Удивительную историю опубликовало на своих страницах издание Vice Motherboard. Выяснилось, компания Facebook наняла сторонних ИБ-экспертов и потратила шестизначную сумму на создание эксплоита для 0-day уязвимости в операционной системе Tails. Это было сделано ради деанонимизации и поимки одного человека, которого сотрудники социальной сети считали одним из худших киберпреступников на все времена.

Журналисты рассказывают, что на протяжении долгих лет, вплоть до 2017 года, житель Калифорнии преследовал и терроризировал молодых девушек, используя для этого чаты, электронную почту и Facebook. Он вымогал у своих жертв откровенные фотографии и видео, а также угрожал убить и изнасиловать их. Хуже того, нередко он присылал своим жертвам красочные и вполне конкретные угрозы, обещая устроить стрельбу и взрывы в школах для девочек, если ему не пришлют фото и видео сексуального характера.

Этого человека зовут Бастер Эрнандес (Buster Hernandez), а в сети он был известен под ником Brian Kil. Однако личность Эрнандеса известна сейчас, а ранее он представлял такую ​​ угрозу и настолько искусно скрывал свои данные, что руководство Facebook пошло на беспрецедентный шаг и помогло ФБР взломать его и собрать доказательства, которые в итоге привели к аресту и осуждению.

Как стало известно Vice Motherboard, для этого Facebook была вынуждена нанять стороннюю компанию, которая разработала эксплоит для взлома системы Бастера Эрнандеса. Этот эксплоит не был передан ФБР напрямую, и в целом неясно, знали ли представители ФБР о том, что Facebook участвовала в разработке данного инструмента. Согласно собственным источникам издания, это был первый и единственный раз в истории, когда Facebook помогала правоохранительным органам взломать конкретного человека.

В итоге ФБР и Facebook использовали эксплоит для уязвимости нулевого дня в защищенной операционной системе Tails, чтобы узнать реальный IP-адрес Эрнандеса, что в конечном итоге и привело к его аресту.

Журналисты отмечают, что этот ранее неизвестный общественности случай сотрудничества между социальной сетью и ФБР не только подчеркивает технические возможности Facebook (а также сторонней компании, привлеченной к делу) и правоохранительных органов, но также ставит сложные этические вопросы. К примеру,  уместно для частных компании оказывать помощь во взломе собственных пользователей.

Интересно, что, по словам нескольких нынешних и бывших сотрудников Facebook, с которыми на условиях анонимности поговорили журналисты, это решение считалось весьма спорным даже внутри самой компании.

«Единственным приемлемым для нас результатом был Бастер Эрнандес, которого привлекли к ответственности за противоправные действия в отношении молодых девушек, —  рассказывает изданию представитель Facebook, пожелавший сохранить анонимность. — Это был уникальный случай, потому что он [Эрнандес] использовал столь изощренные методы сокрытия личности, что мы пошли на экстраординарные меры и сотрудничали с экспертами по безопасности, чтобы помочь ФБР привлечь его к ответственности».

Бывшие сотрудники Facebook, знакомые с ситуацией, рассказали журналистам, что действия Эрнандеса были настолько экстремальными, что у компании просто не осталось другого выбора и пришлось действовать.

«В данном случае не было абсолютно никакого риска для других пользователей, только для этого единственного человека, на чей счет у нас имелись более чем обоснованные подозрения. Мы никогда не пошли бы на какие-то изменения, которые затронули бы кого-то еще, к примеру,  не внедрили бы бэкдор для шифрования, — говорит  бывший сотрудник Facebook, знакомый с ситуацией. — Поскольку не было никаких рисков для конфиденциальности других, а негативное влияние этого человека было столь велико, я не думаю, что у нас был другой выбор».

Издание рассказывает, что преступления Бастера Эрнандеса были отвратительны. Чтение обвинительного заключения ФБР журналисты и вовсе характеризуют как «тошнотворное занятие». Так, согласно судебным документам, Эрнандес связался с несовершеннолетними девочками через Facebook и писал им что-то вроде: «Привет, должен кое-что у тебя спросить. Это, вроде как, важно. Скольким парням ты прислала свои грязные фотки? Потому что у меня есть некоторые из них».

Когда жертва отвечала, Эрнандес требовал, чтобы те присылала ему свои откровенные видео и фотографии, а в противном случае угрожал разослать якобы имеющиеся у него фото всем ее друзьям и семье (в действительности, у него, конечно, не было никакого «компромата» на жертв).

