Форум Сообщества Практиков Конкурентной разведки (СПКР)

выдержка из рапорта сотрудников ФБР по работе в сети в отношении установления личности Росса Уильяма Ульбрихта..
Установление личности Росса Уильяма Ульбрихта, известного как «Dread Pirate Roberts», обвиняемого.

33. Как описано в деталях ниже, в процессе выяснения личности DPR, установлено, что данным человеком является РОСС УИЛЬЯМ УЛЬБРИХТ, обвиняемый, также известный как «Dread Pirate Roberts», «DPR», «Silk Road». Согласно профилю УЛЬБРИХТА на Linkedin.com, веб-сайте, представляющем собой профессиональную социальную сеть, в которой ее участники могут размещать информацию о своем профессиональном опыте и интересах, УЛЬБРИХТ, 29 лет, окончил Университет Техаса, получив степень бакалавра физических наук в 2006-м году. В период с 2006-го по 2010-й годы он посещал высшую школу School of Materials Science and Engineering при Университете Пенсильвании. Однако, УЛЬБРИХТ сообщает в своем профиле в LinkedIn, что после окончания данной высшей школы его «цели» в дальнейшем «изменились». УЛЬБРИХТ дает понять, что с того времени он концентрируется на «создании экономической симуляции», призванной «дать людям непосредственный опыт того, что было бы подобно жизни в мире без системного использования силы организациями и правительствами». Опираясь на свидетельства, представленные ниже, я полагаю, что этой «экономической симуляцией», которую упоминает УЛЬБРИХТ, является Silk Road.

34. В начале, я переговорил с другим агентом, занятым в данном расследовании (Агент-1), который провел масштабное исследование Интернета с целью установить как и когда веб-сайт Silk Road стал известен среди пользователей Интернета. Наиболее ранним публичным упоминанием, обнаруженным Агентом-1, является сообщение от 27.01.2011 г., размещенное на онлайн форуме ресурса www.shroomery.org, информационном веб-сайте для любителей «магических грибов» («Shroomery»). Сообщение, озаглавленное «анонимный маркет онлайн?», было создано пользователем, о котором известен только его псевдоним, «altoid». Сообщение содержало следующую информацию:
Я наткнулся на этот веб-сайт, который называется Silk Road. Это скрытый сервис Tor, он сообщает, что позволяет анонимно покупать и продавать онлайн что угодно. Я подумываю, не прикупить ли что-то там, но хотел бы знать, может здесь есть кто-то, кто слышал об этом и может дать какие-то рекомендации. Я нашел его на сайте silkroad420.wordpress.com, который, если у вас есть Tor-браузер, перенаправит вас на реальный сайт tydgccykixpbu6uz.onion. Дайте знать что вы думаете…

Это было единственное за все время сообщение пользователя «altoid», размещенное на форуме Shroomery, что свидетельствует, как подтверждает моя подготовка и опыт, о том, что единственной целью его регистрации на данном форме было размещение данного сообщения.

35. В сообщении на Shroomery «altoid» сообщил, что он «узнал» о Silk Road через «silkroad420.wordpress.com», где утверждается, что пользователи Tor могут быть перенаправлены через Tor на Silk Road. Адрес «silkroad420.wordpress.com» является аккаунтом на сайте для ведения блогов, известном как Wordpress. Согласно записям, полученным от Wordpress, аккаунт «silkroad420» был зарегистрирован 23.01.2011 г. — всего лишь за четыре дня до появления сообщения «altoid» в блоге Shroomery. (Аккаунт был зарегистрирован анонимно лицом, которое судя по используемому IP адресу, подключалось к интернету с помощью Tor.)

36. После того, как появилось сообщение на Shroomery 27.01.2011, следующим упоминанием о Silk Road в Интернете, обнаруженным Агентом-1. является сообщение, созданное двумя днями позже, 29.01.2011, на «bitcointalk.org», дискуссионном онлайн форуме, посвященном Bitcoin («Bitcoin Talk»). Это сообщение также было размещено лицом, использовавшим псевдоним «altoid». Сообщение появилось в длинной ветке дискуссии, начатой другими пользователями «Bitcoin Talk» касательно возможности функционирования «магазина героина» с расчетами посредством Bitcoin. В данном сообщении «altoid» пишет:

Отличная дискуссия! Парни, у вас дофига классных идей. Кто-нибудь уже видел Silk Road? Это типа как анонимный amazon.com. Вряд ли у них есть героин, но они продают кучу всего другого интересного. Они просто используют вместе bitcoin и tor для проведения анонимных сделок. Это здесь — tydgccykixpbu6uz.onion. Если кто не знаком с Tor, те могут зайти на silkroad420.wordpress.com за инструкциями как получить доступ к сайту .onion.

Дайте знать, парни, что вы думаете об этом


37. Исходя из моей подготовки и опыта, два сообщения, созданные «altoid» на Shroomery и Bitcoin Talk, являются попытками сформировать интерес к сайту. Тот факт, что «altoid» разместил два сходных сообщения о данном сайте на двух совершенно разных дискуссионных форумах, с разницей в два дня, свидетельствует о том, что «altoid» в течение этого времени посещал различные дискуссионные форумы, пользователям которых потенциально мог бы быть интересен Silk Road, в поиске способа продвижения сайта среди участников форумов — что, исходя из моей подготовки и опыта, является стандартной маркетинговой тактикой для новых веб-сайтов. Более того, тот факт, что «altoid» заканчивает оба сообщения фразой «Дайте знать, парни, что вы думаете об этом», говорит о том, что «altoid» был заинтересован не только в том, чтобы поделиться своим опытом использования Silk Road, но также хотел получить обратную связь от других пользователей, опять же, в соответствии с его намерениями продвижения и совершенствования сайта.

38. В ходе дальнейшего изучения форума Bitcoin Talk Агент-1 обнаружил еще одно сообщение, оставленное «altoid» на форуме 11.10.2011 г., примерно через 8 месяцев после сообщения о Silk Road. В этом более позднем сообщении, размещенном в отдельной и несвязанной с основным предметом ветке, «altoid» сообщает, что он ищет «IT профи в Bitcoin сообществе» для найма в связи с «проектом одного стартапа на основе использования Bitcoin». В сообщении заинтересованным участникам предлагалось направлять их предложения по адресу «rossulbricht at gmail dot com» — свидетельствующем о том, что «altoid» использует электронный адрес «rossulbricht@gmail.com» («Gmail Аккаунт Ульбрихта»).

39. Согласно записям о пользователе, полученным посредством Google, Gmail Аккаунт Ульбрихта зарегистрирован на имя «Росс Ульбрихт». Записи свидетельствуют о том, что Ульбрихт имеет аккаунт в Google+, сервисе социальной сети, поддерживаемой Google. После изучения публично доступного профиля Ульбрихта на Google+, я выяснил, что он содержит его фотографию, которая соответствует фотографии в профиле «Росс Ульбрихт» на LinkedIn, как это упомянуто в параграфе 33.

40. Посещение страницы Ульбрихта на Google+ также дало информацию о том, что она содержит ссылки на определенный веб-сайт, который DPR регулярно цитировал в своих сообщениях на форуме. В частности:

a. Профиль Ульбрихта на Google+ содержит список его любимых YouTube видеороликов, который включает в себя видеоролики с «mises.org», сайта организации называемой «Институт Мизеса». Согласно ее сайту, «Институт Мизеса» считает себя «мировым центром Австрийской школы экономики». Веб-сайт позволяет посетителям зарегистрироваться и создать профиль. Путем исследования публично доступной архивной версии данного сайта, я обнаружил на нем профиль пользователя «Росс Ульбрихт», который содержал изображение пользователя, соответствующее изображению «Росса Ульбрихта», имеющемуся в профилях Google+ и LinkedIn.

b. Основываясь на знакомстве с сообщениями DPR на форуме Silk Road, мне известно, что подпись пользователя DPR на данном форуме содержит ссылку на веб-сайт Института Мизеса (одна из двух ссылок, включенных в его подпись). Более того, в отдельных сообщениях на форуме DPR цитирует «Австрийскую экономическую теорию» а также работы Людвига фон Мизеса и Мюррея Ротбарда — экономистов, тесто связанных с Институтом Мизеса, как такие, которые подводят философское обоснования под существование Silk Road.

41. Расследование также установило подтверждение того факта, что в начале июня 2013 г., Ульбрихт проживал в Сан-Франциско, Калифорния, около интернет-кафе, из которого было установлено соединение с сервером, используемым для администрирования Silk Road. В частности:

a. Мною были изучены записи, полученные от Google и содержащие в логах IP адреса, с которых осуществлялся вход в Gmail Аккаунт Ульбрихта с 13.01.2013 г. по 20.06.2013 г. IP логи показывают, что в течение этого времени к аккаунту регулярно осуществлялся доступ с определенного IP адреса Comcast. В соответствии с записями, полученными от Comcast, данный IP адрес в указанное время доступа был зарегистрирован по определенному адресу на ул. Хикори, Сан-Франциско, Калифорния. По данному адресу зарегистрировано другое лицо, которое, как мне известно, является другом Ульбрихта в Сан-Франциско (далее «Друг»), у которого Ульбрихт остановился когда приехал в Сан-Франциско ориентировочно в сентябре 2012 года, что подтверждается видеороликом, размещенным на YouTube, в котором сняты оба друга в обстоятельствах, подтверждающих данные соображения.

b. Основываясь на моем исследовании частной переписки DPR, восстановленной с веб-сервера Silk Road, мне известно, что DPR регулярно указывал Тихоокеанскую временную зону когда оперировал временем. Например, в одном личном сообщении, датированном 18.04.2013 г. DPR сообщает другому пользователю Silk Road: «Сейчас примерно 4 часа дня по Тихоокеанскому (стандартному) времени. Мне нужно заняться кое-какими дела». Исходя из моей подготовки и опыта, я полагаю, что эта тенденция говорит о том, что DPR физически находится в Тихоокеанской временной зоне, в которой, разумеется и располагается Сан-Франциско, Калифорния.
c. Далее, исходя из результатов криминалистической экспертизы веб-сервера Silk Road, мне известно, что сервер содержит код, который однажды был использован для ограничения административного доступа к серверу, таким образом, чтобы только лишь пользователь с конкретным IP адресом, указанным в данном коде, мог получить к нему доступ. Исходя из моей подготовки и опыта, а также понимания того, как в общих случаях конфигурируется доступ к серверу, я полагаю, что данный IP адрес принадлежит VPN серверу — по сути, безопасному шлюзу, через который DPR мог удаленно подключаться к веб-серверу Silk Road со своего компьютера. IP адрес VPN сервера принадлежит серверу, хостинг которого осуществляет определенная хостинговая компания, которая по решению суда предоставила данные касательно указанного VPN сервера. Записи показывают, что содержимое VPN сервера было уничтожено пользователем, арендующим его*. Тем не менее, записи содержали информацию об IP адресе, с которого пользователь подключался к VPN серверу в течение последнего сеанса связи с сервером 03.06.2013 г. Данный IP адрес принадлежит Comcast, записи которого, полученные по решению суда, указывают на местонахождение — интернет-кафе на Laguna Str., Сан-Франциско, Калифорния. Данное кафе расположено менее чем в 500 футах от адреса Друга на ул. Хикори, с которого Ульбрихт регулярно подключался к своему gmail аккаунту — включая, несколько раз 03.06.2013 согласно записям Google.

*Код, содержащий IP адрес VPN сервера, был «закомментирован» на веб-сервере Silk Road, это означает, что он был неактивен по состоянию на 23.07.2013 г., когда был снят образ сервера. По итогу изучения частной переписки DPR, восстановленной с веб-сервера Silk Road, мне известно, что 24.05.2013 г. пользователь Silk Road направил ему личное сообщение, предупреждающее о то, что «произошла утечка» «какого-то внешнего IP адреса» с сайта, при этом он указывает IP адрес VPN сервера. Исходя из моей подготовки и опыта, я полагаю, что в качестве реакции на это сообщение DPR деактивировал код, содержащий IP адрес VPN сервера, затем уничтожил содержимое VPN сервера, после чего сменил способ доступа к веб-серверу Silk Road, который и использовал в дальнейшем.

d. Исходя из моей подготовки и опыта, данные свидетельства подтверждают пребывание администратора Silk Road, которым является DPR, приблизительно на той же территории, где находился Ульбрихт, в то же самое время.
iv. Несколько недель спустя Ульбрихт также изменил свой регистрационный адрес электронной почты на Stack Overflow, «frosty@frosty.com» вместо Gmail Аккаунта Ульбрихта. Согласно данным centralops.net, публично доступного сервиса поиска электронных адресов, frosty@frosty.com не является валидным адресом электронной почты. Опять же, исходя из моей подготовки и опыта, мне известно, что преступники, которые стремятся скрыть свою личность, часто используют фиктивные электронные адреса в онлайновых аккаунтах. таким образом, я полагаю, что Ульбрихт изменил свой электронный адрес на Stack Overflow на фиктивный адрес с целью полностью устранить какие бы ни было связи между его настоящим электронным адресом и сообщением. свидетельствующем об использовании им скрытого сервиса Tor.
45. В соответствии с этим, я полагаю, что владельцем и оператором Silk Road является обвиняемый РОСС УИЛЬЯМ УЛЬБРИХТ, также известный как «Dread Pirate Roberts», «DPR», «Silk Road»...источник-http://security-corp.org/infosecurity/13987-rozysk-i-poimka-vladelca-silk-road-otchet-agenta-fbr.html