Chương 15 FBI LUÔN BẮT ĐƯỢC NGƯỜI
Trong khu vực tiểu thuyết khoa học viễn tưởng tại Thư viện Công cộng San Francisco, chi nhánh Glen Park, cách không xa căn hộ của mình, Ross William Ulbricht đang tham gia vào một cuộc trò chuyện hỗ trợ khách hàng trực tuyến cho công ty mà anh sở hữu. Khi đó – tháng 10 năm 2013 – người trao đổi với anh trên mạng đang đinh ninh rằng tiếp chuyện mình là quản trị viên của website với biệt danh Dread Pirate Roberts, một cái tên lấy từ bộ phim The Princess Bride. Roberts, còn được gọi là DPR, trên thực tế là Ross Ulbricht, không chỉ là quản trị viên mà còn là chủ sở hữu của Silk Road, một trung tâm buôn bán ma túy trực tuyến lớn, và do đó là đối tượng của cơ quan săn lùng tội phạm liên bang. Ulbricht thường xuyên sử dụng các địa điểm Wi-Fi công cộng như thư viện để làm việc – có lẽ quyết định này xuất phát từ một hiểu nhầm rằng nếu phát hiện ra anh chính là DPR thì FBI cũng không bao giờ tổ chức đột kích ở nơi công cộng cả. Tuy nhiên, vào ngày hôm đó, người mà Ulbricht đang tiếp chuyện thực ra lại là một mật vụ FBI.
Điều hành một trung tâm thương mại ma túy trực tuyến – trong đó khách hàng có thể đặt mua cocaine và heroin và các loại ma túy tổng hợp một cách nặc danh – đòi hỏi một tinh thần thép. Website của Silk Road được đặt trên Dark Web và chỉ có thể truy cập thông qua Tor. Website nhận thanh toán bằng Bitcoin. Và nhà sáng lập Silk Road đã cẩn thận, nhưng vẫn chưa đủ cẩn thận.
Vài tháng trước đó, FBI đã khoanh vùng được Ulbricht, sau khi một người bất ngờ liên lạc với cơ quan này để cung cấp bằng chứng cho thấy Ulbricht chính là DPR. Người này, một nhân viên của Cục Thuế vụ (IRS) tên là Gary Alford, đã đọc về Silk Road và nguồn gốc của nó, và vào các buổi tối anh ta thường thực hiện thêm các tìm kiếm nâng cao trên Google. Anh ta phát hiện ra rằng Silk Road được nhắc đến lần đầu từ năm 2011, khi một người có biệt danh “altoid” nhắc tới nó trong một nhóm trò chuyện. Do lúc đó Silk Road vẫn chưa ra đời, nên Alford cho rằng altoid nắm được thông tin nội bộ về hoạt động này. Một cách tự nhiên, Alford bắt đầu tìm kiếm các thông tin tham khảo khác.
Anh ta đã đào trúng hố vàng.
Altoid đã đăng câu hỏi lên một nhóm trò chuyện khác, nhưng xóa tin nhắn gốc. Alford tìm ra một câu trả lời cho câu hỏi gốc lúc này đã bị xóa đi, trong đó altoid cho biết nếu ai trả lời được câu hỏi của mình, người đó có thể liên lạc với anh ta tại địa chỉ email là [email protected].
Đó không phải là lần lộ thông tin duy nhất. Một số câu hỏi khác cũng được đăng lên, trong đó có một câu được đăng lên một website tên là Stack Overflow: câu hỏi ban đầu được gửi từ [email protected], nhưng sau đó tên người gửi được đổi thành DPR.
Quy tắc số 1 về việc tàng hình: không bao giờ được liên kết con người trực tuyến ẩn danh với con người trong thế giới thực. Không bao giờ được làm điều đó.
Sau đó là những đầu mối liên kết khác. Ulbricht, giống như DPR, tán dương các triết lý thị trường tự do của nhà tự do chủ nghĩa Ron Paul. Và có lúc, Ulbricht thậm chí còn đặt mua một số giấy phép lái xe giả với những tên gọi khác nhau từ các tiểu bang khác nhau – việc này trở thành vết lông ngỗng dẫn các đặc vụ liên bang đến trước cửa nhà anh ta ở San Francisco vào tháng 7 năm 2013, nhưng tại thời điểm đó, chính quyền không hề biết họ đang nói chuyện với DPR.
