szukaj

03.10.2013 | 01:02

avatar

Adam Haertle

Seria wielu drobnych wpadek, czyli jak FBI namierzyło założyciela Silk Road

Wraz z informacją o aresztowaniu założyciela serwisu Silk Road oraz zamknięciem samego serwisu opublikowany został akt oskarżenia. Jest on fascynującą lekturą, dającą wgląd w nigdy wcześniej nie ujawniane tajemnice funkcjonowania Silk Road.

Najpopularniejszym do tej pory artykułem w naszym serwisie jest opis funkcjonowania Silk Road. Od dzisiaj wpis ten stanowi już tylko pamiątkę po dniach chwały największego w historii sklepu z narkotykami. Jak działał Silk Road? Jak wpadł jego założyciel? Poniżej streszczamy najciekawsze fragmenty aktu oskarżenia.

Wielki biznes

Kiedy naukowcy próbowali oszacować obroty Silk Roadu, obliczyli, że mogą wynosić one ok. 22 miliony dolarów rocznie. Okazuje się, że szacunki te nie miały wiele wspólnego z rzeczywistością. FBI policzyło, że przez niecałe 3 lata działalności (Silk Road wystartował na przełomie stycznia i lutego 2011) serwis wygenerował 9,519,664 BTC obrotu. Przy dzisiejszym kursie to ok. 1,2 miliarda dolarów. Z kolei w trakcie swojego istnienia serwis zarobił na prowizjach 614,305 BTC. Kto generował takie obroty? W serwisie zarejestrowanych było 957,079 kont użytkowników, co tłumaczy skalę działalności. 30% użytkowników jako kraj pochodzenia zaznaczyło USA, 27% nie podało żadnej informacji na ten temat a pozostałe popularne kraje wg deklaracji użytkowników to kolejno Wielka Brytania, Australia, Niemcy, Kanada, Szwecja, Francja, Rosja, Włochy i  Holandia. O skali działania serwisu może także świadczyć fakt, że między 24 maja  a 23 lipca 2013 użytkownicy wymienili miedzy sobą 1,2 mln wiadomości. Z kolei od 6 lutego 2011 do 23 lipca 2013 w serwisie zawarto 1,229,465 transakcji, w których wzięło udział 146,946 kupujących oraz 3877 sprzedających. Oznacza to, że przynajmniej 1/7 użytkowników zarejestrowanych w serwisie prowadziła aktywnie interesy. Skąd jednak FBI ma takie dokładne dane?

Według aktu oskarżenia FBI zlokalizowało dość złożoną infrastrukturę Silk Road, której serwery były rozsiane po wielu krajach. Jeden z serwerów, obsługujący witrynę www, został dnia 23 lipca 2013 przejęty przez służby zaprzyjaźnionego kraju, które wykonały obraz jego dysku twardego w taki sposób, by nie zauważył tego administrator infrastruktury. Obraz został przekazany FBI, które miało dużo czasu na jego wnikliwą analizę. Serwer www był tylko jedną z wielu maszyn – FBI udało się również przejąć serwer obsługujący transakcje w BTC, dzięki któremu poznało szczegóły dotyczące obrotów firmy. Co ciekawe, samo śledztwo trwało już od października 2011 i w czasie jego trwania agenci FBI dokonali ponad 100 transakcji zakupu narkotyków. Z aktu oskarżenia możemy się także dowiedzieć, że administratorzy serwisu, pełniący funkcje pomocnicze takie jak zarządzanie forum czy obsługa zgłoszeń klientów, zarabiali ok. 1000 – 2000 dolarów tygodniowo – oczywiście wypłacane w BTC.

Dread Pirate Roberts, czyli Ross William Ulbricht

Z dokumentów możemy też dowiedzieć się, jak FBI namierzyło założyciela serwisu. Do jego zatrzymania nie doprowadził jeden wyciek czy incydent – raczej była to metoda drobnych kroków i korelacji licznych poszlak. Po pierwsze, agenci zlokalizowali w sieci prawdopodobnie pierwszy wpis na temat Silk Road z 27 stycznia 2011. Znaleźli go w serwisie www.shroomery.org, poświęconemu miłośnikom grzybków halucynogennych. Był to wpis, w którym użytkownik, ukrywający się pod pseudonimem altoid, informował, że trafił na nowy serwis, oferujący w sieci narkotyki. Użytkownik ten także wskazał na stronę silkroad420.wordpress.com, gdzie znalazł adres serwisu. Strona w serwisie WordPress została założona 23 stycznia 2011 przez kogoś, kto korzystał z sieci TOR, by ukryć swój adres IP.

