提起荷兰,我们通常会联想到风车、郁金香、阿姆斯特丹的×××……可要说荷兰的科技互联网,恐怕大多数人要多反应一会儿。
诺基亚?
不对,那个是芬兰。
就是这样一个在科技上几乎毫无存在感的国家,其警方居然在去年7月凭一己之力将欧洲广受欢迎的暗网交易市场汉莎(Hansa)关闭。比起FBI对暗网高成本的围追堵截,荷兰警方则利用技术对汉莎进行了一场占领行动。
当我们还在为暗网中的犯罪惴惴不安时,荷兰警方此次行动或许能为以后可能出现的汉莎2.0版本提供剿杀经验。
一个奇怪的开始:从“不知怎么的”到全面接管
暗网之暗,主要在于其难以被搜索引擎发现。这些网站通过使用洋葱路由严格加密,导致具体位置很难被追踪得到,从而保证了其在互联网上严格的匿名性。这实际上就是一个完全不受任何束缚的自由访问环境,盛放着人类的恶与自由,因此才给各种黑色交易的滋长提供了肥沃的土壤。于是一切与暗网的斗争,都落在了找信息和找位置上。荷兰警方的这次行动,可以用“神意外、神队友、神操作”三个关键词总结。
神意外
行动进展之初,一家安全公司神意外般地“不知怎么的”就找到了“不知怎么的”就在网上公开的汉莎服务器,荷兰警方便迅速联系了网络主机,访问其数据中心并安装网络监控设备,并且获得了汉莎其他受洋葱路由保护的服务器。
然而就在警方吃着泡面监视服务器的时候,它却突然陷入了沉默。这就意味着汉莎市场可能已经发现了自身的暴露而转移。
神队友
经过几个月的等待,汉莎管理人员中出现了一位“神队友”,这位仁兄按捺不住寂寞,通过一个已经在汉莎服务器中暴露了的加密聊天工具给别人发送了自己的比特币钱包地址。
荷兰警方借助其定位了服务器。在德国警方逮捕了两名汉莎嫌犯并移交未加密的硬盘的帮助下,荷兰警方开始将汉莎的所有数据都迁移到完全由自己控制的一组新的服务器上,利用汉莎在欧洲最大的黑暗网络市场的地位,对用户实施越来越严厉的监视。
神操作
获取了全面控制权后,荷兰警方开始了种种神操作。他们重写了网站的代码,由此记录了每个用户的密码。汉莎网站的系统匿名保护中有一项功能,其可以使用用户的PGP密钥自动加密邮件,以便在加密之前秘密记录每封邮件的全文。在此之前,汉莎已经设置为自动从上传到该站点的产品照片中删除元数据。荷兰警方改变了这个功能,使得它首先记录了一个数据完整的图像副本,这使他们能够从卖家拍摄的许多非法商品照片中提取地理位置数据。
通过这种方式,荷兰警方已经可以初步掌握卖家的具体坐标了。但是顽皮的警方觉得这还不够,于是他们在服务器上制造了一个假故障,删除了网站上的所有照片,迫使卖家重新上传照片,以取得另一次获取元数据的机会。这个雕虫小技又获得了超过五十家经销商的地理位置。与此同时,警察用一份精心制作的Excel文件替换了汉莎向卖家提供了一份作为备份钥匙的文件,当卖家打开的时候,他们的设备将连接到一个唯一的URL,从而暴露出自己的IP地址。这一招又钓到了六十四个卖家。
全面接管了汉莎并大模大样地经营了27天大约27000笔交易之后,荷兰警方开始了收网行动,汉莎的网络页面显示了一条查获通知:
“我们追踪了那些在黑暗市场提供非法服务的人。你是其中之一吗?那你就成功地吸引了我们的注意。”
除了意外的惊喜,纯技术的胜算有多少?
然而细细梳理荷兰警方查封汉莎的过程我们就会发现,二者之间并不是一个纯技术对抗的争斗过程。警方所获知的网站服务器信息几乎都是由于汉莎自身的疏漏。也就是说,如果没有这些疏漏的入口存在,单凭技术去撬开汉莎的大门,可能还要费时更久。
但这并不意味着暗网的大门坚不可摧。一种最简单的方法就是利用漏洞进行攻击。然而漏洞攻击存在着很大的时间局限,因为它的生命周期很短,可能眨眼的功夫漏洞就已经被修复。除此之外,来自MIT的研究人员还尝试过利用Flash创建专用通道来连接服务器,结果不久就被Tor浏览器的开发人员禁用了传输通道。
这种技术充其量只能被称作三脚猫,因为基本不具备较大的实用价值,毕竟安全机构的目的是找暗网而不是找漏洞。
迄今为止发生的对暗网的最大规模入侵是在去年的二月份。一个匿名的黑客组织宣称其侵入了Freedom Hosting II的服务器,导致该网站超过六个小时的时间都处于离线状态。为了对网站进行入侵,该组织制定了一个具有21个步骤的入侵计划。计划的核心在于重置目标的密码,打开root访问权限之后,使用新的系统特权进行入侵。
得意的黑客们并不介意留下他们的攻击计划。有意思的是,除了前20步都是作为正规的技术手段的话,第21步唯一的一个单词“enjoy”则更像是一种秀肌肉式的挑衅。
然而这些黑客们放出的仅仅只有入侵步骤和声称的黑色内容,并没有直接的证据表明他们做了并且做到了这一切。这也就不得不让人重新打量其行为的真实性。
为了对深藏在暗网深处的匿名者进行追踪,还有一类人试图通过对网络流量的攻击来实现。客户端进入服务端,并不是直接就能获得接触的,而是要通过一个个前后毫无联系的节点来完成。在暗网内部进行流动的时候,尚没有办法进行定位跟踪;但当用户退出浏览器,则需要对流量进行揭秘操作,这也就成为了信息泄密的来源。
但是这类实验室研究人员的猜想毕竟是基于极个别的少数,其获得的实验数据和结论并不一定能够适用于实际操作。因此,其仍将并长期处于实验室中。
AI技术或许能尽绵薄
那么,还有没有其他的技术来方式实现对暗网的遏制呢?
有一家互联网科技公司宣布其发布了国内首款暗网取证产品。该产品被称作FAW,其声称可以对任意网站内容进行提取和固定,包括暗网。如果仅如其所宣称的那样,那么技术显然是不够的,因为仅仅做暗网取证与破解暗网地址之间应该还存在不小的距离。
而在去年,国内另一家科技公司开发出了利用人工智能强大的数据分析能力来实现对暗网监控的手段。该公司开发出的针对暗网数据的实时监测与智能分析系统,破解了自动化建立网络隧道进入暗网和获取稳定的暗网站点数据两大难题,已经可以稳定地采集到目标暗网站点的数据。
一旦将动态的暗网站点固态化,那它也就失去了其独具的本质特点,暗网也就变成了明网。然而这种稳定性是否有夸大的成分,仍然是值得验证的。
然而无论技术能够达到何种地步,暗网的交易仍将并将长期持续下去。一个汉莎倒下去,更多的汉莎进阶版本也会慢慢站起来,毕竟丰厚的利益是贪婪的人所无法阻挡的美食。
如果想一劳永逸地将其铲除,是的,这是我们的共同期待,我们的技术终有一天将会射中靶心。
原文地址:http://blog.51cto.com/naojiti/2095139