Lma0Zedong
Madmaxista
- Desde
- 1 Jul 2019
- Mensajes
- 15.976
- Reputación
- 36.100
Facebook ha pagado a una empresa privada para desarrollar un exploit 0-day para poder deanonimizar a un usuario de su plataforma. El usuario empleaba el sistema operativo Tails para proteger su identidad, Tails lo que hace es pasar todas tus comunicaciones a traves de la red Tor. Según el artículo habrían desarrollado un 0-day que afectaba al reproductor de vídeo predeterminado de Tails y se lo pasaron a los federales, con él crearon un vídeo malicioso que contenía el exploit y se lo enviaron al *******asta, una vez que este lo abrió fue deanonimizado y poco después lo arrestaron.
Que hayan detenido a este individuo es una buena noticia, pero deja varios problemas detrás:
1- Una empresa ha pagado a otra para desarrollar código malicioso. Esto podría tener algún problema legal, lo desconozco.
2- La empresa demuestra con esto que no tiene ningún reparo en atacar a su clientela. Esto es muy grave.
3- Todos los intentos de blanqueamiento de Facebook durante estos años en los que hablaban de seguridad, privacidad y demás quedan totalmente desacreditados. Ahora mismo ni tienes seguridad ni tienes privacidad si Facebook así lo desea, esto puede ser peligroso en un futuro para opositores, activistas o similares.
4- No han reportado el 0-day a los desarrolladores de Tails, aunque dicen que fue parcheado de forma natural en una actualización posterior, es decir, que el código vulnerable se quitó y se sustituyó por otro sin que los desarrolladores supieran que era código vulnerable. Esto va en contra de la ética en la programación, en la que reportas a otros desarrolladores los problemas de seguridad que puedas encontrar, para que los parcheen y no sean usados de forma maliciosa con posterioridad.
5- Si no le cerraron la cuenta al individuo significa que no incumplía los términos y condiciones de la Web.
En este caso fue con un depredador infantil, que no está bien visto por casi nadie. ¿Quién será el próximo?
Otra cosa que demostraría esta noticia es que el Tails es seguro si lo usas correctamente, que siempre hay gente que dice que la red Tor está comprometida.
Artículo entero traducido al español con el google traductor:
Fuente: Facebook Helped the FBI Hack a Child Predator
Lo he puesto en este foro porque he visto que se ha hablado de Tor y Tails por aquí en otras ocasiones. Si no es aquí, que lo mueva algún moderador si lo ve.
Que hayan detenido a este individuo es una buena noticia, pero deja varios problemas detrás:
1- Una empresa ha pagado a otra para desarrollar código malicioso. Esto podría tener algún problema legal, lo desconozco.
2- La empresa demuestra con esto que no tiene ningún reparo en atacar a su clientela. Esto es muy grave.
3- Todos los intentos de blanqueamiento de Facebook durante estos años en los que hablaban de seguridad, privacidad y demás quedan totalmente desacreditados. Ahora mismo ni tienes seguridad ni tienes privacidad si Facebook así lo desea, esto puede ser peligroso en un futuro para opositores, activistas o similares.
4- No han reportado el 0-day a los desarrolladores de Tails, aunque dicen que fue parcheado de forma natural en una actualización posterior, es decir, que el código vulnerable se quitó y se sustituyó por otro sin que los desarrolladores supieran que era código vulnerable. Esto va en contra de la ética en la programación, en la que reportas a otros desarrolladores los problemas de seguridad que puedas encontrar, para que los parcheen y no sean usados de forma maliciosa con posterioridad.
5- Si no le cerraron la cuenta al individuo significa que no incumplía los términos y condiciones de la Web.
En este caso fue con un depredador infantil, que no está bien visto por casi nadie. ¿Quién será el próximo?
Otra cosa que demostraría esta noticia es que el Tails es seguro si lo usas correctamente, que siempre hay gente que dice que la red Tor está comprometida.
Artículo entero traducido al español con el google traductor:
Durante años, un hombre de California hostigó y aterrorizó sistemáticamente a las jóvenes mediante aplicaciones de chat, correo electrónico y Facebook. Los extorsionó por sus fotos y videos desnudos, y amenazó con matarlos y violarlos. También envió amenazas gráficas y específicas para llevar a cabo tiroteos masivos y bombardeos en las escuelas de niñas si no le enviaban fotos y videos sexualmente explícitos.
Buster Hernández, conocido como "Brian Kil" en línea, era una amenaza tan persistente y tan hábil para ocultar su verdadera identidad que Facebook dio el paso sin precedentes de ayudar al FBI a hackearlo para reunir pruebas que llevaron a su arresto y condena, La placa base ha aprendido. Facebook trabajó con una compañía externa para desarrollar el exploit y no entregó directamente el exploit al FBI; No está claro si el FBI incluso sabía que Facebook estaba involucrado en el desarrollo de la hazaña. Según fuentes de la compañía, esta es la primera y única vez que Facebook ha ayudado a las fuerzas del orden a piratear un objetivo.
Este caso de colaboración previamente no reportado entre un gigante tecnológico de Silicon Valley y el FBI destaca las capacidades técnicas de Facebook, una empresa de piratería externa con la que trabajó, y la policía, y plantea preguntas éticas difíciles sobre cuándo, si alguna vez, es apropiado para empresas privadas para ayudar en el hackeo de sus usuarios. El FBI y Facebook usaron un llamado exploit de día cero en el sistema operativo Tails, que dirige automáticamente todo el tráfico de Internet de un usuario a través de la red de anonimato Tor, para desenmascarar la dirección IP real de Hernández, lo que finalmente condujo a su arresto. .
Un portavoz de Facebook confirmó a Motherboard que trabajó con "expertos en seguridad" para ayudar al FBI a hackear a Hernández.
"El único resultado aceptable para nosotros fue que Buster Hernández enfrentaba la responsabilidad por su abuso de las jóvenes", dijo un portavoz de Facebook. "Este fue un caso único, porque estaba usando métodos tan sofisticados para ocultar su identidad, que tomamos los pasos extraordinarios de trabajar con expertos en seguridad para ayudar al FBI a llevarlo ante la justicia".
Los ex empleados de Facebook que están familiarizados con la situación le dijeron a Motherboard que las acciones de Hernández fueron tan extremas que la compañía creyó que había sido arrinconada y tuvo que actuar.
"En este caso, no había absolutamente ningún riesgo para los usuarios que no fueran esta persona para los cuales había mucho más que una causa probable. Nunca hubiéramos hecho un cambio que afectara a nadie más, como una puerta trasera de cifrado ”, dijo un ex empleado de Facebook con conocimiento del caso. "Como no hubo otros riesgos de privacidad y el impacto humano fue tan grande, no creo que tengamos otra opción".
Sin embargo, según varios empleados actuales y anteriores de Facebook con los que habló Motherboard, la decisión fue mucho más controvertida dentro de la empresa. Motherboard otorgó el anonimato de varias fuentes en esta historia para permitirles discutir eventos sensibles protegidos por acuerdos de confidencialidad.
Los crímenes que cometió Buster Hernández fueron atroces. La acusación del FBI es una lectura nauseabunda. Envió mensajes a las niñas menores de edad en Facebook y dijo algo como "Hola, tengo que preguntarte algo. Un poco importante ¿A cuántos tipos enviaste fotos sucias para que yo tenga algunos de ustedes? ”, Según los registros de la corte.
Cuando una víctima respondía, él exigiría que enviara videos sexualmente explícitos y fotos de ella misma, de lo contrario, enviaría las fotos desnudas que ya tenía a sus amigos y familiares (en realidad, no tenía fotos desnudas). Luego, y en algunos casos en el tras*curso de meses o años, continuaría aterrorizando a sus víctimas amenazando con hacer públicas las fotos y los videos. Enviaría a las víctimas largas y gráficas amenazas de violación. Envió amenazas específicas para atacar y apiolar a las familias de las víctimas, así como disparar o bombardear sus escuelas si no continuaban enviando imágenes y videos sexualmente explícitos. En algunos casos, les dijo a las víctimas que si se suicidaban, publicaría sus fotos de desnudos en páginas conmemorativas para ellos.
Le dijo a las víctimas que "quiere ser el peor ciberterrorista que jamás haya existido".
“Quiero dejar un rastro de fin y fuego [en tu escuela secundaria]”, escribió en 2015. “Simplemente CAMINARÉ DERECHO EN MAÑANA SIN DETECTAR… mataré a toda tu clase y te guardaré para el final. Me inclinaré sobre ti mientras gritas, lloras y pides clemencia antes de cortarte la jodida garganta de oreja a oreja.
