Как ONYMOUS се гмурна в дълбоката мрежа

Троелс Оертинг

Новината за международната спецоперация, назована ONYMOUS, срещу т.нар. дълбока мрежа (Deep Web), проведена миналата седмица от службите на 16 европейски държави в сътрудничество и с ФБР, мина почти без шум. И сякаш потъна отново в най-тъмната част на интернет, откъдето всъщност тръгна. Вестта обиколи световните медии, но нито ФБР, нито Департаментът за вътрешна сигурност, нито Централата за правителствени комуникации (GCHQ) във Великобритания и тамошната Сикрет сървиз не дадоха каквито и да е подробности.

Нашенската Държавна агенция "Национална сигурност" също доста лаконично описа акцията, която инак би трябвало да бъде венец в усилията на агенцията да се противопоставя на киберпрестъпността. Както е известно, след вливането на бившата Главна дирекция "Борба с организираната престъпност" в ДАНС, там премина и прословутият сектор за борба с компютърните престъпления, ръководен от небезизвестния Явор Колев. Ефектът от неговата дейност досега е доста противоречив – да припомним, че през септември т.г. Европейският съд по правата на човека (ЕСПЧ) осъди България заради акция на подчинените на Колев, по време на която безпричинно били употребени електрошокови и палки. Става дума за операция на сектора за компютърни престъпления от 2008 г. срещу варненския интернет доставчик "Интербилд" по сигнал, че фирмата използва нелегален софтуер на своите компютри. С личността на шефа на сектора е свързана и друга конфузна случка от зимата на 2012 г., когато известната хакерска група "Анонимните" отправи предупреждение към България и удари системата ЕСГРАОН. Там те подмениха само личността на Колев, като на негово място и с неговото ЕГН се появиха трима души с име Кольо Яворов. Снимката му също бе подменена – във файловете за личните му документи  фигурираха снимки на мъже с дълги сплъстени коси и несресани бради и мустаци (той е остриган до кожа).

От кратичкото сегашно съобщение на агенцията стана ясно, че в българското интернет-пространство са установени и спрени 129 скрити интернет сайта, предлагащи множество услуги в т.нар. TOR мрежа. Включително и разпространение на материали със сексуално насилие над деца, разпространение на профили за разплащателни платформи, данни за кредитни карти, за наркотици, за оръжие и за поръчкови убийства, за незаконна търговия с биткойн и изпиране на пари. Използвана е инфраструктурата на хостинг компания в България, написаха агентите, без никакви подробности за операцията.

Не се чу и дали на територията на страната са били арестувани администратори на скрити сайтове. ДАНС се задоволи да оповести само, че в рамките на международната операция са извършени 17 ареста. В разследването са били включени служби от България, Чехия, Финландия, Франция, Германия, Унгария, Латвия, Литва, Люксембург, Холандия, Румъния, Испания, Швеция и Швейцария. Повечето от задържаните обаче са от Великобритания. Справка в навършилата една година от съществуването си Национална криминална агенция в Англия сочи, че са арестувани 20-годишен жител на Ливърпул, 19-годишен младеж от Линкълншир, 30-годишен жител на Клиитхорпс, мъж на 29 години от Абърдоув, Уелс, и 58-годишни мъж и жена от същия град. Още двама души на по 30 години са били задържани в Дъблин, след като спецполицаи нахлули в депо за разпространение на дрога. Там те открили контролирана от тях в скрит сайт пратка наркотици, както и множество документи за сметки на офшорна банка в Швейцария, Белиз, Полша и още няколко страни. 

Това е информация, тиражирана от Европейския център за борба с киберпрестъпността, след съгласуване между Европол и ФБР. Единственият коментар по случая дойде от шефа на центъра Троелс Оертинг, който разкри, че неговите служители са имали дълъг списък със сайтове за черен пазар – Silk Road2, Cloud 9, Hydra, Pandora, Blue Sky, Topix, Flugsvamp, Cannabis Road, Black Market. Спецслужбите са набелязали за мишена и скрити сайтове, през които са препирани пари – Cash Machine, Cash Flow, Golden Nugget, Fast Cash.

Една от главните цели на операцията всъщност е бил сайтът за продажба на дрога Silk Road 2. Ударът срещу него идва една година след като оригиналният сайт Silk Road е бил разбит от щатските спецслужби и неговият предполагаем създател Рос Улбрихт е бил задържан. Съдебният процес срещу него ще стартира през януари 2015 година. След ареста обаче търговията на дрога в интернет не само не била пресечена, но дори и разцъфтяла. За това съдим от откритото писмо на сенатора от Ню Йорк Чарлз Шумър до съдия Ерик Холдер миналата седмица, в което той алармира, че след елиминирането на Silk Road се забелязва бум на продажбите чрез "Дълбоката мрежа".

