Arresti nel dark web grazie (anche) alle chiavi PGP

di | 29 Agosto 2016

Il mercato AlphaBay è uno dei più grandi nel dark web e vi si può comprare di tutto, dalle armi alle droghe, pagando in bitcoin e scambiandosi messaggi cifrati, garantendo quindi un discreto anonimato sia dell’acquirente sia del venditore.

Arresto dei venditori area51 e darkapollo nel dark web

Nonostante queste precauzioni, i venditori AREA51 e DARKAPOLLO sono stati identificati dall’agente DEA sotto copertura “John Xxxx” e arrestati, senza bisogno di ricorrere alla bitcoin forensics ma sfruttando, oltre ad altri errori ingenuamente commessi dai due, una caratteristica del sistema PGP, in particolare delle chiavi pubbliche.

PGP (“Pretty Good Privacy”, o GPG in versione open source e gratuita) è il protocollo che permette di cifrare file/messaggi di posta elettronica per proteggerli da occhi indiscreti e firmare ciò che si scrive, così da poter garantire la propria identità. Firma e cifratura avvengono, oltre che con chiavi simmetriche, grazie all’ausilio di chiavi asimmetriche, cioè due chiavi diverse, una per cifrare/firmare e una per decifrare/verificare la firma. Una chiave è privata e viene tenuta segreta, l’altra è pubblica e viene diffusa per permettere ad altri di cifrare documenti o di verificare la propria firma. Lo stesso agente DEA spiega ciò che gli ha permesso di risalire ai due venditori utilizzando la loro chiave pubblica PGP:

La chiave pubblica PGP può contenere l'email dell'utilizzatore

La caratteristica che i due venditori di AlphaBay hanno scordato è proprio questa: durante la generazione della chiave pubblica, per comodità dell’utilizzatore più che altro, viene richiesto l’indirizzo email al quale tale chiave sarà associata e tale indirizzo email verrà inserito all’interno della chiave pubblica PGP, quindi pubblicamente visibile da chiunque abbia la chiave.

Chiave pubblica PGP/GPG permette arresto nel dark web

Lo stesso agente DEA conferma nella sua deposizione come l’analisi delle chiave pubbliche dei due venditori DARKAPOLLO e AREA51 ha portato all’identificazione dello stesso indirizzo di posta, che ha portato – insieme ad altri elementi indiziari – all’identificazione del proprietario.

La chiave pubblica PGP di darkapollo e area51 conteneva il loro indirizzo email

Si possono aggiungere anche diversi indirizzi di posta alla propria chiave PGP, come se ne può certamente inserire uno falso o toglierli del tutto. La “leggerezza” dei due venditori di AlphaBay AREA51 e DARKAPOLLO è stata quella di inserire nella loro chiave pubblica l’indirizzo di posta elettronica, Adashc31@g___l.com, che ha permesso agli investigatori di risalire ai loro profili Facebook, Twitter ed Instagram anche tramite l’utilizzo del nick “Adashc31”. Ci è voluto poco, quindi, a richiedere a Facebook i dati di registrazione e accesso al profilo e scoprire che i due venditori erano in realtà la stessa persona residente a Brooklyn, New York.

I dettagli della vicenda provengono da una deposizione scritta giurata dell’agente DEA John Xxxx [WBM], di cui è stato pubblicato online l’originale redatto al fine di anonimizzare alcune parti del testo. Poiché il contenuto informativo di tali documenti è tale che la difesa potrebbe utilizzarne delle parti per nascondere, distruggere o danneggiare prove prima dell’arresto, qualche giorno fa era stato richiesto un “application to seal” al fine di non pubblicare la documentazione o pubblicarla in formato ridotto.

Per chi è interessato alle indagini che hanno portato agli arresti degli autori di black market o venditori nel dark web, un link di sicuro interesse è quello del ricercatore Gwern Branwen dei Tor Black Market-Relates Arrests [WBM] (mirror su GitHub) che raccoglie tutti gli ultimi casi di arresto nel dark web dettagliando le modalità d’indagine.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *