2013年10月2日,在大家都沉浸在十一長假喜悅中的時候,遙遠的美國爆發出了一個震驚Tor社區和比特幣社區的消息,運營在Tor上使用hidden service和用比特比交易的Silkroad絲綢之路被FBI查封,并且創始人Ross William Ulbricht,也就化名為Dread Pirate Roberts的網站管理員和主要運營者在美國被抓。在大家都認為這種運營方式無懈可擊絕無被查水表可能的時候,勤勞的FBI卻早在今年7月就已經獲得了絲綢之路服務器的硬盤鏡像,并且潛伏在服務器中長達3個月,從而獲得了網站管理員的真實身份。
和美國政府作對,面對的將是全世界最強大的社工手段和全世界最全的0day庫,一旦被定位,很可能會被物理消滅。這樣的人需要的是智慧,膽識和技術,不幸的是,似乎絲綢之路的創始人哪樣都差了那么一些。
根據FBI提交給法官的文件,里面詳細的描述了他們是如何找到并且如何證明Ross就是DPR這個人的。不過該文件卻對如何進入silkroad的服務器一筆帶過,這讓Tor社區感到非常不安,大家都在懷疑FBI是通過和NSA的合作關系,利用了傳說中的國家級大數據和隱藏在Tor中的后門找到了服務器的真實IP,通過IP又通過一紙搜查令讓服務器提供商復制了一份服務器硬盤內容。
不過即使FBI沒能進入絲綢之路的服務器,要找到創始人看來也沒有想象中的那么困難。FBI的文件顯示,在絲綢之路創立的初期,創始人犯了很多2B錯誤。
2011年1月27日,用 altoid 用戶名在 shoomery.注冊并發帖宣傳絲綢之路(鏈接:http://www.shroomery.org/forums/showflat.php/Number/13860995)
2011年1月29日,用altoid用戶名在bitcointalk.org注冊并發帖宣傳,原帖已被刪,但是被人引用了(鏈接:https://bitcointalk.org/index.php?topic=175.msg42670#msg42670)
2011年10月11日,在bitcointalk.org 用altoid用戶名發帖招程序員,并且帖子里附上了用自己真實姓名注冊的gmail地址 [email protected] (連接:https://bitcointalk.org/index.php?topic=47811.0)
2012年3月5日,在stackoverlow以真實姓名和郵箱注冊了帳號"Ross Ulbricht” -> [email protected]
2013年3月13日,被絲綢之路用戶FriendlyChemist勒索,他后來通過絲路的私信(非加密,服務器被端之后被FBI看光光)找殺手試圖將其做掉,據說殺手和勒索的都是一個人……似乎被擺了一道……
2013年3月16號,在stackoverflow發帖詢問如何用PHP的curl連接tor的hidden service(鏈接 http://stackoverflow.com/questions/15445285/how-can-i-connect-to-a-tor-hidden-service-using-curl-in-php) ,發完貼后一分鐘,他把用戶名改成了frosty
2013年4月某日,[email protected]
2013年6月某日,他向之前找的殺手買了幾個偽造的身份證,用的是他自己駕照上的照片,假名字假地址。收件人是他的真名并且用的真實地址。
2013年7月10號,從加拿大寄到美國的假證件被海關在一次“隨機檢查”中攔截。
2013年7月23號,絲綢之路的服務器硬盤被FBI鏡像。FBI發現服務器的SSH [email protected],根據服務器登錄日志顯示,最近幾次登錄來自一家VPN服務商的IP,根據服務商供出的源IP,位置在Ross William Ulbricht住處旁邊500米的一個網吧。并且根據Google提[email protected]?戶最后幾次登錄IP也和VPN的IP相同。
2013年7月26號,美國國土安全部工作人員上門查水表,詢問假證的事情,他說是被人陷害的,因為 "任何人都能去Tor里那個叫絲綢之路的網站買假證寄給別人來陷害他"
2013年10月2號,Ross在一家社區圖書館,剛剛解鎖完筆記本,就被周圍20多個便衣FBI按到墻上逮捕。筆記本里他登錄的用戶名是frosty。
2B行為:
1,用真名注冊郵箱。用真名注冊郵箱可以,一般都用來以真實身份對外公開交流。但是用這個郵箱注冊帳號宣傳自己的地下邪惡網站就太2B了。
2,管理一個只能通過tor訪問的網站,居然只用了一層VPN。
3,在絲綢之路服務器中用了自己正在用或者曾經使用過的用戶名等信息,比如frosty。
4, 買假證沒關系,假證上用自己的真實照片并且寄到自己家的地址……呵呵……
5, 第一次被查水表的時候不打自招……
6, 有價值幾千萬美元的比特幣,居然肉身還待在美國。
本文但從技術角度討論下如何不被查水表的方式。
在Tor中用hidden service架設的服務,應該只用Tor管理。SSH登錄也應該采用雙因素或者三因素認證,比如私鑰+密碼+動態口令。SSH通過proxychains用Tor的socks5代理登錄服務器。
宣傳貼和問題應該用隨機生成的用戶名,通過Tor發帖。
服務器里不要保存任何和自己任何信息有關的內容。
買假證不要用和自己真實證件上一樣的照片,不要在收件人上用真名,收件地址是自己家……
賺了差不多的錢之后就應該移民到俄羅斯……
做到這個程度,假設Tor安全可信的話,即使服務器被拿下,也是無法從服務器里的內容追蹤到服務器管理員的。除非從服務器購買信息著手,比如注冊用戶名和IP,信用卡等等。所以最好找可以用比特幣等匿名支付手段購買的服務器,或者用黑卡,購買的時候也要通過Tor。
安全最重要的因素是人,凡事都要考慮到人會犯的錯誤,大意,懶惰等等。可以說,在目前的信息安全體系中,人類才是最大的弱點,機器是冷酷可靠的。