Beantwortet: WSM Bust Frage

gizi

Freshly Joined Member
Hi,
Hier gibt es einen sehr guten Artikel der beschreibt warum die Jungs hoch genommen wurden.

https://techcrunch.com/2019/05/03/h...-of-darknet-drug-emporium-wall-street-market/

Besonders das hier ist intressant:

Kalla’s VPN held strong, but the metadata betrayed him:

An IP address assigned to the home of this individual (the account for the IP address was registered in the name of the suspect’s mother) accessed VPN Provider #2 within similar rough time frames as administrator-only components of the WSM server infrastructure were accessed by VPN Provider #2.


Vieleicht kann ja mal jemand dazu was sagen damit man da nicht in die gleiche Falle läuft.
So 100% hab ich es nicht kappiert warum die jetzt die Identität aufgedeckt haben.
 
Solution
Das ist jetzt kein stichfester Beweis (die schreiben ja auch "it won't hold up in court on its own") aber ein gutes Indiz.

Die haben des Öfteren gesehen, dass a) von seinem privaten Internetanschluss eine Verbindung zu einem VPN-Anbieter hergestellt wurde und b) sich ungefähr zur selben Zeit über diesen VPN-Anbieter jemand als Admin auf dem fraglichen Server eingeloggt hat. Da braucht man dann nur eins und eins zusammenzählen.
Das ist jetzt kein stichfester Beweis (die schreiben ja auch "it won't hold up in court on its own") aber ein gutes Indiz.

Die haben des Öfteren gesehen, dass a) von seinem privaten Internetanschluss eine Verbindung zu einem VPN-Anbieter hergestellt wurde und b) sich ungefähr zur selben Zeit über diesen VPN-Anbieter jemand als Admin auf dem fraglichen Server eingeloggt hat. Da braucht man dann nur eins und eins zusammenzählen.
 
Solution
Also wenn dem so wäre dann wäre das ja lächerlich. Das würde ja schon von mem student im ersten Semester jura gekillt worden..... Aber steht ja da schon....

Von welchen metadaten redet er da? Die vom Browser oder wie? Was hat denn eine vpn Verbindung für metadaten?

Intressant ist auch die Tatsache das obwohl die bitcoins durch nen mixer geworfen wurden trotzdem alles nachverfolgt werden konnte.
Somit ist bitcoin entgültig tot..... Ok, ich wusste das schon länger... Aber trotzdem...
 
Die Szenarien, einen VPN Nutzer zu identifizieren, wurden hier im PP-Forum auch schon intensiv diskutiert. Das, was in der techcrunch-Seite steht, wurde exakte so hier im Forum von einigen Usern beschrieben und gleich von einigen Nutzern wehemend als "Übertreibung'"abgetan: https://board.perfect-privacy.com/threads/gleiche-ip-unschuldig-verdächtigt.3575/


Nicht alle Behördenmitarbeiter, gerade bei einer internationalen Zusammenarbeit (USA/FBI mit ausgewählten Metadaten von der NSA), sind unterbelichtet oder verblödet, wie hier einige denken.

Zitat aus techchruch:
" Dies ist ein gutes Beispiel dafür, wie ein VPN Sie vor staatlichen Schnüffeln schützen kann und nicht schützen kann. Es kann sein, dass Ihre IP für bestimmte Systeme verschleiert wird, aber jeder, der aus der Vogelperspektive sieht, kann die offensichtliche Korrelation zwischen einer Verbindung und einer anderen erkennen."​
 
Last edited:
Also wenn dem so wäre dann wäre das ja lächerlich. Das würde ja schon von mem student im ersten Semester jura gekillt worden..... Aber steht ja da schon....

Von welchen metadaten redet er da? Die vom Browser oder wie? Was hat denn eine vpn Verbindung für metadaten?

Intressant ist auch die Tatsache das obwohl die bitcoins durch nen mixer geworfen wurden trotzdem alles nachverfolgt werden konnte.
Somit ist bitcoin entgültig tot..... Ok, ich wusste das schon länger... Aber trotzdem...
Ich nehme an, Metadaten = Uhrzeiten + IP-Adressen. Wenn man in der Lage ist das Internet global zu überwachen, man einen Verdächtigen im Blick hat und außerdem weiß auf welchem Server die Seite gehostet ist, dann braucht man ja nur zu schauen ob "Verächtiger verbindet sich mit VPN" und "VPN verbindet sich mit Server" zeitlich zusammenpassen. Was ich für die spannendere Frage halte ist, woher die die Details des Servers kannten bzw. diesen Typen im Blick hatten. Persönliche Vermutung: die waren einfach zu dämlich für sowas. Wenn ich das schon lese: Einer hat IP-Leaks nicht im Griff, der nächste benutzt mehrfach den selben PGP-Key, irgendwelche Email-Adressen mit seinem echten Namen usw... da würde es mich nicht wundern wenn auf irgendeine Weise auch die IP oder der Standort des Servers rauszukriegen war oder sich die Leute anderweitig verdächtig gemacht hatten.
 
