OP Babylon e il sequestro dei wallet bitcoin

By | 2 agosto 2015

Sequestro di bitcoinGli investigatori della Polizia Postale e delle Comunicazioni – in collaborazione con Europol, il Centro Nazionale per il Contrasto della Pedopornografia On Line (CNCPO) e coordinati dalla Direzione distrettuale antimafia (DDA) – hanno operato in questi giorni la chiusura del mercato nero “Babylon”, raggiungibile soltanto tramite il deep web all’indirizzo “babylonxjrtdyomy.onion“. Quello che interessa dal punto di vista della bitcoin forensics non è tanto l’identificazione e la chiusura dei 14 hidden service (seppur tecnicamente interessante dal punto di vista investigativo) o il ritrovamento di oltre 170.000 messaggi relativi a trattative illecite quanto il fatto che risulta essere stato eseguito il sequestro di 14.000 wallet bitcoin appartenenti agli utenti del black market.

Vendita di armi nel mercato nero Babylon sul dark webCi complimentiamo innanzitutto con le F.F.O.O. per la riuscita dell’operazione, che ha permesso di smascherare l’identità dei gestori di un mercato nero nel dark web in cui si vendevano armi, merce rubata, prodotti chimici, carte di credito, documenti falsi e altri beni di dubbia legalità. Non sono note le modalità con le quali è stato superato l’anonimato della rete Tor e identificati gli hidden service Onion che ospitavano i black market ed è improbabile che tali informazioni vengano diffuse.

Possiamo invece cercare di approfondire gli aspetti che più coinvolgono la bitcoin forensics, cioè la novità relativa al sequestro e confisca di bitcoin (gli articoli parlano di “wallet”, per essere precisi) e le modalità con le quali questo sequestro di bitcoin può essere avvenuto. Sono infatti note le proprietà degli indirizzi bitcoin le cui transazioni vengono abilitate dal possesso della chiave privata, i wallet che raccolgono più chiavi private e sono protetti da password, la tracciabilità delle transazioni bitcoin, il funzionamento della blockchain e le caratteristiche del protocollo Bitcoin. E’ quindi interessante ragionare sugli aspetti tecnici che possono portare al sequestro di portafogli bitcoin, wallet e indirizzi con i limiti imposti dal funzionamento stesso del sistema.

Non sono al momento disponibili dettagli sull’operazione, a parte alcuni video postati su youtube da testate giornalistiche e ai seguenti link ufficiali che descrivono a grandi linee i risultati dell’operazione:

  1. Operazione “Babylon”: la Postale scopre un mercato illecito nella darknet (Polizia di Stato -Website) [WBM]
  2. Darknet Hidden Service for child sexual abuse material shut down (Europol – Website) [WBM]
  3. Postale: operazione “Babylon” (Polizia di Stato – Youtube) [WBM]
  4. Operazione Babylon della Polizia postale e delle comunicazioni (Polizia di Stato – Youtube) [WBM]
  5. Operazione “Babylon”: la Postale scopre un mercato illecito nella darknet (Polizia di Stato – Youtube) [WBM]
  6. Operazione Babylon, sequestrati 14.000 ‘wallet’ di bitcoin (Ministero dell’Interno – Website) [FP]
  7. #Babylon sequestrati 14mila wallet. Conti correnti virtuali che servivano a comprare servizi offerti dal mondo della criminalità (Il Viminale, Twitter) [WBM]
  8. Darknet e Deep Web Operazione Babylon Silk Road Italiana – TOR (Canale25 – Youtube) [WBM]

In uno dei filmati pubblicati sulla pagina Youtube della Polizia Postale, dopo le scene della perquisizione informatica presso un probabile domicilio, viene mostrata una slide dove vengono citati i 14.000 bitcoin sequestrati.

Sequestro di bitcoin durante l'operazione Babylon

Nella conferenza stampa parzialmente riportata su Youtube e citata nel link del Ministero dell’Interno viene riportato come “sequestrare i wallet, individuare le transazioni, è la prova che il ‘fantasma’ che il network internazionale di investigatori, Fbi statunitense compreso, stava inseguendo esiste, e si è riusciti a metterci le mani sopra”.

