Информационная безопасность

Пример деанонимизации пользователя Tor агентом ФБР

Установление личности Росса Уильяма Ульбрихта, известного как «Dread Pirate Roberts», обвиняемого.

33. Как описано в деталях ниже, в процессе выяснения личности DPR, установлено, что данным человеком является РОСС УИЛЬЯМ УЛЬБРИХТ, обвиняемый, также известный как «Dread Pirate Roberts», «DPR», «Silk Road». Согласно профилю УЛЬБРИХТА на Linkedin.com, веб-сайте, представляющем собой профессиональную социальную сеть, в которой ее участники могут размещать информацию о своем профессиональном опыте и интересах, УЛЬБРИХТ, 29 лет, окончил Университет Техаса, получив степень бакалавра физических наук в 2006-м году. В период с 2006-го по 2010-й годы он посещал высшую школу School of Materials Science and Engineering при Университете Пенсильвании. Однако, УЛЬБРИХТ сообщает в своем профиле в LinkedIn, что после окончания данной высшей школы его «цели» в дальнейшем «изменились». УЛЬБРИХТ дает понять, что с того времени он концентрируется на «создании экономической симуляции», призванной «дать людям непосредственный опыт того, что было бы подобно жизни в мире без системного использования силы организациями и правительствами». Опираясь на свидетельства, представленные ниже, я полагаю, что этой «экономической симуляцией», которую упоминает УЛЬБРИХТ, является Silk Road.

34. В начале, я переговорил с другим агентом, занятым в данном расследовании (Агент-1), который провел масштабное исследование Интернета с целью установить как и когда веб-сайт Silk Road стал известен среди пользователей Интернета. Наиболее ранним публичным упоминанием, обнаруженным Агентом-1, является сообщение от 27.01.2011 г., размещенное на онлайн форуме ресурса www.shroomery.org, информационном веб-сайте для любителей «магических грибов» («Shroomery»). Сообщение, озаглавленное «анонимный маркет онлайн?», было создано пользователем, о котором известен только его псевдоним, «altoid». Сообщение содержало следующую информацию:
Я наткнулся на этот веб-сайт, который называется Silk Road. Это скрытый сервис Tor, он сообщает, что позволяет анонимно покупать и продавать онлайн что угодно. Я подумываю, не прикупить ли что-то там, но хотел бы знать, может здесь есть кто-то, кто слышал об этом и может дать какие-то рекомендации. Я нашел его на сайте silkroad420.wordpress.com, который, если у вас есть Tor-браузер, перенаправит вас на реальный сайт tydgccykixpbu6uz.onion. Дайте знать что вы думаете…
Это было единственное за все время сообщение пользователя «altoid», размещенное на форуме Shroomery, что свидетельствует, как подтверждает моя подготовка и опыт, о том, что единственной целью его регистрации на данном форме было размещение данного сообщения.

35. В сообщении на Shroomery «altoid» сообщил, что он «узнал» о Silk Road через «silkroad420.wordpress.com», где утверждается, что пользователи Tor могут быть перенаправлены через Tor на Silk Road. Адрес «silkroad420.wordpress.com» является аккаунтом на сайте для ведения блогов, известном как Wordpress. Согласно записям, полученным от Wordpress, аккаунт «silkroad420» был зарегистрирован 23.01.2011 г. – всего лишь за четыре дня до появления сообщения «altoid» в блоге Shroomery. (Аккаунт был зарегистрирован анонимно лицом, которое судя по используемому IP адресу, подключалось к интернету с помощью Tor.)

36. После того, как появилось сообщение на Shroomery 27.01.2011, следующим упоминанием о Silk Road в Интернете, обнаруженным Агентом-1. является сообщение, созданное двумя днями позже, 29.01.2011, на «bitcointalk.org», дискуссионном онлайн форуме, посвященном Bitcoin («Bitcoin Talk»). Это сообщение также было размещено лицом, использовавшим псевдоним «altoid». Сообщение появилось в длинной ветке дискуссии, начатой другими пользователями «Bitcoin Talk» касательно возможности функционирования «магазина героина» с расчетами посредством Bitcoin. В данном сообщении «altoid» пишет:

Отличная дискуссия! Парни, у вас дофига классных идей. Кто-нибудь уже видел Silk Road? Это типа как анонимный amazon.com. Вряд ли у них есть героин, но они продают кучу всего другого интересного. Они просто используют вместе bitcoin и tor для проведения анонимных сделок. Это здесь — tydgccykixpbu6uz.onion. Если кто не знаком с Tor, те могут зайти на silkroad420.wordpress.com за инструкциями как получить доступ к сайту .onion.