Es ist doch ein simples Wechselspiel zwischen Geheimdiensten und den "profanen Behörden".
Die - ich nenne sie mal regulären Behörden - kümmern sich um die menschliche Seite. "Der Mensch macht Fehler" - so erhärtete sich auch der Verdacht gegen einen gewissen Herr Ulbricht mit seinem gmail Account.

Geheimdienste greifen auf ihren schier unersättlichen Fundus an Daten zurück und setzen diese in Relation.
Wenn jemand gefunden werden soll ist das durchaus möglich - da muss ein VPN Anbieter hierzu nicht einmal kontaktiert werden. (Von dem der Anfragende im Besten Falle ohnehin keine verwertbare Antwort bekommen würde)
 
Okay, verstehe ich aber ist für mich maximal unlogisch.
Wenn ich mich per vpn einwähle woher wissen die denn die IP des vpn provider? Da müssten sie ja beim vpn provider sitzen um zu wissen welche IP ich in dem Moment habe.
Vom ISP können Sie sie ja nicht haben. Der weiss davon nix.

Wenn Sie die IP dann haben sollten müssten Sie dann auch noch den Zugriff auf den Webserver haben damit Sie sehen das genau die IP in dem Moment sich anmeldet. Wie kommen die dann an den Webserver?

Und selbst dann könnte es noch ein andere User sein der zufällig auch die IP hat und in dem Moment ne vpn aufbaut....
Also alles sehr merkwürdig um ehrlich zu sein.

Mal abgesehen funktioniert das ganze Konstrukt nicht mehr wenn ich erst vpn starte und dann 20 min später auf dem server mich anmelde.. Oder meine vpn 24 stunden läuft.

Ich glaub eher es ist so wie du sagst, die waren einfach zu doof. .

Was ich viel merkwürdiger finde das wenn das die Beweise sein sollten auf der Grundlage überhaupt nen Durchsuchungs Befehl bekommt. .....
 
Okay, verstehe ich aber ist für mich maximal unlogisch.
Wenn ich mich per vpn einwähle woher wissen die denn die IP des vpn provider? Da müssten sie ja beim vpn provider sitzen um zu wissen welche IP ich in dem Moment habe.
Vom ISP können Sie sie ja nicht haben. Der weiss davon nix.
Man braucht ja nur wissen dass sich der Typ mit dem VPN verbunden hat und kurz darauf über den VPN auf den Server zugegriffen wurde. Welche IP-Adressen da jetzt vom VPN genau benutzt wurden ist dann ja egal solange man weiß dass diese dem VPN gehören (und das rauszubekommen dürfte für die Behörden eine leichte Übung sein). Aus Sicht der Überwacher ist ja nur wichtig ob "Verdächtiger verbindet privaten Internetanschluss mit VPN" und "kurz darauf verbindet sich eine IP des VPN's mit dem Server" passen.

Wenn Sie die IP dann haben sollten müssten Sie dann auch noch den Zugriff auf den Webserver haben damit Sie sehen das genau die IP in dem Moment sich anmeldet. Wie kommen die dann an den Webserver?
Genau, deshalb wäre das für mich interessanter zu erfahren.

Und selbst dann könnte es noch ein andere User sein der zufällig auch die IP hat und in dem Moment ne vpn aufbaut....
So wie ich das verstanden habe hatten nur drei Personen Admin-Zugriff, das schränkt die Sache dann ja schon sehr ein.

Mal abgesehen funktioniert das ganze Konstrukt nicht mehr wenn ich erst vpn starte und dann 20 min später auf dem server mich anmelde.. Oder meine vpn 24 stunden läuft.
Stichwort "schlechte OPSEC" oder es war einer von den Kandidaten, die VPN für so eine Art Zaubermittel gegen alles halten.

Ich glaub eher es ist so wie du sagst, die waren einfach zu doof.
Jo :D
 
Genau, deshalb wäre das für mich interessanter zu erfahren.
Verstehe ich jetzt nicht. Was genau ist jetzt noch unklar? Wie die einen Server im Tor-Netzwerk identifizieren konnten ODER wie die herausbekommen haben, dass ein bestimmter Nutzer XY sich auf diesen Webserver eingewählt hat, um diesen z.B. administrativ zu warten?