Dwa dni później, 29 stycznia, użytkownik altoid zamieścił kolejną ukrytą reklamę Silk Road, tym razem na forum bitcointalk.org. 8 miesięcy później altoid zamieścił w serwisie kolejny wpis – tym razem szukał specjalisty, zajmującego się technologiami BTC, którego chciał zatrudnić w startupie. Co ciekawe, podał w tym ogłoszeniu adres kontaktowy – [email protected]. FBI sprawdziło, że konto to należy do Rossa Ulbrichta. Na tej podstawie znalazło jego profil w serwisie LinkedIn. W profilu tym można było wyczytać, że po ukończeniu studiów jego cele życiowe się zmieniły i postanowił „stworzyć ekonomiczną symulację”, której celem było „pokazanie ludziom, jak może wyglądać życie w świecie pozbawionym siły nadużywanej przez instytucje i rządy”. Kolejnymi przesłankami, wskazującymi na zaangażowanie Ulbrichta w kwestie związane z działaniem Silk Road były linki na jego profilu w serwisie G+, wskazujące na filmy propagujące idee austriackiej szkoły ekonomii.

Następnym elementem układanki były elementy prywatnych wiadomości Dread Pirate Robertsa, które wskazywały na to, że przebywa on w pacyficznej strefie czasowej np. pisał do innej osoby „jest już prawie 4 po południu”, co w połączeniu z godziną wysłania wiadomości dało agentom wskazówkę, gdzie powinni szukać sprawcy. Tropów było jednak jeszcze więcej. Kod serwera Silk Road zawierał ograniczenie logowania do panelu administracyjnego. Ograniczenie to polegało na opuszczeniu do logowania tylko konkretnego adresu IP. Ten adres IP z kolei należał do serwera VPN. FBI zapytało firmę hostingową o historię połączeń z tego serwera, jednak dane te zostały usunięte przez jego użytkownika. Firma hostingowa przechowywała za to ostatni adres IP, z którego łączono się z serwerem. Był to adres IP należący do kawiarenki internetowej w San Francisco, znajdującej sie bardzo blisko miejsca zamieszkania jednego z przyjaciół Ulbrichta. Co więcej, z tego samego adresu IP logowano się na konto gmail Ulbrichta tego samego dnia, którego nastąpiło logowanie do serwera VPN.

Jakby tego było mało, 10 lipca 2013 amerykański urząd celny przechwycił przy okazji rutynowej kontroli przesyłkę z Kanady, zawierającą zestaw dziewięciu fałszywych dokumentów. Każdy dokument wystawiony był na inne nazwisko, jednak na wszystkich było to samo zdjęcie. Agenci udali się kilka dni później pod adres w San Francisco, na który była skierowana przesyłka. Znaleźli tam Rossa Ulbrichta, który wyglądał dokładnie tak samo jak zdjęcia na fałszywych dokumentach. Ross wynajmował tam pokój w mieszkaniu z dwoma innymi osobami, które znały go pod fałszywym imieniem. Zapytany o przesyłkę poinformował agentów, że nic o niej nie wie i że każdy mógł ją łatwo zamówić na Silk Road bez jego wiedzy. Analiza prywatnych rozmów Dread Pirate Robertsa dowodzi, że kilka tygodni wcześniej szukał on oferty fałszywych dokumentów tożsamości, by za ich pomocą zamówić nowe serwery na potrzeby Silk Road.

Jak gdyby te wszystkie przesłanki nie wystarczyły, w serwisie Stack Overflow ktoś zarejestrował w maju 2012 konto pod nazwiskiem Ross Ulbricht, korzystając z konta email Rossa. Z konta tego zadano pytanie o treści „Jak mogę połączyć się z ukrytą usługą TOR za pomocą curla w php?” Minutę po wysłaniu pytania użytkownik zmienił swój pseudonim z „Ross Ulbricht” na „frosty”. To jednak nie pomogło, ponieważ Stack Overflow zarejestrował również pierwszą nazwę konta. Kilka tygodni później ten sam użytkownik zmienił swój adres email, jednak również w tym wypadku serwer zachował poprzednią wersję. Z kolei analiza kodu serwera Silk Road wykazała, że zawiera on bardzo podobną funkcjonalność do tej, o którą pytał frosty vel Ross Ulbricht. Login „frosty” pojawia się w dokumentach jeszcze raz – tym razem jako nazwa użytkownika i domeny klucza SSH, wykorzystywanego do automatycznego logowania do głównego serwera. Najwyraźniej Ulbricht miał słabość do tego pseudonimu.

