《从丝绸之路到安全运维与风险控制》由会员分享,可在线阅读,更多相关《从丝绸之路到安全运维与风险控制(15页珍藏版)》请在金锄头文库上搜索。
1、从丝绸之路到安全运维与风险控制从丝绸之路到安全运维与风险控制从丝绸之路到安全运维与风险控制 上集发布日期:2013-10-17 11:12:23 浏览次数:1558 文章作者:insight-labs 网友评论:0 评论最后修改:2013-10-17 11:19:59从丝绸之路到安全运维(Operational Security)与风险控制(Risk Management) 上集0x00 背景2013 年 10 月 2 日,在大家都沉浸在十一长假喜悦中的时候,遥远的美国爆发出了一个震惊 Tor 社区和比特币社区的消息,运营在Tor 上使用 hidden service 和用比特比交易的 Sil
2、kroad 丝绸之路被 FBI 查封,并且创始人 Ross William Ulbricht,也就化名为Dread Pirate Roberts 的网站管理员和主要运营者在美国被抓。在大家都认为这种运营方式无懈可击绝无被查水表可能的时候,勤劳的 FBI 却早在今年 7 月就已经获得了丝绸之路服务器的硬盘镜像,并且潜伏在服务器中长达 3 个月,从而获得了网站管理员的真实身份。和美国政府作对,面对的将是全世界最强大的社工手段和全世界最全的 0day 库,一旦被定位,很可能会被物理消灭。这样的人需要的是智慧,胆识和技术,不幸的是,似乎丝绸之路的创始人哪样都差了那么一些。根据 FBI 提交给法官的文件
3、,里面详细的描述了他们是如何找到并且如何证明 Ross 就是 DPR 这个人的。不过该文件却对如何进入silkroad 的服务器一笔带过,这让 Tor 社区感到非常不安,大家都在怀疑 FBI 是通过和 NSA 的合作关系,利用了传说中的国家级大数据和隐藏在 Tor 中的后门找到了服务器的真实 IP,通过 IP 又通过一纸搜查令让服务器提供商复制了一份服务器硬盘内容。不过即使 FBI 没能进入丝绸之路的服务器,要找到创始人看来也没有想象中的那么困难。FBI 的文件显示,在丝绸之路创立的初期,创始人犯了很多 2B 错误。0x01 过程2011 年 1 月 27 日,用 altoid 用户名在 sh
4、oomery.注册并发帖宣传丝绸之路(链接:http:/www.shroomery.org/forums/showflat.php/Number/13860995)2011 年 1 月 29 日,用 altoid 用户名在 bitcointalk.org 注册并发帖宣传,原帖已被删,但是被人引用了(链接:https:/bitcointalk.org/index.php?topic=175.msg42670#msg42670)2011 年 10 月 11 日,在 bitcointalk.org 用 altoid 用户名发帖招程序员,并且帖子里附上了用自己真实姓名注册的 gmail 地址 (连接
5、:https:/bitcointalk.org/index.php?topic=47811.0)在 bitcointalk.org 用 altoid 用户名发帖招程序员,并且帖子里附上了用自己真实姓名注册的 gmail 地址 2012 年 3 月 5 日,在 stackoverlow 以真实姓名和邮箱注册了帐号“Ross Ulbricht” - 2013 年 3 月 13 日,被丝绸之路用户 FriendlyChemist 勒索,他后来通过丝路的私信(非加密,服务器被端之后被 FBI 看光光)找杀手试图将其做掉,据说杀手和勒索的都是一个人似乎被摆了一道2013 年 3 月 16 号,在 sta
