Деанонимизация.

Деанонимизация.


Многие из Вас уже слышали, что в текущем году правоохранительные органы прикрыли три крупнейшие торговые площадки даркнета. За владельцами данных площадок ведется настоящая охота. Сначала пропадает крупная (очень крупная) сумма в биткоинах, а потом и самого владельца находят повешенного в своей камере. Ранее мы писали, как правоохранители более месяца сидели на админских учетках торговой площадки AlphaBay. В связи с этим продавцы услуг, дилеры буквально наводнили «темный рынок» своими собственными online-магазинами. И если такие крупные рынки как AlphaBay, RAMP и т.д погорели из-за пренебрежения с безопасностью, то что говорить о кустарных ресурсах. Эти «ларьки» создаются без учета мер по безопасности и раскрывают настоящие IP-адреса своих серверов.

Исследователь под псевдонимом Sh1ttyKids заинтересовался этим и начал отслеживать IP-адреса подпольных торговых площадок. Как говорится «полетели головы», последней «жертвой» исследователя стал сайт ElHerbolario (продажи каннабиса). Sh1ttyKids выяснил, что сайт использует IP-адрес 188.209.52.177 и 185.61.138.73, который зарегистрирован в Нидерландах. Хостинг BlazingFast использует данные IP-адреса (корни же ведут на Украину). Таким образом правоохранительные органы Нидерландов могут изъять сервера и отследить клиентов ElHerbolario, далее передав информацию коллегам из другой страны.

Так же Sh1ttyKids вычислил IP-адрес (176.123.10.203) хакерского форума Italian Darknet Community, который был зарегистрирован в Молдове. Естественно исследователь уже сообщил правоохранителям эту ценную информацию.

DrugStore by Stoned100 специализирующиеся на продаже наркотических средств и хакерских программ. Этот сайт вообще на защиту не обращал внимания, так как работал на базе WordPress, что позволяло узнать не только IP, но и без проблем скопировать файлы из базы данных.

Исследователь использовал такие дыры в защите, как незащищенные отпечатки SSH и находил IP через Shodan и Censys.