Các bằng chứng càng lúc càng trở nên thuyết phục hơn, và cuối cùng, vào một buổi sáng tháng 10 năm 2013, ngay khi cuộc trò chuyện hỗ trợ khách hàng của DPR bắt đầu, các đặc vụ liên bang cũng lặng lẽ tiến vào thư viện Glen Park. Sau đó, trong một cuộc tấn công bất ngờ, họ bắt giữ Ulbricht trước khi anh ta có thể tắt máy tính xách tay của mình. Nếu anh ta tắt máy, một số bằng chứng quan trọng có thể sẽ bị tiêu hủy. Ít giây sau vụ bắt giữ, họ có thể chụp ảnh màn hình quản trị hệ thống cho website Silk Road, từ đó thiết lập một liên kết cụ thể giữa Ulbricht, Dread Pirate Roberts và Silk Road.
Vào sáng tháng 10 hôm đó ở Glen Park, Ulbricht đăng nhập vào Silk Road với tư cách quản trị viên. Và FBI biết điều đó bởi vì họ quan sát máy tính của anh ta đăng nhập vào Internet. Nhưng nếu anh ta có thể giả mạo vị trí của mình thì sao? Điều gì sẽ xảy ra nếu anh ta không ở trong thư viện mà sử dụng một máy chủ proxy?
Mùa hè năm 2015, nhà nghiên cứu Ben Caudill của Rhino Security thông báo rằng tại Hội nghị DEF CON 23, ông sẽ không chỉ thuyết trình giới thiệu thiết bị mới của mình là ProxyHam mà còn có ý định bán nó với giá gốc – khoảng 200 đô-la – trong phòng của các nhà phân phối tại hội nghị trên. Khoảng một tuần sau đó, Caudill thông báo rằng bài thuyết trình của ông đã bị hoãn, và tất cả các thiết bị ProxyHam hiện có sẽ bị tiêu hủy. Ông không đưa ra lời giải thích nào thêm.
Các bài thuyết trình tại các hội nghị an ninh lớn bị hoãn vì nhiều lý do khác nhau. Hoặc là các công ty có sản phẩm mới đang bị đưa ra tranh cãi, hoặc chính phủ liên bang gây áp lực lên các nhà nghiên cứu để buộc họ không công bố sản phẩm. Trong trường hợp này, Caudill không chỉ ra một lỗ hổng cụ thể nào mà thiết kế một thứ mới.
Điều thú vị về Internet là khi một ý tưởng xuất hiện ở đó, nó vẫn tồn tại ở đó. Vì vậy, ngay cả khi các đặc vụ FBI hoặc người khác nói với Caudill rằng bài thuyết trình của ông không phục vụ lợi ích của an ninh quốc gia, thì người khác vẫn sẽ tạo ra một thiết bị mới. Và đó chính xác là những gì đã xảy ra.
ProxyHam là một điểm truy cập từ rất xa, giống như bạn đặt máy phát Wi-Fi tại nhà hoặc văn phòng, nhưng điểm khác là phạm vi kiểm soát ProxyHam có thể lên tới 2km. Máy phát Wi-Fi sử dụng sóng vô tuyến tần số 900 MHz để kết nối với thiết bị điều chỉnh ăng-ten trên máy tính ở cách đó tới 4km. Như vậy, trong trường hợp của Ross Ulbricht, FBI có thể tập trung bên ngoài thư viện Glen Park trong khi anh ta đang lúi húi dọn dẹp ở tầng hầm của ai đó cách đó vài dãy nhà.
Các thiết bị như vậy rõ ràng là cần thiết nếu bạn sống ở một quốc gia có chính quyền áp bức. Liên hệ với thế giới bên ngoài thông qua Tor là một nguy cơ được nhiều người chọn. Loại thiết bị này sẽ thêm một lớp bảo mật khác bằng cách che giấu vị trí của người dùng.
Ngoại trừ trường hợp có người không muốn Caudill trình bày về thiết bị mới này tại DEF CON.
Trong các cuộc phỏng vấn, Caudill phủ nhận rằng Ủy ban Truyền thông Liên bang đã gây áp lực. Tờ Wired phỏng đoán rằng việc bí mật đặt ProxyHam trên mạng của người khác có thể được diễn giải là hành vi truy cập trái phép theo Đạo luật Gian lận và Lạm dụng máy tính vốn có nhiều điểm chưa rõ ràng của Mỹ. Caudill từ chối bình luận về bất kỳ suy đoán nào.
Như tôi đã nói, khi một ý tưởng xuất hiện, bất cứ ai cũng có thể triển khai nó. Vì vậy, nhà nghiên cứu an ninh Samy Kamkar đã tạo ra ProxyGambit, một thiết bị về cơ bản có thể thay thế ProxyHam. Điểm khác biệt ở đây là ProxyGambit sử dụng mạng điện thoại di động đảo chiều, nghĩa là thay vì phải ở cách nó vài ki-lô-mét, bạn có thể đứng cách nửa vòng trái đất mà vẫn có thể dùng được thiết bị này. Quá tuyệt vời!
ProxyGambit và các thiết bị tương tự dĩ nhiên khiến các cơ quan thực thi pháp luật phải đau đầu khi bọn tội phạm sử dụng chúng.
Silk Road của Ulbricht là một siêu thị ma túy trực tuyến. Đó không phải là thứ bạn có thể tìm kiếm trên Google; nó không được gọi là web nổi (Surface Web), có thể được lập chỉ mục và tìm kiếm dễ dàng. Web nổi, chứa các website quen thuộc như Amazon và YouTube, chỉ chiếm 5% toàn bộ Internet. Tất cả những website mà hầu hết mọi người đã truy cập hoặc từng nghe đến tên chỉ chiếm một phần rất nhỏ so với số lượng website thực tế. Phần lớn số lượng website trên Internet đều bị ẩn khỏi các công cụ tìm kiếm.
Xếp sau web nổi là web chìm (Deep Web), được ẩn đằng sau mật khẩu truy cập – ví dụ, nội dung của danh mục thẻ cho chi nhánh Glen Park của Thư viện Công cộng San Francisco. Web chìm cũng chứa phần lớn là các website chỉ dành cho người đăng ký và website mạng nội bộ của các công ty. Netflix. Pandora. Bạn có thể tưởng tượng ra rồi đấy.
Cuối cùng, Internet còn có một phần nhỏ hơn nhiều, gọi là web tối (Dark Web), không thể truy cập bằng trình duyệt thông thường, cũng không thể tìm kiếm trên các trang như Google, Bing, và Yahoo.
Web tối là nơi hoạt động của Silk Road, cùng với các website để bạn có thể rao tin thuê sát thủ hay mua các nội dung khiêu dâm trẻ em. Các website này hoạt động trên web tối vì nó hầu như ẩn danh. Tôi nói “hầu như” bởi vì không có gì là thực sự cả.
Chỉ có thể truy cập vào web tối thông qua trình duyệt Tor. Trên thực tế, các trang web tối, với các đường dẫn URL gồm các chữ và số phức tạp, đều kết thúc bằng đuôi.onion. Như tôi đã đề cập trước đó, bộ định tuyến Onion do Phòng thí nghiệm Nghiên cứu Hải quân Mỹ tạo ra để cung cấp cho những người bị áp bức một cách thức để liên lạc với nhau cũng như thế giới bên ngoài. Tôi cũng đã giải thích rằng Tor không kết nối trực tiếp trình duyệt của bạn với một website; thay vào đó, nó thiết lập liên kết đến một máy chủ khác, sau đó liên kết đó được gắn với một máy chủ khác để cuối cùng đến được trang đích. Nhiều bước nhảy như vậy khiến việc theo dõi trở nên khó khăn hơn. Và các website như Silk Road là sản phẩm của các dịch vụ ẩn trong mạng Tor. URL của chúng được tạo ra từ một thuật toán và danh sách các trang trên web tối thay đổi thường xuyên. Tor có thể truy cập cả web nổi và web tối. Một trình duyệt web tối khác, I2P, cũng có thể truy cập cả web nổi và web tối.
Ngay cả trước khi đánh sập Silk Road, người ta đã suy đoán rằng NSA hoặc những tổ chức khác đã có cách để xác định người dùng trên web tối. Ví dụ, trồng và kiểm soát các nút thoát, tức các điểm mà tại đó một yêu cầu Internet được chuyển đến một trong các dịch vụ ẩn này, dù rằng như thế vẫn chưa đủ để nhận dạng người yêu cầu ban đầu.
Để làm được điều đó, chuyên gia quan sát của chính phủ sẽ phải thấy rằng một yêu cầu truy cập vào website X vừa được gửi đi, và rằng vài giây trước đó, một người nào đó ở New Hampshire đã khởi động trình duyệt Tor. Người quan sát có thể nghi ngờ rằng hai sự kiện trên có liên quan với nhau. Dần dần, việc truy cập vào website trên và hoạt động truy cập thường xuyên vào Tor cùng thời điểm có thể chỉ ra một đường mòn. Để tránh tạo đường mòn đó, bạn có thể giữ cho trình duyệt Tor luôn ở chế độ kết nối.
Trong trường hợp của Ulbricht, sai sót nằm ở sự cẩu thả. Rõ ràng là Ulbricht không có kế hoạch từ sớm. Trong những trao đổi ban đầu của anh ta về Silk Road, Ulbricht sử dụng lẫn địa chỉ email thực sự và biệt danh.
Như bạn có thể thấy, ngày nay rất khó hoạt động trên Internet mà không để lại dấu vết về danh tính thực sự của bạn. Nhưng như tôi đã nói ngay từ đầu, với một chút cẩn thận, bạn cũng có thể làm chủ nghệ thuật ẩn mình. Trong các trang sau, tôi sẽ chỉ cho bạn cách làm điều đó.