In base al reclamo ufficiale , a pagina 28 menzionano:
on May 24, 2013, a Silk Road user sent him a private message warning him that "some sort of external IP address" was "leaking" from the site, and listed IP address of the VPN Server.
Che cosa significa che un indirizzo IP "stava perdendo" e quando ciò accadrebbe?
Si tratta di una perdita di informazioni sul server Silk Road. Sembra che qualcuno abbia localizzato una schermata di debug o info sul server Silk Road che ha scaricato le variabili di configurazione e di ambiente. Alcune possibilità:
phpinfo() ( esempio ) Potrebbe essere stato trovato controllando le posizioni note di stato e le pagine di debug o controllando le posizioni comuni (ad esempio /phpinfo.php ).
Sembra che l'output di debug contenga l'indirizzo IP pubblico dei server e l'indirizzo IP di un altro server utilizzato dall'amministratore come proxy VPN per amministrare il sito Silk Road (l'IP è stato archiviato perché era utilizzato per whitelist).
Nel marzo del 2013, meno di qualche mese prima di quando l'FBI ha scattato un'istantanea del server Silk Road, un blogger ha inviato un avvertimento agli utenti di Silk Road che il server conteneva una configurazione errata che rivelava l'indirizzo IP dei server e altro informazioni:
WARNIG TO SILK ROAD USERS: SR is leaking their public IP address
È possibile che questa sia la stessa persona che ha inviato messaggi di posta elettronica a Dread Pirate Roberts riguardo la perdita di informazioni.
Da un relativo thread su reddit che l'utente dice:
Last night, while SR was down for maintenance, a brief few moments allowed a certain set of circumstances that caused me to be able to view the public IP of the httpd server of Silk Road. This isn't an obvious flaw, but it is extremely simple if you know where to look - the server basically will publish a page containing all of the configuration data of the httpd server including the public IP address.
Anche se non possiamo ancora sapere se questo è lo stesso utente o lo stesso bug, è indicativo di potenziali problemi con le fughe di informazioni sul server Silk Road. L'FBI avrebbe in seguito scoperto le stesse informazioni e l'avrebbe utilizzata per risalire al server VPN.
Quello che sappiamo è che il server di Silk Road aveva un indirizzo IP pubblico, che è stato usato da Dread Pirate Roberts per amministrare il server. L'accesso a questa interfaccia pubblica usando un server VPN (che a sua volta rivelava il suo vero indirizzo IP) era una buona parte del caso contro l'accusato.
La cosa più importante è che questa perdita non ha avuto niente a che fare con Tor o con un difetto in Tor, tutto dipende da come è stato ospitato il sito e da come è stato effettuato l'accesso per l'amministrazione.
Modifica: da allora sono riuscito a confermare questa teoria
Ho trovato il seguente thread su / r / SilkRoad, era pubblicato 5 mesi fa :
Should we be worried? Showing on login page I have removed the IPs Array ( [USER] => X [HOME] => X [FCGI_ROLE] => RESPONDER [QUERY_STRING] => [REQUEST_METHOD] => GET [CONTENT_TYPE] => [CONTENT_LENGTH] => [SCRIPT_FILENAME] => X [SCRIPT_NAME] => /index.php [REQUEST_URI] => / [DOCUMENT_URI] => /index.php [DOCUMENT_ROOT] => X[SERVER_PROTOCOL] => HTTP/1.0 [GATEWAY_INTERFACE] => CGI/1.1 [SERVER_SOFTWARE] => X[REMOTE_ADDR] => xx.xx.xx.xx.xx [REMOTE_PORT] => X [SERVER_ADDR] => xx.xx.xx.xx.xx [SERVER_PORT] => 443 [SERVER_NAME] => _ [HTTPS] => on [REDIRECT_STATUS] => 200 [HTTP_HOST] => xx.xx.xx.xx.xx [HTTP_CONNECTION] => close [HTTP_USER_AGENT] => Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0 [HTTP_ACCEPT] => text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 [HTTP_ACCEPT_LANGUAGE] => en-us,en;q=0.5 [HTTP_ACCEPT_ENCODING] => gzip, deflate [HTTP_COOKIE] => session=X [PHP_SELF] => /index.php [REQUEST_TIME] => 1367610063 )
Le suddette variabili d'ambiente venivano scaricate nella fonte della pagina di accesso su Silk Road. Contenevano il vero indirizzo IP del server.
Modifica: settembre 2014 - Confermato dall'FBI
In un deposito durante Il processo di Ross Ulbricht e in risposta a una mozione di difesa l'FBI ha rivelato come hanno individuato il server Silk Road:
they found a misconfiguration in an element of the Silk Road login page, which revealed its Internet Protocol (IP) address and thus its physical location.
As they typed “miscellaneous” strings of characters into the login page’s entry fields, Tarbell writes that they noticed an IP address associated with some data returned by the site didn’t match any known Tor “nodes,” the computers that bounce information through Tor’s anonymity network to obscure its true source. And when they entered that IP address directly into a browser, the Silk Road’s CAPTCHA prompt appeared
Questo fa parte di una dichiarazione di testimoni esperti (probabilmente un tecnico dell'FBI). Puoi trovarlo in una nota a pagina 28 del reclamo originale sigillato :
The code containing the IP address for the VPN Server is "commented out" on the Silk Road Web Server, meaning that is no longer active as of July 23, 2013, when the image of the server was made. From reviewing DPR's private-message communications recovered from the Silk Road Web Server, I know that, on May 24, 2013, a Silk Road user sent him a private message warning him that "some sort of external IP address" was "leaking" from the site, and listed IP address of the VPN Server. Based on my training and experience, I believe that in light of this warning DPR deactivated the contents of the VPN Server, and changed the way he access the Silk Road Web Server thereafter.
Penso che significhi che l'accusato stia usando un server VPN per interagire con il sito Tor di Silk Road nascosto; e l'identità di questo server è stata divulgata / resa nota ad altri utenti di Silk Road da qualche parte sul sito.
Per quanto riguarda il motivo per cui è trapelato, non lo so - dovresti esaminare una copia del codice sorgente di Silk Road, se questo esiste al di fuori della custodia dell'FBI.