05.06.2013 | 11:57

Adam Haertle

Polskie fora przestępcze w sieci TOR znikają jedno po drugim

W ostatnich latach sieć TOR stała się ulubioną platformą polskich cyberprzestępców. Na dwóch popularnych forach dyskutowali, dzielili się doświadczeniem i prowadzili interesy. W ciągu ostatnich tygodni oba fora przestały działać. Co się z nimi stało?

Kiedy pod koniec roku 2010 z sieci zniknęło legendarne, międzynarodowe Onionforum, posiadające również dość aktywną sekcję polską, lukę na rynku wypełniło nowe forum polskojęzyczne, Torowisko. Jego założycielem był tajemniczy Borat, pojawiający się raz na rok, a bieżącą administracją zajął się moderator Master0. Torowisko stało się główną przystanią polskojęzycznej części internautów, którym zależy na ukryciu własnej tożsamości w sieci. Spotkać tam można było zarówno libertarian, jak i pedofili czy internetowych oszustów. Po jakimś czasie ruch w serwisie wzrósł na tyle, że pojawiła się potrzeba powołania nowego moderatora, którym został jeden z aktywnych użytkowników, Zdzisław Dyrma.

Powstanie PBM

Master0 pojawiał się na Torowisku coraz rzadziej, a Zdzisław przykładał się do swoich obowiązków. Miał sporo pomysłów na funkcjonowanie forum, jednak mając jako moderator ograniczone uprawnienia, nie wszystkie mógł zrealizować. W marcu 2012 z kolei na Torowisku pojawił się nowy użytkownik, znany pewnie części z Was nvm. Oferował na sprzedaż liczne bazy danych i szybko dogadał się ze Zdzisławem. Pod koniec marca we dwójkę uruchomili nowy serwis o nazwie PBM – Polish Black Market (później rozwinięcie skrótu zmieniono na Polish Board & Market). Master0 nie pojawiał się od miesięcy, Borata nikt nie widział od roku, zatem część użytkowników Torowiska przeniosła się od razu na nowe forum, a resztę starał się zmotywować do przenosin Zdzisław, który ogłosił, że Torowisko wkrótce zostanie zamknięte.

Powrót administratora Torowiska

W czerwcu 2012, tuż przed ogłoszonym przez Zdzisława zamknięciem Torowiska, pojawił się Master0 i postanowił zbanować Zdzisława. Niestety, ustawiając bana z komentarzem o treści „NIE BĘDZIE ŻADNEGO PRZENOSZENIA NAWET MNIE NIE WKURWIAJ” zapomniał wyczyścić pole adresu IP i przez pomyłkę zbanował 127.0.0.1, ponieważ z uwagi na anonimizację ruchu wszyscy użytkownicy widziani są właśnie z tym adresem. Master0, gdy zorientował się, co zrobił (ban dotyczył również jego), wezwał pomoc na forum Libertarianizm.net. W kilka godzin później pojawił się Borat, zdjął bana i przywrócił życie na forum. Od tego momentu oba fora – Torowisko oraz Polish Board & Market funkcjonowały równolegle.

Moderator Torowiska banuje wszystkich – i siebie

Pierwszego kwietnia 2013 powtórzyła się sytuacja z czerwca 2012 – jeden z moderatorów Torowiska (tym razem było ich już trzech) ponownie zbanował adres IP 127.0.0.1, odcinając od sieci wszystkich jego użytkowników, ze sobą włącznie. Od tego wydarzenia minęły już ponad 2 miesiące, a do tej pory serwis pozostaje niedostępny.

Zbanowane Torowisko

Zbanowane Torowisko

Tajemnicze zniknięcie PBM

Polish Board & Market tymczasem funkcjonowało bez większych problemów. Przez pewien czas, z uwagi na napływ dużej liczby użytkowników o niskim poziomie merytorycznym zawieszono rejestracje kont, jednak kilka tygodni temu uruchomiono proces automatycznej rejestracji, wymagający znajomości narzędzi typu GPG. Na początku kwietnia w serwisie pojawiły się informacje sugerujące (wraz z licznymi poszlakami), że współzałożyciel PBM, nvm, to tak naprawdę linc0ln.dll, jeden ze znanych polskich włamywaczy. Poszlaki wskazujące na prawdziwość tej teorii zostały najwyraźniej potraktowane poważnie, ponieważ nvm stracił swoje uprawnienia na forum. Jeszcze wczoraj wieczorem forum funkcjonowało prawidłowo, jednak około północy odwiedzających przywitał nowy komunikat:

