提起荷兰,我们通常会联想到风车、郁金香、阿姆斯特丹的红灯区……可要说荷兰的科技互联网,恐怕大多数人要多反应一会儿。
诺基亚?
不对,那个是芬兰。
就是这样一个在科技上几乎毫无存在感的国家,其警方居然在去年7月凭一己之力将欧洲广受欢迎的暗网交易市场汉莎(Hansa)关闭。比起FBI对暗网高成本的围追堵截,荷兰警方则利用技术对汉莎进行了一场占领行动。
当我们还在为暗网中的犯罪惴惴不安时,荷兰警方此次行动或许能为以后可能出现的汉莎2.0版本提供剿杀经验。
一个奇怪的开始:从“不知怎么的”到全面接管
暗网之暗,主要在于其难以被搜索引擎发现。这些网站通过使用洋葱路由严格加密,导致具体位置很难被追踪得到,从而保证了其在互联网上严格的匿名性。这实际上就是一个完全不受任何束缚的自由访问环境,盛放着人类的恶与自由,因此才给各种黑色交易的滋长提供了肥沃的土壤。于是一切与暗网的斗争,都落在了找信息和找位置上。荷兰警方的这次行动,可以用“神意外、神队友、神操作”三个关键词总结。
神意外
行动进展之初,一家安全公司神意外般地“不知怎么的”就找到了“不知怎么的”就在网上公开的汉莎服务器,荷兰警方便迅速联系了网络主机,访问其数据中心并安装网络监控设备,并且获得了汉莎其他受洋葱路由保护的服务器。
然而就在警方吃着泡面监视服务器的时候,它却突然陷入了沉默。这就意味着汉莎市场可能已经发现了自身的暴露而转移。
神队友
经过几个月的等待,汉莎管理人员中出现了一位“神队友”,这位仁兄按捺不住寂寞,通过一个已经在汉莎服务器中暴露了的加密聊天工具给别人发送了自己的比特币钱包地址。
荷兰警方借助其定位了服务器。在德国警方逮捕了两名汉莎嫌犯并移交未加密的硬盘的帮助下,荷兰警方开始将汉莎的所有数据都迁移到完全由自己控制的一组新的服务器上,利用汉莎在欧洲最大的黑暗网络市场的地位,对用户实施越来越严厉的监视。
神操作
获取了全面控制权后,荷兰警方开始了种种神操作。他们重写了网站的代码,由此记录了每个用户的密码。汉莎网站的系统匿名保护中有一项功能,其可以使用用户的PGP密钥自动加密邮件,以便在加密之前秘密记录每封邮件的全文。在此之前,汉莎已经设置为自动从上传到该站点的产品照片中删除元数据。荷兰警方改变了这个功能,使得它首先记录了一个数据完整的图像副本,这使他们能够从卖家拍摄的许多非法商品照片中提取地理位置数据。
通过这种方式,荷兰警方已经可以初步掌握卖家的具体坐标了。但是顽皮的警方觉得这还不够,于是他们在服务器上制造了一个假故障,删除了网站上的所有照片,迫使卖家重新上传照片,以取得另一次获取元数据的机会。这个雕虫小技又获得了超过五十家经销商的地理位置。与此同时,警察用一份精心制作的Excel文件替换了汉莎向卖家提供了一份作为备份钥匙的文件,当卖家打开的时候,他们的设备将连接到一个唯一的URL,从而暴露出自己的IP地址。这一招又钓到了六十四个卖家。
全面接管了汉莎并大模大样地经营了27天大约27000笔交易之后,荷兰警方开始了收网行动,汉莎的网络页面显示了一条查获通知:
“我们追踪了那些在黑暗市场提供非法服务的人。你是其中之一吗?那你就成功地吸引了我们的注意。”
