Xakep #305. Многошаговые SQL-инъекции
В феврале 2016 года федеральный судья Роберт Джей Брайан (Robert J. Bryan) приказал ФБР раскрыть информацию об эксплоите, при помощи которого Бюро сумело отследить более тысячи посетителей сайта PlayPen. До недавнего времени этот ресурс считался крупнейшим в даркнете сайтом, распространяющим детское порно. В понедельник, 28 марта 2016 года, представители ФБР обратились к судье с просьбой изменить решение, так как Бюро не хочет обнародовать инструмент для взлома Tor.
A judge has ordered the FBI to reveal the complete code for its Tor exploit to defense lawyers in a child porn case. pic.twitter.com/AZ8QYgGwKe
— Brad Heath (@bradheath) February 17, 2016
Напомню, что серверы сайта PlayPen перешли в руки правоохранительных органов еще в начале 2015 года. Однако вместо того чтобы остановить деятельность сайта незамедлительно, ФБР на протяжении двух недель продолжало поддерживать (PDF) работу ресурса.
Правоохранители внесли некоторые изменения в ПО на стороне сервера, так что анонимные пользователи Tor потеряли свое инкогнито. ФБР деанонимизировало множество педофилов, выявив их реальные адреса IP и MAC. Известно, что софт правоохранителей также помечал уникальным ID каждую зараженную машину, чтобы после смены IP-адреса подозреваемого всё равно можно было отследить.
Получив информацию о подозреваемых, представители ФБР запросили у интернет-провайдеров дополнительные данные о пользователях. За этим последовала череда задержаний, допросов и арестов.
Февральский приказ судьи, вынуждающий ФБР раскрыть код эксплоита, должен был позволить защите обвиняемых лучше разобраться в ситуации. Дело в том, что у адвокатов возникли серьезные сомнения в законности действий правоохранительных органов. ФБР фактически признает, что взломало компьютеры 1000 человек, но отказывается объяснять, каким образом это было проделано. Сложно понять, действовало Бюро в рамках выданного ордера, или всё же превысило свои полномочия.
Но представители ФБР просят судью отказаться от принятого решения. По их словам, публикация эксплоита никак не поможет ни стороне защиты в ходе текущего разбирательства, ни кому-либо в будущем.
ФБР рассказывает о своих методах очень пространно. Весь комплекс проведенных мероприятий фигурирует в деле как «методика проведения следственных действий в компьютерных сетях» (Network Investigative Technique, NIT). Хотя представители Бюро уже показали стороне защиты какие-то отрывки кода, по словам адвокатов, из них совершенно неясно, каким образом NIT помечал и отслеживал каждого пользователя, и не могло ли при этом возникнуть каких-либо ошибок.
На данный момент известно, что NIT состоит из девяти разных частей. Три из них отвечают за установку соединения между подозреваемым и сервером, четвертый способен передавать идентифицирующую информацию, а что делают оставшиеся четыре не совсем ясно. При этом NIT определенно не является «серебряной пулей». Так, ресурс PlayPen насчитывал порядка 215 000 пользователей, и идентифицировать удалось лишь малую их часть.
Фото: West Midlands Police