Todo el tiempo, él decía que no podía ser atrapado por la policía: "Pensaste que la policía ya me encontraría, pero no lo hicieron. No tienen idea. La policía es inútil ", escribió. "Todos oren por el FBI, nunca están resolviendo este caso lmao ... estoy por encima de la ley y siempre lo estaré".
Hernández utilizó el sistema operativo seguro Tails, que ejecuta el software de anonimato Tor y está diseñado para cifrar y enviar todo el tráfico de un usuario a través de la red de forma predeterminada, ocultando su dirección IP real de los sitios web o servicios que utilizan. Utilizando esta herramienta, contactó y hostigó a decenas de víctimas en Facebook durante años hasta 2017, según documentos judiciales. El sistema operativo también es ampliamente utilizado por periodistas, activistas y disidentes que están bajo amenaza de ser vigilados por la policía y los gobiernos. Un portavoz de Tails dice que es "usado diariamente por más de 30,000 activistas, periodistas, sobrevivientes de violencia doméstica y ciudadanos preocupados por la privacidad".
Hernández era tan notorio en Facebook que los empleados lo consideraban el peor criminal que jamás haya usado la plataforma, dijeron dos ex empleados a Motherboard. Según estas fuentes, Facebook asignó un empleado dedicado para rastrearlo durante unos dos años y desarrolló un nuevo sistema de aprendizaje automático diseñado para detectar usuarios que crean nuevas cuentas y se acercan a los niños en un intento de explotarlos. Ese sistema pudo detectar a Hernández y vincular diferentes cuentas seudónimas y sus respectivas víctimas con él, dijeron dos ex empleados de Facebook.
Varias oficinas de campo del FBI estuvieron involucradas en la caza, y el FBI hizo un primer intento de piratearlo y desanonimizarlo, pero fracasó, ya que la herramienta de pirateo que usaron no estaba diseñada para Tails. Hernández notó el intento de pirateo y se burló del FBI al respecto, según los dos ex empleados.
El equipo de seguridad de Facebook, luego dirigido por Alex Stamos, se dio cuenta de que tenían que hacer más y concluyó que el FBI necesitaba su ayuda para desenmascarar a Brian Kil. Facebook contrató a una empresa de consultoría de ciberseguridad para desarrollar una herramienta de piratería, que costó seis cifras. Nuestras fuentes describieron la herramienta como un exploit de día cero, que se refiere a una vulnerabilidad en el software que los desarrolladores de software desconocen. La firma trabajó con un ingeniero de Facebook y escribió un programa que adjuntaría un exploit aprovechando una falla en el reproductor de video de Tails para revelar la dirección IP real de la persona que mira el video. Finalmente, Facebook se lo dio a un intermediario que entregó la herramienta a los federales, de acuerdo con tres empleados actuales y anteriores que tienen conocimiento de los eventos.
Facebook le dijo a Motherboard que no se especializa en el desarrollo de ataques de piratería informática y que no quería establecer la expectativa con la policía de que esto es algo que haría regularmente. Facebook dice que identificó el enfoque que se usaría, pero no desarrolló el exploit específico, y solo buscó la opción de piratería después de agotar todas las demás opciones.
Luego, el FBI recibió una orden judicial y la ayuda de una víctima que envió un video con trampas explosivas a Hernández, como informó anteriormente Motherboard. En febrero de este año, el hombre se declaró culpable de 41 cargos, que incluyen la producción de pronografía infantil, la coacción y la incitación de un menor, y las amenazas de apiolar, secuestrar y herir. Ahora espera sentencia y probablemente pasará años en prisión.
Un portavoz del FBI se negó a comentar para esta historia, diciendo que es un "asunto en curso", y refirió a Motherboard a la Oficina del Fiscal Federal para el Distrito Sur de Indiana, que procesó a Hernández.
La Oficina del Fiscal de los Estados Unidos en el Distrito Sur de Indiana se negó a hacer comentarios.
Facebook investiga rutinariamente a presuntos delincuentes en su plataforma, desde ciberdelincuentes comunes, hasta acosadores, extorsionistas y personas involucradas en la explotación infantil. Varios equipos en Menlo Park y otras oficinas de la compañía recopilan informes de usuarios y cazan de manera proactiva a estos delincuentes. Estos equipos están compuestos por especialistas en seguridad, algunos de los cuales solían trabajar en el gobierno, incluidos el FBI y el Departamento de Policía de Nueva York, según los perfiles de LinkedIn de los empleados.
Estos empleados están tan orgullosos de este trabajo que solían tener una sala de reuniones donde colgaban fotos de personas que terminaron siendo arrestadas, así como recortes de periódicos de casos que investigaron, según los empleados actuales y anteriores de Facebook.
De acuerdo con todas las fuentes con las que habló Motherboard, sin embargo, esta fue la primera y única vez que Facebook se involucró directamente y ayudó al FBI a perseguir a un presunto criminal de esta manera, desarrollando una herramienta específicamente para anonimizar objetivos. Para algunos empleados actuales y anteriores de Facebook que no conocían el caso, así como para las personas que lo sabían, esa fue una decisión controvertida.
"El precedente de una empresa privada que compra un día cero para perseguir a un criminal", dijo una fuente que tenía conocimiento de la investigación y el desarrollo de la hazaña. "Todo ese concepto está estropeado [...] es incompleto como el infierno".
Otra fuente dijo que "todo lo que hicimos fue perfectamente legal, pero no estamos haciendo cumplir la ley".
"Me sorprendería que si enfrentara el mismo conjunto de circunstancias, volvería a suceder", agregó.
Sin embargo, un ex empleado de Facebook que tiene conocimiento de la investigación vio la asociación con la empresa de seguridad cibernética y pagó por el desarrollo de un exploit como justificado, dado que iban tras un acosador en serie de niños.
“Creo que hicieron lo correcto aquí. Pusieron mucho esfuerzo en la seguridad de los niños ”, dijo el ex empleado, quien pidió permanecer en el anonimato ya que no estaba autorizado para hablar sobre el caso. "Es difícil pensar en otra compañía que gaste la cantidad de tiempo y recursos para tratar de limitar el daño causado por un malvado".
El hecho de que el hack ocurriera en Tails, no en Facebook, agrega una capa ética particularmente espinosa al hack. Si bien este truco en particular estaba destinado a ser utilizado contra un criminal específico y atroz, la entrega de exploits de día cero a la policía conlleva el riesgo de que se use en otros casos menos graves. La seguridad de estos productos no puede verse comprometida para algunos sin comprometer a todos, por lo que las herramientas de piratería de día cero a menudo son secretos muy guardados y se venden por grandes sumas. Si caen en las manos equivocadas, podría ser desastroso.
Un portavoz de Tails dijo en un correo electrónico que los desarrolladores del proyecto "no sabían sobre la historia de Hernández hasta ahora y no somos conscientes de qué vulnerabilidad se utilizó para desanonimizarlo". El portavoz llamó a esta "información nueva y posiblemente confidencial", y dijo que el exploit nunca fue explicado al equipo de desarrollo de Tails. Muchos investigadores de seguridad, incluidos los que trabajan en grandes empresas como Google, pasan por un proceso llamado "divulgación coordinada" en el que los investigadores informarán a las empresas que han encontrado una vulnerabilidad en su software y les darán tiempo para solucionarlo antes. Publicando los detalles al público.
En este caso, sin embargo, eso no se hizo porque el FBI tenía la intención de aprovechar la vulnerabilidad contra un objetivo real.
Durante años, los principales funcionarios encargados de hacer cumplir la ley y legisladores prominentes han dado la voz de alarma sobre el llamado problema de "ennegrecimiento", un escenario en el que los delincuentes y terroristas aprovechan el cifrado fuerte para escapar del arresto y el enjuiciamiento. Con el aumento del cifrado predeterminado, la policía y los gobiernos están pirateando sus objetivos con mayor frecuencia para obtener sus comunicaciones y datos.
Un factor que convenció al equipo de seguridad de Facebook de que esto era apropiado, dijeron las fuentes, fue que había un lanzamiento próximo de Tails donde se había eliminado el código vulnerable. Efectivamente, esto puso una fecha de vencimiento en el exploit, según dos fuentes con conocimiento de la herramienta.
Hasta donde el equipo de Facebook sabía, los desarrolladores de Tails no estaban al tanto de la falla, a pesar de eliminar el código afectado. Uno de los ex empleados de Facebook que trabajó en este proyecto dijo que el plan era informar eventualmente el defecto de día cero a Tails, pero se dieron cuenta de que no era necesario porque el código se reparó naturalmente.
Amie Stepanovich, directora ejecutiva del Silicon Flatirons Center de la Facultad de Derecho de la Universidad de Colorado, dijo que es importante recordar que contra quienes se usen estas herramientas de piratería, aprovechan las vulnerabilidades en el software que se puede usar contra personas inocentes.
“Una vulnerabilidad se puede usar contra cualquiera. Los delincuentes pueden usar las colas, pero también es una herramienta para activistas, periodistas o funcionarios del gobierno, así como a otras personas para protegerse contra los malos actores ", dijo a Motherboard Stepanovich, un conocido experto en privacidad y seguridad. "Es por eso que es importante contar con procesos tras*parentes en el descubrimiento y la respuesta a las vulnerabilidades, incluida una preferencia predeterminada para informarlos a una persona, organización o empresa adecuada".
Según el senador Ron Wyden, que es un observador cercano del uso de la piratería por parte de la policía, este caso plantea preguntas sobre cómo el FBI manejó la herramienta de piratería comprada por Facebook.
“¿Lo reutilizó el FBI en otros casos? ¿Compartió la vulnerabilidad con otras agencias? ¿Presentó el día cero para su revisión por el Proceso de Equidad de Vulnerabilidades entre agencias? ” Wyden dijo en un comunicado, refiriéndose al proceso del gobierno que se supone que establece si una vulnerabilidad de día cero debe divulgarse a los desarrolladores del software donde se encuentra la vulnerabilidad. "Está claro que debe haber mucha más luz solar sobre cómo el gobierno utiliza las herramientas de piratería y si las normas vigentes proporcionan barreras de protección adecuadas".
Sin embargo, los ingenieros e investigadores de seguridad que hicieron la llamada en ese momento dijeron que realmente no había otra opción.
"Sabíamos que iba a ser usado para los malos", dijo una de las fuentes con conocimiento directo del caso a Motherboard. "Había un chico malo haciendo cosas malas, y queríamos ocuparnos de eso".
Buster Hernández, conocido como "Brian Kil" en línea, era una amenaza tan persistente y tan hábil para ocultar su verdadera identidad que Facebook dio el paso sin precedentes de ayudar al FBI a hackearlo para reunir pruebas que llevaron a su arresto y condena, La placa base ha aprendido. Facebook trabajó con una compañía externa para desarrollar el exploit y no entregó directamente el exploit al FBI; No está claro si el FBI incluso sabía que Facebook estaba involucrado en el desarrollo de la hazaña. Según fuentes de la compañía, esta es la primera y única vez que Facebook ha ayudado a las fuerzas del orden a piratear un objetivo.
Este caso de colaboración previamente no reportado entre un gigante tecnológico de Silicon Valley y el FBI destaca las capacidades técnicas de Facebook, una empresa de piratería externa con la que trabajó, y la policía, y plantea preguntas éticas difíciles sobre cuándo, si alguna vez, es apropiado para empresas privadas para ayudar en el hackeo de sus usuarios. El FBI y Facebook usaron un llamado exploit de día cero en el sistema operativo Tails, que dirige automáticamente todo el tráfico de Internet de un usuario a través de la red de anonimato Tor, para desenmascarar la dirección IP real de Hernández, lo que finalmente condujo a su arresto. .
Un portavoz de Facebook confirmó a Motherboard que trabajó con "expertos en seguridad" para ayudar al FBI a hackear a Hernández.
"El único resultado aceptable para nosotros fue que Buster Hernández enfrentaba la responsabilidad por su abuso de las jóvenes", dijo un portavoz de Facebook. "Este fue un caso único, porque estaba usando métodos tan sofisticados para ocultar su identidad, que tomamos los pasos extraordinarios de trabajar con expertos en seguridad para ayudar al FBI a llevarlo ante la justicia".
Los ex empleados de Facebook que están familiarizados con la situación le dijeron a Motherboard que las acciones de Hernández fueron tan extremas que la compañía creyó que había sido arrinconada y tuvo que actuar.
"En este caso, no había absolutamente ningún riesgo para los usuarios que no fueran esta persona para los cuales había mucho más que una causa probable. Nunca hubiéramos hecho un cambio que afectara a nadie más, como una puerta trasera de cifrado ”, dijo un ex empleado de Facebook con conocimiento del caso. "Como no hubo otros riesgos de privacidad y el impacto humano fue tan grande, no creo que tengamos otra opción".
