FYI.

This story is over 5 years old.

Ma come ha fatto l'FBI a trovare i server di Silk Road?

A volte le tattiche dell'FBI sono esattamente come quelle degli hacker.
9.10.14
Immagine: hasachai/Shutterstock

Nel periodo di preparazione del processo contro Ross Ulbricht, il presunto proprietario di Silk Road, rimane una questione da risolvere: come ha fatto veramente l'FBI a trovare i server che facevano funzionare il bazar più famoso del deep web?

Come rivelato in alcuni documenti e in un report di Greenberg su Wired, l'FBI ha affermato di esserci riuscita grazie a un errore di configurazione di un CAPTCHA del sito, che ha inavvertitamente rivelato l'indirizzo IP di Silk Road. Ma alcune questioni stanno mettendo in crisi questa versione, e molti esperti sostengono che l'FBI abbia probabilmente ricevuto degli aiuti.

Nei mesi passati Joshua Dratel, l'avvocato che organizza la difesa di Ulbricht, non sapeva niente del modo in cui l'FBI era riuscita a localizzare i server di Silk Road. È un punto oscuro nella storia che ha portato Dratel a sostenere che l'FBI avesse probabilmente infranto le regole sulla privacy nel corso delle indagini.

Il mese scorso l'FBI ha finalmente rivelato il modo con cui i server sono stati scoperti: piuttosto che usare degli incantesimi tecnologici o irrompere nel network di Tor, gli investigatori avrebbero trovato l'indirizzo digitando "parole varie" sul CAPTCHA del sito, che, non essendo stato regolato in modo corretto, avrebbe mandato l'indirizzo IP del sito a un normale browser del web. I dettagli sono stati descritti in una dichiarazione dell'agente dell'FBI che ha diretto le operazioni al tempo, Chirstopher Tarbell.

Immagine: FBI/Wikimedia Commons

Molti esperti hanno poi analizzato questa serie di eventi, sostenendo che la dichiarazione di Tarbell fosse troppo vaga, e hanno affermato che le tattiche dell'FBI siano state più probabilmente simili a quelle di un gruppo di hacker.

Ci sono ora altre prove che sollevano ulteriori dubbi sulla questione.

Sono stati diffusi nuovi dettagli contenuti in documenti pubblicati dal governo statunitense questa settimana, divulgati in seguito alla richiesta degli avvocati di Ulbricht, che proverebbero il fatto che l'FBI abbia ottenuto informazioni da altre fonti.

La difesa voleva sapere quale software fosse stato usato per registrare la prova del CAPTCHA che ha rivelato l'indirizzo IP di Silk Road agli investigatori. Ma, secondo quanto sostenuto dall'FBI, l'agenzia non aveva altre informazioni da comunicare.

Brian Krebs, un famoso giornalista che si occupa di sicurezza e cybercrimine, ha diffuso su Internet la risposta del governo alle richieste della difesa di Ulbricht, e ha chiesto a un esperto di verificarlo. Nicolas Weaver, dell'International Computer Science Institute e professore alla University of California a Berkeley, si è occupato in particolare del file di configurazione che sarebbe stato ottenuto dai server violati di Silk Road.

Weaver ha affermato che, considerando la struttura del sito—organizzato con un server front-end e uno back-end, dove solo i dati provenienti dal primo in grado di raggiungere il secondo—sarebbe stato impossibile per qualcuno che traffica con il CAPTCHA sulla pagina del log-in, raggiungere i server back-end.

IL PUBBLICO MINISTERO HA SOSTENUTO CHE è STATA L'FBI, E NON L'NSA, A SCOPRIRE I SERVER.

L'FBI ha inoltre fornito alla difesa i log del traffico sui server di Silk Road, ma Weaver non è apparso convinto: ha affermato che i log non mostravano che l'FBI avesse ottenuto l'indirizzo IP da un CAPTCHA mal funzionante, ma piuttosto da una pagina di configurazione PHPMyAdmin.

Quindi sorge un'altra domanda: se l'FBI non ha scoperto i server armeggiando con il CAPTCHA, come ha fatto a trovare una pagina PHPMyAdmin?

Robert Graham di Errata Security ha fornito la sua versione dei fatti sul suo blog. Ha considerato gli aspetti tecnici delle prove, e ha suggerito che i log siano indice di qualcos'altro, forse di un monitoraggio degli Internet port. Se l'FBI o un'agenzia come l'NSA stavano controllando le connessioni in entrata e in uscita dall'Islanda, dove si è scoperto poi che le pagine degli admin si trovavano, "avrebbero potuto scoprire facilmente la password e usarla poi per entrare nel server."

Per quanto riguarda la pagina PHPMyAdmin, "un modo in cui potrebbe essere stata scoperta è durante un'operazione di ricerca di server SSL in tutto il web, e poi la ricerca della string "Silkroad" nella pagina risultante," scrive Graham. Egli afferma inoltre che i log forniti nelle nuove prove non corrispondono con le pagine descritte nella dichiarazione di Tarbell.

"Come esperto in questo tipo di cose, so che l'operazione con cui Silk Road è stato rintracciato rientra tra le possibilità dell'NSA," ha affermato Graham.

Ma il pubblico ministero afferma che sia stata l'FBI, e non l'NSA a scoprire il server.

Alcuni, tra cui Graham, sostengono che avrebbe potuto essere stato messo in scena un caso di "costruzione parallela"—cioè che sia stato affermato che le prove sono state ottenute in un modo per supportare un processo, mentre in realtà il modus operandi è stato un altro.

L'anno scorso, ad esempio, Reuters ha riportato che la DEA aveva usato la "costruzione parallela" per nascondere il fatto che le proprie indagini avevano ricevuto l'aiuto dell'NSA.

Il problema di questa tattica è il suo potenziale effetto sulla mancanza di trasparenza di un processo, affidata completamente al fatto che la difesa sappia come sono state ottenute le prove contro l'imputato.

Il processo contro Ulbricht dovrebbe iniziare il mese prossimo, e siamo sicuri che i drammi legali non si fermeranno qui.