Дайте знать, парни, что вы думаете об этом



37. Исходя из моей подготовки и опыта, два сообщения, созданные «altoid» на Shroomery и Bitcoin Talk, являются попытками сформировать интерес к сайту. Тот факт, что «altoid» разместил два сходных сообщения о данном сайте на двух совершенно разных дискуссионных форумах, с разницей в два дня, свидетельствует о том, что «altoid» в течение этого времени посещал различные дискуссионные форумы, пользователям которых потенциально мог бы быть интересен Silk Road, в поиске способа продвижения сайта среди участников форумов – что, исходя из моей подготовки и опыта, является стандартной маркетинговой тактикой для новых веб-сайтов. Более того, тот факт, что «altoid» заканчивает оба сообщения фразой «Дайте знать, парни, что вы думаете об этом», говорит о том, что «altoid» был заинтересован не только в том, чтобы поделиться своим опытом использования Silk Road, но также хотел получить обратную связь от других пользователей, опять же, в соответствии с его намерениями продвижения и совершенствования сайта.

38. В ходе дальнейшего изучения форума Bitcoin Talk Агент-1 обнаружил еще одно сообщение, оставленное «altoid» на форуме 11.10.2011 г., примерно через 8 месяцев после сообщения о Silk Road. В этом более позднем сообщении, размещенном в отдельной и несвязанной с основным предметом ветке, «altoid» сообщает, что он ищет «IT профи в Bitcoin сообществе» для найма в связи с «проектом одного стартапа на основе использования Bitcoin». В сообщении заинтересованным участникам предлагалось направлять их предложения по адресу «rossulbricht at gmail dot com» – свидетельствующем о том, что «altoid» использует электронный адрес «rossulbricht@gmail.com» («Gmail Аккаунт Ульбрихта»).

39. Согласно записям о пользователе, полученным посредством Google, Gmail Аккаунт Ульбрихта зарегистрирован на имя «Росс Ульбрихт». Записи свидетельствуют о том, что Ульбрихт имеет аккаунт в Google+, сервисе социальной сети, поддерживаемой Google. После изучения публично доступного профиля Ульбрихта на Google+, я выяснил, что он содержит его фотографию, которая соответствует фотографии в профиле «Росс Ульбрихт» на LinkedIn, как это упомянуто в параграфе 33.

40. Посещение страницы Ульбрихта на Google+ также дало информацию о том, что она содержит ссылки на определенный веб-сайт, который DPR регулярно цитировал в своих сообщениях на форуме. В частности:

a. Профиль Ульбрихта на Google+ содержит список его любимых YouTube видеороликов, который включает в себя видеоролики с «mises.org», сайта организации называемой «Институт Мизеса». Согласно ее сайту, «Институт Мизеса» считает себя «мировым центром Австрийской школы экономики». Веб-сайт позволяет посетителям зарегистрироваться и создать профиль. Путем исследования публично доступной архивной версии данного сайта, я обнаружил на нем профиль пользователя «Росс Ульбрихт», который содержал изображение пользователя, соответствующее изображению «Росса Ульбрихта», имеющемуся в профилях Google+ и LinkedIn.

b. Основываясь на знакомстве с сообщениями DPR на форуме Silk Road, мне известно, что подпись пользователя DPR на данном форуме содержит ссылку на веб-сайт Института Мизеса (одна из двух ссылок, включенных в его подпись). Более того, в отдельных сообщениях на форуме DPR цитирует «Австрийскую экономическую теорию» а также работы Людвига фон Мизеса и Мюррея Ротбарда – экономистов, тесто связанных с Институтом Мизеса, как такие, которые подводят философское обоснования под существование Silk Road.

41. Расследование также установило подтверждение того факта, что в начале июня 2013 г., Ульбрихт проживал в Сан-Франциско, Калифорния, около интернет-кафе, из которого было установлено соединение с сервером, используемым для администрирования Silk Road. В частности:

a. Мною были изучены записи, полученные от Google и содержащие в логах IP адреса, с которых осуществлялся вход в Gmail Аккаунт Ульбрихта с 13.01.2013 г. по 20.06.2013 г. IP логи показывают, что в течение этого времени к аккаунту регулярно осуществлялся доступ с определенного IP адреса Comcast. В соответствии с записями, полученными от Comcast, данный IP адрес в указанное время доступа был зарегистрирован по определенному адресу на ул. Хикори, Сан-Франциско, Калифорния. По данному адресу зарегистрировано другое лицо, которое, как мне известно, является другом Ульбрихта в Сан-Франциско (далее «Друг»), у которого Ульбрихт остановился когда приехал в Сан-Франциско ориентировочно в сентябре 2012 года, что подтверждается видеороликом, размещенным на YouTube, в котором сняты оба друга в обстоятельствах, подтверждающих данные соображения.

b. Основываясь на моем исследовании частной переписки DPR, восстановленной с веб-сервера Silk Road, мне известно, что DPR регулярно указывал Тихоокеанскую временную зону когда оперировал временем. Например, в одном личном сообщении, датированном 18.04.2013 г. DPR сообщает другому пользователю Silk Road: «Сейчас примерно 4 часа дня по Тихоокеанскому (стандартному) времени. Мне нужно заняться кое-какими делами». Исходя из моей подготовки и опыта, я полагаю, что эта тенденция говорит о том, что DPR физически находится в Тихоокеанской временной зоне, в которой, разумеется и располагается Сан-Франциско, Калифорния.

c. Далее, исходя из результатов криминалистической экспертизы веб-сервера Silk Road, мне известно, что сервер содержит код, который однажды был использован для ограничения административного доступа к серверу, таким образом, чтобы только лишь пользователь с конкретным IP адресом, указанным в данном коде, мог получить к нему доступ. Исходя из моей подготовки и опыта, а также понимания того, как в общих случаях конфигурируется доступ к серверу, я полагаю, что данный IP адрес принадлежит VPN серверу – по сути, безопасному шлюзу, через который DPR мог удаленно подключаться к веб-серверу Silk Road со своего компьютера. IP адрес VPN сервера принадлежит серверу, хостинг которого осуществляет определенная хостинговая компания, которая по решению суда предоставила данные касательно указанного VPN сервера. Записи показывают, что содержимое VPN сервера было уничтожено пользователем, арендующим его*. Тем не менее, записи содержали информацию об IP адресе, с которого пользователь подключался к VPN серверу в течение последнего сеанса связи с сервером 03.06.2013 г. Данный IP адрес принадлежит Comcast, записи которого, полученные по решению суда, указывают на местонахождение – интернет-кафе на Laguna Str., Сан-Франциско, Калифорния. Данное кафе расположено менее чем в 500 футах от адреса Друга на ул. Хикори, с которого Ульбрихт регулярно подключался к своему gmail аккаунту – включая, несколько раз 03.06.2013 согласно записям Google.

*Код, содержащий IP адрес VPN сервера, был «закомментирован» на веб-сервере Silk Road, это означает, что он был неактивен по состоянию на 23.07.2013 г., когда был снят образ сервера. По итогу изучения частной переписки DPR, восстановленной с веб-сервера Silk Road, мне известно, что 24.05.2013 г. пользователь Silk Road направил ему личное сообщение, предупреждающее о то, что «произошла утечка» «какого-то внешнего IP адреса» с сайта, при этом он указывает IP адрес VPN сервера. Исходя из моей подготовки и опыта, я полагаю, что в качестве реакции на это сообщение DPR деактивировал код, содержащий IP адрес VPN сервера, затем уничтожил содержимое VPN сервера, после чего сменил способ доступа к веб-серверу Silk Road, который и использовал в дальнейшем.

d. Исходя из моей подготовки и опыта, данные свидетельства подтверждают пребывание администратора Silk Road, которым является DPR, приблизительно на той же территории, где находился Ульбрихт, в то же самое время.

