"Следствие ведут знатоки": как "федералы" раскрыли Ульбрихта

История дня. Как создать онлайн-сервис по продаже наркотиков и "сесть" на всю жизнь
Foto: Wikipedia

У ФБР и других федеральных агентств, которые занялись Silk Road, не было никакой информации, кроме, собственно, того факта, что сервис есть, им пользуется все больше и больше людей. На пике, в момент закрытия, у "Шелкового пути" было около миллиона зарегистрированных пользователей из самых разных стран мира (большинство, впрочем, из США).

Что делают агенты ФБР, когда утыкаются в кирпичную стену? Они начинают копать — искать первые публичные упоминания сервиса в надежде, что это выведет на людей, которые или причастны к его созданию или "знают парней, которые знают парней, которые что-то знают".

Поиск привел к датированному 27 января 2011 года объявлению на форуме shroomery.org, посвященном наркотикам:

"Я наткнулся на сайт Silk Road. Это Tor-сервис, который утверждает, что вы можете покупать и продавать что угодно и анонимно. Я думаю купить там, но прежде хотелось бы узнать, слышал ли кто-то и что-то об этом и может ли кто-то его рекомендовать".

В посте указан адрес silkroad420.wordpress.com. На этом сайте, построенном на платформе WordPress, были размещены инструкции о том, как добраться до настоящего Silk Road. Судебный запрос заставил WordPress раскрыть информацию. Оказалось, что сервис был зарегистрирован 23 января 2011 года, лишь за четыре дня до поста на форуме. Если это и не было первым публичным упоминанием Silk Road, то точно было одним из самых первых.

У ФБР появилось первое "имя" — пользователь "Altoid". Дальнейшие поиски показали, что Altoid в октябре 2011 года на другом форуме, Bitcoin Talk, искал "профессионалов в области IT" и даже указал адрес для связи: "rossulbricht at gmail dot com".

Повестка в адрес Google выявила, что за адрес зарегистрирован на Росса Ульбрихта. Учетная запись была связана с его профайлом на Google+, а там оказался список его любимых видео, который красноречиво говорит о его интересах. Среди роликов было и немало тех, что "Ужасный пират Робертс" — кличка Ульбрихта — оставлял на форумах Silk Road.

Все это было довольно убедительно, но доказательства были лишь косвенными. ФБР было нужно что-то, что бы прямо связало Росса Ульбрихта с Silk Road.

Следующее доказательство было получено, когда "федералы" обнаружили, что в марте 2012 года Ульбрихт на популярном среди программистов сайте StackOverflow просил помощи в решении проблемы с кусочком PHP-кода. Изначально он сделал это под своим настоящим именем, но, вероятно, сообразив, что это плохая идея, изменил никнейм на "frosty". Позже он сменил и адрес электронной почты, но сведения остались в базе StackOverflow и позже были получены ФБР.

О том, что делало ФБР с этого момента, известно не так много. Однако, известно, что летом 2013 года американская таможня в ходе "рутинной проверки" обнаружила посылку на адрес дома, в котором в Сан-Франциско проживал Ульбрихт. В посылке из Канады было девять поддельных документов на разные имена, но с фото Ульбрихта. Мог ли он быть настолько беспечным, чтобы самостоятельно заказать их для себя? Или это была "подстава" от людей, которые знали, кто он такой и хотели вышвырнуть его из бизнеса?

Агенты Министерства внутренней безопасности США наведались домой к Ульбрихту, однако он отказался отвечать на большинство вопросов, заявив лишь, что никакие поддельные документы себе не заказывал. Он также оговорился, что "гипотетически заказать их мог любой через сервис Silk Road". Впрочем, ФБР и прочим следователям такие оговорки Ульбрихта к тому моменту были не нужны — у них появились значительно более весомые доказательства.

Примерно в это же время ФБР каким-то образом нашла сервера Silk Road, расположенные за рубежом. Как это было сделано — достоверно неизвестно. Есть обоснованное предположение, что сайт был взломан американскими спецслужбами (с разрешения американского же суда).

То, что по факту он оказался на хостинге юридического лица, которое находилось в другой стране, ФБР (или любое другое американское федеральное агентство), не смутил. Но это не удивительно — из документов, опубликованных Эдвардом Сноуденом, мы знаем, что американские спецслужбы видят электронные коммуникации всего мира, как свою "песочницу", в которой они могут совершенно спокойно "играться", не спрашивая ни у кого разрешения.

Согласно официальному заявлению ФБР, сервер Silk Road оказался в стране, с которой у США есть договор о правовой помощи. В рамках договора "федералы" запросили у провайдера "образ" дисков (по сути, копию сервера) - и получили его. Кстати, достоверно неизвестно, так ли это было на самом деле: взломав сервер, агенты легко могли снять этот образ самостоятельно. Звучит фантастически? Учитывая, что федеральные агенты, "раскручивавшие" Ульбрихта, теперь сами находятся в розыске за кражу (об этом ниже) — особой веры всем причастным нет. Они вполне могли провернуть это, "подшив" нужные бумажки к делу позже.

Легко понять, что, добравшись до самого сервера Silk Road, ФБР нашло там более чем достаточное количество доказательств причастности самого Росса Ульбрихта к работе биржи по торговле наркотиками. Так что октябрьский арест в библиотеке стал логичным завершением активной фазы следствия. Вот только… откуда ФБР знало, что "frosty" на StackOverflow — это Ульбрихт? Оказалось, что SSH-логин и публичный ключ сервера оканчивались на "frosty@frosty". Кроме того, этот PHP-код, слегка измененный, также был найден на сервере.

Но это все технические детали, они скучны. Словно заботясь о развлечении тех, кто будет разбирать историю его жизни, сам Ульбрихт разворачивает повествование на 180 градусов. Из сериала "Хакеры" она превращается в Breaking Bad ("Во все тяжкие").