¿Cómo hizo el FBI para encontrar los servidores de Silk Road?

En los momentos previos al juicio de Ross Ulbricht, el presunto dueño del Silk Road (un mercado negro en la deepweb al que se accede mediante su servidor oficial, Tor), una pregunta persiste: ¿exactamente cómo hizo el FBI para encontrar la ubicación del servidor que maneja este mercado?

Como se reveló en los documentos de la corte y como reporteó Andy Greenberg en Wired, el FBI afirma que fue por una desconfiguración del CAPTCHA de la página, que involuntariamente puso al descubierto la dirección IP de Silk Road. Pero ahora, más evidencia está poniendo a esta versión bajo la lupa, y algunos expertos sugieren que puede que el FBI haya tenido otro tipo de ayuda.

En los últimos meses, la defensa de Ulbricht, liderada por Joshua Dratel, ha estado en la oscuridad en relación de exactamente cómo el FBI localizó los servidores de Silk Road. Es una brecha persistente en la línea de tiempo, y una que llevó a que Dratel argumentara que el FBI pudo haber roto leyes de privacidad durante su investigación.

El mes pasado, el FBI finalmente describió cómo aparentemente encontraron los servidores. En vez de utilizar tecno-magia, o infiltrando la red de Tor, los investigadores supuestamente encontraron los servidores cuando estaban haciendo búsquedas de términos diversos en el CAPTCHA de la página, que en ese momento, no estaba instalado correctamente, y mandó la dirección IP a un buscador normal. Todo esto estaba muy bien detallado en la declaración que dio el agente del FBI que estaba trabajando en el caso en ese momento, Christopher Tarbell.

Imagen: FBI/Wikimedia Commons

Un montón de expertos posteriormente analizó esa serie de eventos, y describió la declaración de Tarbell como demasiado vaga y sugieren que las tácticas del FBI se asemejan a algo más como a hackear, y no a haberse topado con la dirección IP por coincidencia.

Ahora, evidencias nuevas hacen que nazcan todavía más dudas sobre esta historia.

Estos nuevos detalles se incluyen en los documentos que publica el gobierno de Estados Unidos esta semana, en respuesta a los abogados de Ulbricht, que están exigiendo más información por parte del FBI.

Brian Krebs, un reconocido periodista de seguridad y delito cibernético, subió la respuesta del gobierno al internet y le pidió a un experto que opinara. Nicolas Weaver del Instituto Internacional de la Ciencia Computacional y la Universidad de California y Berkley, tiene un interés particular sobre el archivo de configuración que se obtuvieron de los servidores incautados de Silk Road.

Weaver declaró que, por la manera en la que la página del Silk Road estaba configurada con un servidor front-end y otro servidor back-end; los datos del primer servidor solamente pueden llegar al segundo servidor –lo que significa que en realidad habría sido imposible para alguien que estuviera jugando con el CAPTCHA de la página de inicio poder llegar al servidor back-end.

El FBI también le dio a la defensa el registro de tráfico del servidor del Silk Road, pero a Weaver tampoco le dio mucha confianza ese registro. Sugirió que los registros no mostraban que el FBI hubiera obtenido la dirección IP de un CAPTCHA dañado, sino que solo mostraba una página de configuración PHPMyAdmin.

Ahora surge una nueva pregunta: si el FBI no encontró los servidores por un CAPTCHA dañado, ¿entonces cómo lograron encontraron una página de PHPMyAdmin?

Robert Graham de Errata Security trató el tema en su blog. Trata los tecnicismos alrededor de la evidencia, y suguiere que el registro puede llevar a otra cosa; de pronto a un monitoreo de puertos. Si el FBI o alguna agencia gubernamental que los haya ayudado, como por ejemplo la NSA (Agencia de Seguridad Nacional), estuviera monitoreando las conexiones desde Islandia, donde aparentemente las páginas estaban basadas, “fácilmente hubieran podido obtener la contraseña y utilizarla para meterse al servidor”.

En cuanto a haber encontrado la página de PHPMyAdmin, “una forma en la que pudieron haber encontrado esto es haciendo un escaneo de todo el internet buscando los servidores SSL y luego buscando el string de “Silk Road” en las páginas que les resulten”, escribe Graham. También dice que los registros que dio el FBI en la nueva evidencia, no concuerdan con las páginas que describió Tarabell en su declaración.

“Como un experto en dichos temas, como quebrar claves y hacer escaneos profundos del internet, sé que hacerle este tipo de seguimiento a la página del Silk Road está perfectamente dentro de las capacidades de la NSA”, escribió Graham.

Pero la fiscalía ha asegurado que fue el FBI y no la NSA, quien encontró los servidores.

Algunos, incluyendo a Graham, sugieren que un caso de “construcción paralela” podría estar en juego –cuando la evidencia se presenta y se le dice a la  corte que se obtuvo de una manera, pero realmente se obtuvo de otra.

Por ejemplo, el año pasado Reuters reportó que la DEA uso “construcción paralela” para esconder que sus investigaciones se originaron con una alerta que les dio la vigilancia de la NSA.

El problema con esta táctica es su alto potencial de disminuir la justicia del juicio, ya que en gran parte de esta justicia se respalda en que la defensa pueda saber cómo la evidencia en contra de ellos se obtuvo.

El juicio de Ulbrich está programado para empezar el próximo mes, y no se puede dudar que podremos esperar que el drama legal continúe.