Ich glaub eher es ist so wie du sagst, die waren einfach zu doof. .
Natürlich. Und die Kunden von PP sind besonders gewitzt ;).
 
Verstehe ich jetzt nicht. Was genau ist jetzt noch unklar? Wie die einen Server im Tor-Netzwerk identifizieren konnten ODER wie die herausbekommen haben, dass ein bestimmter Nutzer XY sich auf diesen Webserver eingewählt hat, um diesen z.B. administrativ zu warten?
Ich bin kein Experte für TOR aber so weit ich weiß sind die Serverstandorte verschleiert, man kann also nicht so einfach von der URL der Webseite auf den physischen Server schließen? Die müssen also irgendwie von "Die Seite ist erreichbar unter soundso.onion" auf "und sie wird gehostet von Server x in Rechenzentrum y" gekommen sein.
 
Na ja, doof ist vielleicht nicht der richtige Ausdruck, sagen wir mal so.
Ich denke es ist eher Faulheit/Unachtsamkeit oder dergleichen passiert das es dazu geführt hat.
Mit den Jahren wird man irgendwann mal nachlässig und macht Fehler.....

Doof trifft es wohl nicht, da hast du recht.
 
Auch diese Personen haben ein Surfverhalten. Bei Ihnen hat sich das das private (Informationen, Foren, Pornographie etc), das geschäftliche surfen (Mails vom AG checken, Amazon Bestellungen) und ihre Aktivitäten im Darknet eben vermischt. Schlecht.

Bei Ulbricht hat das isländische (!) RZ auch auf Nachfrage des FBI sofort alle erdenklichen verfügbaren Informationen ausgehändigt. Obwohl dazu keinerlei Grund vorlag. Wie schon im Thread mehrmals erwähnt. Klassische Ermittlungsarbeit, gepaart mit gesprächigen Dienstleistern trifft auf unvorsichtiges Surfverhalten und technische Fahrlässigkeit resp. Unzulänglichkeit.
 
Laut dem letzen Satz war die VPN Verbindung wohl kurz weg oder fehlerhaft

The three defendants allegedly created WSM, maintained the website, and operated the marketplace to ensure that buyers could access vendor pages and that financial transactions were properly processed. The investigation outlined in the complaint affidavit linked the three defendants to WSM in a number of ways, including their access to the WSM computer infrastructure. One defendant, for example, used virtual private networks to access WSM computers, but when a VPN connection would fail, his IP was revealed and authorities were able to identify his specific location.
Quelle: https://www.justice.gov/usao-cdca/p...-web-marketplace-over-1-million-users-face-us


Law enforcement officials, led by Europol, were able to see the IP address and ultimately identify one of the defendants when his VPN connection to the marketplace computer network failed. The defendants, who have not been named publicly, are a 23-year-old resident of Kleve, a 31-year-old resident of Wurzburg, and a 29-year-old resident of Stuttgart.
Quelle: https://www.darkreading.com/cloud/massive-dark-web-wall-street-market-shuttered/d/d-id/1334612
 
Okay, krass, so wie ich es dann verstehe laut dem guten Zitat von oben hat der Betreiber einen IP-Leak verursacht. Das wäre natürlich echt ein Anfängerfehler.
 
Dann müssen irgendwelche Server aus dem Darknet bzw. Tor-Netzwerk identifiziert worden sein. Dass das leicht ist, liegt auf der Hand, denn ein Rechenzentrum oder auch Ermittlungsbehörden können anhand der Ports oder Verbindungsströme sicherlich schnell erkennen, ob da jemand einen internen Tor Server ohne Exit Nodes betreibt.

In Ermittlungskreisen wird es ohnehin interessant sein zu wissen, ob bei einem Hoster ein Tor-Server betrieben wird. Ggf. können Nachrichtendienste hierzu Informationen beisteuern, sodass z.B. das BKA so schon weiß, wo in Deutschland zumindest "größere" Tor-Server stehen, auch wenn diese keinen Exit-Nodes haben.

=> Der Admin hat vermutlich die eigenen Logs vom Dedi-Server abgeschaltet. Fehler: Das Rechenzentrum speichert auch Metadaten zur Fehlerbehebung, so konnte der eventuell nur "einmalige" IP-Leak bei der Wartung des eigenen Servers zur Identifizierung beitragen.
 
Last edited:
Back
Top