Jak policja łapie cyberprzestępców

Przestępcy działający w Internecie używają technologii takich jak szyfrowanie połączeń, anonimizacja, tunelowanie. Mimo to organy ścigania często ich demaskują radząc sobie z zabezpieczeniami technicznymi.

Szyfrowanie połączeń, wirtualne sieci prywatne oraz sieć Tor są bronią obosieczną. Umożliwiają w miarę bezpieczne omijanie cenzury w krajach, w których dostęp do Internetu podlega odgórnej kontroli. W ten sposób można opublikować praktycznie dowolny przekaz. Ze zdobyczy nowoczesnej kryptografii korzystają demaskatorzy nadużyć, nazywany whistleblowers. Z tych samych narzędzi mogą skorzystać także włamywacze komputerowi lub pospolici złodzieje, którzy kradną pieniądze lub informację, narażając wiele firm oraz użytkowników prywatnych na straty. W komputerowym podziemiu istnieją giełdy, na których można zamówić przedmioty lub usługi wyjęte spod prawa w świecie rzeczywistym. Nadal jednak część działań (na przykład dostawa nielegalnych substancji lub usług) wymaga obecności w obu światach – rzeczywistym oraz wirtualnym podziemnym. Jest to słabość, która bywa najczęstszą przyczyną wpadki – czasami jeden błąd naprowadzi policję na ślad, po którym dotrą do złodzieja, włamywacza lub administratora podziemnej giełdy sprzedającej między innymi narkotyki. Najczęstszą przyczyną wpadki nie jest słabość technologii, ale ludzi, którzy z niej korzystają.

Amatorskie pogróżki bombowe

Gdy nie można ukryć samego faktu komunikacji lub publikacji jakiejś informacji, ochronę może dać anonimowość. W cyfrowych sieciach do pewnego stopnia zapewnia ją Tor – sieć wielowęzłowego routingu, w której ruch jest szyfrowany. Tor nie zapewnia ochrony przed monitorowaniem ruchu wchodzącego i wychodzącego, ale poważnie utrudnia potwierdzenie komunikacji konkretnej osoby. W pewnych przypadkach jest to jednak możliwe, o czym przekonał się Eldo Kim, który wszczynał alarmy bombowe na Harvardzie. Wiadomości o rzekomych bombach wysyłane przez Kima docierały do redakcji lokalnej gazety oraz kilku innych osób na uczelni i miały na celu zdezorganizowanie procesu egzaminacyjnego. Kim popełnił jednak kilka poważnych błędów: nie korzystał z remailerów, a jedynie wysyłał wiadomości via Tor, ponadto łączył się z tą siecią ze swojego studenckiego konta. W danym czasie był jedyną osobą, która łączyła się z Torem, co umożliwiło organom ścigania korelację czasową wszystkich zdarzeń. Na końcu przyznał się do wszystkich zarzutów – a to w amerykańskim systemie prawnym ma wielkie znaczenie.

Zobacz również:

W Polsce dwa lata temu zdarzył się podobny przypadek. Siedemnastoletni mieszkaniec Kalisza groził rzekomym podłożeniem bomb i rozsyłał wiadomości e-mail do kilku ministerstw, prokuratur, komend policji oraz urzędów administracji państwowej. Korzystał z sieci Tor, ale popełnił przy tym dużo błędów, które szybko naprowadziły CBŚ na ślad amatora fałszywych alarmów bombowych.

Ci, co się śmiali z bezpieczeństwa

Grupa hakerska LulzSec, w skład której wchodzili między innymi Hector Xavier Monsegur (pseudonim „Sabu”) oraz Jeremy Hammond (nazywany „sup_g”) była odpowiedzialna za wiele ataków przeciw różnym instytucjom. Atakowali HBGary, Fox Broadcasting Company, Nintendo, Sony, a także stronę amerykańskiego senatu, publikowali poufne dokumenty różnych firm. Działania LulzSec były na tyle poważne, że sprawą zainteresowała się FBI. Hector był pod obserwacją od dawna i w miarę upływu czasu stawał się coraz bardziej niefrasobliwy. Jego krytycznym błędem było zalogowanie się do kanału IRC bez użycia sieci Tor. W ten sposób FBI uzyskało jego adres IP, co umożliwiło aresztowanie.

Aresztowany Hector zgodził się współpracować z FBI, pomagając przy tym przy schwytaniu kolejnego członka tej grupy – był nim sup_g czyli Jeremy Hammond. W rozmowach prowadzonych na kanale IRC Hammond beztrosko opowiadał o miejscach, w których dawniej był aresztowany oraz o działaniach, w których uczestniczył. FBI dzięki temu zawęziło krąg poszukiwań, uzyskało nakaz sądowy i rozpoczęło monitorowanie jego ruchu sieciowego. Monsegur nie wydał Hammonda bezpośrednio, ale umożliwił ataki korelacyjne – skojarzenie momentów, w których „sup_g” rozmawiał na IRC z „Sabu” z chwilami, gdy Hamond korzystał w domu ze swojego komputera. Agenci biur śledczych dotarli do innych członków LulzSec głównie przez źródła osobowe lub dzięki podobnym błędom. Chociaż grupa się formalnie rozwiązała, agenci schwytali najważniejszych jej członków.

Naraził się FBI oraz Anonimowym jednocześnie

Podziemny serwis Freedom Hosting znalazł się na celowniku zarówno FBI, jak i Anonimowych z jednego bardzo ważnego powodu – hostował dziecięcą pornografię. Gdy FBI rozpoczęło działania mające na celu schwytanie ludzi prowadzących ten proceder, Anonimowi zdążyli już zaatakować Freedom Hosting w ramach operacji Op Darknet. Agenci FBI odkryli, że człowiek odpowiedzialny za ten portal posługuje się nieaktualną wersją przeglądarki, dostarczaną razem ze starszym wydaniem oprogramowania do połączenia z siecią Tor. Chociaż była dostępna zaktualizowana wersja przeglądarki, Eric Eoin Marques aktualizacji nie wykonał, co umożliwiło wykorzystanie przez FBI błędu CVE-2013-1690 i uruchomienie payload'u o nazwie Magneto. W ten sposób śledczy poznali rzeczywisty adres IP, sprzętowy MAC oraz nazwę maszyny Windows. Eric zostawił także ślad związany z płatnością za serwery, na których ten portal pracował.

Podczas aresztowania rzucił się, by zamknąć działającego laptopa – korzystał z pełnodyskowego szyfrowania. Miał nadzieję, że zdąży zamknąć system operacyjny, co spowoduje usunięcie kluczy szyfrujących z pamięci operacyjnej i poważnie utrudni pozyskanie twardych dowodów. Agenci uniemożliwili zamknięcie systemu i z pomocą zdobyczy informatyki śledczej uzyskali dodatkowo obciążające go dowody.

Po aresztowaniu Marquesa powstało wiele teorii spiskowych związanych z bezpieczeństwem sieci Tor. Badacze zajmujący się bezpieczeństwem uważają, że gdyby Freedom Hosting nie hostował dziecięcej pornografii, to prawdopodobnie Eric nie zostałby złapany – nie naraziłby się Anonimowym oraz FBI jednocześnie.

Zbyt mocno łączył świat rzeczywisty i wirtualny

Twórca jednego z najważniejszych podziemnych portali kupna i sprzedaży nielegalnych przedmiotów – The Silk Road – popełnił mnóstwo błędów. Ross Ulbricht wielokrotnie zamieszczał wpisy związane z tworzeniem samego portalu i jego promocją. Korzystał przy tym z jednego pseudonimu, który łatwo było powiązać z osobistym adresem e-mail zawierającym imię i nazwisko. Połączenie można było także zauważyć w jego profilu Google+ oraz na portalach takich jak BitCoinTalk.

Podobne błędy popełniał wielokrotnie, na przykład logując się przez sieć Tor do portalu Stack Overflow, a następnie zakładał konto powiązane z jego prawdziwym nazwiskiem. Gdy przygotowywał fałszywe dokumenty, zmieniał nazwisko, ale nadal stosował to samo zdjęcie. Wiele podobnych błędów ułatwiło w przyszłości powiązanie prawdziwej tożsamości Rossa Ulbrichta z portalem Silk Road, a następnie zamknięcie tej podziemnej giełdy przez FBI.

Być może wydali go koledzy z forum

Po kwietniowym włamaniu do Plusbanku, specjaliści do spraw bezpieczeństwa informacji spodziewali się stosunkowo szybkiego ujęcia sprawców. Włamywacze zostawili dużo śladów a jedna z osób powiązanych z tym włamaniem uczestniczyła w dość znanym podziemnym portalu Torepublic. Osoba, która pod pseudonimem Polsilver opublikowała informacje i próbki danych skradzionych z serwisu Plusbanku, była administratorem tego forum.

W ubiegłym tygodniu Tomasz G. wpadł w ręce Wydziału Do Walki z Cyberprzestępczością Biura Służby Kryminalnej KGP oraz Centralnego Biura Śledczego Policji. Aktywność innych członków Torepublic (działających pod pseudonimami „kyber” i „Thevenominside”) od pewnego czasu była dość podejrzana i można mieć uzasadnione podejrzenia, że użytkownicy ci popełnili sporo błędów, które umożliwiły organom ścigania dotarcie do nich i aresztowanie. Prawdopodobnie w ten sposób policji udało się dotrzeć do „Polsilvera”, wykorzystując ewentualną współpracę już aresztowanych uczestników tego podziemnego forum.