Co to jest TOR? Wolna amerykanka w sieci, czyli siedlisko hackerów i pedofilów

54 instytucje, urzędy ale także redakcje z Warszawy w ubiegłym tygodniu z rana dostały podobne wiadomości.

Nadawca podpisywał się: novoruskiller44.

Podobne anonimy trafiły też do urzędów w Iławie, Inowrocławiu i Krakowie. Część ewakuowano, część tylko sprawdzono. Ładunków nie odnaleziono, ale praca w kilkudziesięciu miejscach została przerwana, a więc i tak straty były spore. Znaleźć winnego nie będzie wcale łatwo.

To już kolejny w ostatnich miesiącach taki niby żart, którego twórcy kryją się w odmętach sieci TOR, której naczelną zasadą i głównym celem istnienia jest zapewnienie użytkownikom anonimowości i to naprawdę się udaje.

Wszystko, co nielegalne, niemoralne i niebezpieczne można znaleźć i kupić właśnie tam. Narkotyki, zdjęcia i nagrania pedofilskie, fanty z kradzieży, podrabiane dokumenty, ale także rady jak dokonać przestępstwa, wszystko niemal stuprocentowo anonimowe i praktycznie niewykrywalne.

- TOR działa równolegle do znanego nam internetu z tą różnicą, że korzystanie z niego wymaga użycia specjalnego programu, który stosuje specjalne “cebulowe trasowanie” - tłumaczy nam Przemysław Krejza szef Instytutu Informatyki Śledczej.

To “cebulowe trasowanie” to wielokrotne szyfrowanie wiadomości przesyłanie jej przez ciąg routerow, które nakładają się na siebie jak warstwy cebuli. Stąd właśnie pochodzi nazwa TOR - czyli The Onion Router. Początkowo ta metoda miała służyć Marynarce Wojennej Stanów Zjednoczonych i przez nią była finansowana. Po kilku latach rozwój i finansowanie TOR przejęła jednak Tor Project, a sieć ta stała się rajem dla wszelakich przestępców.

A więc do tej pory oficjalnie udało się tylko raz te zabezpieczenia złamać. W sierpniu ubiegłego roku irlandzka policja, realizując wystawiony przez władze USA nakaz, a resztowała 28-letniego Erika Eoina Marquesa, oskarżonego o to, że był największym na świecie pomocnikiem w dystrybucji dziecięcej pornografii.

Zbiegło się w czasie ze zniknięciem z TORa dziesiątek ukrytych serwisów, w tym systemu anonimowej poczty Tormail i systemu bitcoinowych płatności Onionbank. Śledczy z FBI wykorzystali pewien błąd w podstawowym oprogramowaniu (exploit 0-day w Firefoksie 17) aby namierzyć osoby odwiedzające hostowane na Freedom Hosting witryny. Umieszczono w nich złośliwy kod który łączył się z zewnętrznym serwerem i przesłał na niego unikatowego identyfikator konkretnych połączeń.

- Nie było to złamanie samego zabezpieczenia TOR tylko wykorzystanie błędu w innym oprogramowaniu i tak właśnie udaje się czasem dotrzeć do przestępców korzystających z tej sieci - tłumaczy Krejza.

- Ktoś nie wyloguje się równocześnie korzystając z normalnego internetu, nie zmieni IP, sprzętu i jednak zostawia po sobie jakiś ślad, po którym jak po końcówce sznurka można go wyłapać - opowiada nam jeden z policjantów zajmujących się cyberprzestepczością. - Ale gdy pojawia się TOR w śledztwie to wiadomo, że szanse na złapanie winnych drastycznie spadają - dodaje.

Tym bardziej w środowisku ekspertów od cyberbezpieczeństwa zapanowało spora konsternacja gdy wydawało się, że do takiego załamania zabezpieczeń doszło kilka miesięcy temu i w Polsce. Po masowych (dostało je kilkaset urzędów i instytucji z całego kraju), fałszywych alarmach z 22 lipca kiedy ewakuowano kilka urzędów - tylko ze skarbówek w Warszawie ewakuowano w sumie ponad 1200 osób - już po kilku dniach policja zatrzymała podejrzanego. Wtedy do rozsyłana maili także użyto sieci TOR.

Mimo to 41-latka zatrzymano już kilka dni i później i niemal od razu postawiono mu zarzuty. Policja nie ujawnia jak ustaliła, że to właśnie ten mężczyzna stał za fałszywymi alarmami bombowymi.

Z oświadczenia funkcjonariuszy można jednak wyczytać, że podejrzany — o ile nie przyznał się do winy — to jednak potwierdził, że w przeddzień ataków kontaktował się telefonicznie z jednostkami policji na terenie całego kraju Ostrożnie można więc założyć, że policja nie przełamała zabezpieczeń Tora i nie zdeanonimizowała adresów wykorzystanych do wysłania e-maili, a jedynie powiązała z alarmami inne wydarzenia, które rozegrały się w przededniu - wyciągał wnioski specjalityczny serwis Niebezpiecznik.pl.

Jeszcze większa konsternacja zapanowała gdy kilka dni po zatrzymaniu Sławomira K. do fałszywych alarmów przyznał się niejaki “CyberBravik”, który na dowód mieścił screenshoty ze skrzynek, które wykorzystał do wysyłki wiadomości.

Mimo to areszt Sławomira K. najpierw trzymiesięczny, a teraz jak nas poinformował rzecznik prokuratury został on przedłużony do końca stycznia ze względu na wciąż prowadzone śledztwo.

Czy równie szybko namierzony będzie “novoruskiller44” zależy głównie od tego czy popełnił jakieś zaniedbania lub błędy poza samą siecią TOR.