Ktoś zhakował OVH, by namierzyć Freedom Hosting, Tormaila i Silk Road?

dodał 29 stycznia 2014 o 07:03 w kategorii Włamania  z tagami:
Ktoś zhakował OVH, by namierzyć Freedom Hosting, Tormaila i Silk Road?

Ciągle nie znamy wyjaśnienia  przyczyn zeszłorocznych wpadek najpopularniejszych serwisów w sieci Tor – Freedom Hosting i Silk Road. Trzeba jednak przyznać, że pod koniec lipca w serwerowni OVH działy się dość dziwne rzeczy.

Przez ładnych kilka lat dwa serwisy w sieci Tor grały na nosie organom ścigania. Freedom Hosting, obsługujący większość istniejących stron pedofilskich (oraz jak mówią szacunki ok. połowę wszystkich witryn w sieci Tor) a także Silk Road, największy narkotykowy bazar w historii sieci, wydawały się być nie do namierzenia i zablokowania. Tymczasem w ciągu 2 miesięcy nie tylko oba serwisy zostały zamknięte, ale także aresztowano ich założycieli. Jak mogło do tego dojść?

Chronologia zdarzeń

Nie wiemy, czy opisane poniżej zdarzenia są ze sobą powiązane. Trzeba jednak przyznać, że jeśli mamy do czynienia ze zbiegiem okoliczności, to jest on naprawdę wyjątkowy. Przeczytajcie i oceńcie sami.

10 lipca 2013 – „przypadkowe” przechwycenie cennej przesyłki

Amerykańskie służby celne przechwytują przesyłkę adresowaną do Rossa Ulbrichta, zawierającą 9 fałszywych dowodów tożsamości z jego zdjęciem, ale na różne nazwiska. Jeden z dokumentów to brytyjskie prawo jazdy

22 lipca 2013 – incydent w OVH

Pod koniec lipca OVH ogłasza, że padło ofiarą wyrafinowanego włamania do własnej sieci. Włamywacze, pokonując kilka poziomów zabezpieczeń, uzyskali dostęp najpierw do konta email jednego pracownika, potem do połączenia VPN innego administratora, a w końcu do bazy danych wszystkich europejskich klientów firmy oraz infrastruktury firmy w Kanadzie, która umożliwiała zdalny dostęp do każdego serwera w OVH, którego administrator nie usunął domyślnego klucza SSH za pomocą którego OVH odzyskuje dostęp w razie problemów. Sprawcy zdarzenia nigdy nie zostali zidentyfikowani.

22 lipca 2013 – wykonanie obrazu serwera Tormail (hostowanego na Freedom Hosting)

Akt oskarżenia w sprawie internetowego serwisu drukowania fałszywych kart kredytowych wspomina mimochodem:

Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail, włączając w to zawartość skrzynek pocztowych Tormail.

23 lipca 2013 – wykonanie obrazu serwera Silk Road

Akt oskarżenia przeciwko Rossowi Ulbrichtowi, oskarżonemu o prowadzenie Silk Road, mówi:

W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia wykonano, a następnie przekazano FBI, obraz serwera www Silk Road.

29 lipca 2013 – OVH ogłasza, że nie pozwala na hostowanie serwerów Tor w swojej infrastrukturze

Komunikat OVH omawia nowe warunki korzystania z usług firmy, przy okazji informując, że:

W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają one poziom nadużyć oraz ilość zapytań organów ścigania.

Koniec lipca 2013 – aresztowanie Erica Marquesa, zarządzającego Freedom Hosting

Według informacji mediów, Eric wynajmował serwery od „pewnej francuskiej firmy”.

1 sierpnia 2013 – przestaje działać Freedom Hosting

Użytkowcy zgłaszają problemy z niedostępnością serwisu i wszystkich prowadzonych na nim witryn

3 sierpnia 2013 – ujawnienie ataku na użytkowników Freedom Hosting

Pojawiają się pierwsze dowody na to, że w trakcie gdy strony Freedom Hosting informowały użytkowników je odwiedzających o niedostępności serwerów, jednocześnie przeglądarki były traktowane exploitem na JS.

20 grudnia 2013 – FBI dziękuje Francuzom

FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road

22 stycznia 2014 – odwołana wspólna prezentacja Francuzów i FBI na temat Silk Road

Krótko przed zaplanowaną prezentacją pt. „Informacje o wspólnej operacji FBI i francuskiego oddziału ds. zwalczania przestępczości internetowej przeciwko Silk Road” zostaje ona odwołana z nieznanych powodów.

Spekulacje

Oczywiście powyższy ciąg wydarzeń może być tylko zbiegiem okoliczności, ale równie dobrze ich przebieg mógł wyglądać następująco:

  • Amerykanie przechwytują fałszywe dokumenty Ulbrichta i znajdują dane, pod którymi zamawia serwery w OVH.
  • Francuzi lub Amerykanie włamują się do bazy OVH, lokalizują interesujące ich maszyny i wykonują ich obrazy (np. wszystkich maszyn, działających jako hidden service).
  • Na serwerach FH znajdują wystarczająco dowodów, by aresztować Marquesa, przy okazji zastawiają pułapkę na innych użytkowników.
  • Wykorzystują także serwer Tormaila, by zebrać dowody do innych postępowań.
  • Na serwerach SR brak wystarczającej ilości dowodów, zatem ich zbieranie potrwa jeszcze 2 miesiące.
  • OVH nie jest zbyt zadowolone z przebiegu sprawy i eliminuje ryzyko na przyszłość zakazując korzystania z Tora.

Być może lipcowy incydent w OVH nie miał nic wspólnego z Freedom Hosting i Silk Road… Ale jakoś trudno nam w to uwierzyć.