После этого он еще долго продолжал терроризировать своих жертв (в некоторых случаях  это длилось месяцы и даже годы),  угрожая обнародовать их фотографии и видео. Он присылал девочкам длинные и натуралистичные угрозы изнасилованием. Писал, что может напасть на них и убить их семьи или взорвать их школы, если они не продолжат поставлять ему откровенный контент. В некоторых случаях он говорил жертвам, что, если те убьют себя, он разместит их обнаженные фото на мемориальных страницах.

«Я хочу оставить след из смерти и огня [в твоей старшей школе], — писал Эрнандес в 2015 году. — Я просто ВОЙДУ ТУДА НЕЗАМЕЧЕННЫМ ПРЯМО ЗАВТРА… я убью весь твой класс и приберегу тебя напоследок. Я склонюсь над тобой, когда ты будешь кричать, плакать и умолять о пощаде, прежде чем перерезать твое *баное горло от уха до уха».

Эрнандес заявлял, что «хочет быть худшим кибертеррористом, который когда-либо жил», и утверждал, что полиция не сможет его поймать: «Ты считала, что полиция уже найдет меня, но они не нашли. они понятия не имеют. Полиция бесполезна, — писал он. — Все, пожалуйста, помолитесь за ФБР, ведь они никогда не раскроют это дело lmao … Я есть и всегда буду вне закона».

В Facebook Эрнандеса считали худшим преступником, когда-либо использовавшим платформу, о чем Vice Motherboard поведали сразу несколько бывших сотрудников социальной сети. По их словам, Facebook даже назначила специального сотрудника, который следил за всеми действиями Эрнандеса около двух лет и разработал новую систему машинного обучения, предназначенную для обнаружения пользователей, создающих новые учетные записи и общающихся с детьми в попытках их эксплуатировать. Эта система помогла обнаружить Эрнандеса, выявить другие его псевдонимы, а также найти его жертв.

Кроме того, к «охоте» на Эрнандеса были привлечены сразу несколько офисов ФБР, и Бюро предприняло попытку взломать и деанонимизировать его самостоятельно, однако потерпело неудачу, так как используемый ими инструмент для взлома не был приспособлен против Tails. По информации журналистов, Эрнандес заметил эту попытку взлома и потом издевался над ФБР.

Как уже было не раз упомянуто выше, для работы Эрнандес использовал защищенную операционную систему Tails. Это ОС семейства Debian Linux, основанная на серьезных принципах защиты данных. Справедливости ради нужно сказать, что Tails широко используется не только преступниками, но журналистами, активистами, правозащитниками и диссидентами, которые опасаются слежки  со стороны полиции и правительств. Упоминания этой операционки ты можешь нередко видеть на страницах ][.

В итоге команда безопасности Facebook, которую тогда возглавлял Алекс Стамос, пришла к выводу, что они могут сделать больше, что ФБР нужна их помощь, чтобы разоблачить Brian Kil. Тогда Facebook наняла консалтинговую ИБ-фирму для разработки хакерского инструмента, потратив на это шестизначную сумму.

Источники издания описывают этот инструмент как эксплоит для уязвимости нулевого дня. Сторонняя фирма работала с инженерами Facebook, и совместно они создали программу, которая эксплуатировала баг в видеоплерее Tails. Уязвимость позволяла выявить реальный IP-адрес человека, просматривающего специально созданное видео. Затем, по словам трех нынешних и бывших сотрудников, Facebook передала этот эксплоит посреднику, который уже передал инструмент ФБР.

После этого ФБР получило ордер и заручилось поддержкой одной из жертв, которая и отправила вредоносное видео Эрнандесу. В результате, в феврале текущего года, мужчина признал себя виновным по 41 статье обвинения, в том числе в производстве детской порнографии, принуждении и совращении несовершеннолетних, угрозах убийством, похищением и причинением вреда. В настоящее время Бастер Эрнандес ожидает вынесения приговора и, вероятно, проведет остаток жизни в тюрьме.

Одна из жертв передает вредоносное видео Эрнандесу

Тот факт, что взлом был совершен через Tails, а не через саму Facebook, добавляет к произошедшему интересный аспект. Хотя этот конкретный эксплоит предназначался для использования против конкретного преступника, передача эксплоитов нулевого дня правоохранительным органам сопряжена с риском того, что инструмент в будущем будет применяться и в других, менее серьезных случаях. Журналисты пишут, что нельзя поставить безопасность продукта ​​под угрозу лишь в одном случае, не ставя при этом под угрозу всех остальных пользователей, ведь именно поэтому хакерские инструменты и эксплоиты для 0-day багов порой продаются за огромные суммы . Если они попадают не в те руки, это может иметь катастрофические последствия.