6、ckoverflow 发帖询问如何用 PHP 的 curl连接 tor 的 hidden service(链接 http:/ ,发完贴后一分钟,他把用户名改成了 frosty2013 年 4 月某日,他把 stackoverflow 的注册 email 改成了frostyfrosty.org2013 年 6 月某日,他向之前找的杀手买了几个伪造的身份证,用的是他自己驾照上的照片,假名字假地址。收件人是他的真名并且用的真实地址。2013 年 7 月 10 号,从加拿大寄到美国的假证件被海关在一次“随机检查”中拦截。2013 年 7 月 23 号,丝绸之路的服务器硬盘被 FBI 镜像。FBI 发现
7、服务器的 SSH key 里面的用户名是 frostyfrosty,根据服务器登录日志显示,最近几次登录来自一家 VPN 服务商的 IP,根据服务商供出的源 IP,位置在 Ross William Ulbricht 住处旁边 500 米的一个网吧。并且根据 Google 提供给 FBI 的 gmail 帐户信息显示 这个帐户最后几次登录 IP 也和 VPN 的 IP相同。2013 年 7 月 26 号,美国国土安全部工作人员上门查水表,询问假证的事情,他说是被人陷害的,因为 “任何人都能去 Tor 里那个叫丝绸之路的网站买假证寄给别人来陷害他“2013 年 10 月 2 号,Ross 在一家社
8、区图书馆,刚刚解锁完笔记本,就被周围 20 多个便衣 FBI 按到墙上逮捕。笔记本里他登录的用户名是 frosty。2B 行为:1,用真名注册邮箱。用真名注册邮箱可以,一般都用来以真实身份对外公开交流。但是用这个邮箱注册帐号宣传自己的地下邪恶网站就太 2B 了。2,管理一个只能通过 tor 访问的网站,居然只用了一层 VPN。3,在丝绸之路服务器中用了自己正在用或者曾经使用过的用户名等信息,比如 frosty。4,买假证没关系,假证上用自己的真实照片并且寄到自己家的地址呵呵5,第一次被查水表的时候不打自招6,有价值几千万美元的比特币,居然肉身还待在美国。如何隐藏呢本文但从技术角度讨论下如何不被
9、查水表的方式。在 Tor 中用 hidden service 架设的服务,应该只用 Tor 管理。SSH登录也应该采用双因素或者三因素认证,比如私钥+密码+动态口令。SSH 通过 proxychains 用 Tor 的 socks5 代理登录服务器。宣传贴和问题应该用随机生成的用户名,通过 Tor 发帖。服务器里不要保存任何和自己任何信息有关的内容。买假证不要用和自己真实证件上一样的照片,不要在收件人上用真名,收件地址是自己家赚了差不多的钱之后就应该移民到俄罗斯做到这个程度,假设 Tor 安全可信的话,即使服务器被拿下,也是无法从服务器里的内容追踪到服务器管理员的。除非从服务器购买信息着手,比
10、如注册用户名和 IP,信用卡等等。所以最好找可以用比特币等匿名支付手段购买的服务器,或者用黑卡,购买的时候也要通过 Tor。本章总结安全最重要的因素是人,凡事都要考虑到人会犯的错误,大意,懒惰等等。可以说,在目前的信息安全体系中,人类才是最大的弱点,机器是冷酷可靠的。网络黑市“丝绸之路”的覆灭2013-11-05 13:48 佚名 光芒网 字号:T | T一键收藏,随时查看,分享好友!执法官员关闭了“丝绸之路” ,这是一个精密复杂的,专门提供各种非法物品和服务的网络黑市,从海洛因到杀手。丝绸之路的网站隐藏在网络空间的地下世界中,也称为“黑暗网络” 。AD:2014WOT 全球软件技术峰会北京站
11、 课程视频发布执法官员关闭了“丝绸之路” ,这是一个精密复杂的,专门提供各种非法物品和服务的网络黑市,从海洛因到杀手。丝绸之路的网站隐藏在网络空间的地下世界中,也称为“黑暗网络” 。背景潜伏在地下网络世界的“黑暗网络”中的犯罪分子认为,执法部门无法破解他们匿名的毒品、枪支和色情等非法交易。但近日的一系列抓捕,包括破获黑市网站“丝绸之路” ,表明政府已经渗透到互联网的另一面。计算机专家猜测政府使用“以彼之道,还施彼身”的手法击败了这些网络空间中的“海盗” ,即黑客技术。“丝绸之路”网站,它有一个以客为尊的电子商店,该店铺展示一块块的可卡因,就像亚马逊展示书籍一样。它是地下网络世界最大黑市,销售额
