В первой части нашего по большей части финансового расследования мы расскажем, что такое анонимная сеть Tor и как она создавалась. Как DarkNet, неотъемлемой частью которого и является Tor, стал прибежищем торговцев наркотиками, детской порнографией, оружием, а вовсе не виртуальной республикой свободолюбивых хакеров, о чём любят порассуждать защитники «свободного» интернета. Об этом все наслышаны. А вот кто и зачем уже долгие годы финансирует разработку софта и распространение системы Tor, без которой невозможно существование всего этого преступного подполья, в систематизированном виде является новостью.
FLB впервые проанализировало финансовые отчёты с 2007 по 2018 года американской компании The Tor Project, Inc., которая непосредственно занимается разработкой и внедрением Tor. До нас этого не делал никто, хотя документы находятся в открытом доступе. И выяснилось, что основной спонсор Tor – не кто иной как Государственный департамент США. Никакой ошибки нет, именно United States Department of State. Менялись государственные секретари США: Кондолиза Райс (2005-2009), Хиллари Клинтон, (2009-2013), Джон Керри (2013-2017), Рекс Тиллерсон (2017- 2018) и Майкл Помпео с апреля 2018, но неизменчивой и неизбывной оставалась их любовь к пиратскому Тor. Но давайте по порядку.
В ноябре 2017 года вступил в силу пакет поправок к закону, которые запрещают использование средств для обхода блокировок в интернете. Благодаря этим поправкам «Об информации, информационных технологиях и о защите информации (в части уточнения порядка ограничения доступа к информационным ресурсам ФСБ и МВД совместно с Роскомнадзором получили полномочия блокировать сервисы (анонимайзеры типа Tor, VPN и другие средства для обхода блокировок), которые помогают пользователям получить доступ к запрещённым в России сайтам.
Кстати, готовились к этому шагу долго. О необходимости блокировки анонимайзейров директор ФСБ Александр Бортников объявил на заседании Национального антитеррористического комитета (НАК) ещё в 2012 году. Затем несколько лет велась межведомственная проработка темы в рамках мер по противодействию терроризму.
В ФСБ объясняют запретительные меры тем, что анонимайзеры, самый популярный из которых Tor, используются злоумышленниками для продажи детской порнографии, оружия, наркотических средств, поддельных кредитных карт, пиратского софта. Но, тем не менее, эти законодательные инициативы вызвали бурю негодования в стане либеральной общественности.
Против «киберцензуры» и «ограничений свободы слова» единым фронтом выступили Фонд электронных рубежей, «Артикль 19», AccessNow, «Роскомсвобода» и другие виртуальные общественные формирования. Даже представитель «Яндекса» сообщил РБК, что в компании считают неправильным ограничивать доступ к запрещённым ресурсам на уровне поисковых систем.
Уполномоченный по защите прав предпринимателей в интернете Дмитрий Мариничев назвал «безумием» принятый законопроект. Он сравнил введение поправок с запретом гражданам «вставлять в двери замки». С ним была согласна директор по стратегическим проектам Института развития интернета Ирина Левова. По её мнению, законопроект «предполагает презумпцию виновности всех пользователей». «Предполагается, что человек использует подобные средства только для противоправной деятельности. Однако зачастую люди просто хотят обеспечить себе право на тайну переписки», - объясняет этот эксперт-гуманист.
Но действительно ли так «безумны» законодательные инициативы ФСБ, как об этом говорят правозащитники?
ЧТО ТАКОЕ TOR
Tor (The Onion Router) - программное обеспечение так называемой «луковой маршрутизации». Это система, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания, и передавать данные в зашифрованном виде. С помощью Tor пользователи могут сохранять анонимность при посещении сайтов, публикации материалов, отправке сообщений и при работе с другими приложениями. Анонимизация трафика обеспечивается за счёт использования распределённой сети серверов (нод - «узлов»).
«Луковой» эта система называется потому, что каждый пакет данных, попадающий в систему, проходит через три узла, которые выбираются произвольно. Перед отправлением пакет шифруется тремя ключами, для трёх узлов. После получения пакета, первый узел расшифровывает его своим ключом и узнает адрес следующего узла для отправки пакета, следующий узел поступает таким же образом, то есть с пакета последовательно снимается шифрование, по аналогии с чисткой луковицы.