Разработчики Tails сообщили изданию, что ничего не знали о истории Бастера Эрнандеса и не представляют, какая уязвимость использовалась для его деанонимизации. Пресс-служба Tails назвала эту информацию новой и, возможно, конфиденциальной, а также заверила, что эксплоит никогда не предоставлялся на суд команды разработки Tails (та о нем попросту не знала).

Vice Motherboard предполагает, что разработчиков не предупредили об уязвимости заранее, так как ФБР намеревалось использовать этот баг против конкретной цели. Также собственные источники журналистов полагают, что команда безопасности Facebook сочла такие действия уместными, так как в грядущем выпуске Tails уязвимый код уже был исправлен. По сути, эксплоит обладал весьма коротким «сроком годности».

Причем, судя по всему, разработчики Tails так и не узнали об этой уязвимости вовсе, хотя и исправили ее в одном из релизов. Один из бывших сотрудников Facebook, которые работали над проектом, рассказал, что разработчиков Tails планировали уведомить о 0-day, но необходимость в этом отпала, так как код был исправлен и без этого.

Официальные представители Facebook заявили Vice Motherboard, что компания, разумеется, не специализируется на разработке хакерских инструментов и эксплоитов и не хочет, чтобы правоохранительные органы рассчитывали на то, что социальная сеть будет поступать так регулярно. Facebook подчеркивает, что прямой взлом подозреваемого может быть использован только в том случае, если все прочие варианты исчерпаны.

Представители ФБР отказались комментировать эту историю, заявив, что не дают комментариев относительно незавершенных расследований.

Издание отмечает, что сотрудникам Facebook регулярно приходится иметь дело с подозреваемыми в различных преступлениях, от обычных киберпреступников до сталкеров, вымогателей и людей, занимающихся совращением несовершеннолетних. Этим занимаются сразу несколько команд, состоящих их специалистов по безопасности, некоторые из которых раньше работали в правоохранительных органах, в том числе ФБР и Нью-Йоркском полицейском управлении.

Эти люди настолько гордятся своей работой, что, по данным журналистов, раньше у них была собственная переговорная, где они развешивали фотографии людей, которые в конечном итоге были арестованы, благодаря их действиям, и собирали газетные вырезки, посвященными расследованным делам.

Согласно всем источникам, с которыми общались представители издания, попытки поймать Бастера Эрнандеса — это первый и единственный раз, когда Facebook напрямую подключилась к делу и помогла ФБР найти подозреваемого, разработав инструмент специально для его деанонимизации­. Причем для некоторых нынешних и бывших сотрудников Facebook, это решение было крайне спорным.

«Прецедент, когда частная компания покупает 0-day, чтобы преследовать преступника… Эта идея — полный пи**ец ... это стремно до чертиков», — говорит сотрудник, который знал о расследовании и разработке эксплоита.

«Все, что мы сделали, было абсолютно законно, но мы не правоохранительные органы. Я был бы удивлен, если бы обстоятельства вновь сложились таким образом, чтобы подобное могло повториться», — сказал другой источник.

Фото: CATHRYN VIRGINIA/MOTHERBOARD

11 комментарий

  1. Аватар

    Hit363

    12.06.2020 в 02:58

    Ну вот, приехали! Корпорация гигант взялась за взлом конкретной личности! Я конечно понимаю что он в конце концов педофил, извращенец, урод и т.д… НО! Я насколько понимаю, единственная компания которая до сих пор не шла на поводу у ФБР и им подобным, (Ну хотя-бы) официально так ет, купертиновцы, но чтобы официально!!! ФЕЙСБУК?!? Я на сколько понимаю, теперь даже ОТНОСИТЕЛЬНОЙ анонимности быть не может… В ПРИНЦИПЕ???😳 Теперь, два раньше хоть как-то немного похожих по сути слова: Интернет-безопасность, Полностью теряют смысл? Как теперь жить то? Гм? Выбросить калькулятор, (ПК/ноут) С ранее считавшейся практически неуязвимой ОС, и Забыть что вообще, такое интернет? Такой он… Новый смысл слова «АНОНИМНОСТЬ»? А теперь вопрос на зсыпку: После того как компании циклопических размеров, не стесняются в открытую взламывать своих же пользовательей, о едва ли не «абсолютной безопасности» которых, они заявляли (и заявляют) в почти каждой рекламе себя… Остаётся хоть какая-то ценность у прекрасно известных, на данном портале слов: «АНОНИМНОСТЬ» И «БЕЗОПАСНОСТЬ», хоть какая-то ценность… А!? Если КАЖДАЯ крупная компания может обобрать твой комп до последней строчки кода? (Аналогия с: «до последней ниточки») Стоит лишь ей етого немного захотеть… (Ну и естественно, отстегнуть от своего более чем увесистого кармана всего лишь, шести значную сумму ¯\_ಠ_ಠ_/¯) Вот теперь и живите с етим!!!! А говорили же! «Меньше знаешь крепче спишь»☝️

