Seria wielu drobnych wpadek, czyli jak FBI namierzyło założyciela Silk Road

dodał 3 października 2013 o 01:02 w kategorii Info, Prywatność, Wpadki  z tagami:
Seria wielu drobnych wpadek, czyli jak FBI namierzyło założyciela Silk Road

(źródło: epSos.de)

Wraz z informacją o aresztowaniu założyciela serwisu Silk Road oraz zamknięciem samego serwisu opublikowany został akt oskarżenia. Jest on fascynującą lekturą, dającą wgląd w nigdy wcześniej nie ujawniane tajemnice funkcjonowania Silk Road.

Najpopularniejszym do tej pory artykułem w naszym serwisie jest opis funkcjonowania Silk Road. Od dzisiaj wpis ten stanowi już tylko pamiątkę po dniach chwały największego w historii sklepu z narkotykami. Jak działał Silk Road? Jak wpadł jego założyciel? Poniżej streszczamy najciekawsze fragmenty aktu oskarżenia.

Wielki biznes

Kiedy naukowcy próbowali oszacować obroty Silk Roadu, obliczyli, że mogą wynosić one ok. 22 miliony dolarów rocznie. Okazuje się, że szacunki te nie miały wiele wspólnego z rzeczywistością. FBI policzyło, że przez niecałe 3 lata działalności (Silk Road wystartował na przełomie stycznia i lutego 2011) serwis wygenerował 9,519,664 BTC obrotu. Przy dzisiejszym kursie to ok. 1,2 miliarda dolarów. Z kolei w trakcie swojego istnienia serwis zarobił na prowizjach 614,305 BTC. Kto generował takie obroty? W serwisie zarejestrowanych było 957,079 kont użytkowników, co tłumaczy skalę działalności. 30% użytkowników jako kraj pochodzenia zaznaczyło USA, 27% nie podało żadnej informacji na ten temat a pozostałe popularne kraje wg deklaracji użytkowników to kolejno Wielka Brytania, Australia, Niemcy, Kanada, Szwecja, Francja, Rosja, Włochy i  Holandia. O skali działania serwisu może także świadczyć fakt, że między 24 maja  a 23 lipca 2013 użytkownicy wymienili miedzy sobą 1,2 mln wiadomości. Z kolei od 6 lutego 2011 do 23 lipca 2013 w serwisie zawarto 1,229,465 transakcji, w których wzięło udział 146,946 kupujących oraz 3877 sprzedających. Oznacza to, że przynajmniej 1/7 użytkowników zarejestrowanych w serwisie prowadziła aktywnie interesy. Skąd jednak FBI ma takie dokładne dane?

Według aktu oskarżenia FBI zlokalizowało dość złożoną infrastrukturę Silk Road, której serwery były rozsiane po wielu krajach. Jeden z serwerów, obsługujący witrynę www, został dnia 23 lipca 2013 przejęty przez służby zaprzyjaźnionego kraju, które wykonały obraz jego dysku twardego w taki sposób, by nie zauważył tego administrator infrastruktury. Obraz został przekazany FBI, które miało dużo czasu na jego wnikliwą analizę. Serwer www był tylko jedną z wielu maszyn – FBI udało się również przejąć serwer obsługujący transakcje w BTC, dzięki któremu poznało szczegóły dotyczące obrotów firmy. Co ciekawe, samo śledztwo trwało już od października 2011 i w czasie jego trwania agenci FBI dokonali ponad 100 transakcji zakupu narkotyków. Z aktu oskarżenia możemy się także dowiedzieć, że administratorzy serwisu, pełniący funkcje pomocnicze takie jak zarządzanie forum czy obsługa zgłoszeń klientów, zarabiali ok. 1000 – 2000 dolarów tygodniowo – oczywiście wypłacane w BTC.

