Το Federal Bureau of Investigation (FBI) φαίνεται ότι χρησιμοποίησε μια διαρροή στο Captcha για να καταλάβει που βρίσκονται οι servers της ναρκοαγοράς Silk Road, σύμφωνα με έγγραφα και καταθέσεις μαρτύρων που κατατέθηκαν στο δικαστήριο στα τέλη της περασμένης εβδομάδας.
Ο πρώην πράκτορας του FBI, Christopher Tarbell ισχυρίστηκε ότι υπηρεσία του κατάφερε να εντοπίσει τους ανώνυμους διακομιστές του Silk Road χρησιμοποιώντας μια διαρροή IP ανακαλύφθηκε στην σελίδα σύνδεσης του site, που περιείχε το Captcha.
Να υπενθυμίσουμε ότι η ανώνυμη online ναρκοαγορά, βγήκε offline τον Οκτώβριο του περασμένου έτους, και ο διαχειριστής της, Dread Pirate Roberts, γνωστός και ως Ross William Ulbricht, συνελήφθη στο αεροδρόμιο του Σαν Φρανσίσκο.
Το Silk Road χρησιμοποιούσε το ανώνυμο δίκτυο Tor δίκτυο για να διατηρεί την αληθινή διεύθυνση IP του web server μυστική, αλλά, σύμφωνα με τη κατάθεση του Tarbell (PDF) το FBI εντόπισε τον εξυπηρετητή του Silk Road, χρησιμοποιώντας την διαρροή της σελίδας του site που περιείχε το Captcha.
“Η διαρροή της διεύθυνση IP προήρθε από το Silk Road user login interface” δήλωσε ο Tarbell. “Μετά την εξέταση των ατομικών πακέτων δεδομένων που αποστέλλονταν πίσω από την ιστοσελίδα, παρατηρήσαμε ότι τα headers από μερικά πακέτα αντανακλούσαν σε μια συγκεκριμένη διεύθυνση IP που δεν συνδέονταν με καμία από τις γνωστές IPs των κόμβων του Tor και φαινόταν να είναι η πηγή των πακέτων.”
“Όταν πληκτρολογήσαμε τη διεύθυνση IP σε ένα συνηθισμένο (μη-Tor) web browser, εμφανίστηκε ένα μέρος της login σελίδας του Silk Road (το Captcha prompt). Με βάση την εκπαίδευση και την εμπειρία μας, καταλάβαμε ότι η IP έδειχνε τη διεύθυνση IP του SR Server, και ότι η «διαρροή» από τον SR Server, ήταν επειδή ο κώδικας της σελίδας σύνδεσης δεν είχε ρυθμιστεί σωστά για λειτουργεί μέσω του Tor.”
Ο πρώην αρθρογράφος της Washington Post και ερευνητής ασφαλείας Brian Krebs, δημοσίευσε τμήματα της δήλωσης του Tarbell στην ιστοσελίδα του Krebs on Security το Σαββατοκύριακο, και ανέφερε ότι το λάθος αυτό μπορεί να χαρακτηριστεί σαν “noob mistake.”
