stas: (Default)
stas ([personal profile] stas) wrote2014-10-09 12:54 pm
  • Add Memory
  • Share This Entry
Entry tags:

Как же поймали пирата Робертса?

История с пиратом Россом Ульбрихтом, между тем, становится интереснее (для тех, кто не знает, кто это, дальше можно не читать, будет ещё непонятнее). Он, по-видимому, нашёл себе таки хороших адвокатов, и эти адвокаты потребовали от ФБР доказать изложенную прежде версию того, как его поймали, и ФБРовцам пришлось предьявить документы. И тут оказалось следующее:

0. Как я и говорил, всё содержимое серверов, конфиги, логи и т.д. на месте - в принципе, ничего удивительного, так и должно быть.
1. У ФБР нет собственных записей того, как происходил процесс ловли - то ли они их не вели почему-то, то ли играют в IRS. Oднако логи-то сервера есть! И теперь единственными материальными доказательствами происшедшего будут именно эти логи.
2. Конфигурация сервера сделана таким образом, что доступ, описанный в версии ФБР, на этот сервер невозможен - сервер откажется разговаривать со всеми адресами, кроме одного специального адреса фронт-енда, про который ФБР не упоминало ничего.
3. Но тут можно спорить - вдруг этот конфиг был тогда не активен, или есть какой-то способ его обойти? И тут оказывается, что в логах вообще нет обращений к капче, которую якобы видели агенты ФБР - а есть прямой доступ к странице, на которой вообще phpmyadmin. Т.е. ФБРовцы должны были каким-то другим способом узнать IP, и только потом они зашли туда и посмотрели - что же там.

Т.е. версия с капчей, похоже, полностью разваливается. И теперь у ФБР какие варианты? Они могут копать глубже - заявить, что всё всё равно так и было, логи неправильные, и т.д. - но это довольно опасно, т.к. любой компетентный независимый эксперт разнесёт это дело вдребезги. Могут обьявить, что настоящий метод - это Большой Секрет Государственной Безопасности и рисковать тем, что судья может и решить, что этот метод некошерен, и проделать тем самым здоровенную брешь в доказательной базе дела. Тут многое от судьи зависит, Могут сделать Ульбрихту предложение, от которого нельзя отказаться - типа, мы скидываем срок до ..., а ты за это со всем соглашаешься и мы не тянем наши методы в суд и не выслушиваем вопросов, ответы на которые мы не хотим давать.
В любом случае, дело, похоже, обещает быть интересным.
Flat | Top-Level Comments Only

[identity profile] 1master.livejournal.com 2014-10-09 09:03 pm (UTC)(link)
Но я так понимаю, что предложение имеет смысл, когда с другой стороны крайне невнятные шансы на выигрыш, а похоже, что внезапно может оказаться, что шансы то не нулевые.
stas: (Default)

[personal profile] stas 2014-10-10 04:22 am (UTC)(link)
Ну, там ещё много у них материала, от всего он вряд-ли отвертится. Но в данном конкретном месте, похоже, дело гораздо интереснее, чем ФБР пытается представить.

[identity profile] stan podolski (from livejournal.com) 2014-10-09 09:32 pm (UTC)(link)
--- Translation: Those rules mean that the Silk Road server would deny any request from the Internet that wasn’t coming from the front-end server, and that includes the CAPTCHA.

Ваще то приведенный конфиг означает совсем не это, а то, что сервер отвечает на запрос только с одного адреса, что же касается того, откуда сервер сам запрашивает - этого в конфиге как раз нет. И капча вполне может быть запрошена с любого айпи, конфиг этого не запрещает

Конечно, это означает, что на бек-енд сервер нельзя было зайти, как fbi описало, это да. Тем не менее, айпи бек-енда теоретически так найти можно

Если в логах был прямой доступ к phpmyadmin, то я простите хуею, дорогая редакция. Это ж надо додуматься - закрыть индекс и разрешить phpmyadmin
Ну и собственно в конфиге вот эта секция location ~* \.php$
разрешает прямой доступ к php, а запрещен только индекс
Edited 2014-10-09 21:40 (UTC)
stas: (Default)

[personal profile] stas 2014-10-09 11:13 pm (UTC)(link)
Да, но в логах-то доступ именно к phpmyadmin, а не к капче, как говорили из FBI. Откуда же они узнали IP этого phpmyadmin?
Edited 2014-10-09 23:13 (UTC)

[identity profile] stan podolski (from livejournal.com) 2014-10-10 12:13 am (UTC)(link)
если именно бек енд сервер запрашивал капчу, то phpmyadmin стоял скорее всего именно на нем
И проверить линк ip/phpmydmin должен даже самый тупой хакер

А айпи у них был с трейса капчи. То есть я не вижу особенной глупости в документах предоставленных fbi. Единственное что хотелось бы узнать - они мониторят все капчи в мире? ух! Вот в этом месте мне кажется вранье

stas: (Default)

[personal profile] stas 2014-10-10 04:20 am (UTC)(link)
Нет, вы не поняли. Проблема была в чём? Сайт работает через onion, т.е. к ip сервера напрямую никто не обращается, только через промежуточные хосты. И ФБР говорит, что там был прокол - якобы картинка капчи показывалась напрямую с сервера, не через onion. Но это не вытанцовывается - а) напрямую с сервера, выходит, может качать только другой сервер, фронт-енд, о котором у ФБР ничего нет, и в логах сервера никаких обращений к какой-либо капче, которую ФБР якобы с сервера скачало, нет, а есть доступ к phpmyadmin. Возникает вопрос - если они видели капчу, выданную с этого сервера, куда она делась из логов? Если нет, откуда они взяли IP этого сервера?
Edited 2014-10-10 04:21 (UTC)

[identity profile] ak-47.livejournal.com 2014-10-10 07:22 am (UTC)(link)
Ответят как заведено: What difference does it make?!