Dread Pirate Roberts, czyli Ross William Ulbricht

Z dokumentów możemy też dowiedzieć się, jak FBI namierzyło założyciela serwisu. Do jego zatrzymania nie doprowadził jeden wyciek czy incydent – raczej była to metoda drobnych kroków i korelacji licznych poszlak. Po pierwsze, agenci zlokalizowali w sieci prawdopodobnie pierwszy wpis na temat Silk Road z 27 stycznia 2011. Znaleźli go w serwisie www.shroomery.org, poświęconemu miłośnikom grzybków halucynogennych. Był to wpis, w którym użytkownik, ukrywający się pod pseudonimem altoid, informował, że trafił na nowy serwis, oferujący w sieci narkotyki. Użytkownik ten także wskazał na stronę silkroad420.wordpress.com, gdzie znalazł adres serwisu. Strona w serwisie WordPress została założona 23 stycznia 2011 przez kogoś, kto korzystał z sieci TOR, by ukryć swój adres IP.

Dwa dni później, 29 stycznia, użytkownik altoid zamieścił kolejną ukrytą reklamę Silk Road, tym razem na forum bitcointalk.org. 8 miesięcy później altoid zamieścił w serwisie kolejny wpis – tym razem szukał specjalisty, zajmującego się technologiami BTC, którego chciał zatrudnić w startupie. Co ciekawe, podał w tym ogłoszeniu adres kontaktowy – rossulbrich@gmail.com. FBI sprawdziło, że konto to należy do Rossa Ulbrichta. Na tej podstawie znalazło jego profil w serwisie LinkedIn. W profilu tym można było wyczytać, że po ukończeniu studiów jego cele życiowe się zmieniły i postanowił „stworzyć ekonomiczną symulację”, której celem było „pokazanie ludziom, jak może wyglądać życie w świecie pozbawionym siły nadużywanej przez instytucje i rządy”. Kolejnymi przesłankami, wskazującymi na zaangażowanie Ulbrichta w kwestie związane z działaniem Silk Road były linki na jego profilu w serwisie G+, wskazujące na filmy propagujące idee austriackiej szkoły ekonomii.

Następnym elementem układanki były elementy prywatnych wiadomości Dread Pirate Robertsa, które wskazywały na to, że przebywa on w pacyficznej strefie czasowej np. pisał do innej osoby „jest już prawie 4 po południu”, co w połączeniu z godziną wysłania wiadomości dało agentom wskazówkę, gdzie powinni szukać sprawcy. Tropów było jednak jeszcze więcej. Kod serwera Silk Road zawierał ograniczenie logowania do panelu administracyjnego. Ograniczenie to polegało na opuszczeniu do logowania tylko konkretnego adresu IP. Ten adres IP z kolei należał do serwera VPN. FBI zapytało firmę hostingową o historię połączeń z tego serwera, jednak dane te zostały usunięte przez jego użytkownika. Firma hostingowa przechowywała za to ostatni adres IP, z którego łączono się z serwerem. Był to adres IP należący do kawiarenki internetowej w San Francisco, znajdującej sie bardzo blisko miejsca zamieszkania jednego z przyjaciół Ulbrichta. Co więcej, z tego samego adresu IP logowano się na konto gmail Ulbrichta tego samego dnia, którego nastąpiło logowanie do serwera VPN.

Jakby tego było mało, 10 lipca 2013 amerykański urząd celny przechwycił przy okazji rutynowej kontroli przesyłkę z Kanady, zawierającą zestaw dziewięciu fałszywych dokumentów. Każdy dokument wystawiony był na inne nazwisko, jednak na wszystkich było to samo zdjęcie. Agenci udali się kilka dni później pod adres w San Francisco, na który była skierowana przesyłka. Znaleźli tam Rossa Ulbrichta, który wyglądał dokładnie tak samo jak zdjęcia na fałszywych dokumentach. Ross wynajmował tam pokój w mieszkaniu z dwoma innymi osobami, które znały go pod fałszywym imieniem. Zapytany o przesyłkę poinformował agentów, że nic o niej nie wie i że każdy mógł ją łatwo zamówić na Silk Road bez jego wiedzy. Analiza prywatnych rozmów Dread Pirate Robertsa dowodzi, że kilka tygodni wcześniej szukał on oferty fałszywych dokumentów tożsamości, by za ich pomocą zamówić nowe serwery na potrzeby Silk Road.

