本月初，FBI等执法部门联手打掉了Silk Road 2.0及其他诸多黑暗站点。我的问题是，How？这正是本期一周回顾要探讨的。

 

在11月6日，FBI、ICE(美国移民和海关执法局)、HSI(国土安全调查局)、Europol(欧洲警察)和Eurojust(欧洲检察官组织)多方联合执法以代号“Operation Onymous”行动一举端掉了Silk Road 2.0和400余个经营毒品、枪支等违禁品以及雇凶杀人等业务的.onion站点，逮捕17人，包括silk road 2.0的运营者Blake Benthall。

The Fall of Darknet(黑暗网络的坠落)，这是一个多么振奋人心的标题。作为一名安全从业者，笔者当下最关心的并不是哪些站点被端或哪些人被抓，而是执法部门如何打掉Silk Road的呢？也许同样是各位读者的疑问。这正是本期一周回顾要探讨的。

众所周知，在2011年2月创建的Silk Road是黑暗网络(英文Darknet或 Deep Web)的代表，专门销售违法的物品和服务，基于Tor网络，利用加密通信意图避开执法部门的监管。其实，在去年10月，FBI就打掉过Silk Road，逮捕了其第一任 "Dread PirateRoberts" (笔者注： Dread Pirate Roberts是Silk Road老大的绰号)，Ross William Ulbricht。不料，一个月后，Silk Road 2.0就“开张”了，“Dread Pirate Roberts”就是上文提到的Blake Benthall。

 

我们日常访问的Web只是互联网冰山的一角

关于FBI如何连续打掉Silk Road及其2.0版本，四个字：耐人寻味。我们首先从FBI去年的“战绩”中体味一下。

　　两度爆破Silk Road网站

在去年第一次打掉Silk Road后，FBI官方说法是源于Silk Road登录页面的一个错误配置。Silk Road登录需要进行CAPTCHA验证，然而这个CAPTCHA认证代码暴露了SR服务器的IP地址，FBI正是通过这个IP地址trace到了服务器准确的地理位置，然后跑到托管服务商的机房里完整和物理地复制了一台SR，通过对伪SR的监控掌握了用户的登录行为，进而抓捕了若干核心人员。

没错，是物理地复制了一台Tor服务器。

悲催的是，在FBI公布这个说法之后，公众的反应无疑是打了自己一记耳光——如果真如FBI所说，那么其所作所为本身就违反了CFAA(计算机欺诈与滥用法案)。CFAA禁止对公民IP进行溯源，FBI在非授权情况下通过IP溯源查询嫌疑人隐私信息的做法本身就是违法的。

一波未平，一波又起。更有人跳出来说，FBI的“复制说”尼玛纯属扯淡，太不靠谱，无非是在为自己的“下流的”黑客行为打遮掩。为什么这么说呢？依照FBI的说法，被复制的服务器的IP地址是193.107.86.49，该服务器的证书是自己发放，访问这个服务器，经过认证后就可以弹入到Tor网络中的silkroadvb5piz3r.onion，也就是Silk Road的网站。然而，193.107.86.49服务器的托管位置是在冰岛，主机托管商不可能让FBI在自己的机房里任意复制服务器。FBI辩称对该服务器复制遵循的是“Mutual Legal Assistance Treaty”(法律互助条约)。事实上美国和冰岛之间根本就没有签署过什么“Mutual LegalAssistance Treaty”。那么FBI到底是如何进入人家冰岛的机房，大摇大摆物理地复制了服务器呢？

与此同时，各种版本的谣言就像初春的柳絮一样，漫天飞舞了。有人说，是FBI通过0day入侵了Tor server，控制了整个Silk Road系统。还有人说，其实很简单，就是暴力破解进去的。还有很多七七八八的猜测，这里不再一一赘述。

转眼到了今年11月，FBI宣布再次打掉了Silk Road 2.0。吃一堑长一智。这次FBI就没有再公开自己的手段(至少当前还没有看到官方的解释)。不过，从诸多方面的猜测和分析来看，此番行动执法部门采取的攻击要复杂的多。

(责任编辑：安博涛)