Nie wiemy, jak Was, ale nas ten ciąg poszlak całkiem przekonuje.

Zlecenie zabójstwa

Najciemniejszym fragmentem całej historii jest sytuacja z użytkownikiem, kryjącym się pod pseudonimem FriendlyChemist. Pewnego dnia zaczął on szantażować DPR, grożąc, że jesli nie otrzyma pół miliona dolarów, których potrzebuje, by spłacić swoje długi wobec dilera, to opublikuje listę danych osobowych kilku tysięcy klientów i kilkudziesięciu sprzedawców, którą rzekomo wykradł innemu sprzedawcy. Dla uwiarygodnienia swoich żądań FriendlyChemist przesłał DPR próbkę danych. DPR poprosił go, by skontaktowali się z nim jego wierzyciele. Wkrótce odzewał się inny użytkownik, któremu DPR zaproponował współpracę w dostawach narkotyków. Rozmowa jednak zeszła na inne tory – DPR poprosił o zabicie użytkownika FriendlyChemist, którego dane przekazał nieznajomemu wraz z kwotą 1670 BTC (ok. 150 tysięcy dolarów). Poinformował przy tym swojego rozmówcę, że wcześniej przeprowadzone zabójstwo kosztowało go tylko 80 tysięcy. Wkrótce potem otrzymał zdjęcie ofiary wraz z karteczką, na której znajdowała się podana przez niego wcześniej liczba. Agenci FBI sprawdzili ten wątek, jednak kanadyjska policja (FriendlyCHemist miał rzekomo pochodzić z Kanady) nie odnotowała w tym czasie zabójstwa, które było opisywane w korespondencji. Czy DPR został sprytnie oszukany? Nie wiadomo, wiadomo jednak, że był gotów zlecić zabójstwo.

Seria dziwnych zbiegów okoliczności

Ostatnie miesiące przyniosły serię dziwnych wydarzeń. Najpierw na początku sierpnia FBI zatrzymała założyciela Freedom Hosting. We wrześniu zatrzymany został najpopularniejszy sprzedawca broni z Black Market Reloaded, ostatniego działającego dużego nielegalnego sklepu w sieci TOR. Dwa tygodnie temu, zaskakując wszystkich, swoje podwoje zamknął główny konkurent Silk Road, Atlantis, cytując „względy bezpieczeństwa”. Czy założyciele Atlantis dowiedzieli się o śledztwie w sprawie Silk Road? Czy po prostu mieli świetne wyczucie sytuacji?

Ciągle nie możemy zrozumieć, czemu założyciel Silk Road został złapany dopiero teraz. Łączenie się z serwerem z kafejki, z której wchodził na własną pocztę? Zamawianie fałszywych dowodów tożsamości na własny adres? Zadawanie pytań w sieci pod własnym nazwiskiem? To błędy, których unikanie stanowi podstawy „zasad BHP” większości internetowych oszustów. Jak widać, nawet je popełniając, można zarobić 80 milionów dolarów w ciągu 3 lat. I pewnie można także zarobić wiele lat więzienia – już wkrótce.

PS. Wartość BTC zaliczyła solidny spadek z prawie 140 dolarów na ok. 110 w ciągu paru godzin, jednak już powoli się odbija.

Powrót

Komentarze

  • avatar
    2013.10.03 05:36 Aktualny

    Kurs bitcoina jednak leci nadal ostro w dół :)

    Odpowiedz
    • avatar
      2013.10.03 11:24 Grzegorz

      bo to jak z giełdą ;)
      jak jebnie to jebnie

      Odpowiedz
  • avatar
    2013.10.03 12:34 P

    Chyba nikt nie jest tak naiwny by wierzyc w to, ze FBI ot tak publikuje swoje metody operacyjne? Oni pooprostu skroili akt oskarzenia „od dupy strony”, tak by wszystkich wyrolowac. A sposob w jaki naprawde doszli do DPR pozostanie ich slodka tajemnica. A dlaczego nie zwineli go wczesniej? Po co??? Trzeba bylo sie mu dokladnie przyjrzec, obadac z kim ma kontakty, tak by dalej cichaczem ciagnac za ten sznureczek.

    a tak btw. ciekawe czy wczorajsza akcja nie ma nic wspolnego z faktem, ze rzad USA zostal wlasnie odciety od drukarni $? ;)

    Odpowiedz
  • avatar
    2013.10.03 12:44 jan kowalski

    To jak bardzo spadnie kurs BTC w ciągu najbliższych dni będzie świadczyć o tym, jaką potęgą był SR. Paradoksalnie będzie również jakoś świadczyć o sile BTC.

