В феврале 2016 года федеральный судья Роберт Джей Брайан (Robert J. Bryan) приказал ФБР раскрыть информацию об эксплоите, при помощи которого Бюро сумело отследить более тысячи посетителей сайта PlayPen. До недавнего времени этот ресурс считался крупнейшим в даркнете сайтом, распространяющим детское порно. В понедельник, 28 марта 2016 года, представители ФБР обратились к судье с просьбой изменить решение, так как Бюро не хочет обнародовать инструмент для взлома Tor.

Напомню, что серверы сайта PlayPen перешли в руки правоохранительных органов еще в начале 2015 года. Однако вместо того чтобы остановить деятельность сайта незамедлительно, ФБР на протяжении двух недель продолжало поддерживать (PDF) работу ресурса.

Правоохранители внесли некоторые изменения в ПО на стороне сервера, так что анонимные пользователи Tor потеряли свое инкогнито. ФБР деанонимизировало множество педофилов, выявив их реальные адреса IP и MAC. Известно, что софт правоохранителей также помечал уникальным ID каждую зараженную машину, чтобы после смены IP-адреса подозреваемого всё равно можно было отследить.

Получив информацию о подозреваемых, представители ФБР запросили у интернет-провайдеров дополнительные данные о пользователях. За этим последовала череда задержаний, допросов и арестов.

Февральский приказ судьи, вынуждающий ФБР раскрыть код эксплоита, должен был позволить защите обвиняемых лучше разобраться в ситуации. Дело в том, что у адвокатов возникли серьезные сомнения в законности действий правоохранительных органов. ФБР фактически признает, что взломало компьютеры 1000 человек, но отказывается объяснять, каким образом это было проделано. Сложно понять, действовало Бюро в рамках выданного ордера, или всё же превысило свои полномочия.

Но представители ФБР просят судью отказаться от принятого решения. По их словам, публикация эксплоита никак не поможет ни стороне защиты в ходе текущего разбирательства, ни кому-либо в будущем.

ФБР рассказывает о своих методах очень пространно. Весь комплекс проведенных мероприятий фигурирует в деле как «методика проведения следственных действий в компьютерных сетях» (Network Investigative Technique, NIT). Хотя представители Бюро уже показали стороне защиты какие-то отрывки кода, по словам адвокатов, из них совершенно неясно, каким образом NIT помечал и отслеживал каждого пользователя, и не могло ли при этом возникнуть каких-либо ошибок.

На данный момент известно, что NIT состоит из девяти разных частей. Три из них отвечают за установку соединения между подозреваемым и сервером, четвертый способен передавать идентифицирующую информацию, а что делают оставшиеся четыре не совсем ясно. При этом NIT определенно не является «серебряной пулей». Так, ресурс PlayPen насчитывал порядка 215 000 пользователей, и идентифицировать удалось лишь малую их часть.

Фото: West Midlands Police

3 комментария

  1. Int

    30.03.2016 at 12:38

    Раз компьютеры чем-то там помечались, значит им что-то передавалось, и вряд ли это были куки. Троян?

  2. schoolboy

    30.03.2016 at 13:50

    Да пометить их надёже царь немудрено. https://xakep.ru/2010/12/28/54434/

  3. ShadowHD

    31.03.2016 at 14:46

    «ФБР попросила изменить решение, так как Бюро не хочет обнародовать инструмент» — все заключенные мира «А что, так можно было?». А вообще, завладев сайтом идентификация уже действительно не самая сложная задача.

Оставить мнение

Check Also

US-CERT рекомендует отключить SMB из-за потенциальной опасности эксплоитов Shadow Brokers

Новые эксплоиты АНБ, опубликованные группировкой Shadow Brokers, обеспокоили экспертов US-…