Удивительную историю опубликовало на своих страницах издание Vice Motherboard. Выяснилось, компания Facebook наняла сторонних ИБ-экспертов и потратила шестизначную сумму на создание эксплоита для 0-day уязвимости в операционной системе Tails. Это было сделано ради деанонимизации и поимки одного человека, которого сотрудники социальной сети считали одним из худших киберпреступников на все времена.
Журналисты рассказывают, что на протяжении долгих лет, вплоть до 2017 года, житель Калифорнии преследовал и терроризировал молодых девушек, используя для этого чаты, электронную почту и Facebook. Он вымогал у своих жертв откровенные фотографии и видео, а также угрожал убить и изнасиловать их. Хуже того, нередко он присылал своим жертвам красочные и вполне конкретные угрозы, обещая устроить стрельбу и взрывы в школах для девочек, если ему не пришлют фото и видео сексуального характера.
Этого человека зовут Бастер Эрнандес (Buster Hernandez), а в сети он был известен под ником Brian Kil. Однако личность Эрнандеса известна сейчас, а ранее он представлял такую угрозу и настолько искусно скрывал свои данные, что руководство Facebook пошло на беспрецедентный шаг и помогло ФБР взломать его и собрать доказательства, которые в итоге привели к аресту и осуждению.
Как стало известно Vice Motherboard, для этого Facebook была вынуждена нанять стороннюю компанию, которая разработала эксплоит для взлома системы Бастера Эрнандеса. Этот эксплоит не был передан ФБР напрямую, и в целом неясно, знали ли представители ФБР о том, что Facebook участвовала в разработке данного инструмента. Согласно собственным источникам издания, это был первый и единственный раз в истории, когда Facebook помогала правоохранительным органам взломать конкретного человека.
В итоге ФБР и Facebook использовали эксплоит для уязвимости нулевого дня в защищенной операционной системе Tails, чтобы узнать реальный IP-адрес Эрнандеса, что в конечном итоге и привело к его аресту.
Журналисты отмечают, что этот ранее неизвестный общественности случай сотрудничества между социальной сетью и ФБР не только подчеркивает технические возможности Facebook (а также сторонней компании, привлеченной к делу) и правоохранительных органов, но также ставит сложные этические вопросы. К примеру, уместно для частных компании оказывать помощь во взломе собственных пользователей.
Интересно, что, по словам нескольких нынешних и бывших сотрудников Facebook, с которыми на условиях анонимности поговорили журналисты, это решение считалось весьма спорным даже внутри самой компании.
«Единственным приемлемым для нас результатом был Бастер Эрнандес, которого привлекли к ответственности за противоправные действия в отношении молодых девушек, — рассказывает изданию представитель Facebook, пожелавший сохранить анонимность. — Это был уникальный случай, потому что он [Эрнандес] использовал столь изощренные методы сокрытия личности, что мы пошли на экстраординарные меры и сотрудничали с экспертами по безопасности, чтобы помочь ФБР привлечь его к ответственности».
Бывшие сотрудники Facebook, знакомые с ситуацией, рассказали журналистам, что действия Эрнандеса были настолько экстремальными, что у компании просто не осталось другого выбора и пришлось действовать.
«В данном случае не было абсолютно никакого риска для других пользователей, только для этого единственного человека, на чей счет у нас имелись более чем обоснованные подозрения. Мы никогда не пошли бы на какие-то изменения, которые затронули бы кого-то еще, к примеру, не внедрили бы бэкдор для шифрования, — говорит бывший сотрудник Facebook, знакомый с ситуацией. — Поскольку не было никаких рисков для конфиденциальности других, а негативное влияние этого человека было столь велико, я не думаю, что у нас был другой выбор».
Издание рассказывает, что преступления Бастера Эрнандеса были отвратительны. Чтение обвинительного заключения ФБР журналисты и вовсе характеризуют как «тошнотворное занятие». Так, согласно судебным документам, Эрнандес связался с несовершеннолетними девочками через Facebook и писал им что-то вроде: «Привет, должен кое-что у тебя спросить. Это, вроде как, важно. Скольким парням ты прислала свои грязные фотки? Потому что у меня есть некоторые из них».
