本月初，F(xiàn)BI等執(zhí)法部門聯(lián)手打掉了Silk Road 2.0及其他諸多黑暗站點。我的問題是，How?這正是本期一周回顧要探討的。

[[122918]]

在11月6日，F(xiàn)BI、ICE(美國移民和海關(guān)執(zhí)法局)、HSI(國土安全調(diào)查局)、Europol(歐洲警察)和Eurojust(歐洲檢察官組織)多方聯(lián)合執(zhí)法以代號“Operation Onymous”行動一舉端掉了Silk Road 2.0和400余個經(jīng)營毒品、槍支等違禁品以及雇兇殺人等業(yè)務(wù)的.onion站點，逮捕17人，包括silk road 2.0的運營者Blake Benthall。

The Fall of Darknet(黑暗網(wǎng)絡(luò)的墜落)，這是一個多么振奮人心的標題。作為一名安全從業(yè)者，筆者當(dāng)下最關(guān)心的并不是哪些站點被端或哪些人被抓，而是執(zhí)法部門如何打掉Silk Road的呢?也許同樣是各位讀者的疑問。這正是本期一周回顧要探討的。

眾所周知，在2011年2月創(chuàng)建的Silk Road是黑暗網(wǎng)絡(luò)(英文Darknet或 Deep Web)的代表，專門銷售違法的物品和服務(wù)，基于Tor網(wǎng)絡(luò)，利用加密通信意圖避開執(zhí)法部門的監(jiān)管。其實，在去年10月，F(xiàn)BI就打掉過Silk Road，逮捕了其第一任 "Dread PirateRoberts" (筆者注： Dread Pirate Roberts是Silk Road老大的綽號)，Ross William Ulbricht。不料，一個月后，Silk Road 2.0就“開張”了，“Dread Pirate Roberts”就是上文提到的Blake Benthall。

我們?nèi)粘ＴL問的Web只是互聯(lián)網(wǎng)冰山的一角

關(guān)于FBI如何連續(xù)打掉Silk Road及其2.0版本，四個字：耐人尋味。我們首先從FBI去年的“戰(zhàn)績”中體味一下。

兩度爆破Silk Road網(wǎng)站

在去年第一次打掉Silk Road后，F(xiàn)BI官方說法是源于Silk Road登錄頁面的一個錯誤配置。Silk Road登錄需要進行CAPTCHA驗證，然而這個CAPTCHA認證代碼暴露了SR服務(wù)器的IP地址，F(xiàn)BI正是通過這個IP地址trace到了服務(wù)器準確的地理位置，然后跑到托管服務(wù)商的機房里完整和物理地復(fù)制了一臺SR，通過對偽SR的監(jiān)控掌握了用戶的登錄行為，進而抓捕了若干核心人員。

沒錯，是物理地復(fù)制了一臺Tor服務(wù)器。

悲催的是，在FBI公布這個說法之后，公眾的反應(yīng)無疑是打了自己一記耳光——如果真如FBI所說，那么其所作所為本身就違反了CFAA(計算機欺詐與濫用法案)。CFAA禁止對公民IP進行溯源，F(xiàn)BI在非授權(quán)情況下通過IP溯源查詢嫌疑人隱私信息的做法本身就是違法的。

一波未平，一波又起。更有人跳出來說，F(xiàn)BI的“復(fù)制說”尼瑪純屬扯淡，太不靠譜，無非是在為自己的“下流的”黑客行為打遮掩。為什么這么說呢?依照FBI的說法，被復(fù)制的服務(wù)器的IP地址是193.107.86.49，該服務(wù)器的證書是自己發(fā)放，訪問這個服務(wù)器，經(jīng)過認證后就可以彈入到Tor網(wǎng)絡(luò)中的silkroadvb5piz3r.onion，也就是Silk Road的網(wǎng)站。然而，193.107.86.49服務(wù)器的托管位置是在冰島，主機托管商不可能讓FBI在自己的機房里任意復(fù)制服務(wù)器。FBI辯稱對該服務(wù)器復(fù)制遵循的是“Mutual Legal Assistance Treaty”(法律互助條約)。事實上美國和冰島之間根本就沒有簽署過什么“Mutual LegalAssistance Treaty”。那么FBI到底是如何進入人家冰島的機房，大搖大擺物理地復(fù)制了服務(wù)器呢?

