第四章 暗網交易市場打擊行動
第三節 去匿名化行動
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三節 去匿名化行動(Operation Onymous),2014/11
相對於「馬可波羅行動」為美國主導下國內多方執法機構(multi-agency)合作 的行動,2014 年十一月由美國聯邦調查局與歐盟下常設機構歐洲刑警組織分別 對外宣布成果的「去匿名化行動」為一場打擊暗網交易市場的國際協調與合作下 行動(join action)。此次參與行動的執法單位包括美國共 17 個國家,分別為保加 利亞、捷克、芬蘭、法國、德國、匈牙利、愛爾蘭、拉脫維亞、立陶宛、盧森堡、
荷蘭、羅馬尼亞、西班牙、瑞典、瑞士、以及英國。 (DoJ Office of Public Affairs, 2014; Europol, 2014; Vinton, 2014)。行動名稱「Onymous」意思為「有名字的」
實為「匿名」(anonymous)之反義詞,反映了執法單位欲打破 Tor 網路所提供予 用戶以及隱藏服務網站匿名特性之決心。以下檢視此次行動背景、內涵、成果。
一、行動背景
根據學者在 2015 年發表對暗網主要交易市場之交易總額研究,自「絲綢之 路」負責人被逮捕、網站關閉後,暗網上非法物品交易愈發盛行,在多方新聞媒 體、網站等報導與引領下,暗網交易市場使用人數有不減反增之趨勢。多個交易 市場接連浮出檯面、其中以自稱為延續「絲綢之路」創辦人理想的「絲綢之路 2.0」為代表。自「絲綢之路」運行起始後,這些暗網主要交易市場平均每日交 易額之總和介於穩定的 30 萬至 50 萬美元之區間,最高也曾經達到約 65 萬美元 之總額 (Soska & Christin, 2015)。該研究實實在在地反映出美國政府對於暗網交 易市場「絲綢之路」的打擊行動並未在暗網上達到有效嚇阻效果。其中,「絲綢 之路 2.0」可以說是繼「絲綢之路」關閉後暗網最具規模的交易市場,據聯邦調 查局估計,網站在被查封前的 2014 年九月 10 日至十月 10 日之間,平均交易總 額高達 8 百萬美元 (United States v. Benthall-sealed complaint, 2014, p. 18)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
有鑑於暗網非法物品交易規模持續增加,美國與歐盟國家在 2014 年五月歐 洲網路犯罪中心(EC3)34主持的一場會議中啟動了「去匿名化行動」 (Vinton, 2014),
參與此次各國協調打擊犯罪行動之主要機構除了歐洲網路犯罪中心本身,也包括 美國聯邦調查局、移民與海關執法局、國土安全調查處、以及歐洲司法合作組織 (Eurojust)等 (Europol, 2014)。
34 歐洲網路犯罪中心成立於 2013 年初,隸屬歐洲刑警組織,其總部設在荷蘭海牙。該中心之成 立宗旨即是協調各國針對網路犯罪的跨境執法活動,並提供技術專業上的支援。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
資料來源:作者整理自 Soska & Christin (2015)
圖九 暗網主要交易市場每日平均交易額總和示意圖(2013 年七月-2015 年一月)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
二、行動內涵
不同於 2013 年的「馬可波羅行動」只針對特定一個暗網毒品交易市場,此 次行動所設定之對象為多個不同類型之暗網交易市場以及其賣家、買家,且其行 動中所採取之打擊手法細節並沒有完全對外公開,意即這些國家機構如何突破 Tor 網路從而找到這些隱藏服務網站伺服器位址或是得知網站負責人真實身分,
至今仍是個謎。根據歐洲網路安全中心(EC3)負責人 Troels Oerting 表示:
「這是我們想有所保留的部份....我們所採用的方式,不能與全世界分享,
因為如此我們才能一次、一次、又一次地採用。」 (Greenberg, 2014) 由於在此次行動中,最具有規模代表性的暗網交易市場即為「絲綢之路 2.0」, 而針對「絲綢之路 2.0」的執法行動內涵,相關控告書中針對過程有較詳細的描 述。因此,以下以該市場做為本次行動內涵討論之對象。
在「絲綢之路 2.0」案件中,牽涉到三個主要角色: HSI-UC、DPR2、以及
「Defcon」。其中,HSI-UC(以下稱臥底)為美國聯邦調查局對網站負責人的刑事 控告書中所給予美國國土安全調查處(HSI)臥底探員之簡稱,其中 UC 即為臥底 之英文簡稱 (U.S. Attorney’s Office for the Southern District of New York, 2014)。雖 然在本案中,該名臥底探員真實身分以及使用之網路帳號名稱並未公布,然據外 界觀察,認為極可能是在「馬可波羅行動」中曾以「cirrus」網路名稱來臥底、
對該案極為有貢獻的探員 Jared Der-Yeghiayan (Cox, 2014)。DPR2(以下稱第一負 責人)同樣是在該刑事控告書中被賦予之簡稱,由於「絲綢之路 2.0」負責人決定 在網路上承繼「絲綢之路」負責人 Ulbricht 之網路名稱「Dread Pirate Roberts」,
因此該控告書以 DPR2 為「絲綢之路 2.0」負責人之簡稱已作區別。「Defcon」則 為本案當事人 Blake Benthall 之網路名稱,他即是「絲綢之路 2.0」第二負責人,
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
接續第一負責人放手後對「絲綢之路 2.0」之一切管理。 (United States v.
Benthall-sealed complaint, 2014)
在「絲綢之路」於 2013 年十月被關閉的幾天後,臥底以及先前「絲綢之路」
上其他賣家被第一負責人從原先「絲綢之路」論壇邀請至新創之「絲綢之路 2.0」
論壇,商議開創「絲綢之路 2.0」事宜。35自此,臥底從市場創立之初即掌握了 相當的管理權限。2013 年十二月,先前「絲綢之路」之三名管理員被逮捕起訴 (U.S.
Attorney’s Office for the Southern District of New York, 2013),第一負責人也突然 消失,自此,「Defcon」接下「絲綢之路 2.0」負責人崗位 (Berkman, 2013)。
經過檢視該刑事控告書可得知,聯邦調查局將網路名稱「Defcon」與現實中 的 Blake Benthall 做連結,進而將他定罪,並關閉其所主持的網站,所採用的是 以下流程 (United States v. Benthall-sealed complaint, 2014):
(一) 掌握網站伺服器所在位置。
聯邦調查局首先掌握疑似為「絲綢之路 2.0」所在之國外網站伺服器,
經由該國執法單位協助對該伺服器進行鑑識成像與分析。由於該單位進行鑑 識成像同時,「絲綢之路 2.0」網站也出現無法連結之情況,致使論壇多人抱 怨,從而確定該伺服器即為網站真實所在之伺服器。然而,有關如何掌握該 伺服器位置,聯邦調查局並未表明方法。
(二) 掌握該伺服器之承租兼管理者所登記之電子信箱。
經由出租該伺服器之公司所提供之資訊,聯邦調查局掌握該承租人登記 電子信箱為「[email protected]」,並經由該信箱與公司之間的通訊內容,
確認信箱持有人為事實上承租並管理該伺服器之人。同時,經由 Google 公 司所提供的資訊,得知登入該電子信箱之電腦 IP 位址。
35 暗網交易市場多有其專屬論壇,供負責人、管理員、賣家抑或是買家之間的互通有無。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(三) 掌握該電子信箱持有者身分為當事人之事實。
經由 Google 公司提供註冊該信箱之個人資料以及電腦 IP 位址,得到 Blake Benthall 身分。並同時以 Benthall 在諸如 Twitter 的社群網站上註冊時 提供的照片以及同一個電子信箱,以及 Benthall 在電子信箱中信件中以及社 群網站上提到「絲綢之路 2.0」之事實,從而確定 Benthall 不僅為電子信箱 所有人,同時也有與「絲綢之路 2.0」相關聯之事實。
(四) 以當事人持續在網站上線期間同時有穩定的比特幣收入為佐證。
在「絲綢之路 2.0」運行期間,Benthall 有多筆不尋常的大量比特幣交 易之紀錄。鑒於比特幣即為「絲綢之路 2.0」主要交易用之加密貨幣,聯邦 調查局人認為,該些紀錄顯示了 Benthall 與暗網交易市場之間應該存在著關 係。
(五) 掌握當事人電腦軟體組合(系統版本與瀏覽器版本)與「Defcon」所使用電腦 軟體組合吻合之事實。
由於「絲綢之路 2.0」客服系統記錄包括賣家、買家、以及管理員使用 客服系統時所使用之電腦相關細節,臥底藉由其臥底帳號所具有之管理權限,
得知在 2014 年四月 6 日當天,「Defcon」曾以電腦系統 Apple OS X 版本 10.9.0 與瀏覽器 Google Chrome 版本 35.0.1910.3 登入過客服系統。聯邦調查局也 經由 Benthall 使用之比特幣交易平台所提供之用戶登入資料,得知在同一天 Benthall 也曾用該電腦系統與瀏覽器版本登入比特幣交易平台。由於該瀏覽 器版本為測試版本(beta version)、電腦系統版本也並非當時最新版本,如此 特殊的組合促使聯邦探員相信 Benthall 即為「Defcon」。
(六) 藉由同時對當事人進行人的跟監(physical surveillance)以及對「Defcon」進 行網路跟監,從而將跟監結果作為當事人 Benthall 與「Defcon」為同一人之佐證。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
以聯邦探員在 Bentall 在住處外以及臥底在「絲綢之路 2.0」論壇上的跟 監行動,發現 Benthall 出入住所與帳號「Defcon」上下線時間極為吻合。
(七) 對當事人住所電腦 IP 位址進行監控。
藉由監控住所電腦 IP 位址的網路連線資訊,聯邦探員觀察到 Benthall 電腦與 Tor 網路之間存在著顯著網路流量往來。
三、行動結果
執法單位最初對外公布「去匿名化行動」關閉了至少 400 個以上的隱藏服務 網站、逮捕 17 名被告、並沒收價值近 100 萬美元的比特幣以及 18 萬歐元現金 (DoJ Office of Public Affairs, 2014) (Europol, 2014)。然而相關單位並沒有提供關於 這 400 多個隱藏服務網站的完整清單,也並沒有對外公開在此次行動中被捕的 17 名被告名單與國籍 (Vinton, 2014)。除了前述的「絲綢之路 2.0」外,一份請 求查封暗網交易市場的控告書中明確提出至少有 27 個暗網交易市場為此次行動 之對象,並依照該 27 個「販賣各種非法物品以及服務」的暗網網站上主要交易 物種類,分為以下不互斥之類別:毒品相關、被盜或假信用卡相關、假鈔相關、
以及假身分證明文件相關 (Vinton, 2014) (“Dozens of online Dark Markets seized”, 2014)。英國國家打擊犯罪調查局(National Crime Agency, NCA)方面也在美國逮捕
「絲綢之路 2.0」負責人 Benthall 之同時,逮捕了六名販毒被告 (International law enforcement deals major blow to dark web markets, 2014),以及「絲綢之路 2.0」第 一任負責人 Thomas White (“Student behind $100m dark web site”, 2019)。
由於官方並未公布所查封的網站之完整清單,引起了外界對其數據以及行動 成效存疑。根據一份由網路安全專家 Cubrilovic 所做的獨立研究顯示,只能確定 276 個網站在此次行動中被查封,這遠低於官方所提供的 400 個網站之數據。此 外他也發現,這 276 個確定在此次行動中關閉的網站,20 個為以詐騙目的存在
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
的假交易網站(scam websites),133 個則為以釣魚(phishing)為目的之複製網站 (clone websites)。其中諷刺的是,該研究也指出,此次行動所查封的網站包括一 個供聖戰組織(Jihadi)募款用的複製網站,然而該聖戰組織募款用之真正網站卻沒 有被查封 (Gold, 2014; Cox, 2015a)。此外,根據非營利組織數位公民聯盟(Digital Citizen Alliance)分別在 2014 年四月以及十二月的報告中可得知,諸如「Evolution」
以及「Agora」等當時暗網主要交易市場並沒有在這次打擊行動中被查封,顯示 了行動成效有限性 (Digital Citizens Alliance, 2014a; Digital Citizens Alliance, 2014b)
而由於在此次行動中執法機構並未正式對外公布獲得暗網交易市場網站伺
而由於在此次行動中執法機構並未正式對外公布獲得暗網交易市場網站伺