Một phân tích ban đầu cho rằng DarkHotel xuất phát từ Hàn Quốc. Một keylogger – tức phần mềm độc hại dùng để ghi lại các thao tác gõ phím trên thiết bị mà nó tấn công – dùng trong các cuộc tấn công có chứa các ký tự tiếng Hàn bên trong mã. Và zero-day – lỗ hổng trong phần mềm mà những người muốn vá nó không biết đến – là những lỗi rất tiên tiến mà trước đây chưa được biết tới. Hơn nữa, người ta đã truy ra rằng một tên Hàn Quốc được xác định trong keylogger bắt nguồn từ các keylogger tinh vi khác được người Hàn Quốc sử dụng trước đây.
Tuy nhiên, cần lưu ý rằng điều này là không đủ để xác nhận kết luận trên. Phần mềm có thể được cắt và dán từ nhiều nguồn khác nhau. Ngoài ra, có thể thiết kế để phần mềm được tạo ra ở quốc gia A lại trông có vẻ như đến từ quốc gia B.
Để cài được phần mềm độc hại trên máy tính xách tay, DarkHotel sử dụng các chứng chỉ giả mạo trông có vẻ được phát hành từ chính phủ Malaysia và Deutsche Telekom. Nếu bạn nhớ những nội dung đã nhắc đến trong Chương 5, chứng chỉ được sử dụng để xác minh nguồn gốc của phần mềm hoặc máy chủ Web. Để tiếp tục che giấu kỹ hơn công việc của mình, các hacker đã sắp xếp để phần mềm độc hại nằm im trong tối đa sáu tháng trước khi phát tác. Điều này là để ngăn đội ngũ IT có thể nghi ngờ một truy cập là một vụ lây nhiễm.
Kaspersky chỉ biết đến vụ tấn công này khi một nhóm khách hàng của họ bị lây nhiễm sau lần lưu trú tại một số khách sạn sang trọng ở châu Á. Các nhà nghiên cứu đã chuyển sang một máy chủ Wi-Fi của bên thứ ba chung cho cả hai, và máy chủ Wi-Fi hợp tác với công ty chống virus để tìm hiểu những gì đang xảy ra trên mạng của họ. Mặc dù các file được sử dụng để lây nhiễm cho các khách hàng đã biến mất từ lâu, nhưng bản ghi về việc xóa file còn lại tương ứng với ngày lưu trú của khách.
Cách dễ nhất để tự vệ trước loại tấn công này là kết nối với dịch vụ VPN ngay khi bạn kết nối với Internet tại khách sạn. Dịch vụ VPN tôi sử dụng khá rẻ – chỉ 6 đô-la mỗi tháng. Tuy nhiên, đó không phải là lựa chọn tốt nếu bạn muốn tàng hình vì nó sẽ không cho phép thiết lập ẩn danh.
Nếu bạn muốn ẩn danh, đừng tin tưởng đưa cho nhà cung cấp VPN thông tin thực của bạn. Để làm được điều này, bạn phải thiết lập từ trước một địa chỉ email giả và sử dụng một mạng không dây mở. Khi đã có địa chỉ email giả, hãy sử dụng Tor để thiết lập ví Bitcoin, tìm một máy ATM Bitcoin để nạp tiền cho ví, và sau đó sử dụng một máy trộn để rửa Bitcoin nhằm ngăn người khác truy ngược lại bạn trên blockchain. Quá trình rửa tiền này đòi hỏi phải thiết lập hai ví Bitcoin sử dụng các mạch Tor khác nhau. Ví tiền đầu tiên được sử dụng để gửi Bitcoin cho dịch vụ rửa, và ví thứ hai được thiết lập để nhận Bitcoin sau khi rửa.
Sau khi đã đạt được trạng thái ẩn danh thực sự bằng cách sử dụng Wi-Fi mở nằm ngoài tầm ngắm của các camera cộng với Tor, hãy tìm một dịch vụ VPN chấp nhận thanh toán bằng Bitcoin. Hãy thanh toán bằng Bitcoin đã rửa. Một số nhà cung cấp VPN như WiTopia chặn Tor, vì vậy bạn cần tìm một nhà cung cấp dịch vụ VPN không làm điều đó – tốt nhất là sử dụng nhà cung cấp VPN không lưu lịch sử kết nối.