-----BEGIN PGP SIGNED MESSAGE-----
 Hash: SHA1
 
 Forum nieaktywne. Pliki i baza zdjete z serwera. Kopia u Zdzislawa dostepna na sprzedaz. Kontakt: [email protected]
 -----BEGIN PGP SIGNATURE-----
 
 iQIcBAEBAgAGBQJRrmBGAAoJEMkHEqSpGB/aExAP/AsL1x6bCpJ1NjsrOmvEXlXV
 thX+jgzo804+P4DX5UjhfpQ22vP55uN9ugT6eZvYYCWc1kCf64mB1CZFGKFDFlck
 5802S3kuHqOwyX0XDV/Nxi7mdusMbcUMKguVBOqyW2k03Mu26j7ZaClGywHhhGGh
 kAG0gUWjcYCh3AAJ9fCmehbqieyHoQjE6C96FyUdkDPSAeC4isYQV2l/++Kidg4C
 RfX/uATStdx7W80CdY3jlFUY1/Ers2viKM9N7cqQwVuVGEx56rzPitbRg2lCmXy7
 GXgzihh10+H0/AfFDTBmz8/zKNn5qqO1I8gNP4mkh6yz9tYnyALdV2sdhmeElJnv
 HtwTvGJVjm5NzZzRCt5K9TGXNWcrDIftrOR5OMtBLwC820hOlcWcOzntvwTG1bt2
 tJXM3EmKyTwVCrz2wLDrFI6hsyHHz+wQgCU0a7tsUA12+MmKtQTxaTKAsqltx6TP
 s2GdsjZPdLQgtAq2l1UOxRyQ0Er9su/cBT9VFqGYz50t2veCCrOYhdfc58wiHVIP
 8zLNTvbgl8YHwrgTihgqVowsfJqcUTxymvkqIwymT0BMWqWGxB+xt3VIfRc4vXZj
 TlVCKXFPO9ReYVfLqyVVuU7aMJ9+oeryE8qtWGGolQtha/oXO60BqzKQtbLN/JTf
 z/Olx5pw9CsUPThg78nh
 =bJ4s
 -----END PGP SIGNATURE-----

Jak do tej pory brak jakichkolwiek informacji na temat przyczyn zamknięcia PB&M, a sam komunikat jest podpisany prawidłowym kluczem Zdzisława. Na dokładkę wizyta w serwisie Polish Hackers Zone, prowadzonym przez nvm (swojego czasu oferującym możliwość pobrania kradzionych baz danych czy też wyszukania danych kont email) owocuje wyświetleniem podobnego wpisu:

Serwis POLISH HACKERS ZONE zostal sprzedany w dniu 2013-06-01. Niedlugo znajdzie sie tutaj podobny, inny serwis o podobnej zasadzie dzialania. - nvm.

Co ciekawe, inne serwisy nvm’a, Polish Q&A czy jego strona prywatna, nadal działają.

Czemu zamknięto PB&M?

Brak jakichkolwiek informacji sprawia, że można jedynie spekulować. Wśród pojawiających się teorii obowiązkowy jest wątek rzekomej przynależności Zdzisława Dyrmy do elitarnych oddziałów polskich organów ścigania (teorie czy pracuje dla ABW, czy dla CBŚ, stosowane są wymiennie). Jeśli okażą się prawdziwe, będzie to niezwykłym wydarzeniem – półtora roku prowadzenia jednego z najpopularniejszych serwisów dla cybeprzestępców przez organa ścigania mogło by być wydarzeniem na skalę światową. Inne możliwości to chociażby potrzeba szybkiego zarobku (pełna kopia serwisu może osiągnąć spore ceny) czy też tzw. okoliczności zewnętrzne jak np. choroba administratora czy wyrok do odbycia. Bez wątpienia zamknięcie PB&M jest dużym zaskoczeniem dla całej społeczności użytkowników serwisu. Rynek nie znosi jednak próżni, zatem czekamy na pojawienie się następców. Chyba, że to tylko spóźniony prima aprilis.

Powrót

Komentarze

  • 2013.06.05 12:28 Rozg Odpowiedz
  • 2013.06.05 13:20 Tomasz

    Poczekajcie cierpliwie, służby założą wam nowy serwis TOR i dalej będziecie mogli sprzedawać swoje sekrety za darmo.

    Odpowiedz
  • 2013.06.05 13:28 Michał

    Hmm,światowi carderzy już raz tak wpadli dzięki FBI, to teraz czas na polskich cyberprzestępców i ABW? [-;

    Tylko teraz może być trudniej namierzyć użytkowników bo to TOR… chyba, że ktoś kto pełnił funckje escrow ma ważne dane.

    Odpowiedz
  • 2013.06.05 13:41 stefan

    Gdzie ja teraz bede sprzedawał bazy i maile? Bida zaglądnie do gara. Jak żyć panie premierze? jak ŻYĆ?

    Odpowiedz
  • 2013.06.05 13:41 stefan

    ;)

    Odpowiedz
  • 2013.06.05 14:01 linc0ln.dll

    Administracja debilteam to nvm, kilka osob, wiem bo siedzialem tam w ukryciu jako inny uzytkownik. Pozdrawiam i dziekuje za pomowienia.

    Odpowiedz
  • 2013.06.05 14:42 Michał

    Sprawdziłem i PropagaTOR ciągle działa iew2c3bube4h56yi.onion

    Odpowiedz
  • 2013.06.05 16:05 blackhat:D

    Jestem wkuriwony ogólenie całym „cyberprzestępczym” światem oraz śmiesznie małymi staratm zyskami, jakie poniosłem. Ogółem mówiąc zarobiłem dość dobrą sumkę, przelałem na BTC, straciłem niemalże połowe na tym cyrku z bańką oraz spakiem z 1000zł na 500łz. Drugą część na instawallet, ale to tylko 500zł. Trzecią na Liberty Reserve. No i teraz te umowy i kontrakty na PBM, oczywiście wszycy posiadający mojej pieniądze i escarov nabrali wody w usta.
    Aha no i oczywiści teraz baza danych przejdzie w prywatne ręcę i mam ochotę sie pociąć, ponieważ niektórzy nalegali na prowadznie negocjacji bez pgp i wiadomość formumową. A ja sie na to zgodziłem ponieważ mój klucz w 60 znakowy z symbolami był zapisany w Keepass, który znajdował sie na karcie sd (tam też była baza danych i kod żródłowy). No i oczywiście wystąpił błąd na tej karcie i wobec złego hasha, Keypass nie mógł go odsyskać.

    Odpowiedz
  • 2013.06.05 16:41 r00ten

    Na bieżąco kopiowałem wpadki na forum, przewidziałam ze kiedys moze sie zniknąć :)

    Odpowiedz
    • 2013.06.05 17:08 joint

      Byłbyś na tyle miły by je gdzieś umieścić? Bardzo chętnie bym na nie rzucił okiem, zapewne nie tylko ja.

      Odpowiedz
    • 2013.06.06 20:16 qwerty

      Wystarczyło wejść na forum w styczniu, a następnie w maju i już nie było widać „zaufanych” użytkowników, a na ich miejsce przychodzili nowi i koło się zamyka

      Odpowiedz
  • 2013.06.07 00:20 adas

    nowe forum pb&m 2 mozna zobaczyc na stronie polish hackers zone. mialo tam byc phz 2 a jest forum. cytat: UWAGA!!! JAKIŚ CZAS TEMU NAPISAŁEM DO NVM W CELU POMOCY W ROZWOJU SERWISU PHZ (MIAŁEM KILKA PLANÓW). NVM ODEZWAŁ SIĘ DO MNIE DOPIERO PO KILKU TYGODNIACH I OZNAJMIŁ, ŻE NIE MA CZASU (PONIEWAŻ MA ZA DUŻO ZLECEŃ). ZAPROPONOWAŁ MI JEDNAK KUPNO SERWISU. ZGODZIŁEM SIĘ PONIEWAŻ POSIADAŁEM WOLNE ŚRODKI, KTÓRE UZYSKAŁEM DZIĘKI SWOJEJ DZIAŁALNOŚCI NA PB&M. Z POWODU ZNIKNIĘCIA PB&M (GŁÓWNEGO ŹRÓDŁA MOICH DOCHODÓW) POSTANOWIŁEM POSTAWIĆ TUTAJ PB&M II ORAZ ZAPOMNIEĆ NA JAKIŚ CZAS O ROZWOJU PHZ. DODAM RÓWNIEŻ, ŻE ZMIENIŁEM PSEUDONIM DLA BEZPIECZEŃSTWA ZARÓWNO SWOJEGO JAK I SPOŁECZNOŚCI. MAM NADZIEJĘ, ŻE RAZEM ODBUDUJEMY TO CO STRACILIŚMY. – 69.

    Odpowiedz
  • 2013.06.07 01:18 delorian

    „JAKIŚ CZAS TEMU NAPISAŁEM DO NVM W CELU POMOCY ROZWOJU SERWISU POLISH HACKERS ZONE (MIAŁEM KILKA PLANÓW ORAZ GOTOWYCH PLIKÓW). NVM ODEZWAŁ SIĘ DO MNIE DOPIERO PO KILKU TYGODNIACH I OZNAJMIŁ, ŻE NIE MA CZASU NA ROZWÓJ SERWISU PONIEWAŻ MA ZA DUŻO ZLECEŃ DO REALIZACJI. ZAPROPONOWAŁ MI JEDNAK KUPNO SERWISU. ZGODZIŁEM SIĘ PONIEWAŻ POSIADAŁEM AKURAT WOLNE ŚRODKI, KTÓRE UZYSKAŁEM DZIĘKI SWOJEJ DZIAŁALNOŚCI NA PB&M. Z POWODU ZNIKNIĘCIA PB&M (GŁÓWNEGO ŹRÓDŁA MOICH DOCHODÓW) POSTANOWIŁEM POSTAWIĆ TUTAJ PB&M II ORAZ ZAPOMNIEĆ NA JAKIŚ CZAS O ROZWOJU POLISH HACKERS ZONE. DLA BEZPIECZEŃSTWA ZARÓWNO SWOJEGO JAK I CAŁEJ SPOŁECZNOŚCI ZMIENIŁEM SWÓJ PSEUDONIM. MAM NADZIEJĘ, ŻE RAZEM ODBUDUJEMY TO CO STRACILIŚMY. DO DZIEŁA!” http://62lpxb2lt3yt6vgr.onion/

    Odpowiedz
  • 2013.06.07 09:06 bentley.dll

    Ten cały linc0ln.dll/nvm to niezły przygłup. Dopuścił do tego, aby jego ksywa pod którą robi przekręty została powiązana z imieniem i nazwiskiem. Teraz cała jego linia obrony opiera się na „to nie ja”, „wiem co mówić policji”, „nie znajdą mnie bo nie mieszkam pod adresem zameldowania” (lol). Podsumowując – bagiety u lincolna to teraz tylko kwestia czasu. Lepiej noś przy sobie wazelinę bo zawiasów już nie będzie.

    Odpowiedz
    • 2013.06.07 17:00 linc0ln.dll

      Nie wiem skąd wziąłeś te cytaty, ale jesteś chory… Potrafisz tylko pisać. Poprzyj to dowodami. Niedługo mój wywiad wideo. Wkurw**** mnie już te pomówienia. Rozjaśnie umysł wszystkim niedługo…

      Odpowiedz
      • 2013.06.10 13:08 random

        skończ pierdolić, każdy wie jak jest naprawdę

        Odpowiedz
  • 2013.06.09 22:31 asd

    http://polish7zujaftc2q.onion/index.php – najlepsza moderacja, rejestracja i ekipa. Zapraszamy.

    Odpowiedz
  • 2013.06.12 03:02 DOgi

    Adamie, czy mógłbym prosić o ustawienie poprawnej daty tego wpisu? 2014 r. psuje mi kolejność w czytniku RSS :)

    Odpowiedz
    • 2013.06.12 10:12 Adam

      Cześć,
      Wpisu już nie ma w RSSie (tylko ostatnie 10), więc wydaje mi się, że nie mogę tego zmienić… :)

      Odpowiedz
  • 2013.06.22 18:32 Wojtek

    Topdating zamierzony, czy to tylko wpadka?

    Odpowiedz
    • 2013.06.22 18:37 Adam

      To był pierwszy artykuł wrzucany na nowym serwerze, którego podróż w czasie za późno zauważyliśmy.

      Odpowiedz
      • 2013.06.22 19:21 Wojtek

        OK, ależ ze mnie męczydu..ai :)
        I tak czytam z zaintresowaniem!

        Odpowiedz
  • 2013.09.05 07:16 Ashley

    Nie chce mi zejść z góry RSSa…

    Odpowiedz
    • 2013.09.05 07:37 Adam

      Spróbuj wymusić resynchronizację feedu (ew. usunąć i dodać). Powinno zadziałać :)

      Odpowiedz
      • 2013.09.05 17:38 Ashley

        Próbowałam już, nie pomogło, ale to Opera Mini, więc feed jest pewnie jakoś trzymany na ich serwerach. No cóż, aż tak mi to nie przeszkadza :)

        Odpowiedz
  • 2013.09.18 18:35 Jarek

    Jak wejść na ten polischboard narkrt da się jeszcze?

    Odpowiedz
  • 2013.09.23 19:58 sitciom

    hm.. pozdrowionka od… hihihihih wzorowa masakra… heheheh

    Odpowiedz
  • 2017.10.07 05:11 L0mI5

    Aż miło poczytać

    Odpowiedz

Zostaw odpowiedź do linc0ln.dll

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polskie fora przestępcze w sieci TOR znikają jedno po drugim

Komentarze