與此同時，各種版本的謠言就像初春的柳絮一樣，漫天飛舞了。有人說，是FBI通過0day入侵了Tor server，控制了整個Silk Road系統(tǒng)。還有人說，其實很簡單，就是暴力破解進去的。還有很多七七八八的猜測，這里不再一一贅述。

轉(zhuǎn)眼到了今年11月，F(xiàn)BI宣布再次打掉了Silk Road 2.0。吃一塹長一智。這次FBI就沒有再公開自己的手段(至少當(dāng)前還沒有看到官方的解釋)。不過，從諸多方面的猜測和分析來看，此番行動執(zhí)法部門采取的攻擊要復(fù)雜的多。#p#

Doxbin、Tor等黑暗網(wǎng)絡(luò)

Doxbin，Tor開發(fā)者網(wǎng)站，與諸多非法網(wǎng)站有業(yè)務(wù)關(guān)聯(lián)與合作，同時也在本次被打擊對象列表之中。Doxbin在上周公布了他們的“離奇”發(fā)現(xiàn)。從今年8月份起，Doxbin網(wǎng)站遭到了DDoS攻擊，嚴重影響到網(wǎng)站業(yè)務(wù)的正常運營。當(dāng)然，Doxbin管理者也不是吃素的，警覺地預(yù)感到這次的DDoS不同以往，而是有意破壞Tor的加密協(xié)議。之后對服務(wù)器日志進行了核查，發(fā)現(xiàn)log file中記錄了大量異常的PHP請求，這些請求中帶有特定的字段：

單單在8月份一個月，Doxbin就接收到170萬次異常的PHP請求!Doxbin認為，攻擊者的手段是用DDoS掩護，上傳惡意代碼，入侵Tor網(wǎng)絡(luò)。

除了Doxbin的“故事”之外，還有其他很多坊間傳聞，包括利用Tor服務(wù)器的漏洞，通過SQL注入和本地文件包含攻擊入侵Tor系統(tǒng)。更有甚者認為FBI通過DDoS攻擊了Tor網(wǎng)絡(luò)中最為脆弱的中繼服務(wù)器(Relay server)，迫使Tor網(wǎng)絡(luò)部分系統(tǒng)暴露。

關(guān)于更多Silk Road 2.0如何被搗毀的猜測，感興趣的朋友可以通過點擊本文下面的參考鏈接進一步了解。

黑暗網(wǎng)絡(luò)目的各有不同，既有私搭亂建，也有官方部署。不管怎樣，站在正義和道德的角度上來說，對Silk Road 2.0及其他非法站點的打擊是一次意義重大且成果頗豐的行動，大量違法網(wǎng)站被關(guān)，“黑暗網(wǎng)絡(luò)”損失慘重。不過，現(xiàn)在就“刀槍入庫，馬放南山”還為時尚早?；氐奖疚牡臉祟}——黑暗網(wǎng)絡(luò)的墜落，其實，筆者的本意是要在這句話的后面打上一個問號的。黑暗網(wǎng)絡(luò)真的墜落了嗎?也許會有那么一天，但絕不是今天。“黑暗網(wǎng)絡(luò)”就像地里的麥子，割了一茬又長出一茬，其頑強的生命力不能不另令人感嘆。

FBI也承認本次打掉包括Silk Road 2.0在內(nèi)的幾百個站點，不過是對Darknet的宣戰(zhàn)。野火燒不盡，春風(fēng)吹又生，一個Silk Road倒下了，千千萬萬個Silk Road站了起來。從某種角度上講，Silk Road的淪陷對于其他經(jīng)營類似業(yè)務(wù)的站點未必不是一個好消息。從規(guī)模和發(fā)展趨勢上來說，諸如Agora和Hydra這樣的網(wǎng)站已經(jīng)有取代Silk Road成為新的黑暗網(wǎng)絡(luò)王者的趨勢。

再說，誰知道一個月后，會不會又冒出來一個Silk Road 3.0呢?

參考信息：

1、http://en.wikipedia.org/wiki/Silk_Road_(marketplace)

2、http://www.theguardian.com/technology/2013/oct/08/silk-road-hack-suspicion-fbi-server

3、http://www.wired.co.uk/news/archive/2013-10/09/silk-road-guide

4、http://dailygadgetry.com/fbi-shut-silk-road/4340

5、http://silkroaddrugs.org/

6、http://www.zdnet.com/beyond-silk-road-2-0-over-400-dark-web-tor-sites-seized-by-fbi-7000035604/

7、http://arstechnica.com/security/2014/11/silk-road-other-tor-darknet-sites-may-have-been-decloaked-through-ddos/

8、http://www.freebuf.com/news/50903.html

9、http://mainstreamlos.blogspot.com/