Câu chuyện công nghệ

Silk Road – Thor data center (kỳ 16)

(PCWorldVN) Đã có manh mối, nhưng để thu thập chứng cứ và truy tìm DPR vẫn không phải chuyện dễ. Tarbell cùng nhóm của anh đã phải bay sang tận Iceland.

XVI – Thor

Cảnh hạ cánh tuyệt đẹp. Christ Tarbell, đặc vụ từ văn phòng FBI New York, ngồi ghế gần cửa sổ máy bay, nhìn ra quang cảnh nước biển xanh thăm thẳm khi anh hạ cánh tại vùng đất Iceland. Đáp xuống sân bay quốc tế Keflavík, thành phố Keflavik cũng dần hiện ra trong tầm mắt. Và phía chân trời lúc ấy cũng xuất hiện một toà nhà trông như cái hộp trắng tinh, đó là Thor Data Center. Đó cũng là lý do mà Tarbell và 2 uỷ viên khác đến đây. Thor là nơi chứa một cái máy tính, có một địa chỉ IP cực kỳ quan trọng, là địa chỉ mà Tarbell và đồng sự FBI của anh đã phát hiện tại New York, một máy chủ ẩn, đang chạy ngôi chợ tội phạm trực tuyến mang tên Silk Road.

Họ đã điều tra vụ này vài tháng qua cùng với nhiều điệp vụ liên bang khác trên khắp nước Mỹ, là chiến dịch truy tìm dấu vết số về kẻ mang tên Dread Pirate Roberts: ông chủ dấu mặt của Silk Road, là ngôi chợ trực tuyến khổng lồ, có chức năng tương tự như Amazon nhưng bán các món hàng và dịch vụ trái với pháp luật. Các điều tra về Silk Road được nhiều tổ chức an ninh thực hiện, trong đó có Homeland Security, Secret Service và DEA ở Baltimore, nơi mà đặc vụ Carl Force cũng điều tra, dưới một vỏ bọc danh tính khác, đóng vai trò là người buôn bán trên Silk Road trong hơn 1 năm.

Tarbell và nhóm của anh có tên là Cyber Squad 2 (viết tắt CY2) đều là người mới, thuộc FBI. Ngoài ra, các cơ quan mật vụ khác đều giành lấy vụ án này từ tay FBI vì phần lớn cho rằng những nhiệm vụ của FBI liên quan đến đời thực, với súng ống nhiều hơn. Nhưng giữa những áp lực đến từ nhiều phía như vậy, Tarbell và nhóm CY2 được cho là nhóm tiên phong trong vụ án này.

Một góc trong trung tâm dữ liệu Thor tại Iceland, là nơi đặt máy chủ Silk Road.

Những đặc vụ tội phạm mạng thường dành nhiều thời gian ngồi trước máy tính và nên họ sẽ cảm thấy rất hứng thú nếu đặt chân ra đời thực. Bên dưới tầm mắt của CY2 là Iceland, những mỏm đá nhô lên từ mặt nước do núi lửa tạo thành. Bên dưới lòng biển là những sợi cáp kích thước khổng lồ, biến quốc gia này trở thành vị trí quan trọng về lưu lượng web; hòn đảo này nằm cách đều giữa Bắc Mỹ và châu Âu, vì vị trí địa lý như vậy và khí hậu lạnh giá nên các trung tâm dữ liệu giảm được chi phí tản nhiệt nhờ tận dụng khí trời lạnh. Một trong những uỷ viên nói với Tarbell về tính trọng yếu của mặt địa lý ở Iceland, là cái trục giữa người Bắc Mỹ và người châu Âu, càng ngày vị trí này càng trở nên quan trọng.

Khi đặt chân lên mặt đất tại Reykjavik, Tarbell và 2 vị uỷ viên gặp đối tác của họ và giải thích lý do tại sao họ có mặt ở đó. Silk Road đã qua mặt luật pháp gần như 3 năm bởi vì trang web này chạy với Tor, một loại công cụ mã hoá khiến giới điều tra gần như không thể thấy được thông tin bên mua, bên bán hoặc máy chủ của trang web này. Dù vậy, Tarbell đã có cơ hội phát hiện được.

Bắt đầu cuộc điều tra là từ ngay tại bàn làm việc, Tarbell rất kiên nhẫn, tìm hiểu giao thức đặt địa chỉ IP của Tor và dành nhiều thời gian trên Silk Road để tìm bạn chat về các lỗi bảo mật của trang web này. May mắn đến với anh từ một mục trên Reddit: một người dùng đăng một cảnh báo rằng địa chỉ IP của Silk Road đang “rò rỉ”, vài máy tính nào đó có thể thấy được. Dread Pirate Roberts (còn có tên là DPR) cũng được một người dùng khác cảnh báo lỗi này nhưng hắn lờ đi. Thành công của Silk Road là khiến DPR kiêu ngạo. Hắn không chú ý bảo mật, tự tin nói với cộng sự rằng trang web sẽ không bao giờ bị phát hiện địa chỉ IP thực.

