L’FBI ha scoperto il più grande favoreggiatore della pornografia infantile sul web oscuro, “rompendo” il software di navigazione anonima Tor.
di Patrick Howell O’Neill
Quando l’intraprendente cybercriminale Eric Eoin Marques si è dichiarato colpevole in un tribunale americano questa settimana, aveva lo scopo di chiudere una lotta legale internazionale di sette anni legata al suo oscuro impero web.
Marques rischia fino a 30 anni di prigione per aver diretto Freedom Hosting, che offriva servizi al di fuori della legge ed è stato infine utilizzato per ospitare traffici di droga, operazioni di riciclaggio di denaro, gruppi di hacking e milioni di immagini di abusi sui minori. Ma c’è una domanda a cui la polizia deve ancora rispondere: come sono arrivati alla sua cattura?
Gli investigatori sono riusciti in qualche modo a rompere gli strati di anonimato che Marques aveva costruito,grazie all’ individuazione di un server cruciale in Francia, che alla fine li ha portati dallo stesso Marques, arrestato in Irlanda nel 2013.
Il criminale informatico è stato il primo a essere catturato nonostante credesse che l’uso della rete di anonimato Tor per proteggere la privacy lo avrebbe mantenuto al sicuro. Il caso dimostra che gli enti governativi possono rintracciare i sospetti attraverso reti progettate per essere impenetrabili.
Marques ha dato la responsabilità della scoperta agli esperti hacker della NSA americana, ma anche l’FBI ha fatto grandi passi in avanti dal 2002. Alcuni osservatori dicono che spesso questi enti non rivelano i dettagli chiave delle loro indagini che stanno cambiando la partita della cibersicurezza su Internet.
“La domanda generale è se gli imputati criminali hanno diritto alle informazioni su come le forze dell’ordine sono riusciti a localizzarli”, si chiede Mark Rumold, avvocato della Electronic Frontier Foundation, un’organizzazione che promuove le libertà civili online.
“Si fa un cattivo servizio al nostro sistema di giustizia penale quando il governo nasconde tecniche di indagine utilizzate con imputati pubblici e criminali. Spesso la ragione per cui non si è trasparenti è legata al fatto che la tecnica usata è discutibile legalmente o potrebbe sollevare interrogativi inquietanti”.
Freedom Hosting era un’azienda di cloud computing anonima e illecita che gestiva un sistema che alcuni stimavano coprisse fino alla metà di tutti i siti web oscuri nel 2013. Il tutto si affidava alla rete di anonimato Tor, che era utilizzata per una vasta gamma di attività illegali, incluso l’hacking e il forum HackBB per attività fraudolente e le operazioni di riciclaggio di denaro. Ha anche mantenuto server per il sistemi di posta elettronica legale Tor Mail e Hidden Wiki, un sito web che forniva agli utenti una lista dei servizi nascosti disponibili tramite la rete.
Ma è stato l’hosting di siti utilizzati per foto e video di sfruttamento sessuale minorile che ha attirato l’attenzione del governo. Quando Marques fu arrestato nel 2013, l’FBI lo definì il “più grande facilitatore di pornografia infantile sul pianeta”.
Il 2 o 3 agosto 2013, alcuni utenti notarono “Javascript sconosciuto” nascosto nei siti Web in esecuzione su Freedom Hosting. Ore dopo, quando si era iniziato a diffondere il panico sul nuovo codice, i siti hanno smesso di funzionare contemporaneamente. Il codice aveva attaccato una vulnerabilità di Firefox che poteva colpire e smascherare gli utenti di Tor, anche quelli che lo utilizzavano per scopi legali come visitare Tor Mail, se non avessero potuto aggiornare il loro software abbastanza velocemente.
Mentre esercitava il controllo di Freedom Hosting, l’FBI ha quindi utilizzato malware che ha attaccato migliaia di computer. L’ACLU ha criticato l’agenzia governativa per aver indiscriminatamente usato il codice come una “bomba a mano“.
L’FBI aveva trovato il modo di rompere le protezioni di anonimato di Tor, ma i dettagli tecnici di come è successo rimangono un mistero. “Forse la più grande domanda irrisolta legata alle indagini su questo caso è su come il governo sia stato in grado di perforare il velo di anonimato di Tor e individuare l’indirizzo IP del server in Francia”, hanno scritto gli avvocati della difesa di Marques in una recente istanza.
Nell’atto di accusa originale, ci sono poche informazioni oltre ai riferimenti a una “indagine nel 2013” in cui era stato trovato un indirizzo IP chiave collegato a Freedom Hosting (indicato nel documento come “AHS” o servizio di hosting anonimo, si veda Figura 1).
Gli avvocati della difesa di Marques hanno affermato di aver ricevuto solo “vaghi dettagli” dal governo e che “questa divulgazione è stata ritardata, in parte, perché le tecniche investigative impiegate sono state, fino a poco tempo fa, riservate”.
Peter Carr, un portavoce del Dipartimento di Giustizia, ha affermato che la lettera “non è nel registro pubblico”. Gli avvocati della difesa non hanno risposto a questa contestazione.
La divulgazione dei fatti non è completa
Le agenzie governative statunitensi rilevano regolarmente le vulnerabilità del software nel corso del loro lavoro di sicurezza. A volte queste vengono divulgate ai fornitori di tecnologia, mentre altre volte il governo decide di conservare questi exploit per usarli come armi o nelle indagini. Esiste un sistema formale per decidere se un problema deve essere condiviso, noto come Processo delle vulnerabilità.
Ciò è inteso come inadempienza verso la divulgazione, nella convinzione che qualsiasi bug che colpisce i “cattivi” ha anche il potenziale per essere utilizzato contro gli interessi americani; un’agenzia che desidera utilizzare un bug importante in un’indagine deve ottenere l’approvazione, altrimenti il bug verrà reso pubblico. Funzionari statunitensi affermano che la stragrande maggioranza di tali vulnerabilità viene divulgata in modo da poter essere risolta, aumentando idealmente la sicurezza di Internet per tutti.
Ma se l’FBI ha usato una vulnerabilità del software per trovare i server nascosti di Freedom Hosting e non ha rivelato i dettagli, potrebbe comunque usare questa conoscenza potenzialmente contro altri su Tor. Questa considerazione ha attirato l’attenzione degli osservatori.
Tor è un software gratuito progettato per consentire a chiunque di utilizzare Internet in modo anonimo, crittografando il traffico e facendolo rimbalzare attraverso vari nodi per offuscare le connessioni agli utenti originali. Gli utenti potrebbero includere americani stanchi di essere contattati da società pubblicitarie, iraniani che tentano di eludere la censura, dissidenti cinesi che sfuggono alla sorveglianza nazionale o criminali come Marques che tentano di sfuggire alla polizia internazionale.
Gli utenti sono diversi, ma le vulnerabilità del software possono influire su tutti. In un procedimento penale del 2017, il governo degli Stati Uniti ha posto la segretezza dei suoi strumenti di hacking sopra ogni altra cosa. I pubblici ministeri hanno scelto di abbandonare tutte le accuse in un caso di sfruttamento sessuale minorile sul web oscuro piuttosto che rivelare i mezzi tecnologici che hanno usato per localizzare l’utente Tor anonimizzato.
La chiusura di Freedom Hosting è stata la prima di una serie di incredibili successi da parte delle forze dell’ordine internazionali che hanno chiuso alcuni dei siti Web criminali di più alto profilo della storia.
Due mesi dopo la cattura di Marques, il sito di commercio elettronico Silk Road venne chiuso in un’altra operazione guidata dall’FBI. Dopo centinaia di milioni di dollari di vendite, Silk Road era diventato un simbolo dell’apparente invulnerabilità dei criminali che popolano la rete oscura. Anche se è durato meno di tre anni, era chiaro che il fondatore di Silk Road, soprannominato Dread Pirate Roberts, si sentiva invincibile. Il criminale informatico aveva iniziato a concedere interviste a riviste come “Forbes” e a scrivere saggi “politici” sulla sua causa e i moventi ideologici.
Alla fine, nell’ottobre del 2013, Ross Ulbricht, un libraio di 29 anni online, è stato arrestato a San Francisco e accusato di essere il responsabile di Silk Road. E’ stato condannato all’ergastolo, una punizione che supera di gran lunga quella che potrebbe riceverea maggio Marques. Freedom Hosting e Silk Road rappresentano solo due esempi dei siti oscuri più noti che sono stati chiusi dalle forze dell’ordine nonostante l’anonimato che Tor dovrebbe fornire.
“Non possiamo avere un mondo in cui un governo è autorizzato a utilizzare una scatola nera di tecnologia grazie alla quale si mettono in piedi procedimenti penali di questa importanza”, dice Rumold. “Gli imputati devono avere la possibilità di testare, rivedere e esaminare i metodi utilizzati nelle azioni penali”.
Immagine: Caroline Matthews
(rp)