Jak gdyby te wszystkie przesłanki nie wystarczyły, w serwisie Stack Overflow ktoś zarejestrował w maju 2012 konto pod nazwiskiem Ross Ulbricht, korzystając z konta email Rossa. Z konta tego zadano pytanie o treści „Jak mogę połączyć się z ukrytą usługą TOR za pomocą curla w php?” Minutę po wysłaniu pytania użytkownik zmienił swój pseudonim z „Ross Ulbricht” na „frosty”. To jednak nie pomogło, ponieważ Stack Overflow zarejestrował również pierwszą nazwę konta. Kilka tygodni później ten sam użytkownik zmienił swój adres email, jednak również w tym wypadku serwer zachował poprzednią wersję. Z kolei analiza kodu serwera Silk Road wykazała, że zawiera on bardzo podobną funkcjonalność do tej, o którą pytał frosty vel Ross Ulbricht. Login „frosty” pojawia się w dokumentach jeszcze raz – tym razem jako nazwa użytkownika i domeny klucza SSH, wykorzystywanego do automatycznego logowania do głównego serwera. Najwyraźniej Ulbricht miał słabość do tego pseudonimu.

Nie wiemy, jak Was, ale nas ten ciąg poszlak całkiem przekonuje.

Zlecenie zabójstwa

Najciemniejszym fragmentem całej historii jest sytuacja z użytkownikiem, kryjącym się pod pseudonimem FriendlyChemist. Pewnego dnia zaczął on szantażować DPR, grożąc, że jesli nie otrzyma pół miliona dolarów, których potrzebuje, by spłacić swoje długi wobec dilera, to opublikuje listę danych osobowych kilku tysięcy klientów i kilkudziesięciu sprzedawców, którą rzekomo wykradł innemu sprzedawcy. Dla uwiarygodnienia swoich żądań FriendlyChemist przesłał DPR próbkę danych. DPR poprosił go, by skontaktowali się z nim jego wierzyciele. Wkrótce odzewał się inny użytkownik, któremu DPR zaproponował współpracę w dostawach narkotyków. Rozmowa jednak zeszła na inne tory – DPR poprosił o zabicie użytkownika FriendlyChemist, którego dane przekazał nieznajomemu wraz z kwotą 1670 BTC (ok. 150 tysięcy dolarów). Poinformował przy tym swojego rozmówcę, że wcześniej przeprowadzone zabójstwo kosztowało go tylko 80 tysięcy. Wkrótce potem otrzymał zdjęcie ofiary wraz z karteczką, na której znajdowała się podana przez niego wcześniej liczba. Agenci FBI sprawdzili ten wątek, jednak kanadyjska policja (FriendlyCHemist miał rzekomo pochodzić z Kanady) nie odnotowała w tym czasie zabójstwa, które było opisywane w korespondencji. Czy DPR został sprytnie oszukany? Nie wiadomo, wiadomo jednak, że był gotów zlecić zabójstwo.

Seria dziwnych zbiegów okoliczności

Ostatnie miesiące przyniosły serię dziwnych wydarzeń. Najpierw na początku sierpnia FBI zatrzymała założyciela Freedom Hosting. We wrześniu zatrzymany został najpopularniejszy sprzedawca broni z Black Market Reloaded, ostatniego działającego dużego nielegalnego sklepu w sieci TOR. Dwa tygodnie temu, zaskakując wszystkich, swoje podwoje zamknął główny konkurent Silk Road, Atlantis, cytując „względy bezpieczeństwa”. Czy założyciele Atlantis dowiedzieli się o śledztwie w sprawie Silk Road? Czy po prostu mieli świetne wyczucie sytuacji?

Ciągle nie możemy zrozumieć, czemu założyciel Silk Road został złapany dopiero teraz. Łączenie się z serwerem z kafejki, z której wchodził na własną pocztę? Zamawianie fałszywych dowodów tożsamości na własny adres? Zadawanie pytań w sieci pod własnym nazwiskiem? To błędy, których unikanie stanowi podstawy „zasad BHP” większości internetowych oszustów. Jak widać, nawet je popełniając, można zarobić 80 milionów dolarów w ciągu 3 lat. I pewnie można także zarobić wiele lat więzienia – już wkrótce.

PS. Wartość BTC zaliczyła solidny spadek z prawie 140 dolarów na ok. 110 w ciągu paru godzin, jednak już powoli się odbija.