Tarbell đưa ít dữ liệu lên Silk Road với hy vọng thấy được lỗ hổng này. Anh vào những username có mật khẩu yếu (và ngược lại) và dán dữ liệu vào trong các trường nhập dữ liệu, trong lúc đó sử dụng những phần mềm cũ, miễn phí để phân tích traffic mạng và thu thập các địa chỉ IP vào ra máy tính của anh. Sau đó, anh thử với các IP đó. Vào ngày 5/6/2013, sau khi khởi chạy tại các IP mà anh thu thập nhiều giờ liền, Tarbell dán một trong số đó vào trình duyệt – 193.107.86.49 – và đột nhiên có một trường nhập Silk Road Captcha hiện lên. Anh cho đặc vụ Ilhwan Yum và chuyên viên máy tính Tom Kiernan xem. Đây là điều mà họ chờ đợi: một lỗi trong cấu hình ở đâu đó của Silk Road, làm lộ địa chỉ IP thực của nó, giúp Tarbell có thể theo dấu, dẫn anh đến vùng đất Iceland giá lạnh này.

Trước đây, Tarbell cũng từng đến đảo quốc Iceland và quen biết trước một số quan chức tại cuộc họp. Tại đây, một nhân viên khởi tố người Iceland đã khiến Tarbell xiêu lòng. Cô mặc chiếc đầm bó sát, đeo kính kiểu thư ký và tóc màu hung, cũng là tuỳ viên của đại sứ quán Mỹ ở Iceland. Đây là vấn đề nhạy cảm, vì anh phải đưa ra yêu cầu cho một chính phủ khác, và một luật sư Mỹ phải viết thư thỉnh cầu chính thức gửi lên chính quyền Iceland yêu cầu được điều tra. May mắn là chính quyền Iceland nhanh chóng ưng thuận và cuộc họp kết thúc chỉ sau 1 giờ. Không lâu sau đó, một đội cảnh sát Iceland đã xuất hiện ngay tại tiền sảnh trắng muốt của Thor Data Center.

Trung tâm dữ liệu tại sao có tiền sảnh? Phía trước tiền sảnh là cửa kính bóng loáng, nền nhà không một tì vết và trung tâm này chứa chiếc siêu máy tính không toả nhiệt đầu tiên trên thế giới. Nghề giám định tội phạm mạng có nghĩa là bạn phải chui rúc trong mớ dây nhợ của hàng đống máy tính trong tầng hầm nào đó. Thor giống như hình ảnh của tương lai. Bên kia cánh cửa có khoá thẻ của tiền sảnh là một nhà để máy bay cũ, hiện đang có thùng container loại cao (chiều cao gấp đôi container chuẩn), màu xanh dương sáng với những băng dán màu bạc, bên trong toàn máy chủ. Phía trong là 3 dãy máy chủ phiến, sắp từ dưới nền lên đến nóc, đèn xanh dương từ chúng chớp nháy liên tục. Không khí rất giá lạnh và tiếng ồm ồm của hàng ngàn chiếc quạt tản nhiệt phát ra. Điện năng cho trung tâm dữ liệu này lấy từ hệ thống nguồn Vulcan được lắp trong các nền đá bên dưới. Chính quyền Iceland tìm được đúng chiếc hộp và phát hiện ra rằng nó có một ổ đĩa mirror (ánh xạ hệt như đĩa gốc). Họ lấy đĩa mirror ra, quay lại Reykjavik và trao ổ đĩa ấy cho Tarbell. Chỉ như vậy thôi, Tarbell đang giữ trong tay mình toàn bộ Silk Road.

Ngay vừa nhìn vào ổ cứng của trang web này, Tarbell rất bất ngờ: Vào ngày 21/7/2013, tầm khoảng thời gian Tarbell đáp cánh xuống Iceland, tài khoản của DPR nhận được 3.237 chuyển khoản, với tổng cộng 19.459 USD, biến DPR là người có thu nhập hàng năm đến hơn 7 triệu USD. Trung tâm dữ liệu này cũng có các file nhật ký (log) trong vòng 6 tháng gần nhất. Những file log này liệt kê mọi máy tính khác có trao đổi thông tin với máy chủ này. Đây là một chứng cứ điều tra hoàn hảo.

Sau khi quay về New York, Tarbell bắt đầu thu thập hết mọi thông tin vào ra từ chiếc máy này với các máy tính khác trên khắp thế giới kết nối với nó. Họ nhận thấy dữ liệu được ghi lại ở port 22, là cổng kết nối mã hoá mà chỉ có người quản trị (admin) đăng nhập vào được và phát hiện vài địa chỉ IP không có dùng Tor, gồm: một bản sao lưu gần Philadelphia, một máy chủ proxy host khác ở Pháp, một VPN ở Romania.

Trên tường trong phòng thí nghiệm máy tính CY2, Tarbell dán một tấm giấy lớn vẽ bản đồ điều tra tội phạm theo kiểu rất truyền thống, với những đường vẽ liên kết các mối quan hệ, các đầu mối và chứng cứ. Nhưng khác với kiểu mô hình tội phạm truyền thống, biểu đồ này đặt máy chủ ở Iceland tại trung tâm, mô hình ấy là những đường chằng chịt hệ thống mạng máy tính mã hoá.

Tarbell là người suy luận, anh thích nhìn những liên kết kiểu này. Một trong những liên kết ấy dẫn tới một địa chỉ IP có đăng nhập cuối cùng đến VPN Silk Road. Kế bên liên kết ấy, Tarbell vẽ một dấu chấm hỏi. Một trát hầu toà đề địa chỉ vật lý của IP ấy: Cafe Luna, đường Sacramento, San Francisco.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s