Когда жертва отвечала, Эрнандес требовал, чтобы те присылала ему свои откровенные видео и фотографии, а в противном случае угрожал разослать якобы имеющиеся у него фото всем ее друзьям и семье (в действительности, у него, конечно, не было никакого «компромата» на жертв).
После этого он еще долго продолжал терроризировать своих жертв (в некоторых случаях это длилось месяцы и даже годы), угрожая обнародовать их фотографии и видео. Он присылал девочкам длинные и натуралистичные угрозы изнасилованием. Писал, что может напасть на них и убить их семьи или взорвать их школы, если они не продолжат поставлять ему откровенный контент. В некоторых случаях он говорил жертвам, что, если те убьют себя, он разместит их обнаженные фото на мемориальных страницах.
«Я хочу оставить след из смерти и огня [в твоей старшей школе], — писал Эрнандес в 2015 году. — Я просто ВОЙДУ ТУДА НЕЗАМЕЧЕННЫМ ПРЯМО ЗАВТРА… я убью весь твой класс и приберегу тебя напоследок. Я склонюсь над тобой, когда ты будешь кричать, плакать и умолять о пощаде, прежде чем перерезать твое *баное горло от уха до уха».
Эрнандес заявлял, что «хочет быть худшим кибертеррористом, который когда-либо жил», и утверждал, что полиция не сможет его поймать: «Ты считала, что полиция уже найдет меня, но они не нашли. они понятия не имеют. Полиция бесполезна, — писал он. — Все, пожалуйста, помолитесь за ФБР, ведь они никогда не раскроют это дело lmao … Я есть и всегда буду вне закона».
В Facebook Эрнандеса считали худшим преступником, когда-либо использовавшим платформу, о чем Vice Motherboard поведали сразу несколько бывших сотрудников социальной сети. По их словам, Facebook даже назначила специального сотрудника, который следил за всеми действиями Эрнандеса около двух лет и разработал новую систему машинного обучения, предназначенную для обнаружения пользователей, создающих новые учетные записи и общающихся с детьми в попытках их эксплуатировать. Эта система помогла обнаружить Эрнандеса, выявить другие его псевдонимы, а также найти его жертв.
Кроме того, к «охоте» на Эрнандеса были привлечены сразу несколько офисов ФБР, и Бюро предприняло попытку взломать и деанонимизировать его самостоятельно, однако потерпело неудачу, так как используемый ими инструмент для взлома не был приспособлен против Tails. По информации журналистов, Эрнандес заметил эту попытку взлома и потом издевался над ФБР.
Как уже было не раз упомянуто выше, для работы Эрнандес использовал защищенную операционную систему Tails. Это ОС семейства Debian Linux, основанная на серьезных принципах защиты данных. Справедливости ради нужно сказать, что Tails широко используется не только преступниками, но журналистами, активистами, правозащитниками и диссидентами, которые опасаются слежки со стороны полиции и правительств. Упоминания этой операционки ты можешь нередко видеть на страницах ][.
В итоге команда безопасности Facebook, которую тогда возглавлял Алекс Стамос, пришла к выводу, что они могут сделать больше, что ФБР нужна их помощь, чтобы разоблачить Brian Kil. Тогда Facebook наняла консалтинговую ИБ-фирму для разработки хакерского инструмента, потратив на это шестизначную сумму.
Источники издания описывают этот инструмент как эксплоит для уязвимости нулевого дня. Сторонняя фирма работала с инженерами Facebook, и совместно они создали программу, которая эксплуатировала баг в видеоплерее Tails. Уязвимость позволяла выявить реальный IP-адрес человека, просматривающего специально созданное видео. Затем, по словам трех нынешних и бывших сотрудников, Facebook передала этот эксплоит посреднику, который уже передал инструмент ФБР.