42. Расследование также установило, что к июлю 2013-го года Ульбрихт переехал на другой адрес в Сан-Франциско, по которому ему был доставлен пакет, содержащий несколько поддельных документов, удостоверяющих личность, в это же время, как известно, DPR занимался поиском подобных документов на Silk Road. В частности:

a. По результатам изучения следственного отчета, полученного от Таможенной и пограничной службы США (ТПС), мне стало известно следующее:

i. Ориентировочно 10.07.2013 г. в рамках стандартной процедуры пограничной проверки ТПС задержала пакет, следующий из Канады. В пакете были обнаружены 9 поддельных удостоверений личности. Все поддельные документы были выписаны на разные фамилии, хотя все содержали фотографию одного человека. Пакет был предназначался получателю по адресу, расположенному на 15-й улице Сан-Франциско, Калифорния («Адрес на 15-й улице»).

ii. Приблизительно 26.07.2013 г., агенты Директората Расследований в сфере внутренней безопасности (ДРВБ) посетили Адрес на 15-й улице с целью дальнейшего расследования. В жилом помещении по данному адресу агенты обнаружили РОССА УИЛЬЯМА УЛЬБРИХТА, также известного как «Dread Pirate Roberts», «DPR», «Silk Road», обвиняемого, человека, изображенного на фотографиях на поддельных удостоверениях личности в пакете.

iii. Агенты предъявили УЛЬБРИХТУ фотографию одного из изъятых поддельных документов, представлявшего собой водительское удостоверение штата Калифорния, содержащего фотографию УЛЬБРИХТА, настоящую дату его рождения, но имя другого человека. УЛЬБРИХТ отказался отвечать на вопросы касающиеся покупки этого и других удостоверений личности. Вместе с тем. УЛЬБРИХТ по своей инициативе сообщил, что «гипотетически» кто угодно мог зайти на веб-сайт Silk Road в сети Tor и купить любые наркотики или желаемые поддельные документы.

iv. УЛЬБРИХТ предъявил агентам его настоящее, выданное государством, водительское удостоверение штата Техас. Он объяснил, что сдавал комнату в по Адресу на 15-й улице в субаренду за 1000 долларов США в месяц наличным расчетом. УЛЬБРИХТ сообщил, что в данное время в одном доме с ним проживали двое человек, которые знали его под вымышленным именем «Джош».

v. Агенты также переговорили с одним из соседей УЛЬБРИХТА по дому, который подтвердил, что УЛЬБРИХТ, которого он знал как «Джоша», всегда находился дома в своей комнате за компьютером.

b. Из результатов изучения личной переписки DPR, восстановленной с веб-сервера Silk Road, мне известно, что в июне и июле 2013 г. DPR неоднократно контактировал с другими пользователями Silk Road, выражая интерес к приобретению поддельных удостоверений личности. Например:

i. В одном обмене сообщениями, датированном 08.07.2013 г, DPR сообщает другому пользователю Silk Road о том, что ему «нужно поддельное удостоверение личности», которое он намеревался использовать для «аренды серверов», объясняя это тем, что он занят «созданием своего кластера серверов». Исходя из моей подготовки и опыта, мне известно, что компании предоставляющие услуги хостинга серверов часто требуют от клиентов подтверждения личности в той или иной форме с целью их идентификации. Соответственно, я полагаю, что DPR занимался поиском поддельных документов с целью аренды серверов под вымышленным именем.

ii. В другом обмене сообщениями, датированном 01.06.2013 г., DPR и другой пользователь Silk Road – «redandwhite», тот же самый пользователь, которому DPR предлагал осуществить заказное убийство как упоминалось выше (прим. пер. – в непереведенной части исходного документа), договорились пообщаться в определенное время в интернет-чате, при этом DPR сообщает redandwhite: «У меня есть что обсудить с тобой». Спустя четыре дня, 05.06.2013 г., DPR отправил для redandwhite сообщение: «привет, хочу уточнить куда ты подевался со своим предложением о поддельном удостоверении». Redandwhite отвечает: «Этим занимается мой человек и он как раз в процессе».

