大家好,這篇文章比較短,來聊聊近日網路報很大的數位犯罪新聞。簡單來說是有一名23歲高材生於暗網經營一個毒品交易平台,被FBI發現並於大前天在紐約遭到逮捕。我剛剛看完了整份控告書(compliant),有點生氣,寫點東西來跟大家聊聊一些我覺得值得關注的點。
- 整份控告書一環扣著一環,從犯下的罪名講起,到 FBI 利用臥底實際觀察網站運作,成功對伺服器發動搜索,並在上面觀察到各式資料。FBI 透過伺服器內包含的錢包地址,發現到這個錢包地址與林姓嫌犯的關聯性。最後再搜索林姓嫌犯的個人資料查到了與該網站的緊密的關聯性。
- 詳細且龐大的犯罪金額跟數據新聞都有提到,這邊就略過了,在閱讀的過程當中我有想到一些問題,我這邊就簡單把我在閱讀過程中想到並試者去理解的問題列出來,看大家想的是不是類似的,以及文件內是怎麼敘述解答這些問題的:
1. 在 22.a 時,他們提及了「Server-2 appears to contain the “back-end” data used to operate Marketplace-1.」意思是他們調查了這個伺服器,他們是如何調查伺服器的?後續的資料說明資料只統計到 2023年8月,為何是這個日期?
關於這點,我們可以在第30頁的 5.a 看到一些端倪,這一個段落是在敘述嫌犯與伺服器的關聯性,也就是為何會認定嫌犯就是伺服器的管理員的敘述,大意是,在FBI 將整個伺服器停下來的過程中,也同時看到了嫌犯在搜尋伺服器停擺的原因。裡面提及了一段話「the FBI imaged a server, which hosted Marketplace-1.」這邊我們可以看到一個關鍵字 imaged,這是一個在數位鑑識中很常用的詞彙,大致的意思是將整個伺服器的硬碟備份儲存起來。而後 FBI 就靠著讀取裡面的資料看有沒有什麼問題。這跟我們一般在使用伺服器的流程有些不同,並不是登入伺服器在上面慢慢搜尋資料,而是整個硬碟複製下來仔細偵查,避免干預到伺服器。至於為何是 2023年8月,這點我沒有看到內容有做敘述,但我想是他們會定期的去做這樣的伺服器備份,但為了不讓嫌犯發現的緣故並不會太常執行這種行動。
2. FBI 是如何找到是這個人經營伺服器的?
我想這個是大家都會想知道的點,也就是為何 FBI 找到他「這個人」的頭上,這點在 25.a.ii 有說明。25.a.ii 中表示他在購買網域的時候,使用了他個人的虛擬貨幣錢包。使用個人的帳戶這點是很難去跟犯罪連結的只要他沒有跟那個暗網網址有連結,但在一小部份的金額上,他因為不明原因使用了跟暗網網站有高度關聯性的電子錢包,可以見下面敘述:「The total price of Domain-1 was approximately $20,000—the vast majority of which was paid for from Crypto Account-1. But Administrator Wallet-1 also transferred approximately .00501 BTC ($22.09) to Namecheap to complete the purchase of Domain-1.」,也就是他在購買約 20,000 美元的網域時,裡面的 22.09 美元中利用了非法犯罪所得的錢包,正是因為了這點被抓到。
但,他犯了這個錯也是在 FBI 的足夠的調查基礎下才成立的,他的這個非法犯罪所得的錢包,並不是他在交易網站收錢的錢包,而是收錢的錢包又再轉了一層出來到這個「管理員」的錢包,也就是說,如果沒有搜索伺服器的話,很難得知這個錢包(帳戶)的用途,進而發現與本人的關聯性。
3. FBI 是如何確認他有足夠的技術能力支持的?
第三點是我個人覺得很有趣的一點,我們總會有一些想法是像是「怎麼可能有人真的一個人經營這種網站」或是「背後一定有人支持」這種念頭,而 FBI 都在文件中告訴我們,他們透過了觀察 github、Email 等等的資料,確定主要是他一個人經營並完成的,包含網站使用的框架都可以在 github 看到相關的練習專案進行。聽起來很不可思議,但卻是真真實實的事情。(但,文件中有提到一些些關於其他人有幫小忙的講法,但調查人員並未著墨太多,不知道是不重要還是故意粉飾過去,不過看起來倒不是有真的提供很有力的支援。)
4. FBI 是如何確認就是他本人的?
最後也會有「這個人是不是人頭」的想法,而文件最後的段落正是透過了調查個人 email 帳戶的搜尋紀錄與實際入境美國的過程確定了這個帳戶就是該本人在使用,也為這份指控書蓋下了關鍵的一印。
從這個事件主要可以知道 FBI 是怎麼進行調查的,雖然關於數位鑑識的部分沒有著墨很多,但可以從中學習到一個犯罪是如何形成與調查人員又可以用甚麼方法去調查事情。在看文件的過程,也可以看到這個人(嫌犯)的經歷,他在學時期就有強大的程式設計經驗與技術,光看 twitter 跟 github 會覺得是一個資訊安全與區塊鍊技術很厲害的專家,完全看不出來背後經營著如此惡名昭彰的生意。
最後的最後,我還是要必須說,如果犯罪指控屬實(無罪推定)的話,這樣的犯罪真的很不可取,有這麼強大的能力卻拿來進行這種完全不人道的犯罪,進一步去查資料發現還在邦交國服替代役,教授資訊安全的課程。利用自己的技術殘害社會,另一方面卻道貌岸然地享受資源,看了實在是很生氣又很難過。
備註一下,這份是控告書,也就是 FBI 跟法官說為什麼我覺得這個人應該被起訴的文件,還有另外一份起訴書(indictment)我這邊暫未細讀,有機會再更新。 —
感謝閱讀,歡迎留言討論,本文同步發表於FB粉絲專頁 PP學習筆記