Sin embargo, según varios empleados actuales y anteriores de Facebook con los que habló Motherboard, la decisión fue mucho más controvertida dentro de la empresa. Motherboard otorgó el anonimato de varias fuentes en esta historia para permitirles discutir eventos sensibles protegidos por acuerdos de confidencialidad.
Los crímenes que cometió Buster Hernández fueron atroces. La acusación del FBI es una lectura nauseabunda. Envió mensajes a las niñas menores de edad en Facebook y dijo algo como "Hola, tengo que preguntarte algo. Un poco importante ¿A cuántos tipos enviaste fotos sucias para que yo tenga algunos de ustedes? ”, Según los registros de la corte.
Cuando una víctima respondía, él exigiría que enviara videos sexualmente explícitos y fotos de ella misma, de lo contrario, enviaría las fotos desnudas que ya tenía a sus amigos y familiares (en realidad, no tenía fotos desnudas). Luego, y en algunos casos en el tras*curso de meses o años, continuaría aterrorizando a sus víctimas amenazando con hacer públicas las fotos y los videos. Enviaría a las víctimas largas y gráficas amenazas de violación. Envió amenazas específicas para atacar y apiolar a las familias de las víctimas, así como disparar o bombardear sus escuelas si no continuaban enviando imágenes y videos sexualmente explícitos. En algunos casos, les dijo a las víctimas que si se suicidaban, publicaría sus fotos de desnudos en páginas conmemorativas para ellos.
Le dijo a las víctimas que "quiere ser el peor ciberterrorista que jamás haya existido".
“Quiero dejar un rastro de fin y fuego [en tu escuela secundaria]”, escribió en 2015. “Simplemente CAMINARÉ DERECHO EN MAÑANA SIN DETECTAR… mataré a toda tu clase y te guardaré para el final. Me inclinaré sobre ti mientras gritas, lloras y pides clemencia antes de cortarte la jodida garganta de oreja a oreja.
Todo el tiempo, él decía que no podía ser atrapado por la policía: "Pensaste que la policía ya me encontraría, pero no lo hicieron. No tienen idea. La policía es inútil ", escribió. "Todos oren por el FBI, nunca están resolviendo este caso lmao ... estoy por encima de la ley y siempre lo estaré".
Hernández utilizó el sistema operativo seguro Tails, que ejecuta el software de anonimato Tor y está diseñado para cifrar y enviar todo el tráfico de un usuario a través de la red de forma predeterminada, ocultando su dirección IP real de los sitios web o servicios que utilizan. Utilizando esta herramienta, contactó y hostigó a decenas de víctimas en Facebook durante años hasta 2017, según documentos judiciales. El sistema operativo también es ampliamente utilizado por periodistas, activistas y disidentes que están bajo amenaza de ser vigilados por la policía y los gobiernos. Un portavoz de Tails dice que es "usado diariamente por más de 30,000 activistas, periodistas, sobrevivientes de violencia doméstica y ciudadanos preocupados por la privacidad".
Hernández era tan notorio en Facebook que los empleados lo consideraban el peor criminal que jamás haya usado la plataforma, dijeron dos ex empleados a Motherboard. Según estas fuentes, Facebook asignó un empleado dedicado para rastrearlo durante unos dos años y desarrolló un nuevo sistema de aprendizaje automático diseñado para detectar usuarios que crean nuevas cuentas y se acercan a los niños en un intento de explotarlos. Ese sistema pudo detectar a Hernández y vincular diferentes cuentas seudónimas y sus respectivas víctimas con él, dijeron dos ex empleados de Facebook.
Varias oficinas de campo del FBI estuvieron involucradas en la caza, y el FBI hizo un primer intento de piratearlo y desanonimizarlo, pero fracasó, ya que la herramienta de pirateo que usaron no estaba diseñada para Tails. Hernández notó el intento de pirateo y se burló del FBI al respecto, según los dos ex empleados.
El equipo de seguridad de Facebook, luego dirigido por Alex Stamos, se dio cuenta de que tenían que hacer más y concluyó que el FBI necesitaba su ayuda para desenmascarar a Brian Kil. Facebook contrató a una empresa de consultoría de ciberseguridad para desarrollar una herramienta de piratería, que costó seis cifras. Nuestras fuentes describieron la herramienta como un exploit de día cero, que se refiere a una vulnerabilidad en el software que los desarrolladores de software desconocen. La firma trabajó con un ingeniero de Facebook y escribió un programa que adjuntaría un exploit aprovechando una falla en el reproductor de video de Tails para revelar la dirección IP real de la persona que mira el video. Finalmente, Facebook se lo dio a un intermediario que entregó la herramienta a los federales, de acuerdo con tres empleados actuales y anteriores que tienen conocimiento de los eventos.
Facebook le dijo a Motherboard que no se especializa en el desarrollo de ataques de piratería informática y que no quería establecer la expectativa con la policía de que esto es algo que haría regularmente. Facebook dice que identificó el enfoque que se usaría, pero no desarrolló el exploit específico, y solo buscó la opción de piratería después de agotar todas las demás opciones.
Luego, el FBI recibió una orden judicial y la ayuda de una víctima que envió un video con trampas explosivas a Hernández, como informó anteriormente Motherboard. En febrero de este año, el hombre se declaró culpable de 41 cargos, que incluyen la producción de pronografía infantil, la coacción y la incitación de un menor, y las amenazas de apiolar, secuestrar y herir. Ahora espera sentencia y probablemente pasará años en prisión.
Un portavoz del FBI se negó a comentar para esta historia, diciendo que es un "asunto en curso", y refirió a Motherboard a la Oficina del Fiscal Federal para el Distrito Sur de Indiana, que procesó a Hernández.
La Oficina del Fiscal de los Estados Unidos en el Distrito Sur de Indiana se negó a hacer comentarios.
Facebook investiga rutinariamente a presuntos delincuentes en su plataforma, desde ciberdelincuentes comunes, hasta acosadores, extorsionistas y personas involucradas en la explotación infantil. Varios equipos en Menlo Park y otras oficinas de la compañía recopilan informes de usuarios y cazan de manera proactiva a estos delincuentes. Estos equipos están compuestos por especialistas en seguridad, algunos de los cuales solían trabajar en el gobierno, incluidos el FBI y el Departamento de Policía de Nueva York, según los perfiles de LinkedIn de los empleados.
Estos empleados están tan orgullosos de este trabajo que solían tener una sala de reuniones donde colgaban fotos de personas que terminaron siendo arrestadas, así como recortes de periódicos de casos que investigaron, según los empleados actuales y anteriores de Facebook.
De acuerdo con todas las fuentes con las que habló Motherboard, sin embargo, esta fue la primera y única vez que Facebook se involucró directamente y ayudó al FBI a perseguir a un presunto criminal de esta manera, desarrollando una herramienta específicamente para anonimizar objetivos. Para algunos empleados actuales y anteriores de Facebook que no conocían el caso, así como para las personas que lo sabían, esa fue una decisión controvertida.
"El precedente de una empresa privada que compra un día cero para perseguir a un criminal", dijo una fuente que tenía conocimiento de la investigación y el desarrollo de la hazaña. "Todo ese concepto está estropeado [...] es incompleto como el infierno".
Otra fuente dijo que "todo lo que hicimos fue perfectamente legal, pero no estamos haciendo cumplir la ley".
"Me sorprendería que si enfrentara el mismo conjunto de circunstancias, volvería a suceder", agregó.
Sin embargo, un ex empleado de Facebook que tiene conocimiento de la investigación vio la asociación con la empresa de seguridad cibernética y pagó por el desarrollo de un exploit como justificado, dado que iban tras un acosador en serie de niños.
“Creo que hicieron lo correcto aquí. Pusieron mucho esfuerzo en la seguridad de los niños ”, dijo el ex empleado, quien pidió permanecer en el anonimato ya que no estaba autorizado para hablar sobre el caso. "Es difícil pensar en otra compañía que gaste la cantidad de tiempo y recursos para tratar de limitar el daño causado por un malvado".
El hecho de que el hack ocurriera en Tails, no en Facebook, agrega una capa ética particularmente espinosa al hack. Si bien este truco en particular estaba destinado a ser utilizado contra un criminal específico y atroz, la entrega de exploits de día cero a la policía conlleva el riesgo de que se use en otros casos menos graves. La seguridad de estos productos no puede verse comprometida para algunos sin comprometer a todos, por lo que las herramientas de piratería de día cero a menudo son secretos muy guardados y se venden por grandes sumas. Si caen en las manos equivocadas, podría ser desastroso.