Trong trường hợp này, chúng ta không “tin tưởng” nhà cung cấp VPN có địa chỉ IP hoặc tên thật của chúng ta. Tuy nhiên, khi sử dụng VPN mới thiết lập, bạn phải cẩn thận không sử dụng bất kỳ dịch vụ nào được kết nối với tên thật của bạn và không kết nối với VPN từ địa chỉ IP có thể được gắn với bạn. Bạn có thể xem xét việc chia sẻ kết nối với một điện thoại dùng một lần ẩn danh, xem tại đây.
Trong trường hợp này, chúng ta không giao cho nhà cung cấp VPN địa chỉ IP hoặc tên thật của mình. Tuy nhiên, khi sử dụng VPN mới thiết lập, bạn phải cẩn thận không sử dụng bất kỳ dịch vụ nào được kết nối với tên thật của bạn và không kết nối với VPN từ địa chỉ IP có thể được gắn với bạn. Bạn có thể cân nhắc việc sử dụng điện thoại ẩn danh.
Tốt nhất bạn nên mua một thiết bị phát sóng di động (nhớ là mua theo cách khó xác định được bạn). Ví dụ, bạn có thể thuê người mua hộ để bạn không xuất hiện trong camera của cửa hàng bán thiết bị. Trong khi đang sử dụng điểm phát sóng ẩn danh, bạn nên tắt bất kỳ thiết bị cá nhân nào sử dụng tín hiệu di động để tránh việc thiết bị cá nhân của bạn đăng ký ở cùng một nơi với thiết bị ẩn danh.
Tóm lại, đây là những gì bạn cần làm để sử dụng Internet một cách riêng tư khi đi lại:
- Mua thẻ quà tặng trả trước ẩn danh. Ở châu Âu, bạn có thể mua thẻ tín dụng trả trước ẩn danh tại viabuy.com.
- Sử dụng Wi-Fi mở sau khi thay đổi địa chỉ MAC.
- Tìm một nhà cung cấp email cho phép đăng ký mà không cần xác thực qua tin nhắn. Hoặc bạn có thể đăng ký số Skype-in bằng cách sử dụng Tor và thẻ quà tặng trả trước. Với Skype-in, bạn có thể nhận cuộc gọi thoại để xác minh danh tính. Hãy đảm bảo bạn không nằm trong tầm quan sát của camera (nghĩa là, không phải trong quán cà phê Starbucks hoặc bất kỳ nơi nào khác có giám sát bằng camera). Sử dụng Tor để che dấu vị trí khi bạn đăng ký dịch vụ email này.
- Sử dụng địa chỉ email ẩn danh mới để đăng nhập vào một website như paxful.com qua Tor, sau đó đăng ký ví Bitcoin và mua Bitcoin. Thanh toán cho họ bằng thẻ quà tặng trả trước.
- Thiết lập địa chỉ email ẩn danh thứ hai và ví Bitcoin thứ hai mới sau khi đóng và thiết lập một mạch Tor mới để ngăn chặn bất kỳ liên kết nào với tài khoản email và ví tiền đầu tiên.
- Sử dụng dịch vụ rửa tiền Bitcoin như bitlaunder.com để khó có thể theo dõi nguồn gốc của đồng tiền. Gửi Bitcoin đã rửa đến ví thứ hai.
- Đăng ký một dịch vụ VPN loại không ghi lịch sử luồng truy cập hoặc IP các kết nối bằng cách sử dụng Bitcoin được rửa. Bạn có thể tìm hiểu những gì được ghi lại lịch sử bằng cách xem chính sách bảo mật của nhà cung cấp VPN (ví dụ: TorGuard).
- Thuê người dùng tiền mặt mua thiết bị phát sóng di động ẩn danh.
- Để truy cập Internet, hãy sử dụng thiết bị phát sóng ẩn danh ở xa nhà, nơi làm việc và các thiết bị di động khác của bạn.
- Sau khi bật nguồn, hãy kết nối VPN thông qua thiết bị phát sóng di động ẩn danh đó.
- Sử dụng Tor để duyệt Internet.
Chương 15:
FBI luôn bắt được người
Trong khu vực tiểu thuyết khoa học viễn tưởng tại Thư viện Công cộng San Francisco, chi nhánh Glen Park, cách không xa căn hộ của mình, Ross William Ulbricht đang tham gia vào một cuộc trò chuyện hỗ trợ khách hàng trực tuyến cho công ty mà anh sở hữu. Khi đó – tháng 10 năm 2013 – người trao đổi với anh trên mạng đang đinh ninh rằng tiếp chuyện mình là quản trị viên của website với biệt danh Dread Pirate Roberts, một cái tên lấy từ bộ phim The Princess Bride. Roberts, còn được gọi là DPR, trên thực tế là Ross Ulbricht, không chỉ là quản trị viên mà còn là chủ sở hữu của Silk Road, một trung tâm buôn bán ma túy trực tuyến lớn, và do đó là đối tượng của cơ quan săn lùng tội phạm liên bang. Ulbricht thường xuyên sử dụng các địa điểm Wi-Fi công cộng như thư viện để làm việc – có lẽ quyết định này xuất phát từ một hiểu nhầm rằng nếu phát hiện ra anh chính là DPR thì FBI cũng không bao giờ tổ chức đột kích ở nơi công cộng cả. Tuy nhiên, vào ngày hôm đó, người mà Ulbricht đang tiếp chuyện thực ra lại là một mật vụ FBI.
Điều hành một trung tâm thương mại ma túy trực tuyến – trong đó khách hàng có thể đặt mua cocaine và heroin và các loại ma túy tổng hợp một cách nặc danh – đòi hỏi một tinh thần thép. Website của Silk Road được đặt trên Dark Web và chỉ có thể truy cập thông qua Tor. Website nhận thanh toán bằng Bitcoin. Và nhà sáng lập Silk Road đã cẩn thận, nhưng vẫn chưa đủ cẩn thận.
Vài tháng trước đó, FBI đã khoanh vùng được Ulbricht, sau khi một người bất ngờ liên lạc với cơ quan này để cung cấp bằng chứng cho thấy Ulbricht chính là DPR. Người này, một nhân viên của Cục Thuế vụ (IRS) tên là Gary Alford, đã đọc về Silk Road và nguồn gốc của nó, và vào các buổi tối anh ta thường thực hiện thêm các tìm kiếm nâng cao trên Google. Anh ta phát hiện ra rằng Silk Road được nhắc đến lần đầu từ năm 2011, khi một người có biệt danh “altoid” nhắc tới nó trong một nhóm trò chuyện. Do lúc đó Silk Road vẫn chưa ra đời, nên Alford cho rằng altoid nắm được thông tin nội bộ về hoạt động này. Một cách tự nhiên, Alford bắt đầu tìm kiếm các thông tin tham khảo khác.
Anh ta đã đào trúng hố vàng.
Altoid đã đăng câu hỏi lên một nhóm trò chuyện khác, nhưng xóa tin nhắn gốc. Alford tìm ra một câu trả lời cho câu hỏi gốc lúc này đã bị xóa đi, trong đó altoid cho biết nếu ai trả lời được câu hỏi của mình, người đó có thể liên lạc với anh ta tại địa chỉ email là [email protected].
Đó không phải là lần lộ thông tin duy nhất. Một số câu hỏi khác cũng được đăng lên, trong đó có một câu được đăng lên một website tên là Stack Overflow: câu hỏi ban đầu được gửi từ [email protected], nhưng sau đó tên người gửi được đổi thành DPR.
Quy tắc số 1 về việc tàng hình: không bao giờ được liên kết con người trực tuyến ẩn danh với con người trong thế giới thực. Không bao giờ được làm điều đó.
Sau đó là những đầu mối liên kết khác. Ulbricht, giống như DPR, tán dương các triết lý thị trường tự do của nhà tự do chủ nghĩa Ron Paul. Và có lúc, Ulbricht thậm chí còn đặt mua một số giấy phép lái xe giả với những tên gọi khác nhau từ các tiểu bang khác nhau – việc này trở thành vết lông ngỗng dẫn các đặc vụ liên bang đến trước cửa nhà anh ta ở San Francisco vào tháng 7 năm 2013, nhưng tại thời điểm đó, chính quyền không hề biết họ đang nói chuyện với DPR.
