Facebook помогла ФБР хакнуть маньяка
Facebook заплатил фирме по кибербезопасности, чтобы нашли zero-day уязвимость в ОС Tails, что позволило идентифицировать человека, который занимался вымогательством и угрожал девушкам.
В течение нескольких лет мужчина из Калифорнии систематически преследовал и терроризировал молодых девушек, используя чаты, электронную почту и Facebook. Он шантажировал, вымогал их обнаженные фотографии и видео, угрожал убийством и изнасилованием. Он также рассылал угрозы массовых расстрелов и взрывов в школах для девочек, если они не пришлют ему откровенные фото и видео.
Бастер Эрнандес (Buster Hernandez), а в интернете «Brian Kil», представлял постоянную угрозу и искусно скрывал свою настоящую личность, так что Facebook предпринял шаг, чтобы помочь ФБР взломать его и тем самым, собрать доказательства для его ареста. Facebook сотрудничала с компанией по поиску уязвимостей и напрямую не передавал наработки в ФБР; неясно, знал ли ФБР, что Facebook участвовал в разработке эксплойта. Согласно источникам в компании, это первый и единственный раз, когда Facebook помог правоохранительным органам взломать преступника.
Данный случай косвенного сотрудничества ФБР и технологического гиганта силиконовой долины (вместе со сторонней компанией) поднимает сложный этический вопрос о том, в каком случае уместно частным компаниям помогать взламывать своих же пользователей. ФБР и Facebook использовали zero-day уязвимость для операционной системы, ориентированной на конфиденциальность, Tails, которая автоматически направляет весь интернет трафик пользователя через сеть Tor. Эксплоит позволил деанонимизировать IP адрес злоумышленника, что в конечном итоге привело к его аресту.
Представитель Facebook подтвердил, что компания работала с "экспертами по безопасности", чтобы помочь ФБР в поимке преступника.
«Это был уникальный случай, потому что он использовал настолько изощренные методы по скрытию свою личность, что мы предприняли экстраординарные шаги в сотрудничестве с экспертами по безопасности, и помогли ФБР поймать преступника»
По словам нескольких нынешних и бывших сотрудников Facebook решение о взломе своего же пользователя принималось тяжело.
Преступления, совершенные Бастером Эрнандесом, были отвратительными. Он говорил жертвам, что «хочет быть худшим кибертеррористом, который когда-либо жил».
Он утверждал, что полиция не сможет его поймать: «Вы думали, что полиция уже нашла меня, но она этого не сделала. она понятия не имеет кто я. Полиция бесполезна», - написал он. «Молитесь на ФБР, но они никогда не решат это дело, я… я выше закона и всегда буду»
Эрнандес использовал защищенную ОС Tails, которая использует Tor и предназначена для шифрования и передачи всего трафика пользователя по сети, скрывая его реальный IP-адрес от веб-сайтов или служб, которые они используют. Используя этот инструмент, он связывался и преследовал десятки жертв на Facebook в течение многих лет до 2017 года, согласно судебным документам. Операционная система также широко используется журналистами, активистами и диссидентами, которые находятся под угрозой слежки со стороны полиции и правительств. Представитель Tails говорит, что «его ежедневно используют более 30 000 активистов, журналистов, жертв насилия в семье и граждан, заинтересованных в приватности».
Эрнандес был настолько печально известен в Facebook, что сотрудники считали его худшим преступником, когда-либо использовавшим Facebook. Согласно этим источникам, Facebook назначил специального сотрудника, чтобы отслеживать его около двух лет, и разработал новую систему машинного обучения, предназначенную для обнаружения пользователей, создающих новые учетные записи и обращающихся к детям в попытке "напасть" на них. По словам двух бывших сотрудников Facebook, эта система смогла обнаружить Эрнандеса и связать с ним разные псевдонимы и их жертв.
Несколько отделов ФБР были вовлечены в охоту, и ФБР предприняло первую попытку взломать и деанонимизировать его, но потерпело неудачу, так как используемый ими инструмент взлома не был приспособлен для Tails. По словам двух бывших сотрудников, Эрнандес заметил попытку взлома и издевался над ФБР.
«Всё что мы делали - законно, но мы не являемся органами правопорядка»
Отдел безопасности Facebook, который в тот момент возглавлял Алекс Стамос, понял, что им нужно помочь ФБР в разоблачении Брайана Кила. Facebook нанял консалтинговую фирму по кибербезопасности для разработки хакерского инструмента с шестизначным ценником. Фирма работала совместно с инженером Facebook и написала программу использующую уязвимость в видео-плеере Tails для выявления реального IP-адреса человека, просматривающего видео. Наконец, Facebook передал ПО посреднику, который, в свою очередь, передал инструмент федералам.
Facebook не специализируется на разработке хакерского ПО и не хочет, чтобы правоохранительные органы рассчитывали на то, что это будет происходить регулярно.
ФБР получив ордер и в сотрудничестве с пострадавшим, отправили хакеру видео с эксплоитом. В феврале этого года хакер признал себя виновным в 41 обвинении и сейчас ожидает вынесения приговора.
Facebook регулярно расследует подобные ситуации на своей платформе, от обычных киберпреступников до сталкеров, вымогателей и др. Несколько команд собирают отчеты пользователей и активно охотятся на этих преступников. Эти группы состоят из специалистов по безопасности, некоторые из которых раньше работали в правительстве, включая ФБР и Нью-Йоркскую полицию, согласно профилям LinkedIn.
Представитель Tails сказал, что разработчики «не знали о истории Эрнандеса до сих пор, и мы не знаем, какая уязвимость использовалась для его анонимизации».
Многие исследователи в области безопасности, в том числе те, кто работает в крупных компаниях, таких как Google, проходят процедуру, называемую «coordinated disclosure», в рамках которой исследователи сообщают компаниям, что они обнаружили уязвимость и дают им время, чтобы исправить ее, прежде чем публикуют детали на всеобщее обозрение.
Одним из факторов, который убедил команду безопасности Facebook в том, что уместно использовать уязвимость, было то, что в предстоящем релизе Tails был удален уязвимый код.
Насколько известно команде Facebook, разработчики Tails не знали об этой уязвимости, несмотря на удаление уязвимого кода. Один из бывших сотрудников Facebook, который работал над этим проектом, сказал, что планировалось сообщить об уязвимости Tails, но в этом уже не было необходимости.
«Уязвимость может быть использована против любого.Вот почему так важно иметь прозрачные процессы обнаружения и реагирования на уязвимости, включая предпочтения по умолчанию для сообщения о них соответствующему человеку, организации или компании»
Степанович, известный эксперт по вопросам конфиденциальности и безопасности.
Источник: