29.01.2014 | 07:03

Adam Haertle

Ktoś zhakował OVH, by namierzyć Freedom Hosting, Tormaila i Silk Road?

Ciągle nie znamy wyjaśnienia  przyczyn zeszłorocznych wpadek najpopularniejszych serwisów w sieci Tor – Freedom Hosting i Silk Road. Trzeba jednak przyznać, że pod koniec lipca w serwerowni OVH działy się dość dziwne rzeczy.

Przez ładnych kilka lat dwa serwisy w sieci Tor grały na nosie organom ścigania. Freedom Hosting, obsługujący większość istniejących stron pedofilskich (oraz jak mówią szacunki ok. połowę wszystkich witryn w sieci Tor) a także Silk Road, największy narkotykowy bazar w historii sieci, wydawały się być nie do namierzenia i zablokowania. Tymczasem w ciągu 2 miesięcy nie tylko oba serwisy zostały zamknięte, ale także aresztowano ich założycieli. Jak mogło do tego dojść?

Chronologia zdarzeń

Nie wiemy, czy opisane poniżej zdarzenia są ze sobą powiązane. Trzeba jednak przyznać, że jeśli mamy do czynienia ze zbiegiem okoliczności, to jest on naprawdę wyjątkowy. Przeczytajcie i oceńcie sami.

10 lipca 2013 – „przypadkowe” przechwycenie cennej przesyłki

Amerykańskie służby celne przechwytują przesyłkę adresowaną do Rossa Ulbrichta, zawierającą 9 fałszywych dowodów tożsamości z jego zdjęciem, ale na różne nazwiska. Jeden z dokumentów to brytyjskie prawo jazdy

22 lipca 2013 – incydent w OVH

Pod koniec lipca OVH ogłasza, że padło ofiarą wyrafinowanego włamania do własnej sieci. Włamywacze, pokonując kilka poziomów zabezpieczeń, uzyskali dostęp najpierw do konta email jednego pracownika, potem do połączenia VPN innego administratora, a w końcu do bazy danych wszystkich europejskich klientów firmy oraz infrastruktury firmy w Kanadzie, która umożliwiała zdalny dostęp do każdego serwera w OVH, którego administrator nie usunął domyślnego klucza SSH za pomocą którego OVH odzyskuje dostęp w razie problemów. Sprawcy zdarzenia nigdy nie zostali zidentyfikowani.

22 lipca 2013 – wykonanie obrazu serwera Tormail (hostowanego na Freedom Hosting)

Akt oskarżenia w sprawie internetowego serwisu drukowania fałszywych kart kredytowych wspomina mimochodem:

Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail, włączając w to zawartość skrzynek pocztowych Tormail.

23 lipca 2013 – wykonanie obrazu serwera Silk Road

Akt oskarżenia przeciwko Rossowi Ulbrichtowi, oskarżonemu o prowadzenie Silk Road, mówi:

W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia wykonano, a następnie przekazano FBI, obraz serwera www Silk Road.

29 lipca 2013 – OVH ogłasza, że nie pozwala na hostowanie serwerów Tor w swojej infrastrukturze

Komunikat OVH omawia nowe warunki korzystania z usług firmy, przy okazji informując, że:

W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają one poziom nadużyć oraz ilość zapytań organów ścigania.

Koniec lipca 2013 – aresztowanie Erica Marquesa, zarządzającego Freedom Hosting

Według informacji mediów, Eric wynajmował serwery od „pewnej francuskiej firmy”.

1 sierpnia 2013 – przestaje działać Freedom Hosting

Użytkowcy zgłaszają problemy z niedostępnością serwisu i wszystkich prowadzonych na nim witryn

3 sierpnia 2013 – ujawnienie ataku na użytkowników Freedom Hosting

Pojawiają się pierwsze dowody na to, że w trakcie gdy strony Freedom Hosting informowały użytkowników je odwiedzających o niedostępności serwerów, jednocześnie przeglądarki były traktowane exploitem na JS.

20 grudnia 2013 – FBI dziękuje Francuzom

FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road

22 stycznia 2014 – odwołana wspólna prezentacja Francuzów i FBI na temat Silk Road

Krótko przed zaplanowaną prezentacją pt. „Informacje o wspólnej operacji FBI i francuskiego oddziału ds. zwalczania przestępczości internetowej przeciwko Silk Road” zostaje ona odwołana z nieznanych powodów.

Spekulacje

Oczywiście powyższy ciąg wydarzeń może być tylko zbiegiem okoliczności, ale równie dobrze ich przebieg mógł wyglądać następująco:

  • Amerykanie przechwytują fałszywe dokumenty Ulbrichta i znajdują dane, pod którymi zamawia serwery w OVH.
  • Francuzi lub Amerykanie włamują się do bazy OVH, lokalizują interesujące ich maszyny i wykonują ich obrazy (np. wszystkich maszyn, działających jako hidden service).
  • Na serwerach FH znajdują wystarczająco dowodów, by aresztować Marquesa, przy okazji zastawiają pułapkę na innych użytkowników.
  • Wykorzystują także serwer Tormaila, by zebrać dowody do innych postępowań.
  • Na serwerach SR brak wystarczającej ilości dowodów, zatem ich zbieranie potrwa jeszcze 2 miesiące.
  • OVH nie jest zbyt zadowolone z przebiegu sprawy i eliminuje ryzyko na przyszłość zakazując korzystania z Tora.

Być może lipcowy incydent w OVH nie miał nic wspólnego z Freedom Hosting i Silk Road… Ale jakoś trudno nam w to uwierzyć.

Powrót

Komentarze

  • 2014.01.29 07:22 adrian

    Świetny art :)

    Odpowiedz
  • 2014.01.29 09:19 AndrzejR

    Ta historia to ciekawy materiał na scenariusz do filmu… Pozdrawiam.

    Odpowiedz
  • 2014.01.29 09:30 Andrew

    No i za ten artykuł pojawiliście się na celowniku NSA
    ;P

    Odpowiedz
  • 2014.01.29 12:29 tdgdfxgfdhfdhdf

    zamiast ’22 stycznia 2013′ dajcie ’22 stycznia 2014′

    Odpowiedz
  • 2014.01.29 12:45 Fredi

    Ciekawe… :) btw. chyba 22 Stycznia 2014 r. :)

    Odpowiedz
  • 2014.01.29 14:14 ntskj

    >Francuzi lub Amerykanie włamują się do bazy OVH, lokalizują interesujące ich maszyny i wykonują ich obrazy (np. wszystkich maszyn, działających jako hidden service).
    brzmi filmowo, ale czy nie wystarczyłoby żeby francuzi uśmiechnęli się do OVH i dostali razem z listą kont wszystkie obrazy dysków? mając HADOOPI za plecami wątpię, żeby mieli jakoś szczególnie wolnościowe te przepisy…

    artykuł ogółem całkiem ciekawy!

    Odpowiedz
  • 2014.01.29 14:41 Mieczysław

    Adamie, trochę to niespójne. Przecież Amerykanie jasno piszą, że otrzymali to co chcieli: „w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją” więc po co mieliby oni (albo tym bardziej Francuzi) się włamywać?
    Prawdopodobne jest oczywiście, że wszystko stało w OVH ale normalny* scenariusz wygląda tak, że przychodzą panowie i mówią: proszę o obraz maszyny tej i tej, a następnie wychodzą.

    Odpowiedz
    • 2014.01.29 14:59 Adam

      Tak samo jak fałszywe dokumenty Rossa Ulbrichta przejęli na granicy w trakcie „rutynowej kontroli celnej”… Są udokumentowane przypadki „legalizacji” dowodów zdobytych mniej legalnymi środkami :)
      Jeśli opisywane wydarzenia faktycznie są powiązane, to przypuszczam, że mogli nie mieć wystarczających dowodów, by namówić Francuzów na przejęcie danych lub Francuzi mogli nie być wystarczająco skorzy do współpracy. Ale to oczywiście tylko spekulacje.

      Odpowiedz
  • 2014.01.29 14:51 aaaaaah

    Niech przyjdą czasy szyfrowania danych na serwerach i po sprawie.

    Odpowiedz
    • 2014.01.30 00:51 marsjaninzmarsa

      No nie do końca po sprawie – nawet, jeśli cały dysk jest zaszyfrowany, to na czas pracy musi zostać odszyfrowany, a klucz szyfrujący musi być w RAM-ie. Wystarczy przejąć działający serwer (a kto wyłącza serwery) i po sprawie…

      Odpowiedz
  • 2014.01.29 14:54 czytelnik

    Włamanie czy nie, może po prostu nie chcieli ujawiniać zainteresowania celem, a jak się ma inną możliwość, to dlaczego z niej nie skorzystać?

    Odpowiedz
    • 2014.01.29 15:53 Mieczysław

      Po to, by nie stawiać OVH w takiej sytuacji, że musi wystosowywać oświadczenie o wyrafinowanym włamaniu i narażać tym samym własną reputację.

      Tymczasem sam sobie już chyba odpowiedziałem na pytanie :)
      Spójrzmy jeszcze raz na daty. Nie jest tak, jak pierwotnie pomyślałem, że Amerykanie mieli dane Ulbrichta i po prostu poszli do OVH po jego serwer. Z początku nie wiedzieli pewnie, że Silk Road stoi w OVH. Oni badali sprawę TorMaila (w której to pewnie sprawie dowodów na wydanie serwera z OVH nie było) i dopiero po przejęciu skrzynek z TorMaila jasnym stało się, że Silk Road też jest w OVH.

      Odpowiedz
  • 2014.02.01 23:46 DM

    Zaczelo sie od tormaila i analizy naglowkow wiadomosci, wyłuskania ip serwera, a skonczylo na reszcie uslug FH, SilkRoad itd… Dlatego lepiej niektorych uslug nie uruchamiac nawet w sieci TOR.

    Odpowiedz
  • 2014.02.02 11:36 yy

    dowodow zdobytych nielegalnie fbi nie mogloby wykorzystac przed sedzia, wiec musieli je formalnie 'zalegalizowac’, standard..

    Odpowiedz

Zostaw odpowiedź do Fredi

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ktoś zhakował OVH, by namierzyć Freedom Hosting, Tormaila i Silk Road?

Komentarze