43. В конечном итоге, в ходе расследования были получены доказательства того, что Ульбрихт осуществлял управление скрытым сервисом Tor, а также подтверждение его связи с конкретным программным кодом и конкретным ключом шифрования, обнаруженными на веб-сервере Silk Road. В частности:

a. Исходя из моей подготовки и опыта, мне известно, что веб-сайт «stackoverflow.com» («Stack Overflow») является веб-сайтом, используемым программистами с целью публикации вопросов о проблемах программирования и получения предложений с их решениями от других программистов. В соответствии с записями, полученными от Stack Overflow:

i. 05.03.2012 г. некий пользователь зарегистрировал аккаунт на Stack Overflow под именем «Ross Ulbricht». Ульбрихт предоставил Gmail Аккаунт Ульбрихта в качестве адреса электронной почты, как часть информации, требуемой при регистрации.

ii. 16.03.2012 г. примерно в 8:39 дня по Тихоокеанскому Летнему времени Ульбрихт опубликовал на сайте сообщение, озаглавленное «Как я могу соединиться со скрытым сервисом Tor используя curl в php?». Исходя из моей подготовки и опыта, мне известно, что «PHP» означает язык программирования, применяемый для веб-серверов, а «curl» означает набор программных команд, которые могут быть использованы в данном языке. В содержании сообщения Ульбрихт приводит 12 строк кода, использующих команды «curl», которые, как он утверждает, он использовал «для соединения со скрытым сервисом Tor … используя php», но, как он сообщает, код возвращал ошибку. Исходя из моей подготовки и опыта, сообщение Ульбрихта говорит о том, что занимался написанием пользовательского программного кода, предназначенного для веб-сервера скрытого сервиса Tor, такого как Silk Road.

iii. Когда пользователь размещает сообщение на Stack Overflow, его имя появляется рядом с таким сообщением. Однако. менее чем через одну минуту после публикации сообщения, описанного в предыдущем параграфе, Ульбрихт изменил свое пользовательское имя с «Ross Ulbricht» на «frosty». Исходя из моей подготовки и опыта, мне известно, что преступники в своем стремлении скрыть свою личность онлайн часто используют псевдонимы с тем, чтобы затруднить их идентификацию. Таким образом, принимая во внимание время, я полагаю, что Ульбрихт изменил свое имя пользователя на «frosty» с целью сокрытия своей связи с сообщением, которое он разместил одну минуту назад, понимая, что сообщение является публично доступным для любого пользователя Интернет и говорит о его причастности к использованию скрытых сервисов Tor.

iv. Несколько недель спустя Ульбрихт также изменил свой регистрационный адрес электронной почты на Stack Overflow, «frosty@frosty.com» вместо Gmail Аккаунта Ульбрихта. Согласно данным centralops.net, публично доступного сервиса поиска электронных адресов, frosty@frosty.com не является валидным адресом электронной почты. Опять же, исходя из моей подготовки и опыта, мне известно, что преступники, которые стремятся скрыть свою личность, часто используют фиктивные электронные адреса в онлайновых аккаунтах. таким образом, я полагаю, что Ульбрихт изменил свой электронный адрес на Stack Overflow на фиктивный адрес с целью полностью устранить какие бы ни было связи между его настоящим электронным адресом и сообщением, свидетельствующем об использовании им скрытого сервиса Tor.

b. Основываясь на данных криминалистической экспертизы веб-сервера Silk Road, мне известно, что код на веб-сервере Silk Road содержит пользовательский PHP скрипт на основе «curl», который функционально очень близок к коду, описанному в сообщении Ульбрихта на Stack Overflow, и содержит несколько строк кода, идентичных коду, приведенному в сообщении. Исходя из моей подготовки и опыта, мне представляется, что код на веб-сервере Silk Road является модифицированной версией кода, описанного в сообщении Ульбрихта (тот самый, который Ульбрихт пытался найти способ исправить, поскольку тот генерировал ошибку).