Термин «DarkNet» («Тёмная сеть») относится ко всем «подпольным» интернет-коммуникациям и технологиям. Термин получил широкое распространение благодаря публикации «The Darknet and the Future of Content Distribution» в 2002 году. К так называемой «Тёмной сети» вы не сможете получить доступ через стандартный браузер (Google Chrome, Safari и т.п.), для этого вам нужно закачасть специальное программное обеспечение для шифрования, например, браузер Tor. В системе Tor множество сайтов с окончанием «.onion». Здесь есть свои поисковики (основной, DuckDuckGo) форумы, торговые площадки, почтовые сервисы, автоматически удаляющие сообщения после прочтения и проч.
Кстати, по данным Tor Metrics число пользователей Tor из России составляет примерно 250 тысяч в день, что равняется 8-9 % от всей аудитории Tor. Для сравнения в ОАЭ более 350 тысяч пользователей.
Tor сохраняет анонимность, скрывает местоположение и засекречивает передачу данных пользователей, поэтому DarkNet, как правило, используют для преступной деятельности. Согласно различным исследованиям, более половины сайтов из DarkNet предлагают незаконные продукты или услуги. И отследить кого-то из преступников, их деятельность довольно сложно.
DarkNet имеет две крайности: он защищает людей, чью свободу якобы пытаются ограничить, но с другой стороны он создаёт огромное поле для незаконной деятельности. Поэтому Tor и другие средства анонимизации траффика регулярно пытаются запретить правоохранители разных государств.
РАССАДНИК ДЕТСКОЙ ПОРНОГРАФИИ
Tor имеет тысячи узлов сети (нодов), разбросанных по всем континентам Земли, кроме Антарктиды, а число участников сети более 2 миллионов. Разумеется, всю эту сеть нужно как-то поддерживать. Для этого изначально было создано 10 мощных серверов, обслуживаемых определённым кругом проверенных добровольцев (сейчас их наверняка гораздо больше).
Поначалу действия полиции разных стран сводились к изъятию нодов Tor, владельцы которых были заподозрены в противоправной деятельности. И впереди планеты всей были немецкие полицейские. В 2006 году спецслужбы Германии впервые осуществили захват шести компьютеров, работавших узлами сети Tor на основании того, что они были незаконно использованы для доступа к детской порнографии.
В сентябре 2011 года на Tor было совершено сразу несколько крупных атак в Нидерландах, что вызвало серьёзную обеспокоенность его разработчиков. Выяснилось, что это голландская полиция совместно с государственными компьютерными экспертами вывела из строя ряд скрытых серверов в ходе операции по борьбе с детской порнографией.
В октябре 2011 года члены хакерского коллектива Anonymous взяли на себя ответственность за ликвидацию 40 порнографических сайтов, в том числе крупнейшего в сети Tor сайта с детской порнографией Lolita City. Кроме того, данные аккаунтов 1 589 постоянных пользователей Lolita City были опубликованы в открытом доступе. Lolita City был размещён на сервере Freedom Hosting, на нём хранилось более 100 Гб детской порнографии (1,4 млн. изображений). Сайт содержал как эротические изображения, так и жёсткое порно, возраст моделей колебался от 0 до 17 лет. Ресурс обладал широким функционалом и позволял пользователям самостоятельно загружать фотографии или видео, отправлять личные сообщения, добавлять в избранное, искать по картинке, комментировать. Только в 2013 году ФБР нашла уязвимости в этом огромном хранилище детского порно, что позволило арестовать владельцев хостинга LolitaCity.
«Конечно сетью Tor пользуются и плохие парни, как другие плохие парни используют мобильные телефоны, молотки и многие другие штуки», - оправдывался Пол Сайверсон, один из создателей веб-браузера Tor.
ПРИБЕЖИЩЕ НАРКОБАРЫГ
7 ноября 2014 года ФБР и Европол в рамках совместной операции «Onymous», проводимой одновременно в 16 странах, закрыли более 400 скрытых сайтов в сети Tor, среди которых оказался и крупнейший в мире подпольный интернет-магазин наркотиков Silk Road («Шёлковый путь»). В связи с этим было арестовано 17 человек в разных странах, среди которых оказался основной разработчик Росс Ульбрихт (Dread Pirate Roberts).
Согласно официальному заявлению ФБР, федеральные агенты были внедрены в интернет-магазин Silk Road под видом модераторов с самого открытия, и поэтому ведомство смогло получить доступ к его засекреченному серверу. На самом деле Ульбрихт попался из-за своей забывчивости. Он долгое время прекрасно скрывался и шифровался в Tor, но однажды использовал тот же ник, что и на открытых форумах. Этого оказалось достаточно, чтобы его вычислить.
Silk Road открылся в сети Tor в 2011 году. По состоянию на март 2013 в магазине продавалось более 10 тысяч товаров, 70% из них запрещённые психоактивные вещества (340 видов), самыми популярными из которых являлись МДМА, ЛСД и марихуана. Ежегодные продажи через Silk Road оценивались в 15 млн долларов. В качестве денег продавцы и покупатели использовали криптовалюту, что позволяло наркоторговцам сохранять анонимность. А дурь зачастую рассылалась обычной почтой в коробках от DVD.
За два с половиной года было проведено 1,2 млн. сделок на 9,5 млн биткойнов. Комиссии сайта (8-10% с каждой сделки) составили более 600 тысяч биткойнов (порядка 80 млн долларов по курсу того периода). За это Росс Ульбрихт в мае 2015 года получил два пожизненных срока. Что не остановило его последователей.
В 2014 году в Tor была запущена новая торговая площадка AlphaBay, которая быстро стала крупнейшим подпольным рынком оружия, наркотиков и хакерского софта. Ежедневный объём сделок превышал 600 тыс. долларов, а число пользователей достигло 200 тыс. человек.
Всё шло хорошо, пока основатель наркобиржи, уроженец Канады Александр Каз в июле 2017 года не был задержан тайской полицией в ходе совместной спецоперации с американскими и канадскими спецслужбами. У него были конфискованы три дома и четыре спорткара Lamborghini общей стоимостью 11 млн долларов. Через пару дней после ареста он покончил с собой в тайской тюрьме, хотя это было похоже на инсценировку в рамках программы защиты свидетелей.
До этого осенью 2016 года полиция Швеции совместно с коллегами из других стран провела международную операцию «Титан». В результате было поймано 3000 покупателей наркотиков в сети Tor.
После того, как властям удалось уничтожить две главные мировые даркнет-площадки для продажи психоактивных веществ AlphaBay и Hansa, оборот оставшегося без конкурентов DreamMarket резко вырос. Количество единиц товаров на витринах DreamMarket достигло более 98 тысяч. Но его создателю также не повезло. 38-летний Галл Валлериус, он же OxyMonster, был задержан сотрудниками ФБР в аэропорту Атланты по дороге на конкурс бород, проходящий в Техасе. Следствие установило, что в период с мая 2015 года по август 2017 года Валлериус занимался распространением кокаина, метамфетамина и синтетических опиоидов фентанила и оксикодона. Проанализировав содержимое ноутбука задержанного, сотрудники спецслужб подтвердили, что под именем OxyMonster, которое использовалось для продажи наркотиков на DreamMarket, скрывался именно Валлериус.
Помимо ключа PGP-шифрования OxyMonster, на виртуальных счетах преступника были обнаружены 500 тысяч долларов в биткоинах. Для осуществления преступной деятельности в DreamMarket Валлериус использовал анонимный браузер Tor.
НАРКОTORГОВЛЯ ПО-РОССИЙСКИ
К нелегальному наркобизнесу через Tor давно присоединились и наши криминальные граждане. Ежемесячно они продают и покупают наркотиков на миллионы рублей, заполняя улицы городов тайниками-закладками. Сайт по продаже наркотиков Russian Аnonymous Marketplace/RAMP запустил в сентябре 2012 года человек, скрывавшийся под псевдонимом Darkside. К 2014 году сайт стал самой популярной торговой драг-площадкой в русскоязычном сегменте DarkNet. В 2016 году сетевые наркоторговцы закупили и продали товара на 24 миллиарда рублей.
По словам главы МВД Владимира Колокольцева, в том же 2016 году в 26 из 85 регионов страны было отмечено превышение среднероссийского показателя отравления наркотиками среди подростков, из них в 12 субъектах в два и более раза.
К маю 2017 года число зарегистрированных пользователей сайта RAMP достигло 295 тысяч (для сравнения - в 2014 году на сайте было только 14 тысяч активных покупателей и продавцов). Три года назад у сайта начались проблемы. Бесконечные DDoS-атаки, слухи о краже базы данных с информацией о пользователях драг-маркета и массовом уходе с него продавцов. В результате этих pr-атак конкурентов к июлю 2017 года сайт окончательно перестал работать. О чём не преминуло громко сообщить МВД, записав это себе в актив.
Пользователи предполагали, что проблемы у RAMP начались в результате конфликта с другими наркомаркетами, в особенности с «H… Onion» (по требованию Роскомнадзора называть этот преступный портал запрещено – FLB). Эта быстро растущая площадка с символичным названием была основана в 2015 году. Ключевые продукты портала – наркотические вещества (90%), но также есть разделы с поддельными документами, банковскими картами и фальшивыми деньгами, предлагаются хакерские услуги. Этакий криминальный Avito. Площадка имеет свой собственный анонимный мессенджер, а рассчитываться здесь можно даже через кредитку «Сбербанка». Всего на «H…» в 2018 году было представлено более 2000 магазинов, по данным экспертов, только за регистрацию этих торговых точек организаторы получили более $600 тысяч. А по более свежим данным журналистов редакции «Проект» Андрея Дорожного и Артура Хачатурянца «на начало 2019 года в российском сегменте работало 3444 магазина и было зарегистрировано 750 тысяч пользователей. «H…» действует в 1114 городах, из них 1013 городов находятся в России. Ежедневно на площадке «оставляется» 13 625 «закладок» с наркотиками на более чем 227 млн руб., что составляет 64,9 млрд руб. в год. Каждая успешная «закладка» приносит доставщику от 350 до 1000 руб. С 2016 по 2019 год пользователи внесли на «Н…» 64,7 млрд рублей ($1 млрд на июнь 2019)».
Любопытно, что у «H…» есть своя наркологическая служба, там работают реальные врачи-наркологи, а также химики, которые проверяют качество товара и делятся результатами своих исследований с пользователями. Их цель убедить пользователей, что мгновенное привыкание к «солям» - миф, что кайф можно получать долго и безболезненно, врачи якобы ставят эксперименты на себе, чтобы наглядно это подтвердить. Такое вот циничное и жестокое российское ноу-хау по заманиваю в сети наркозаивисимости.
По мнению экспертов, каждая третья продажа наркотиков в России теперь осуществляется через интернет, чаще всего – с использованием браузера Tor. В основном правоохранители ловят молодых людей в возрасте 18-19 лет в тот момент, когда они ищут «закладки». Крупные наркобарыги остаются в тени анонимайзера.
Правоохранители и законодатели думают как сбить эту волну, но пока едва получается. Как рассказал член Общественной палаты РФ Александр Малькевич в Госдуме готовятся парламентские слушания, посвящённые проблеме распространения наркотиков в «даркнете».
НЕ СОВСЕМ ВИРТУАЛЬНЫЙ ТЕРРОРИЗМ
Анонимная сеть Tor используется не только для незаконного оборота наркотиков и оружия, отмывания денег и распространения детской порнографии, но и нередко несёт угрозу терроризма.
Tor оказался ценной находкой для террористической организации «Исламское государство» (запрещена в Российской Федерации). В 2015 году хакеры ИГИЛ впервые перенесли свой крупнейший пропагандистский сайт Isdara в сеть Tor. На этом ресурсе боевики публиковали видео казней, инфографику, пресс-релизы и прочий медиаконтент, собранный с 2006 года. Хактивисты из группы Ghost Security (связанной с Anonymous) его тут же взломали, но ненадолго.
В этом же году Институт Евросоюза по изучению вопросов безопасности заявил, что ИГИЛ использует биткойны через сеть Tor для снабжения своих боевиков оружием, включая автоматы и ракеты. Например, АК-47c — тип автомата, использованной братьями Коуачи в атаке на редакцию журнала Charlie Hebdo — продавался по $550 на интернет-площадке Euroguns, одном из крупнейших чёрных рынков по торговле оружием».
В 2016 году разработчик защитного ПО Trend Micro проанализировал тысячи аккаунтов, предположительно принадлежавших террористам, чтобы узнать, как они общаются в интернете. В компании обнаружили, что наиболее популярным у террористов почтовым сервисом является Gmail - на него приходилось 34% всех аккаунтов. Следующий в списке - Mail2Tor (21%) – анонимный почтовый ящик в сети Tor.
Бывший директор ФБР Джеймс Коми, когда-то пророчески говорил, что если у государственных служб не будет доступа к коммуникации террористов, это может угрожать безопасности добропорядочных граждан. Подобные опасения становятся всё крепче по мере того как запрещённая террористическая организация «Исламское государство» и ему подобные осваивают всё более сложные технологии для общения в интернете. А судя по отчёту Trend Micro, большей частью это общение проходит по зашифрованным каналам, доступ к которым пытаются получить не только американское АНБ, но и многие спецслужбы мира.
Пресс-секретарь АНБ Вэни Вайнс в свою очередь констатировала после того, как Эдвард Сноуден рассказал миру о попытках этого ведомства получить контроль над сетью Tor: «Было бы странно удивляться тому, что наше разведывательное агентство ищет пути противодействия технологиям, при помощи которых наши цели скрывают свои коммуникации. На протяжении всей истории нации искали методы защиты своих секретов и сегодня для сокрытия своей активности их используют и террористы, киберпреступники, торговцы людьми и др. Наше разведывательное сообщество не будет выполнять свою работу, если не будет бороться с этим».
Но казус заключается в том, что ящик Пандоры, коим является Tor, открыли именно в США. В то время, как АНБ (являющееся подразделением Министерства обороны США) вкладывает солидные средства, чтобы нейтрализовать Tor, ВМС США (также подчинённое Минобороны США) на протяжении долгих лет постоянно наращивает финансирование разработчиков Tor, которое идёт в том числе на поиск и устранение уязвимостей этой анонимной сети.
С БЛАГИМИ НАМЕРЕНИЯМИ
В середине 1990-х годов сотрудники исследовательской лаборатории ВМС США под руководством Пола Сайверсона корпели над технологией шифрования Onion Routing project (ORP) и вряд ли могли представить, что спустя 20 лет станут невольными пособниками наркоторговцев и продавцов оружия.
Пол Сайверсон - один из ведущих исследователей ВМС США в области управления шифрованным трафиком и один из создателей Tor. «Когда мы начинали работать над проектом, мы думали как защитить коммуникации представителей власти в открытом интернете», говорит он, особенно это касалось разведаналитиков, собирающих сведения из открытых источников.
В 1997 году к разработке присоединилось DAPRA (Управление перспективных исследовательских проектов Министерства обороны США). Как известно, основной задачей DARPA является сохранение технологического превосходства вооружённых сил США. В своё время DARPA отвечало за финансирование разработки военной сети ARPANET, из которой впоследствии появился интернет.
В 2000 году Сайверсон познакомился с Роджером Динглдайном, работа которого в Массачусетском Институте Технологий фокусировалась на создании системы анонимных публикаций в сети. Сайверсон уговорил Динглдайна и другого выпускника MIT - Ника Мэтьюсона, помочь ему в разработке «луковичного» маршрутизатора. Учёные согласились, так как хотели сделать мир безопаснее, а Роджер Динглдайн всегда мечтал защитить людей от всевидящего ока властей. Естественно, не на свои деньги, а за государственный счёт.
Именно Динглдайн в свою очередь убедил военных в 2003 году обнародовать в сети исходный код программы Tor, чтобы подключить к его совершенствованию коллективный мозг многотысячной армии гражданских пользователей. О поддержке проекта объявила влиятельная американская правозащитная организация Electronic Frontier Foundation («Фонд электронных рубежей»), которая активно пропагандировала новую систему Tor и прилагала значительные усилия для её максимального распространения .
Но благими намерениями, как известно, вымощена дорога в ад. И как только биткоины стали полноценным платёжным средством, особо предприимчивые обитатели Tor тут же решили продавать в ней секс-услуги, оружие и наркотики. Почему же давно скомпрометировавшая себя сеть Tor благополучно продолжает существовать и развиваться на деньги американских налогоплательщиков, которые с 2007 года исправно выделяют в основном Госдеп США и Министерство обороны США? Об этом во второй части исследования FLB. Продолжение следует.
Примечание редакции: Распространение, изготовление наркотических веществ и любые операции с ними преследуются по закону (ст. 228-234.1 УК РФ). Также преследуются незаконное приобретение, распространение, хранение и использование оружия (ст. 222-226.1 УК РФ). Кроме того, запрещены изготовление и распространение фальшивых документов (ст. 324-327.1 УК РФ) и подделка денежных купюр (ст. 186-187 УК РФ). Материал был подготовлен с целью информирования читателей и желанием обратить внимание на проблему.
Автор: Сергей Плужников, специально для Агентства федеральных расследований FLB.ru
См. продолжение:
«Tor. Обратная сторона интернета-2»
FLB: Зачем Госдеп США финансирует анонимность политических активистов, шпионов, хакеров, порнографов и наркоторговцев. Сколько платят создателям «Острова Свободы в Даркнете». Часть 2
«Tor. Обратная сторона интернета-3».
Для анонимной, безопасной и бесперебойной работы наркопортала «H… Onion» Госдепартамент США вложил в развитие браузера Tor 32 млн 448 тысяч долларов
