10:23
6/9/2014

FBI przedstawiło podczas rozprawy przeciw aresztowanemu administratorowi forum Silk Road ciekawe dokumenty. Można z nich dowiedzieć się jak służby miały namierzyć prawdziwy adres IP serwera, który był hostowany w zapewniającej (jak widać — nie zawsze) anonimowość sieci Tor. Co ciekawe, technika z której skorzystało FBI nie jest spektakularna, a do ustalenia prawdziwego adresu IP serwera przyczyniła się CAPTCHA.

Ross Ulbricht broni się jak może i oskarża FBI

O zamknięciu Silk Roadu w obszernym artykule informowaliśmy prawie rok temu. Wtedy jedną z najbardziej prawdopodobnych hipotez, która miała wyjaśniać zatrzymanie Rossa Ulbrichta (występującego pod pseudonimem Dread Pirate Roberts) było wsypanie go przez osobę, której zlecił morderstwo jednego z moderatorów Silk Roada — choć niektórzy podejrzewali też, że podobnie jak w przypadku namierzenia i zdjęcia Torowej hostingowni o nazwie Freedom Hosting, służby mogły zastosować nieznany dotąd exploit (tzw. 0day’a).

Ross Ulbricht

Ross Ulbricht

Pełną rozpiskę wydarzeń związanych z bezpieczeństwem Silk Road, wraz z podanymi datami, znajdziecie na tej stronie.

Obecnie rząd USA licytuje część przejętego majątku Rossa (30 000 bitcoinów o wartości 56 milionów złotych) a sam Ross, któremu postawiono 7 zarzutów, próbuje na wszelkie sposoby odwoływać się od decyzji sądu i unikać odpowiedzialności prawnymi sztuczkami. Niektóre z zarzutów chciał odeprzeć oskarżając FBI o nielegalne przeszukania naruszające tzw. 4 poprawkę do konstytucji USA oraz nielegalną współpracę z NSA. Obrona Rossa liczy na to, że jeśli sąd podtrzyma taki sprzeciw, to wszystkie dowody zebrane w sprawie z Silk Roadowego serwera, będą musiały zostać odrzucone. W odpowiedzi na powyższe oskarżenia, służby przedstawiły właśnie opis tego, jak namierzyły prawdziwy adres IP Torowego serwer Silk Roadu.

Jak namierzono prawdziwy adres IP serwera Silk Roada?

Z dokumentów dowiadujemy się, że do islandskiego data center FBI dotarło …bawiąc się stroną logowania do Silk Roadu. Co oznaczają te “zabawy”? Czy do pomocy wezwano NSA? Czy skorzystano z exploita na nieznaną dotąd podatność? Nie i nie.

Serwer Silk Roadu miał zostać namierzony w czerwcu zeszłego roku. Jeden z agentów FBI miał odnaleźć element na stronie, który z racji błędnej konfiguracji ujawniał prawdziwy adres IP serwera (a zatem i jego fizyczną lokalizację). FBI twierdzi, że

“wpisywało różne znaki w pola na stronie logowania”

…i zauważyło, że w jednym z przypadków zwrócone zostały dane zawierające adres IP nie pasujący do żadnego znanego węzła Tor.

The IP address leak we discovered came from the Silk Road user login interface. Upon examining the individual packets of data being sent back from the website, we noticed that the headers of some of the packets reflected a certain IP address not associated with any known Tor node as the source of the packets. This IP address (the “Subject IP Address”) was the only non-Tor source IP address reflected in the traffic we examined.

Kiedy agent wprowadził ten adres IP bezpośrednio do przeglądarki, na jego ekranie miała pojawić się CAPTCHA z Silk Roadu. To miało dowieść tego, że rzeczywiście serwer o danym adresie IP hostuje narkotykowe forum.

leakyship

Dalej w oświadczeniu FBI czytamy:

The Subject IP Address caught our attention because, if a hidden service is properly configured to work on Tor, the source IP address of traffic sent from the hidden service should appear as the IP address of a Tor node, as opposed to the true IP address of the hidden service, which Tor is designed to conceal. When I typed the Subject IP Address into an ordinary (non-Tor) web browser, a part of the Silk Road login screen (the CAPTCHA prompt) appeared. Based on my training and experience, this indicated that the Subject IP Address was the IP address of the SR Server, and that it was ‘leaking’ from the SR Server because the computer code underlying the login interface was not properly configured at the time to work on Tor.

FBI twierdzi, że działało legalnie

Według FBI nie ma tu mowy o żadnym nielegalnym szpiegowaniu czy też nielegalnej współpracy z NSA, a zatem sprzeciw obrony Rossa należy oddalić. Dodatkowo FBI twierdzi, że kopię dysków serwera wykonała miejscowa policja z Reykjaviku, a nie amerykańskie służby, dlatego zdobycie nakazu w tym celu nie było konieczne. FBI wskazuje ponadto, że Ross i tak nie ma za wiele do powiedzenia w tym przypadku, ponieważ to nie on był właścicielem serwera — on go jedynie wynajmował zgadzając się przy tym na regulamin usługi najmu, który jasno wspominał o “możliwości monitoringu w celach upewnienia się, że serwer jest wykorzystywany w sposób zgodny z prawem”.

Na koniec warto zauważyć, że FBI odrzuciło prośbą obrony o przekazanie listy wszystkich kontraktorów z którymi współpracowało w celu namierzenia lokalizacji serwera i ustalenia prawdziwej tożsamości Dread Pirate Robertsa, a także nie zgodziło się na przekazanie listy oprogramowania wykorzystanego do skanowania serwera pod kątem potencjalnych dziur (a to byłoby bardzo interesujące).

“Wpisywanie różnych znaków?”

Społeczność specjalistów ds. bezpieczeństwa zastanawia się jak mogło, na skutek “wpisywania różnych znaków” dojść do wycieku adresu IP serwera. Wnioski prowadzą jedynie do udanego ataku SQL injection. Niektórzy z badaczy już ganią FBI za hipokryzję. Agenci ścigają bowiem obywateli za wykonywanie ataków SQL injection, ale jak przyjdzie co do czego, to jak widać sami stoją ponad prawem i mogą bez przeszkód korzystać z tych samych “zakazanych” technik.

SQL injection xkcd

Obowiązkowy pasek z xkcd

Niestety tego jak było naprawdę nie dowiemy się nie zaglądając w logi. Być może obrona będzie domagała się ujawnienia logów (jeśli prawdą jest to, o czym informuje FBI, ślady “wpisywania różnych znaków” mogą znajdować się w logach — ale jeśli ich tam nie ma, to obrona może zyskać nowy punkt zaczepienia w walce o odrzucenie części zarzutów).

Czy FBI naciąga zeznania żeby ukryć prawdziwy wektor ataku?

Być może (zwłaszcza, że nielegalne pozyskanie dowodu mogłoby zatopić sprawę przeciw Rossowi). Ale warto nadmienić, że wyciek adresu IP nie jest taki “niezwykły”, zwłaszcza dla Silk Roadu. Serwer Silk Roada “sam z siebie” bowiem nie raz przynujawniał swoje IP. Sam Ross wspomina to w swoim dzienniku, przejętym przez FBI (poniższe zapiski pochodzą z oświadczenia FBI)

After Ulbricht’s arrest, evidence was discovered on his computer reflecting that IP address
leaks were a recurring problem for him. In a file containing a log Ulbricht kept of his actions in
administering the Silk Road website, there are multiple entries discussing various leaks of IP
addresses of servers involved in running the Silk Road website and the steps he took to remedy
them. For example, a March 25, 2013 entry states that the server had been “ddosd” – i.e.,
subjected to a distributed denial of service attack, involving flooding the server with traffic –
which, Ulbricht concluded, meant “someone knew the real IP.” The entry further notes that it
appeared someone had “discovered the IP via a leak” and that Ulbricht “migrated to a new
server” as a result. A May 3, 2013 entry similarly states: “Leaked IP of webserver to public and
had to redeploy/shred [the server].” Another entry, from May 26, 2013, states that, as a result of
changes he made to the Silk Road discussion forum, he “leaked [the] ip [address of the forum
server] twice” and had to change servers.