12、高达 12 亿美元和近一百万名客户。除了非法毒品之外,该网站承办假护照,假驾照等文件,以及提供非法服务,如雇凶、造假和电脑黑客。纽约的联邦调查局网络犯罪科探员克里斯托弗塔贝尔称“丝绸之路”是“迄今为止互联网上最先进、涉及面最广泛的犯罪市场。 ”“丝绸之路”使用的地下计算机网络被称为“洋葱路由器”或“Tor” ,通过至少三个独立的计算机服务器来掩盖其用户计算机信息传输。客户用来进行商业交易的虚拟货币称为比特币。该网站一再向用户保证他们的非法交易是受到多重保护的。但联邦调查局查封的“丝绸之路”的服务器,帮助联邦调查人员深入网站的内部结构,把供应商和客户的私人账户信息曝光给执法部门进行详细审查。法庭
13、案卷显示,联邦调查局探员使用传统调查技巧结合高科技网络侦查手段侦破“丝绸之路” 。该网站的运营者犯了一个重大错误,允许探员定位网站并与之连接。联邦调查局、禁毒署、国税局和海关人员定位丝绸之路隐藏在世界各地的六个被认为是断网的电脑服务器上,包括拉脱维亚和罗马尼亚,然后复制其内容,并监视买家和卖家完成他们的非法交易。然后执法部门关闭了网站并查封其资产,包括 26000 比特币(价值约400 万美元),并于 10 月 1 号在旧金山逮捕了网站运营者罗斯?乌布利希。案卷显示,据美国联邦调查局估算, “丝绸之路”的运营者从该网站用户身上赚取了 8000 万美元的佣金。乌布利希在纽约被联邦法院指控洗钱、毒
14、品交易和阴谋谋杀证人。在巴尔的摩联邦法院提起的第二项控诉是进行毒品交易和企图谋杀一名网站前雇员。乌布利希将被引渡到纽约去面对这些指控。法庭指定的律师,联邦辩护人助理布兰登勒布朗说,他的当事人否认在 10 月 4 日庭审的指控。此次地下网络世界的调查行动清扫了在美国、英国、澳洲和瑞典涉嫌与“丝绸之路”有关系的毒贩和买家。“这些抓捕行动给那些犯罪分子发送了一个明确的信息:隐藏在互联网下的犯罪并不能真正隐藏,匿名的活动并没真正匿名。我们知道你在哪里,你在做什么,你跑不掉的。 ”英国国家犯罪署主管基思?布里斯托在 10 月 8 日 4 名男子因涉嫌毒品犯罪被捕后表示, “罪犯无法做到不留痕迹” 。联邦
15、调查局没有说是如何发现“丝绸之路”的服务器或如何入侵的。联邦调查局的发言人彼得唐纳德表示,联邦调查局的网络犯罪科的人员并没有用上。“这是价值 64,000 美元的问题。他们没有解释是如何做的。 ”在加州伯克利市的国际计算机研究中心的研究员尼古拉斯韦弗解释说,他的专业是网络安全和地下经济。韦弗通过阅读法庭案卷,猜测联邦特工是利用丝绸之路的网站漏洞入侵了服务器,然后才查到唯一的识别地址。联邦调查人员依此可以定位服务器,并要求当地的执法机构查封这些服务器。恐怖海盗罗伯茨当局声称乌布利希于 2011 年 1 月 27 日成立“丝绸之路” 。当时,乌布利希 29 岁,在奥斯汀长大,毕业于德克萨斯大学,学校记录显示他在 2006 年获得物理学学位。然后就读于宾夕法尼亚州立大学研究生院,并在 2008 09 学年赢得了著名的安妮威尔逊研究材料科学奖项。在他的 LinkedIn 的页面上,他给自己定义为企业家和投资顾问。网上的资料显示乌布利希倾向于自由主义。在 2010 年,受独立日启发,他在 Facebook 中发表了一篇文章。 “自由总是在限制宽松的情况下出现, ”他写道。他坚信奥地利人的经济理论,倡导保护私人财产,实施最小的经济调控。联邦调查人员表示,乌布利希称自己是“恐怖海盗罗伯茨” ,简称“DPR” 。这个绰号来自小说公主新娘 ,描绘了一个不择手段、心狠手辣