c. Далее, также основываясь на данных криминалистической экспертизы веб-сервера Silk Road, мне известно следующее:

i. 23.07.2013 г. веб-сервер Silk Road был сконфигурирован таким образом, чтобы разрешить администратору, которым являлся DPR, подключаться к серверу без необходимости введения пароля, при условии, что подключение администратора осуществляется с доверенного, с точки зрения сервера, компьютера.

ii. В частности, исходя из моей подготовки и опыта, мне известно, что такая конфигурация предусматривает использование ключей шифрования с подключением по протоколу SSH (Secure Shell). Для создания такой конфигурации, администратор должен сгенерировать два ключа шифрования – «открытый» ключ, который хранится на сервере, и «закрытый» ключ, который хранится на компьютере, с которого осуществляется подключение к серверу. Как только эти ключи созданы, сервер может узнавать компьютер администратора на основе связи между закрытым ключом администратора и соответствующем ему открытым ключом, хранящемся на сервере.

iii. Исходя из моей подготовки и опыта, мне известно, что ключи шифрования в SSH состоят из длинных цепочек текстовых символов. Различные SSH программы генерируют открытые ключи различными способами, но все они генерируют открытые ключи в сходном формате, с текстовой строкой, которая всегда имеет окончание в формате "[пользователь]@[компьютер]". Компьютер в данной подстроке представляет собой имя компьютера, который сгенерировал открытый ключ, а пользователь является именем создавшего его пользователя. Например, если кто-то создает пару SSH ключей используя компьютер «МойКомпьютер», при этом вход выполнен пользователем «Джон», сгенерированный в результате открытый ключ будет заканчиваться подстрокой «Джон@МойКомпьютер».

iv. Я исследовал открытый SSH ключ, хранящийся на веб-сервере Silk Road, который использовался для аутентификации администратора при подключении к серверу. Ключ имеет окончание «frosty@frosty». Исходя из моей подготовки и опыта, это означает, что администратор Silk Road пользуется компьютером с именем «frosty», на котором имеется аккаунт пользователя с таким же именем «frosty», с которого осуществлялся вход на веб-сервер Silk Road. Исходя из моей подготовки и опыта, мне известно, что пользователи компьютеров часто используют одно и то же имя для различных типов аккаунтов. Таким образом, я полагаю, что, в особенности принимая во внимание другие связи между «Росс Ульбрихт» и «DPR», описанные выше, что пользователь Stack Overflow «Ross Ulbicht», который изменил свое имя на «frosty» и свой электронный адрес на frosty@frosty.com является тем же лицом, что и DPR, являющийся администратором Silk Road, который подключался к веб-серверу Silk Road с компьютера с именем «frosty», на котором имелся аккаунт пользователя «frosty».

44. Я получил от Управления транспортных средств Техаса копию водительского удостоверения обвиняемого РОССА УИЛЬЯМА УЛЬБРИХТА, также известного как «Dread Pirate Roberts», «DPR», «Silk Road», с тем же номером, который имеет водительское удостоверение, которое УЛЬБРИХТ предъявил во время контакта с агентами ДРВБ 26.07.2013 г., как это описано выше. Фотография в водительском удостоверении, представляет собой изображение того же человека, чья фотография размещена в профилях аккаунтов на Google+, «Институт Мизеса», и LinkedIn, описанных выше.

45. В соответствии с этим, я полагаю, что владельцем и оператором Silk Road является обвиняемый РОСС УИЛЬЯМ УЛЬБРИХТ, также известный как «Dread Pirate Roberts», «DPR», «Silk Road».

ТАКИМ ОБРАЗОМ, я прошу выдать ордер на арест обвиняемого РОССА УИЛЬЯМА УЛЬБРИХТА, также известного как «Dread Pirate Roberts», «DPR», «Silk Road» с взятием под стражу или оформлением залога, в зависимости от обстоятельств.

Кристофер Тарбелл
Специальный Агент
Федеральное Бюро Расследований

[ http://habrahabr.ru/post/196464/ ]