    Odpowiedz
  • avatar
    2013.10.03 13:12 kontestator

    „Kolejnymi przesłankami, wskazującymi na zaangażowanie Ulbrichta w kwestie związane z działaniem Silk Road były linki na jego profilu w serwisie G+, wskazujące na filmy propagujące idee austriackiej szkoły ekonomii.”

    LOL, serio, na podstawie przekonań polityczno-gospodarczych można uznać, że gość był powiązany z SL? Czyli wszyscy inni ludzie na świecie, którzy mają podobne poglądy też są powiązani z SL? Co za absurd.

    Jak zamówienie fałszywych dowodów tożsamości jest powiązaniem do SL?

    Jak z pytania o curla i TORa można dojść do tego, że gość jest adminem SL? Czyli każdy który używa curla i TORa jest potencjalnym adminem SL? Czy SL jest jedynym serwisem w sieci TOR do którego można łączyć się curlem?

    Te wszystkie „poszlaki” są bardzo, ale to bardzo słabe. Tak samo jak „adres IP należący do kawiarni znajdującej się blisko mieszkania jednego z jego znajomych”. To wszystko jest tak naciągane, że szkoda gadać.

    BTW: Koleś w 3 lata zarobił 80 mln dolarów i wynajmuje mieszkanie z dwoma współlokatorami? Bitch please.

    Odpowiedz
    • avatar
      2013.10.03 15:52 GS

      Poczytaj sobie co to są poszlaki, to powinno rozwiać twoje wątpliwości.

      Odpowiedz
      • avatar
        2013.10.03 17:39 kontestator

        Wiem co to są poszlaki. Nie sądzisz jednak, że te poszlaki wymienione w artykule są nader słabe? Będą mu zapewne chcieli wlepić dożywocie bazując na pytaniu o curla, poglądy polityczne czy miejsce zamieszkania jego znajomych?

        Odpowiedz
        • avatar
          2013.10.03 18:29 Dawid

          No chyba nie wiesz. Poszlaki i dowody to dwie różne sprawy.

          Odpowiedz
        • avatar
          2013.10.04 06:44 Adam

          Celowo opuściłeś poważniejsze poszlaki jak np. korelację IP? Tak czy inaczej myślę że na jego komputerze, którego nie zdążyli jeszcze przeanalizować, znajdą coś więcej.

          Odpowiedz
          • avatar
            2013.10.04 13:13 kontestator

            To, że tego samego dnia z tego samego miejsca (nie podano w jakim odstępie czasowym) łączono się z publicznie dostępnej kawiarni do VPNa oraz na konto gmail Ulbrichta to najmocniejsza z wymienionych tu poszlak i jedyna, która ma trochę sensu. Pozostałe są po prostu absurdalne, bo pasują do setek jeśli nie tysięcy różnych osób.

            Nie twierdzę, że gość nie jest DPRem. Twierdzę tylko, że skazanie go wyłącznie na podstawie tak słabych poszlak byłoby potwornym nadużyciem.

    • avatar
      2013.10.05 16:42 Kwpolska

      > Jak z pytania o curla i TORa można dojść do tego, że gość jest adminem SL?

      na serwerach SR znaleźli kod, który był na Stack Overflow. http://stackoverflow.com/questions/15445285/how-can-i-connect-to-a-tor-hidden-service-using-curl-in-php & http://arstechnica.com/tech-policy/2013/10/how-the-feds-took-down-the-dread-pirate-roberts/2/

      Odpowiedz
  • avatar
    2013.10.03 18:20 lll

    „Czy DPR został sprytnie oszukany?”
    Tak, ale przez federalnych, bo to była ich prowokacja – https://ia601904.us.archive.org/1/items/gov.uscourts.mdd.238311/gov.uscourts.mdd.238311.4.0.pdf

    Odpowiedz
  • avatar
    2013.10.03 23:06 juzek

    poprawcie przecinki, bo raz jest 1,2 miliarda, a parę wyrazów dalej – 957,079 kont użytkowników. trzymanie się jednego systemu oznaczania miejsc dziesiętnych zwiększy precyzję informacji.

    Odpowiedz
  • avatar
    2017.09.02 12:29 Nullmann

    Oglądał ktoś film pt. „Kokainowi kowboje” ? Film był na YT, można zobaczyć jak się robi takie interesy w USA…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Seria wielu drobnych wpadek, czyli jak FBI namierzyło założyciela Silk Road

Komentarze