После этого ФБР получило ордер и заручилось поддержкой одной из жертв, которая и отправила вредоносное видео Эрнандесу. В результате, в феврале текущего года, мужчина признал себя виновным по 41 статье обвинения, в том числе в производстве детской порнографии, принуждении и совращении несовершеннолетних, угрозах убийством, похищением и причинением вреда. В настоящее время Бастер Эрнандес ожидает вынесения приговора и, вероятно, проведет остаток жизни в тюрьме.
Тот факт, что взлом был совершен через Tails, а не через саму Facebook, добавляет к произошедшему интересный аспект. Хотя этот конкретный эксплоит предназначался для использования против конкретного преступника, передача эксплоитов нулевого дня правоохранительным органам сопряжена с риском того, что инструмент в будущем будет применяться и в других, менее серьезных случаях. Журналисты пишут, что нельзя поставить безопасность продукта под угрозу лишь в одном случае, не ставя при этом под угрозу всех остальных пользователей, ведь именно поэтому хакерские инструменты и эксплоиты для 0-day багов порой продаются за огромные суммы . Если они попадают не в те руки, это может иметь катастрофические последствия.
Разработчики Tails сообщили изданию, что ничего не знали о истории Бастера Эрнандеса и не представляют, какая уязвимость использовалась для его деанонимизации. Пресс-служба Tails назвала эту информацию новой и, возможно, конфиденциальной, а также заверила, что эксплоит никогда не предоставлялся на суд команды разработки Tails (та о нем попросту не знала).
Vice Motherboard предполагает, что разработчиков не предупредили об уязвимости заранее, так как ФБР намеревалось использовать этот баг против конкретной цели. Также собственные источники журналистов полагают, что команда безопасности Facebook сочла такие действия уместными, так как в грядущем выпуске Tails уязвимый код уже был исправлен. По сути, эксплоит обладал весьма коротким «сроком годности».
Причем, судя по всему, разработчики Tails так и не узнали об этой уязвимости вовсе, хотя и исправили ее в одном из релизов. Один из бывших сотрудников Facebook, которые работали над проектом, рассказал, что разработчиков Tails планировали уведомить о 0-day, но необходимость в этом отпала, так как код был исправлен и без этого.
Официальные представители Facebook заявили Vice Motherboard, что компания, разумеется, не специализируется на разработке хакерских инструментов и эксплоитов и не хочет, чтобы правоохранительные органы рассчитывали на то, что социальная сеть будет поступать так регулярно. Facebook подчеркивает, что прямой взлом подозреваемого может быть использован только в том случае, если все прочие варианты исчерпаны.
Представители ФБР отказались комментировать эту историю, заявив, что не дают комментариев относительно незавершенных расследований.
Издание отмечает, что сотрудникам Facebook регулярно приходится иметь дело с подозреваемыми в различных преступлениях, от обычных киберпреступников до сталкеров, вымогателей и людей, занимающихся совращением несовершеннолетних. Этим занимаются сразу несколько команд, состоящих их специалистов по безопасности, некоторые из которых раньше работали в правоохранительных органах, в том числе ФБР и Нью-Йоркском полицейском управлении.
Эти люди настолько гордятся своей работой, что, по данным журналистов, раньше у них была собственная переговорная, где они развешивали фотографии людей, которые в конечном итоге были арестованы, благодаря их действиям, и собирали газетные вырезки, посвященными расследованным делам.
Согласно всем источникам, с которыми общались представители издания, попытки поймать Бастера Эрнандеса — это первый и единственный раз, когда Facebook напрямую подключилась к делу и помогла ФБР найти подозреваемого, разработав инструмент специально для его деанонимизации. Причем для некоторых нынешних и бывших сотрудников Facebook, это решение было крайне спорным.
«Прецедент, когда частная компания покупает 0-day, чтобы преследовать преступника… Эта идея — полный пи**ец ... это стремно до чертиков», — говорит сотрудник, который знал о расследовании и разработке эксплоита.
«Все, что мы сделали, было абсолютно законно, но мы не правоохранительные органы. Я был бы удивлен, если бы обстоятельства вновь сложились таким образом, чтобы подобное могло повториться», — сказал другой источник.
Фото: CATHRYN VIRGINIA/MOTHERBOARD