[identity profile] varera.livejournal.com 2014-10-10 01:21 pm (UTC)(link)
незаконный сбор информации, вот какой. fruit of the poisonous tree

[identity profile] varera.livejournal.com 2014-10-10 01:24 pm (UTC)(link)
если суд примет логи как доказательство, то уже делать нечего. вопрос остается, конечно.

если был ордер на арест сервера, то вилы. как фбр нашло сервер, уже неважно
stas: (Default)

[personal profile] stas 2014-10-10 04:57 pm (UTC)(link)
Почему неважно? Если это был illegal search, то всё, что найдено на сервере, можно оспаривать. Ордер будет уже последствием нахождения сервера, если нашли его с помощью illegal search, то это тоже можно оспаривать. В общем, адвокатам есть где повеселиться.

[identity profile] stan podolski (from livejournal.com) 2014-10-10 06:11 pm (UTC)(link)
я думаю, я как раз понял
Ну давайте распишем
1. Сайт работал а) через франт енд, а франт енд через тор
не возражаю
2. Качать напрямую с сервера было нельзя
Да, с оговоркой. В конфиге прописан запрет прямого обращения к индексу (и все, что с параметрами за индексом).
И прописано разрешение обращаться напрямую ко всем php файлам, в том числе phpmyadmin
3. фбр говорит, что картинка капчи была показана с другого сайта, куда обращался этот бэк енд сервер
Это именно как капча и работает - сервер не держит картинку у себя, а берет ее с другого сайта, при этом сайт капчи сам на этот бэк енд сервер не заходит, потому что ему не нужно. В конфиге запрета серверу обращаться к другому сайту нет. Прокси в конфиге нет. Подобный запрет можно еще сделать в файрволе, но нам его не показали.
4. если фбр сумело отловить обращение за капчей этого сервера, что вполне возможно технически, если сидеть в середине и слушать, то у них был айпи бэк енд сервера
5. да, никакой страницы с капчей они увидеть бы не могли, потому что индекс не разрешен, а там был вордпресс и соотвественно все управляется параметрами, то есть страниц с адресом .html просто не существует
6. но доступ в phpmyadmin был разрешен, phpmyadmin сидит на том же сервере и имеет тот же айпи. И даже самый тупой фбровский хакер догадается проверить http://ip/phpmyamin

ну то есть врут насчет показа капчи, хотя я бы еще посмотрел на логи, потому что там все идиоты, похоже, фбр не может ничего объяснить, адвокаты несут зеленую чушь. А страница с капчей могла сидеть не только за индексом, но и иметь прямой доступ по php
Но вот технически поймать его на капче было можно

И смотрю я на этот конфиг и сердце разрывается - ну что ж за идиоты пираты нынче, у которых есть прямой доступ к phpmyadmin из wild wild web. Удивительно, что его не хакнули до того
stas: (Default)

[personal profile] stas 2014-10-11 05:18 am (UTC)(link)
сервер не держит картинку у себя, а берет ее с другого сайта, при этом сайт капчи сам на этот бэк енд сервер не заходит, потому что ему не нужно. В конфиге запрета серверу обращаться к другому сайту нет.

Что-то я не понял, откуда вы взяли, что сервер берёт картинку с другого сайта? И каким образом этот сайт даёт ФБР информацию об IP сервера? В документе тут:
http://ia700603.us.archive.org/21/items/gov.uscourts.nysd.422824/gov.uscourts.nysd.422824.57.0.pdf
я таких описаний не вижу, на основании конкретно чего там вы это утверждаете?

что вполне возможно технически, если сидеть в середине и слушать,

Я что-то не помню никаких упоминаний о сидении в середине и слушании, не могли бы вы привести цитату?

да, никакой страницы с капчей они увидеть бы не могли

Они утверждают, что они её увидели, более того - её видел каждый, кто заходил на зайт.

И даже самый тупой фбровский хакер догадается проверить http://ip/phpmyamin

Вопрос, разумеется, в том, откуда они узнали ip.

[identity profile] stan podolski (from livejournal.com) 2014-10-12 02:10 am (UTC)(link)
да бог с ним, мне лень читать измышления с обеих сторон. Они все равно несут чушь, там где мне было не лень, а разбираться, где именно они не несут, я не стану.

Я чиста расстроился за крутого пирата. Надо ж, крут как яйца, а доступ в phpadmin не закрыл. файрвол не поставил, прокси нет. Меня б что ли взял на полставки, я в секьюритях разбираюсь как два фбр (или даже три)
Flat | Top-Level Comments Only