Un portavoz de Tails dijo en un correo electrónico que los desarrolladores del proyecto "no sabían sobre la historia de Hernández hasta ahora y no somos conscientes de qué vulnerabilidad se utilizó para desanonimizarlo". El portavoz llamó a esta "información nueva y posiblemente confidencial", y dijo que el exploit nunca fue explicado al equipo de desarrollo de Tails. Muchos investigadores de seguridad, incluidos los que trabajan en grandes empresas como Google, pasan por un proceso llamado "divulgación coordinada" en el que los investigadores informarán a las empresas que han encontrado una vulnerabilidad en su software y les darán tiempo para solucionarlo antes. Publicando los detalles al público.
En este caso, sin embargo, eso no se hizo porque el FBI tenía la intención de aprovechar la vulnerabilidad contra un objetivo real.
Durante años, los principales funcionarios encargados de hacer cumplir la ley y legisladores prominentes han dado la voz de alarma sobre el llamado problema de "ennegrecimiento", un escenario en el que los delincuentes y terroristas aprovechan el cifrado fuerte para escapar del arresto y el enjuiciamiento. Con el aumento del cifrado predeterminado, la policía y los gobiernos están pirateando sus objetivos con mayor frecuencia para obtener sus comunicaciones y datos.
Un factor que convenció al equipo de seguridad de Facebook de que esto era apropiado, dijeron las fuentes, fue que había un lanzamiento próximo de Tails donde se había eliminado el código vulnerable. Efectivamente, esto puso una fecha de vencimiento en el exploit, según dos fuentes con conocimiento de la herramienta.
Hasta donde el equipo de Facebook sabía, los desarrolladores de Tails no estaban al tanto de la falla, a pesar de eliminar el código afectado. Uno de los ex empleados de Facebook que trabajó en este proyecto dijo que el plan era informar eventualmente el defecto de día cero a Tails, pero se dieron cuenta de que no era necesario porque el código se reparó naturalmente.
Amie Stepanovich, directora ejecutiva del Silicon Flatirons Center de la Facultad de Derecho de la Universidad de Colorado, dijo que es importante recordar que contra quienes se usen estas herramientas de piratería, aprovechan las vulnerabilidades en el software que se puede usar contra personas inocentes.
“Una vulnerabilidad se puede usar contra cualquiera. Los delincuentes pueden usar las colas, pero también es una herramienta para activistas, periodistas o funcionarios del gobierno, así como a otras personas para protegerse contra los malos actores ", dijo a Motherboard Stepanovich, un conocido experto en privacidad y seguridad. "Es por eso que es importante contar con procesos tras*parentes en el descubrimiento y la respuesta a las vulnerabilidades, incluida una preferencia predeterminada para informarlos a una persona, organización o empresa adecuada".
Según el senador Ron Wyden, que es un observador cercano del uso de la piratería por parte de la policía, este caso plantea preguntas sobre cómo el FBI manejó la herramienta de piratería comprada por Facebook.
“¿Lo reutilizó el FBI en otros casos? ¿Compartió la vulnerabilidad con otras agencias? ¿Presentó el día cero para su revisión por el Proceso de Equidad de Vulnerabilidades entre agencias? ” Wyden dijo en un comunicado, refiriéndose al proceso del gobierno que se supone que establece si una vulnerabilidad de día cero debe divulgarse a los desarrolladores del software donde se encuentra la vulnerabilidad. "Está claro que debe haber mucha más luz solar sobre cómo el gobierno utiliza las herramientas de piratería y si las normas vigentes proporcionan barreras de protección adecuadas".
Sin embargo, los ingenieros e investigadores de seguridad que hicieron la llamada en ese momento dijeron que realmente no había otra opción.
"Sabíamos que iba a ser usado para los malos", dijo una de las fuentes con conocimiento directo del caso a Motherboard. "Había un chico malo haciendo cosas malas, y queríamos ocuparnos de eso".
Fuente: Facebook Helped the FBI Hack a Child Predator
Lo he puesto en este foro porque he visto que se ha hablado de Tor y Tails por aquí en otras ocasiones. Si no es aquí, que lo mueva algún moderador si lo ve.