    • Аватар

      Dmitry Morozov

      13.06.2020 в 06:45

      Не бывает невзламыемых систем. Те же журналисты не смотря на то что используют ОС когда по Китаю ездят и т.д. ставят это всё на дешёвые девайсы, которые потом идут в мусорку. Опять же ping back всегда проще RCE, если надо погуглить. А за то что фэйсбук разрабатывает инструменты для идентификации различных типов пользователей… Что нового-то?

    • Аватар

      medusa_01

      16.06.2020 в 08:22

      Вы совершенно правы. только уж больно пространно описали. Смысл более чем прост — при наличии ахулиарда (не важно чего), всегда есть гораздо больше возможностей. И, да, не существует не взламываемых систем. Ну, а то, что гиперкомпании находятся на короткой ноге с органами власти никогда не было секретом. отсюда простое резюме — абсолютная безопасность, как и абсолютная свобода возможна только в гробу.

  2. Аватар

    CyberWizard

    13.06.2020 в 00:45

    «Человеком будь — в этом и есть твоя суть!» © Неизвестный автор.

    • Аватар

      slavaest@inductionsl.ee

      14.06.2020 в 14:29

      Вот-бы и ими занялися Bag-ваш личный шпион — tcpdump (часть2) 224.0.0.2
      Тут и пидафилы,нацисты и т.д…!!!

  3. Аватар

    0d8bc7

    13.06.2020 в 16:41

    Сначала, подавляя естественное развитие информационной гигиены у людей, сами разводят бардак, а потом находится какой-нибудь плохиш, который затралливает не только своих непосредственных жертв, но даже их самих. ¯\_(ツ)_/¯ Вопрос только в том, это получилось по ошибке или было сделано намеренно для того чтобы в будущем ещё сильнее задушить свободу обычных людей.

  4. Аватар

    toolen

    15.06.2020 в 10:03

    Заголовок в теме емаил рассылки «Facebook помогает ФСБ создавать 0-day», в статье ни слова про ФСБ. Это специально сделано?

  5. Аватар

    sfihks

    15.06.2020 в 14:17

    1. Конечно, невзламываемых систем не бывает.
    2. В данном случае на деанонимизацию потребовалось потратить не мало ресурсов и денег и времени… Поэтому перекладывать данную ситуацию на «всех» бессмысленно. Естественно, что FB не будет тратить и сотой доли на взлом своих пользователей. Зачем?
    3. Вот то, что не сказали разработчикам системы уже после — тут большой вопрос. Сейчас дыру закрыли случайно, а завтра также случайно откроют и этот же експлоит опять будет работать.

    • Аватар

      0d8bc7

      15.06.2020 в 20:25

      2 — Да, тут вы правы, но проблема в том, что это создаёт прецедент со стороны крупнейшей соцсети: сегодня это педофил, делавший страшные вещи, завтра какой-нибудь «опасный, создающий угрозу государству» оппозиционер, послезавтра кто-нибудь ещё (хотя, может, и не в США). Дело даже не в трате большого количества ресурсов: можно показать Facebook в качестве примера, а того, кто заикнётся про то, что вообще-то Facebook потратила на это большое количество денег, просто своевременно заткнут. Так что это дело такое.

    • Аватар

      rrootc

      15.06.2020 в 20:30

      «Сейчас дыру закрыли случайно, а завтра также случайно откроют и этот же експлоит опять будет работать.»

      Да вообще наивно думать, что там нет других необнародованных бекдоров, которые ФБР пригодятся при необходимости, потом разыграют такой же цирк с консалтинговой компанией и соц сетью.

  6. Аватар

    JusticeFrom0day

    19.06.2020 в 05:00

    Хотелось бы побольше узнать о данной уязвимости, Tails вроде создаёт отдельную подсистему для контроля всего трафика, чтобы он шёл только через TOR/VPN, etc. Даже если уязвимость позволяли сделать запрос на определенный айпишник, как она обошла перенаправление трафика? Что-то мне кажется, что мы об этой уязвимости ещё вспомним.

Оставить мнение