10:42
12/12/2013

Bitcoin Forensics

Ostatnio mieliśmy do czynienia z pojawieniem się bitcoinów w mainstreamowych polskich mediach, głównie z powodu takich wydarzeń jak zamknięcie narkotykowego forum Silk Road czy też kradzieży bitcoinów z polskiej giełdy bidextreme.pl. Coraz popularniejsza sieć P2P służąca do anonimowego transferu gotówki wymusza wprowadzenie nowych narzędzi w programach do kryminalistyki informatycznej.

Informatyka śledcza a bitcoiny

Jednym z przykładów oprogramowania do informatyki śledczej, które wprowadziło funkcje specjalnie pod kątem bitcoinów jest Internet Evidence Finder kanadyjskiej firmy MagnetForensics. Program używany jest głównie do badania artefaktów przeglądarek internetowych, komunikatorów, P2P i innych, jak również telefonów z systemem Android oraz iOS. Celem — jak w każdym tego typu oprogramowaniu — jest ustalenie co i kiedy właściciel komputera robił (nawet jeśli swoje akcje próbował wymazywać, np. kasując logi).

Kopia binarna badanego dysku, czy sam dysk, może zostać przeszukany pod katem występowania adresów (które wyglądają mniej więcej tak: 1N52cffvJp8jZRRamegywrLrD7aLjQbapF oraz zapytań bitcoinowych:

Analiza dysku pod kątem adresów BTC

Analiza dysku pod kątem adresów BTC

Za pomocą modułu IEF Report Viewer, który służy do przeglądania wyników naszej analizy, można także wysłać zapytania na temat konkretnych adresów, co poskutkuje bardziej szczegółowymi informacjami na temat wybranej transakcji.

Akcje, jakie można wykonać na adresie

Akcje, jakie można wykonać na adresie

Poniżej znajdują się szczegółowe informacje na temat transakcji takie jak data, ilość przesłanych bitcoinów, block, adres, dane transakcji i suma kontrolna. Narzędzie odpytuje serwis blockexplorer.

Szczegóły adresu BTC

Szczegóły adresu BTC

Nie ma co ukrywać, że sama waluta Bitcoin, z racji swojej architektury może sprawiać trudności w analizie. Jednakże, zdobycie wiedzy na temat adresów w portfelu Bitcoinowym ofiary i podejrzanego oraz szczegółów dotyczących transakcji powiązanych z tymi adresami można często uzyskać wartościowe informacje.

Bitcoin jako waluta okupu

Pamiętajmy, że BTC jest często wykorzystywane jako kanał przyjmowania okupu przez różnej maści szantażystów, głównie DDoS-erów. Z jednej strony pozwala to zaciemnić tożsamość odbiorcy (o ile skorzysta po drodze z tzw. “pralek” i “mikserów”), a z drugiej — jeśli adres BTC do wpłaty okupu został podany publicznie — umożliwia każdemu śledzenie, czy ofiara uległa szantażowi i wpłaciła okup (w końcu wszystkie transakcje w sieci BTC są jawne, co pozwala sprawdzać saldo danego adresu BTC).

Ostatnio nawet policja zapłaciła okup autorom ransomware’u o nazwie Cryptolocker, w celu odzyskania zaszyfrowanych przez malware plików.

Sytuacja na rynku bitcoinowym robi się coraz ciekawsza. Obecnie, “najbogatszym” posiadaczem BTC jest użytkownik (obecnie FBI) będący właścicielem adresu 1FfmbHfnpaZjKFvyi1okTjJJusN455paPH, który na dzień 2 grudnia 2013 roku posiada 144 341 bitcoinów co daje w przeliczeniu na dolary kwotę około 131 milionów dolarów (1 BTC = 1,006.99 USD), czyli ponad 400 milionów polskich złotych.
Listę najbogatszych adresów BTC można znaleźć tutaj.

Powyższy artykuł jest autorstwa Karola Szczyrbowskiego. Jeśli i ty chciałbyś opublikować swój artykuł na Niebezpieczniku, zapraszamy do kontaktu :-)

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. Zamazywanie części adresy bitcoin w ten sposób jest trochę bez sensu, bo adres ma unikalny prefix najczęściej już po pierwszych kilku znakach ;]

  2. adres należy do FBI :-)
    zgarnięty silkroadowi

  3. z pierwszych linków google o tym koncie wyczytałem że jest to konto Ross Ulbricht założyciela Silk Road przejęte przez FBI czy coś pomieszałem?

