​Como o FBI Encontrou os Servidores do Silk Road?

Se o FBI não encontrou o servidor por conta do CAPTCHA, como ele chegou a essa página PHPMyAdmin em seu lugar?

|
out 9 2014, 2:49pm

Crédito: hasachai/Shutterstock

No aquecimento para o julgamento de Ross Ulbricht, suposto proprietário do Silk Road, uma pergunta continua no ar: como FBI conseguiu localizar o servidor que hospedava o maior mercado da deep web?

Como revelado em documentos do processo e relatado por Andy Greenberg na Wired, o FBI afirmou que isso aconteceu por conta de uma configuração errônea no CAPTCHA do site, que inadvertidamente revelava o IP do Silk Road. Mas novas evidências colocam esta versão em xeque, e alguns especialistas sugerem que o FBI recebeu uma ajudinha extra.

Nos últimos meses, a defesa de Ulbricht, liderada por Joshua Dratel, não tinha ideia de como o FBI havia localizado os servidores. Era uma lacuna persistente na linha do tempo, uma que levou Dratel a sugerir que o FBI haveria passado por cima de leis de privacidade em sua investigação.

No mês passado, o FBI finalmente relatou como supostamente descobriu o servidor. Ao invés de se valer de tecno-mágica, ou de alguma forma terem quebrado a rede TOR, os investigadores supostamente chegaram ao IP ao digitar "coisas aleatórias" no sistema de CAPTCHA do site que, por sua vez, ao não ser instalado corretamente, envia o IP do site para um navegador comum. Isto tudo foi detalhado em uma declaração do agente do FBI que foi chefe das investigações na época, Christopher Tarbell.

Crédito: FBI/Wikimedia Commons

Uma série de especialistas criticou o argumento, tachando a declaração de Tarbell como vaga demais e sugerindo que as táticas do FBI podem muito bem serem mais próximas de hackeamento do que só esbarrar em um IP.

Agora, novas evidências lançam ainda mais dúvidas na história.

Os novos detalhes constam em documentos liberados pelo governo dos EUA esta semana, que foram publicados em resposta às exigências do advogado de Ulbricht para que o FBI fornecesse mais informações.

A defesa queria saber que software havia sido usado para registrar a evidência do vazamento de IP do Silk Road através do CAPTCHA. Mas, de acordo com a resposta do FBI, a agência não tinha informações adicionais para fornecer.

Brian Krebs, um renomado jornalista de segurança e cibercrimes, fez o upload das respostas do governo na rede e pediu a opinião de um especialista. Nicolas Weaver, do Instituto Internacional de Ciências da Computação e da Universidade da Califórnia, notou um problema em particular com um arquivo de configuração retirado dos servidores do Silk Road.

Weaver afirmou que por conta da forma como site do Silk Road havia sido criado – com servidores front-end e back-end, e apenas os dados do primeiro podendo chegar ao segundo – seria impossível para alguém fuçar o CAPTCHA na página de login para chegar ao servidor back-end.

O processo MANTEVE A VERSÃO DE QUE FOI O FBI, E NÃO A NSA, QUE ENCONTROU O SERVIDOR.

O FBI também forneceu à defesa registros de tráfego no servidor do site, mas Weaver não gostou do que viu também. Ele sugeriu que os logs não mostravam o FBI pegando um IP de um CAPTCHA defeituoso, e sim uma página de configuração PHPMyAdmin.

Surge outra questão. Se o FBI não encontrou o servidor por conta do CAPTCHA, como ele chegou a essa página PHPMyAdmin em seu lugar?

Robert Graham da Errata Security levou este questionamento adiante em seu blog. Ele fala dos detalhes técnicos em torno da evidência, e sugere que os logs levam a outra coisa, talvez o monitoramento de portas na internet. Se o FBI ou uma agência governamental auxiliar como a NSA estavam monitorando conexões indo e vindo da Islândia, onde as páginas da administração estavam sendo hospedadas, "eles poderiam ter facilmente descoberto a senha e usado-a para logar no servidor".

Quanto a esbarrar na página PHPMyAdmin, "uma forma que isso pode ter acontecido é ao terem vasculhado a internet toda em busca de servidores SSL, então procurando pelo string 'SilkRoad' na página da web resultante", escreve Graham. Ele também diz que os registros fornecidos nas novas provas não combinam com as páginas descritas no depoimento de Tarbell.

"Como especialista em tais assuntos como busca de senhas e buscas em massa na internet, sei que rastrear o site do Silk Road faz parte das capacidades da NSA", Graham escreveu.

Mas o processo manteve a versão de que foi o FBI, e não a NSA, que encontrou o servidor.

Alguns, incluindo Graham, supõem o desenrolar de um caso de "construção paralela" – quando a evidência é apresentada como obtida de certa forma para servir de base para um julgamento, quando na verdade foi obtida por outros meios.

No ano passado, por exemplo, a Reuters anunciou que o DEA usou de "construção paralela" para esconder o fato de que suas investigações haviam começado com uma dica da vigilância da NSA.

O problema com esta estratégia é seu potencial em diminuir a imparcialidade de um julgamento, que depende muito do réu saber como a evidência contra ele foi obtida.

O julgamento de Ulbricht deve começar no próximo mês, e com certeza teremos mais drama jurídico pela frente, à pleno vapor.

Tradução: Thiago "Índio" Silva