Поимка владельца магазина Silk Road Росса Уильяма Ульбрихта, известного как Dread Pirate Roberts, стала возможной благодаря утечке IP-адреса магазина от сервиса reCAPTCHA. Об этом сообщил журналист и специалист в области информационной безопасности Брайан Кребс всвоём блоге.
После того, как ФБР арестовало владельца Silk Road Росса Ульбрихта, специалисты по безопасности всего мира искали объяснение тому, что именно его скомпрометировало. Известно, что географическое расположение серверов Silk Road тщательно скрывалось при помощи сети Tor.
Tor перенаправляет трафик сети через серию серверов в разных точках Земли, шифруя его на каждом из этапов, что делает практически невозможным определение исходного IP-адреса пользователя. Однако, какговорится на сайте проекта Tor, он делает анонимным только тот, трафик, который посылается через приложения, специальным образом сконфигурированные для работы с его сетью, и не гарантирует безопасную работу всех сервисов.
В случае с Silk Road один из неправильно сконфигурированных сервисов, использованных на сайте, и стал причиной утечки IP-адреса магазина. Как заявил бывший сотрудник ФБР Кристофер Тарбелл, чей отчёт о спецоперации былопубликован на сайте правительства США 5 сентября, он вместе с ещё одним сотрудником разведслужбы обнаружил эту утечку в интерфейсе входа в магазин.
По словам Тарбелла, в июне 2013 года они анализировали трафик с Silk Road при работе со страницей логина, не используя административный доступ или бэкдоры, а лишь вводя данные в окна с именем пользователя, паролем и капчей. Изучая полученные данные, исследователи ФБР заметили, что часть пакетов передавалась с IP-адреса, не связанного с сетью Tor, принадлежащему серверу на территории Исландии.
Когда исследователи ввели этот адрес в обычном браузере, они увидели часть интерфейса reCAPTCHA, используемого на сайте Silk Road. Убедившись, что IP-адрес принадлежит Silk Road, 12 июня сотрудники ФБР запросили данные о сервере у властей Исландии. 29 июля полиция Исландии выдала спецслужбам копию веб-сайта, хранящегося на указанном сервере им оказался Silk Road. Так ФБР получила базы данных с предложениями от продавцов Silk Road, информацию о количестве продаж, личные сообщения пользователей форума и другую личную информацию.
Однако непосредственно поимка Росса Ульбрихта удалась благодаря прослушке, заявляет Тарбелл. ФБР собрало данные от интернет-провайдера, работающего в месте проживания Ульбрихта, от роутера, привязанного к его аккаунту у провайдера, и различных устройств, подключавшихся к роутеру. Информацию о выходе Ульбрихта в интернет соотнесли со временем, когда аккаунт Dread Pirate Roberts проявлял активность на форуме Silk Road. Это стало дополнительным свидетельством того, что Ульбрихт является главой Silk Road.
Тем не менее прослушивающие устройства не собирали никакой информации о местоположении Ульбрихта. 1 октября ФБР получило ордер на обыск дома Ульбрихта и его ноутбука, и в тот же день глава Silk Road быларестован. Спустя неделю Федеральный окружной суд США также выдал разрешение на досмотр аккаунтов Ульбрихта на Gmail и Facebook.
Silk Road в прошлом одна из крупнейших торговых площадок в интернете для продажи наркотиков, зайти на которую можно было только через анонимную сеть Tor. Сайт выполнял функцию посредника: продавцы размещали предложения, пользователи форума покупали товары, а сайт получал комиссию с заказов и контролировал оборот например, на Silk Road запрещалось торговать оружием и детским порно. После ареста Ульбрихта Silk Road был закрыт, однакоперезапустился через месяц с усиленными мерами защиты.