Администраторите на Silk Road2 са сред арестуваните при операция ONYMOUS. Задържан е и 26-годишният Блейк Бентхол, който е автор на сайта. Истинска мистерия е как ФБР са се докопали до него и до сайта му, като се знае, че подобни интернет-платформи са с изключителна защита. Това се дължи на т.нар. Тоr-мрежа, която представлява  мрежа от компютри и сървъри, осигуряващи анонимност на потребителите си и тяхната комуникация в интернет. Любопитен факт е, че Tor дебютира през 2002 г. като The Onion Routing project – дело на изследователската лаборатория на военноморските сили на САЩ. Tor осигурява достъп до "Дълбоката мрежа", където се намират сайтовете, завършващи на .onion. В тази мрежа съобщенията пътуват в криптиран вид през компютрите на другите участници в Tor. Всеки следващ компютър по веригата добавя слой криптиране и така съобщението започва да прилича на луковица, листата на която покриват плътно същността на сърцевината, тоест на информацията. Неслучайно емблемата на Tor-мрежата e лукова глава. Характерно за тази мрежа е, че тя работи без да помни целия път на комуникацията. Първият компютър пуска съобщението на втория, вторият на третия, но третият не знае адреса на първия и може да направи обратна връзка единствено с втория. Съответно четвъртият не може да направи обратна връзка към втория, нито петият към третия. На практика проследяването на комуникациите в Tor става изключително трудно.

Как обаче въпреки изключителната защита, ФБР е стигнало до Silk Road2? Отговорът на този въпрос тъне в плътна мъгла. Знае се само, че агентът от ФБР Винсент Д, Агостини е дал показания, че през май т.г. бюрото идентифицирало сървър, локализиран в чужда държава, предполагайки че там е бил хостван сайтът. Агентът обаче е отказал каквито и да е обяснения как е станало преодоляването на Тоr-защитата. При явяването на автора на сайта Блейк Бентхол пред съда, защитата му депозирала жалба, в която се твърди, че спецслужбите са използвали незаконни прийоми, за да идентифицират сайта на клиента им. Същото подозрение е формулирано и при разпитите на създателя на оригиналния сайт Рос Улбрихт миналата година. Тогава се породило съмнение, че при търсенето на сървъра в Исландия, ФБР не е разполагало със съдебно разрешение за операцията. Съдията обаче отхвърлил тази жалба на защитата на Улбрихт. Тогава се появили предположения, че ФБР и партньорските й служби са използвали пропуск в една от защитите (т.нар. "Captcha protection") и са я използвали срещу операторите на сайта.

Мистерията с ударените скрити сайтове и най-вече съдбата на Silk Road2, който наследил и усъвършенствал страницата на Рос Улбрихт, обаче може би ще бъде разгадана по време на съдебния процес. След като IT-специалистите са единодушни, че е изключително трудно да се "пробие" Tor-мрежата, най-вероятно нахлуването на спецслужбите в нея е станало чрез агент под прикритие. Появи се слух, че сайтът на Блейк Бентхол е бил деанонимизиран, след като агент под прикритие е получил достъп на високо ниво като администратор на страницата. Той проникнал в организацията преди пет месеца. Твърди се, че пробивът му е станал след много елементарна грешка на Бентхол – той използвал личния си имейл при регистрирането на сървъра, използван от Silk Road2.

Ако този слух се окаже истина, това обяснява и защо след като са пробили този сайт, агентите от САЩ и от Европа са оставили други още по-тъмни сайтове в Tor-мрежата да работят необезпокоявани от никого. Едно проучване на европейската организация с нестопанска цел Digital Citizens Alliance от септември т.г. разкри, че най-популярните черни пазари, базирани в Тоr-мрежата са Silk Road2, Agora, Evolution, Pandora, Andromeda и Blue Sky. Само три от тях обаче бяха ударени по време на международната операция ONYMOUS. Непипнати останаха Agora, Evolution и Andromeda.

Специалистите предполагат, че неударените сайтове ще привлекат онези продавачи и купувачи, които са избягали от сваления Silk Road2. Експертите са засекли, че в Agora, където на черно се търгува основно оръжие, има повече от 16 000 незаконни оферти. Истински бум претърпява и Evolution, който е сред най-бързо прогресиращите черни пазари и в скоро време ще се излезе на второ място в подземната интернет-икономика.

Очевидно срещу тази икономика, потопена в "Дълбоката мрежа" и все още невидима за официалните власти, засега няма противодействие и тепърва ще бележи ръст. Ако спецслужбите, сред които и ДАНС, нямат очи и уши за растежа й, тежко ни се пише.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Още от категорията..

Последни новини

Подкрепяте ли идеята за въвеждане на по-висок данък върху второ и всяко следващо жилище?

Подкаст