Sequestro di Bitcoin da parte della Polizia PostaleNon sono disponibili dettagli sul sequestro di bitcoin da parte della Polizia Postale, così come invece è accaduto per il sequestro di criptovaluta relativo al black market Silk Road, per il quale è persino possibile tracciare gli indirizzi e i wallet utilizzati dai gestori del black market e dagli operatori durante le indagini. Dalla conferenza stampa riportata su alcuni video Youtube rileviamo che ogni utente del forum aveva un suo wallet dove era necessario trasferire una certa quantità di bitcoin per poter operare. In sostanza, questi wallet sono stati sequestrati in concomitanza con la chiusura degli hidden service (indirizzi Onion visibili dietro rete Tor).

Non sappiamo in che modo erano configurati questi wallet bitcoin, ma possiamo intravedere diverse problematiche che possono rendere il sequestro e la confisca di cryptovaluta piuttosto ardui e che contiamo che in qualche modo siano state superate dagli Operatori.

Innanzitutto basta che esista da qualche parte un backup delle chiavi private (o dei wallet, anche con password diversa) e sarà sempre possibile eseguire transazioni in uscita dagli indirizzi per “svuotare” i wallet sequestrati, anche a mesi o anni di distanza. Con la moneta tradizionale o i conti bancari, questo non può avvenire: una volta sequestrati i contanti o bloccato un conto bancario, il denaro è al sicuro e non può essere speso. Con i bitcoin è altresì inutile cambiare le password ai wallet o sequestrare fisicamente il disco su cui sono memorizzati. Nel caso in cui poi tali wallet siano di tipo deterministico – sequenziale o gerarchico – non serve neanche avere il backup dei wallet ma basta la chiave privata “master” oppure la frase mnemonica per generare tutte le chiavi private (oltre a quelle pubbliche, inutili però per trasferire fondi verso altri indirizzi) dei vari wallet coinvolti nell’operazione.

In secondo luogo, i wallet potrebbero essere configurati tramite modalità multisig, che prevede che per poter gestire i fondi sia necessaria la chiave presente nel wallet soltanto se unita con la chiave posseduta dall’utente. Wallet rinomati e sicuri come GreenAddress utilizzano questo sistema, che fa sì che anche in caso di sequestro e confisca dei bitcoin depositati, non sia possibile spenderli senza l’intervento degli utenti che hanno per così dire metà della chiave. Il sequestro di un tale tipo di wallet quindi renderebbe inutilizzabili i bitcoin contenuti nel black market da parte dei 14.000 iscritti (a meno che non avessero la possibilità di eseguire dei backup) ma allo stesso modo renderebbero il milione di euro inutilizzabile anche ai fini di Giustizia, per una eventuale confisca e riutilizzo, come è già avvenuto nel caso dei milioni di euro sequestrati nell’indagine Silk Road messi all’asta dal Governo USA.

Affinché il sequestro e la confisca di bitcoin possa avere efficacia, quindi, è necessario che avvenga un trasferimento verso un conto temporaneo controllato dalle Autorità Giudiziarie. Poiché le transazioni bitcoin sono irreversibili, le transazioni di bitcoin verso un indirizzo terzo impedirebbero un utilizzo della somma sequestrata da parte dei soggetti cui i bitcoin vengono sequestrati. E’ però necessario che tutta l’operazione sia gestita nel modo migliore dal punto di vista tecnico, che l’indirizzo (o il wallet, se si decide di utilizzare più indirizzi) sul quale vengono depositati i bitcoin confiscati sia generato offline e gestito tramite cold storage, viste le cifre in gioco. Conosciamo il rischio di un indirizzo generato con numeri non del tutto casuali o prevedibili, quindi sarà certamente necessario testare la bontà del bitcoin address di destinazione prima di trasferirvi il milione di euro in bitcoin sequestrato nei 14.000 wallet del black market.

Dal punto di vista della verbalizzazione e catena di custodia, la blockchain viene in aiuto agli operatori di Polizia in quanto mantiene pubblicamente e a perenne e immodificabile memoria tutte le transazioni avvenute, così da rendere verificabile ogni movimento e tutelare tutte le parti. Ciò che in altri contesti viene “certificato” tramite enti terzi, Autorità o Polizia Giudiziaria, firme digitali, marche temporali, riprese video verrebbe in qualche modo supportato, se non sostituito, dall’archiviazione oggettiva delle evidenze realizzata tramite la blockchain stessa.

Attendiamo quindi maggiori informazioni circa il sequestro di wallet e bitcoin avvenuto durante l’operazione Babylon e aggiorneremo il post quando e se saranno disponibili approfondimenti tecnici e investigativi.

One thought on “OP Babylon e il sequestro dei wallet bitcoin

  1. Pingback: OP Babylon e il sequestro dei wallet bitcoin | COINLEX.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *