicy w trakcie „rutynowej kontroli celnej”… Są udokumentowane przypadki „legalizacji” dowodów zdobytych mniej legalnymi środkami :)
Jeśli opisywane wydarzenia faktycznie są powiązane, to przypuszczam, że mogli nie mieć wystarczających dowodów, by namówić Francuzów na przejęcie danych lub Francuzi mogli nie być wystarczająco skorzy do współpracy. Ale to oczywiście tylko spekulacje.
Niech przyjdą czasy szyfrowania danych na serwerach i po sprawie.
No nie do końca po sprawie – nawet, jeśli cały dysk jest zaszyfrowany, to na czas pracy musi zostać odszyfrowany, a klucz szyfrujący musi być w RAM-ie. Wystarczy przejąć działający serwer (a kto wyłącza serwery) i po sprawie…
Włamanie czy nie, może po prostu nie chcieli ujawiniać zainteresowania celem, a jak się ma inną możliwość, to dlaczego z niej nie skorzystać?
Po to, by nie stawiać OVH w takiej sytuacji, że musi wystosowywać oświadczenie o wyrafinowanym włamaniu i narażać tym samym własną reputację.
Tymczasem sam sobie już chyba odpowiedziałem na pytanie :)
Spójrzmy jeszcze raz na daty. Nie jest tak, jak pierwotnie pomyślałem, że Amerykanie mieli dane Ulbrichta i po prostu poszli do OVH po jego serwer. Z początku nie wiedzieli pewnie, że Silk Road stoi w OVH. Oni badali sprawę TorMaila (w której to pewnie sprawie dowodów na wydanie serwera z OVH nie było) i dopiero po przejęciu skrzynek z TorMaila jasnym stało się, że Silk Road też jest w OVH.
Zaczelo sie od tormaila i analizy naglowkow wiadomosci, wyłuskania ip serwera, a skonczylo na reszcie uslug FH, SilkRoad itd… Dlatego lepiej niektorych uslug nie uruchamiac nawet w sieci TOR.
dowodow zdobytych nielegalnie fbi nie mogloby wykorzystac przed sedzia, wiec musieli je formalnie 'zalegalizowac’, standard..