  4. “sieć P2P służąca do anonimowego transferu gotówki”
    Anonimowego? Zachowałbym powściągliwość w wykorzystaniu tego sformułowania w połączeniu z Bitcoinem (http://bitcoin.org/en/protect-your-privacy).
    Shamir co prawda nie popisał się swoją ostatnią analizą (http://i.cdn.turner.com/money/2013/images/11/25/silk-road-paper.pdf), ale to nie znaczy, że jego pierwsza analiza ( http://eprint.iacr.org/2012/584.pdf) nie daje możliwości deanonimizacji osób przeprowadzających transakcje.

    • Miksery pomagają w zachowaniu anonimowości – o ile dużo osób z nich korzysta i mamy zaufanie, że nie logują miksowania ;)

    • W założeniach BTC nie ma anoniomowości. Każdy może wyciągnąć informacje o klientach, którzy podłączyli się do sieci BTC. Najprościej użyć skryptu bitcoin-getaddr w nmap’ie.
      W identyczny sposób dane zbiera serwis http://getaddr.bitnodes.io/ .

  5. ok, okup na portfel —> potem rozbice kwoty na np3 portfele –> każdy na kolejne trzy —> przelewamy do kantoru —> wymieniamy na $ —> wracamy na np2 portfele —> a potem znowu na kantor (inny).

    vm lub tails / vpn + tor (na każdy etap można np portfele trzymać w wirtualkach), sieć na modemie + sim zdrapka – panowie chiałbym aby takiego cfaniaka ktoś złapał a nie gimbaze

  6. oczywiscie jeden modem + jedna zdrapka= jedna akcja

    • A nie ma żadnego sposobu podczepienia zdrapki do regionu/miasta/sklepu?
      :]

    • O ile pamietam to np. w starterach Carrefoura (operator wirtualny) nr telefonu jest czescia kodu kreskowego, wiec wiadomo gdzie i kiedy dany nr zostal nabyty.
      A same zdrapki do jakiejkolwiek sieci, jesli byly w formie wydruku z terminala, to tez wiadomo gdzie i o ktorej zostaly kupione. Potem tylko wniosek do sklepu o nagranie z monitoringu…

    • kupujesz 2-3 karty w kiosku, potem uzywasz dopiero po miesiacu dwóch -jednej sztuki itp itd (pewność ze zapisu z kamer już nie ma)

      fakt faktem ze w większych aglomeracjach jest większy luz – bo w takim małym mieście i sklepiku na pewno ktoś zapamięta ze kowalki kupił starter Playa.

      jak już chcecie popadać w paranoje totalną – to idąc tym tropem na pewno wszystkie prepaidy są specjalnie monitorowane (tzn ja bym to tak zrobił gdybym był CBŚ)

  7. Rozwiń temat “mikserów” i “pralek”

  8. Dlatego plik portfela trzeba trzymać w kontenerze TrueCrypta, zabezpieczonego dodatkowo kluczem plikowym, i trzymać się blisko listwy\gniazdka i w razie wpadu policji szybko odłączyć, wtedy na pewno się nie dostaną ;)

  9. Z jednej strony pozwala to zaciemnić tożsamość odbiorcy (o
    ile skorzysta po drodze z tzw. “pralek” i “mikserów”) Mógłby, ktoś
    rozwinąć, co to są “miksery i pralki” ?

  10. jeżeli ktoś jest w stanie profesjonalnie przebadać ścieżkę
    pewnego przelewu BTC to ja chętnie zapłacę za wyniki kontakt przez
    24h: m8r-m9qehh@mailinator.com później proszę o zostawienie
    komentarza tutaj

  11. Wszelkim fanom mikserów polecam zainteresować się czym jest Zerocoin

  12. Śmiem twierdzić, że anonimowość sieci BTC jak na razie to mrzonka. Oczywiście dla kogoś, kto ma odpowiednie środki aby uzyskać dostęp do końcówek sieci BTC czyli giełd (bo innych miejsc do wydania BTC raczej wiele nie ma). Można sobie miksować do woli. ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.