Oczywiście możliwe jest, że FBI dotarło do adresu IP Silk Roadu w inny sposób niż poprzez “wyciek” (czyli sposób nie tak legalny jak “podejrzenie źródła odpowiedzi HTTP”), a swoje zeznania naciągnęło, aby były wiarygodne i trudne do obalenia. Problem w tym, że Rossowi brakuje dowodów aby podeprzeć tę hipotezę. Wszystko póki co wskazuje na to, że Dread Pirate Roberts popełnił błąd, jeśli chodzi o poprawne wdrożenie tzw. “ukrytej usługi Tora”. I to nie jeden błąd…


Przeczytaj także:

30 komentarzy

Dodaj komentarz
  1. Wiele pisaliście już o TOR, ale nie mogę znaleźć artykułu o tym jak on działa. Wiem do czego on służy i co robi, ale nie wiem jak. Chętnie bym o tym przeczytał, więc poproszę o jakiś link.

    • Bardzo dobre howto jest na oficjalnej stronie projektu

    • Taka rada na przyszlosc: jak szukasz dokladnej dokumentacji to po prostu wpisz w google “xxx specification” lub “xxx rfc”(w przypadku protokolow). Oczywiscie na miejsce xxx wstawiasz nazwe tego czego szukasz. Dokladne dzialanie tora jest opisane w dokumencie “Tor Protocol Specification” i znajdziesz go tutaj https://gitweb.torproject.org/torspec.git/blob/HEAD:/tor-spec.txt
      Dobrze zaczac od artykulu o onion routing na wikipedii http://en.wikipedia.org/wiki/Onion_routing
      Oczywiscie jak zwykle w IT znalezienie dokladnych dokumentacji po polsku jest raczej nierealne.

  2. Wystarczyło przeskanować całą pulę światowego IP z zapytaniem
    GET / HTTP/1.1
    Host: silkroadname.onion

    • No albo zadzwonić po wszystkich numerach i zapytać się czy nie są adminami silka.

    • Nie sądzę, by to cokolwiek dało. Przy poprawnej konfiguracji nazwa ta pojawia się na tzw. “Introduction points” wewnątrz sieci Tor i w skrócie klucza publicznego, katalogu użytkownika programu Tor. Domyślnie są 3 Introduction points i zmieniają się domyślnie co godzinę (jedno i drugie można zmienić).

    • tor może być zainstalowany na hoście mającym wewnętrzny ip za natem, odcięty od neta prócz protokołu tora, wtedy skanowanie, czy capcha na nic się zda… trzeba tylko pamiętać by blokować ipv6

  3. Dowód powinien być dowodem niezależnie od sposobu jego zdobycia, oczywiście z zastrzeżeniem że osoba która go dostarczyła też poniesie odpowiedzialność za złamanie prawa.

    • Na szczęście w USA tak nie jest, dowody muszą być zdobywane legalnie. W Polsce mamy zdobywanie dowodów, przez podrzucenie torebki z marihuaną, kłamstwa, szantaż i groźby karalne, czy przez prowokatorów policyjnych. I co, chcesz by wszędzie był taki syf?

    • doktryna “owoców zatrutego drzewa” w USA wynika bezpośrednio z jej konstytucji (4 poprawka).

    • Nie w USA. Tam trzeba taki odrzucić.

    • Zarówno sprawcy przestępstw jak i osoby nielegalnie zdobywające dowody powinny być karane. Przestępstwo to przestępstwo i nie zmienia tego ani nielegalne zdobycie dowodu, ani bycie agentem FBI czy innych służb.

    • @kjw – No jeśli chodzi o prowokatorów policyjnych w USA, to lepiej by Ci żaden z nich nie usiadł na dupę, bo naprawdę mogą więcej niż agent Tomek… ;]

    • Masz racje, każdy powinien być równy w obec prawa, a w polsce jest taki syf.Ile ludzi siedzi za same pomówienia, jakim bagnem jest areszt śledczy…

  4. Jeśli Dread Pirate Roberts postawił serwer apache bez virtualnej maszyny lub innego środowiska czy dobrej konfiguracji, jeśli dojdzie do przeciążenia serwera pojawi się np. błąd 500 (lub inny), a w stopce strony pojawia się nazwa serwera którą zazwyczaj jest IP. Jednak w większości przypadków by do tego doprowadzić to albo exploity albo dos.

    To również naciągane, ale nic nie przebije “Wpisywanie różnych znaków”

  5. “Agenci ścigają bowiem obywateli za wykonywanie ataków SQL injection, ale jak przyjdzie co do czego, to jak widać sami stoją ponad prawem i mogą bez przeszkód korzystać z tych samych “zakazanych” technik.”

