Тор не завжди може захистити вас; просто запитай шовкову дорогу

Це був кінець епохи вчора, коли найбільший (і дуже прибутковий) веб-сайт чорного ринку «Шовковий шлях» нарешті був знятий федерами. Його власника Росса Вільяма Ульбріхта (він же Dread Pirate Roberts) взяли під варту, і тепер ми багато дізнаємось про сайт, який пропонував все, від наркотиків до вбивць. Ми також дізнаємось про межі анонімності в Інтернеті.

Великий шовковий шлях

Названий древньо-пустельним торговим шляхом, Шовковий шлях був ринком, призначеним для того, щоб користувачі могли продавати свої товари - зокрема, нелегальні товари та послуги. Згідно з документами, поданими разом із розслідуванням, служба побачила, що через неї проходять мільярди доларів у вигляді непростених біткоінів.

Щоб захистити користувачів сайту, Silk Road скористався мережею анонімності Tor (The Onion Router), яка відхиляє ваш запит, щоб зробити його складніше відстежувати. Коли ви підключаєтесь до Silk Road та інших веб-сайтів, захищених Tor, ваш запит відхиляється через ряд добровольчих серверів. У запиті використовуються зашифровані шари, як лук, так що кожен ретрансляційний сервер може бачити лише те, звідки запит одразу прибув і куди він піде далі.

Наприклад, якщо ви працюєте на комп’ютері, який намагається підключитися до веб-сайту E, ваш запит відскакує через сервери Tor, B, C і D. Сервер B може побачити, де ви знаходитесь, тому що це перший скачок у ланцюжку, але це не Я не знаю, що ви намагаєтеся зайти на веб-сайт E. Сервер D знає, до якого веб-сайту спрямований ваш запит, але він не знає, де ви знаходитесь. Сервер C не знає багато нічого.

Це розумна система, яка захищає журналістів та правозахисників, окрім того, що надає простір безпеки для менш поважних операцій. Але, як і всі технології безпеки, її можна побити.

Розбиваючий Тор

Ще коли ми переглянули браузер Pirate Bay, ми виділили декілька проблем із Tor. Найбільший і той, що Tor завжди визнавав, - це те, що при ретельному моніторингу трафіку та невеликій математиці ви можете зрозуміти, хто підключається до того, що на Tor.

"Ми, як правило, пояснюємо це тим, що Тор намагається захистити від аналізу трафіку, коли зловмисник намагається навчитися кого розслідувати", - йдеться в повідомленні блогу 2009 від Tor. "Але Тор не може захиститись від підтвердження трафіку (також відомий як кореляція між кінцем), коли зловмисник намагається підтвердити гіпотезу, контролюючи правильні місця в мережі, а потім виконуючи математику."

В основному, якщо ви думаєте, що людина A підключається до веб-сайту E, ви можете сидіти біля входу в мережу Tor і в точці виходу, ви з часом можете зробити висновок про шлях подорожі. Але ви повинні знати, на кого слідкувати, перш ніж розпочати розслідування.

Крім того, ви можете заразитися зловмисним програмним забезпеченням, перебуваючи на сайті Tor, і надіслати ідентифікаційну інформацію вашого комп’ютера надсилати спостерігачеві. Таким чином, як повідомлялося, ФБР змогло зламати сумнозвісне кільце для дитячої порнографії та пред'явити звинувачення своєму оператору Еріку Еоану Маркесу.

У цьому розслідуванні виявляється, що ФБР взяло під контроль Freedom Hosting - який розміщував сайт Маркіса - і використовувало їх для відображення повідомлення про помилку. У повідомленні про помилку знаходився iFrame, який, у свою чергу, вводив код на комп'ютер кожного, хто відвідував сайт Freedom Hosting. Wired пише, що цей код захопив MAC-адресу зараженого комп'ютера та ім'я хоста Windows. Потім ця інформація була запакована та відправлена ​​назад на невстановлений сервер десь у Північній Вірджинії.

Простий детективний твір Оль

У випадку з Шовковим Шляхом, схоже, слідство покладалося на більш традиційні поліцейські роботи, ніж на порушення Тор. Wired повідомляє, що федери просто озирнулися навколо, щоб якнайшвидше згадати про Шовковий шлях в Інтернеті. Це призвело до публікації на магічному грибному форумі, що, в свою чергу, призвело до облікового запису Gmail Ulbricht.

Це ще не вся історія, і насправді в ланцюзі подій дуже багато прогалин. Під час прикордонної перевірки поліція якось зафіксувала декілька фальшивих посвідчень із обличчям Ульбріхта, і якимось чином змогла простежити за серверами Silk Road. Але, мабуть, для початкового зв’язку з Ульбріхтом не потрібні спеціальні злому, а лише деякі наполегливі гугли та повістки в суд.

Урок тут полягає в тому, що за всім шифруванням і обтурацією стоїть людина. Людина, яка робить помилки, людина, яка залишає підказки, і людина, яка зараз стикається з серйозними звинуваченнями. Поки люди ще люди, вони завжди будуть вразливими.