丝绸之路2.0 Blake Benthall 与 其他

發表於 2017-05-20   |   分類於 信息安全   |  

联邦特工被丝绸之路2.0雇佣当管理员 - Solidot
Tor节点可能被攻陷 - Solidot

原文

FBI是如何找到丝绸之路2.0位置的?一名卧底成功加入了丝绸之路2.0管理层,获取所有必要的情报。丝绸之路2.0和丝绸之路一样,都是基于Tor隐藏服务。FBI称他们是利用验证码的漏洞识别丝绸之路服务器的真实IP位置,而对于丝绸之路2.0,根据检方的一份声明,一名国土安全部特工成功渗透到了管理丝绸之路2.0的支持团队中,获得了与站长Blake Benthall相同的管理权限,这名卧底特工因此能直接联系Benthall。这名特工在2014年1月成为有薪雇员,他总共收到了16次以比特币形式支付的薪水,其币值超过3万美元。在此期间,特工从网站服务器上直接收集证据,获得了相关成员真实身份信息。丝绸之路2.0服务器早在今年5月30日就被控制,之后又运行了五个月,让美国联邦执法机构及其合作伙伴收集到更多情报。在获得美国提供的情报之后,爱尔兰当局在都柏林突袭了一个毒品团伙,扣押了价值20万美元的迷幻药等毒品,以及价值1800万美元的比特币。26岁的Blake Benthall刚刚出席了法庭的一个听证会,但除了确认名字和年龄之外没说什么。检方要求不要释放Benthall,理由是他可能会逃跑,“他的家里发现了超过10万美元现金。他还有一本护照….他在被告知了米兰达权利后承认了一切。”

刑侦角度

利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。

按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。

先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬案”,除非当事人主动承认或者再次犯案。绝大多数的犯罪都是有动机的,冲突口角、获取利益、炫耀出名等等,发生计算机犯罪案件后,侦破过程中往往最先要分析的是动机:被拒绝服务攻击,那么会不会是竞争对手?或者之前发生口角争执的用户?非正常离职的员工?等等,通过列出有动机人的嫌疑名单,可以有效缩小进一步侦破的范围。

实际发生过一个案子:有人拒绝服务攻击游戏公司,然后上门推销“拒绝服务防御”设备,攻击者对自己的技术很有信心,也确实没有留下什么痕迹,可是动机分析很容易就锁定了嫌疑犯,一次突击搜查就直接拿到了证据。

其次看方法,分析犯罪手法可以得出很多的结论,有点类似于大家看的《罪案现场调查》中对血迹、弹道和DNA进行分析,比如不久前发生的12306拖库事件,通过对公布出来的库进行比对分析,就得到了攻击者是利用现有的“第三方社工库”进行“撞库攻击”的结论,这样就通过追踪“第三方社工库”来获取犯罪嫌疑人的特征。再比如对攻击工具(例如木马)的分析,可以得出犯罪嫌疑人的开发平台、使用的语言,如果是第三方下载的,那么也就知道了常去的网站,这些都可以是破案的线索。(美国几次公布中国黑客攻击的证据,其中就有大量对工具语言版本的分析作为支撑)。
如果攻击者一点痕迹都没留下,其实也相当于留下了痕迹,我们可以判定此人是经验丰富的高手,业内能符合这个特征的人并不多,可以大大缩短怀疑的名单。

最后则是后果,犯罪嫌疑人进行计算机犯罪总是有其目的的,无非是名和利,为名者常常喜欢炫耀,而为利者则避免不了异常的收入和开支,这些都会形成破绽,结合之前的动机和方法,往往能锁定对象。

如果出现高智商反社会罪犯,纯粹出于兴趣进行随机犯罪,这才是最头疼的。
https://www.zhihu.com/question/21572913
33省卡口车牌

技术手段ringzero同学的讲的够现实了,补充一下其他方面。

1.先从成本角度讲。如果只是给备案,基本上没人管你。如果立案侦查,要看涉案金额以及社会影响、政绩影响,如果足够引起平平安安的兴趣,恭喜你。假设案件受关注度一般,那么会有低成本手段快速解决,如果解决不了,一般就被扔一边,哪天有其他案件串到了,并案一起解决。低成本的手段要看什么级别的单位在干活,不同级别的单位有不同的设备和权限,快速从一些现成的系统里,比如安安八大库,xx侦系统里翻一下,被翻到就算你倒霉了。

2.技术手段如果不能完全定位,解决问题。刑侦手段也会出现,别忘记黑阔也是个人,而且很可能是个社会经验和情商一般的普通老百姓。黑客圈里也有不同的小圈子,职业化的圈子都会有人盯着,除非案件是一个很低调,全部独自完成,非常职业的黑屌丝动的手(现在的很多大事件都是团队才能搞好),否则圈子里刮一遍,线索就来了。当然,信息化破案也包括在内,以前的数据是30%的信息化破案率,目前在多个x盾工程下,信息化破案的成本+能力的性价比会越来越高。此外,还有很多平台把江湖志士们集中在一起,梁山好汉想要有个freedom的世界?宋江哥哥都告诉你们不现实了,用行动来证明当个公务员才靠谱。xxx帽子们,你们还提交漏洞和安全事件吗:)

3.别忘了,这个世界还有以正义为己任的无名路人。我见过这样的人,所以我知道会有很多我所不知的这样的人,中国太大了,在技术领域里,特别是奇技淫巧横飞的黑阔圈,很多名气大的公知们天天讲啊讲的东西,或许只是某些人手里的玩具,从古至今,大隐隐于市,他们或许只是你身边,一个卖烤羊肉串的新疆小伙子。

关于丝绸之路第一代的分析
CCFC2017 暗网威胁情报初探 山东警院 张璇 网安杂谈

#渗透测试 #Red Team
Python windows ntpath.py 编码问题
Android Internals