    Tym tokiem rozumowania, jeśli ktoś zgwałci i zabije mi kobietę, a dzieci powyrzuca z okna i zacznie uciekać autem, Policja ma pozwolić mu uciec, gdy tylko w obszarze zabudowanym przekroczy dozwoloną prędkość. To ja chyba chcę aby Putin wygrał tę wojnę, bo nie chcę życ w tak “wolnym” świecie.

    • tez nie rozumiem tej idiotycznej logiki – normalny obywatel nie moze bez zgody robic komus przeszukania, zakladac kajdanek, więzic, sprawdzac bilingi, itp., wiec policja tez nie powinna? bo jesli zamkna w wiezieniu porywacza dzieci, to nie beda lepsi od niego? ;|

      co śmieszniejsze wiele osob naprawde stosuje takie rozumowanie

    • Tak, używaj dzieci i kobiety jako porównanie, tym sposobem kraje wprowadzają cenzurę.

    • Równie dobrze mogę przeciągnąć linę w drugą stronę, innym skrajnym porównaniem:
      Policja może mieć prawo grozić mojej rodzinie i zabijać każdego po kolei, jeśli nie przyznam się do winy.

      Oczywiście, że policja i organy ścigania powinny mieć większe uprawnienia niż przeciętny obywatel, jednak i tu powinny być pewne granice. Po to powstają zapisy prawne, co jest dozwolone, a co nie.

  6. Kiedys w jakims filmie jeden szpieg powiedzial do drugiego cos w rodzaju ‘ wyobraz sobie wroga ktory nie uzywa komputera, nie ma maila ani komorki, a wiadomosci przekazuje szepczac sobie na ucho. Nie mozna poznac jego mysli i pokonac go’ . Wiec mamy Tora i wszystkich w jednym miejscu.Nie znam sie na tych komupterowo – technicznych cudach i polowa tego co piszecie jest dla mnie czarna magia ale czytam niebezpiecznika zeby braki nadrobic, jednak zedna z informacji ktore tu znajduje nigdy nie byla wielkim szokiem zapierajacym dech w piersiach. To ze mozna wykrasc zdjecia z komorki…albo,od operatora..zawirusowac komus kompa, komorke czy pralke..jedyne w co nie wierze to, ze z mojego starego lapka z peknietym ekranem powstanie transformers ktory powie ‘ chodz na piwo’ Wiec to,ze ten biedak wpadnie bylo kwestia czasu, pochylili sie nad problemem i rozwiazali go.

    • No, wreszcie. Chodź na piwo :-)

  7. […] byłą dziewczynę trzyciestoczterolatek, przez 7 ostatnich lat był na celowniku policji. Jedni handlują narkotykami w sieci (o nich pisaliśmy wczoraj) a drudzy, jak Jimmy Cournoyer, robią to “w realu” — zobaczmy czym różni […]

  8. Trzeba uważać, nadchodzą złe czasy

    • Moim zdaniem czeka nas jeszcze 5lat spokoju, dopóki tarczy nie wybudujemy, to nie mamy się czym martwić.

  9. a ja dalej wierzę, że podglądanie danych ma swoje usprawiedliwienie…
    liczę też, że przyznacie mi rację zanim to wasi “bliscy” zaczną ginąć, bo ktoś stwierdził, że jego porządek świata jest lepszy niż inne.
    Reżim to reżim, ale może lepiej nie testować nowego.

  10. Opis wykorzystanej przez FBI “luki” bardzo przypomina Heartbleed, o którym FBI rzekomo nie wiedziało.

  11. Namierzenie serwera TORa jest dziecinnie proste.
    1) Wystarczy być z FBI.
    2) Poprosić operatorów na świecie o listę IP , z którym są nawiązywane u nich ciągłe połczenia z siecią TOR. Na pierwszy strzał operatorzy z USA, potem sługusy z EU – no problem
    3) skanujemy te IP’iki i ich porty
    4) bank bank…i otwieramy..szampana

  12. jaki bank bank?

  13. Pewnie chodzi o amerykanski bank ;-)

  14. […] nie znosi próżni. Kiedy zamknięto Silk Road (przypominamy, że historia namierzenia jego twórcy jest jak dobry kryminał), od razu pojawiły się jego klony w sieci Tor. Część z nich, zapewne prowadzona przez mało […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: