O Facebook ajudou o FBI a hackear uma garota predadora

Durante anos, um homem da Califórnia perseguiu meninas e aterrorizou sistematicamente por aplicativos de gatos, e -mails e Facebook. Ele os extorquiou com fotos e vídeos nus e ameaçou matá -los e estuprá -los. Ele também enviou ameaças gráficas e específicas de que faria fogo em massa e bombardeios em suas escolas se eles não lhe enviassem fotos e vídeos sexualmente explícitos.

Um porta -voz do Facebook confirmou à placa -mãe que trabalhou com “especialistas em segurança” para ajudar o FBI Pirate Hernández.

Este caso nunca viu uma colaboração entre uma gigante tecnológica do Vale do Silício e o FBI destaca a capacidade técnica do Facebook, uma empresa externa de hackers com a qual o Facebook e a polícia trabalharam, e nos levou a nos fazer perguntas éticas sobre o momento em que ele é apropriado, se é sempre que as empresas privadas ajudam a invadir seus usuários. O FBI e o Facebook usaram um feito de dia zero no sistema operacional Tails Security, que direciona automaticamente o tráfego da Internet de um usuário através da rede anonymat Tor, para desmascarar o endereço IP real de Hernández, que finalmente leva à sua prisão.

Buster Hernández, conhecido on -line sob o nome de “Brian Kil”, representou uma ameaça tão séria e foi tão inteligente para esconder sua verdadeira identidade que o Facebook deu um passo sem precedentes; Ele decidiu ajudar o FBI a hackear -o a coletar evidências para levar à sua prisão e condenação. O Facebook trabalhou com uma empresa externa para desenvolver o feito e não o entregou diretamente ao FBI; Nem está claro se o FBI sabia que o Facebook estava envolvido no desenvolvimento do feito. De acordo com fontes de negócios, esta é a primeira e a única vez que o Facebook ajudou a polícia a invadir uma meta.

No entanto, de acordo com vários funcionários do Facebook e ex -funcionários com quem a placa -mãe falou, a decisão causou muitas controvérsias dentro da empresa. A placa -mãe prometeu manter o anonimato de várias fontes nesta história, para que possam nos contar sobre eventos sensíveis protegidos por acordos de privacidade.

“Nesse caso, não havia absolutamente nenhum risco para os usuários, com exceção dessa pessoa contra quem havia muito mais do que uma simples causa provável. Nunca teríamos trazido nenhuma mudança que afetaria os outros, como uma porta traseira na cripta “, disse um ex -funcionário do Facebook sabendo o caso. “Como não havia outros riscos de confidencialidade e o impacto humano foi tão grande, acho que não há outra opção”.

Alguns ex -funcionários do Facebook que conhecem a situação disseram à placa -mãe que as ações de Hernández eram tão extremas que a empresa considerou que estava encurralada e não tinha escolha a não ser tomar medidas.

“Como não havia outros riscos de confidencialidade e o impacto humano foi tão grande, acho que não há outra opção”.

“O único resultado aceitável para nós foi que Buster Hernández enfrenta as consequências de seus abusos para mulheres jovens”, disse um porta -voz do Facebook. “Foi um caso único, porque usei métodos tão sofisticados para esconder sua identidade, que nos vimos na necessidade de levar a média extraordinária para trabalhar com especialistas em segurança para ajudar o FBI”.

Captura de tela da conversa entre Buster Hernandez e a vítima que ajudou o FBI a apresentar o feito, incluído nos documentos dados ao tribunal.

“Quero deixar um vestígio de morte e fogo [na sua escola]”, ele escreveu em 2015. “Vou simplesmente andar amanhã sem ser detectado … Vou matar toda a sua aula e vou deixar você para você o final. Vou confiar em você gritar, você chora e pede clemência antes de cortar a foda da garganta de uma orelha para a outra. ”

Quando uma vítima respondeu, ele exigiu que ele enviasse seus vídeos e fotos sexualmente explícitos, se não, ela mandaria seus amigos e familiares as fotos nuas que ela já tinha dela (na realidade, ela não). Então, e em alguns casos, nos meses ou anos, ele continuou a aterrorizar suas vítimas com ameaças para tornar públicos vídeos e fotos. Enviei ameaças gráficas e completas das vítimas para estuprar. Ele enviou ameaças específicas de que atacaria e mataria as famílias das vítimas, enquanto desenhava ou colocava uma bomba em suas escolas se elas não continuassem a enviar imagens e vídeos sexualmente explícitos. Em alguns casos, ele disse às vítimas que, se eles cometessem suicídio, ele publicaria as fotos de seus nus nas páginas comemorativas que havia para elas.

Os crimes cometidos por Buster Hernández foram excruciantes. A lei de acusação do FBI é uma leitura nauseante. Ele enviou mensagens para jovens menores no Facebook e disse a eles algo como “Olá, eu tenho que perguntar uma coisa. .

Hernández usou o sistema operacional de segurança Tails, que executa o software de anonimato Tor e foi projetado para criptografar e enviar automaticamente o tráfego do usuário por meio dessa rede, ocultando seu endereço IP real de sites ou serviços que usam. Usando essa ferramenta, ele entrou em contato e assediou dezenas de vítimas no Facebook por anos até 2017, de acordo com documentos do tribunal. Esse sistema operacional também é amplamente utilizado por jornalistas, ativistas e dissidentes que podem ser monitorados pela polícia e pelos governos. Um porta -voz da Tails diz que seu sistema é “usado diariamente para mais de 30.000 ativistas, jornalistas, sobreviventes de violência doméstica e cidadãos preocupados com a privacidade”.

O tempo todo, ele disse que não podia ser levado pela polícia: “Você pensou que naquele momento a polícia já teria me encontrado, mas eles não podiam. Eles não têm idéia de como fazê -lo. A polícia é inútil , “ele escreveu. “Todo mundo ora pelo FBI, eles nunca podem resolver esse caso. Eu rio … Estou acima da lei e sempre estarei.”

Você já trabalhou ou trabalhou para o Facebook? Você trabalha para o FBI ou desenvolve ferramentas de hackers para estimular a aplicação da lei? Ficaríamos encantados em saber mais sobre você. Você pode se comunicar com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1917257 1382, no Chat OTR com o usuário lorenzofb@jabber.ccc.de, ou por e-mail lorenzofb@vice.com

A equipe de segurança do Facebook, gerenciada por Alex Stamos, percebeu que deveria fazer mais e concluiu que o FBI precisava de sua ajuda para desmascarar Brian Kil. O Facebook contratou uma empresa de consultoria de segurança cibernética para desenvolver uma ferramenta de hackers, que custou seis dígitos. Nossas fontes descreveram a ferramenta como um feito de dia zero, que se refere a uma vulnerabilidade no software que seus desenvolvedores não conhecem. A empresa trabalhou com um engenheiro do Facebook e escreveu um programa que levaria um feito, que aproveitaria um defeito no Tails Video Player para revelar o endereço IP real da pessoa que assistia ao vídeo. Por fim, o Facebook deu a um intermediário que entregou a ferramenta aos federais, de acordo com três funcionários e ex -funcionários que estão cientes dos eventos.

“Tudo o que fizemos foi perfeitamente legal, mas não fazemos parte da polícia”.

Vários escritórios de campo do FBI estavam envolvidos na busca deste predador. O FBI fez uma primeira tentativa de invadi -lo e descobrir sua identidade, mas falhou, porque a ferramenta de hackers que eles usou não foi projetada para atacar as caudas. Hernández notou a tentativa de hackers e zombou do FBI por isso, de acordo com os dois ex -funcionários.

Hernández se destacara de tal maneira que os funcionários o consideravam o pior criminoso que a plataforma nunca usou, disseram dois ex -funcionários à placa -mãe. De acordo com essas fontes, o Facebook atribuiu particularmente a um funcionário para segui -lo por cerca de dois anos e desenvolveu um novo sistema de aprendizado automático projetado para detectar usuários que criam novas contas e abordam crianças para explorá -las. Esse sistema foi capaz de detectar Hernández e se relacionar com ele em suas várias contas de pseudônimo, bem como com suas respectivas vítimas, disseram dois ex -funcionários do Facebook.

O escritório do promotor dos Estados Unidos no distrito de South Indiana não respondeu a vários e -mails e chamadas que fizemos em busca de comentários.

Um porta -voz do FBI se recusou a fazer comentários para este artigo, alegando que este é um “caso atual” e devolveu a placa -mãe ao promotor federal do distrito de Indiana, onde Hernández foi processado.

Então o FBI obteve uma ordem judicial e com a ajuda de uma vítima enviou um vídeo com o feito a Hernández. Em fevereiro deste ano, o homem se declarou culpado de 41 posições, em particular a produção de pornografia juvenil, coerção e coerção de um menor, além de ameaças de assassinato, seqüestro e dano. Agora ele espera uma sentença e provavelmente passará vários anos na prisão.

O Facebook disse à placa -mãe que ele não se especializa no desenvolvimento de explorações de hackers e que não queria estabelecer a expectativa com a polícia de que é algo que fará regularmente. O Facebook diz que identificou a abordagem que seria usada, mas não desenvolveu o feito e que ele foi à opção de hackers depois de esgotar todas as outras opções.

O Facebook investiga regularmente os supostos criminosos em sua plataforma, Cyber-Conta comuns a perseguidores, exageradores e pessoas envolvidas na exploração de crianças. Várias equipes da cidade de Menlo Park, Califórnia, e outros escritórios da empresa, coletam relacionamentos com usuários e caçam proativamente esses criminosos. Essas equipes são compostas por especialistas em segurança, alguns dos quais trabalhavam dentro do governo, incluindo o FBI e o Serviço de Polícia de Nova York, de acordo com os perfis do LinkedIn do funcionário.

Por outro lado, um ex -funcionário do Facebook que está ciente da pesquisa considera que a associação com a empresa de segurança cibernética e o pagamento do desenvolvimento da façanha foram justificados porque estavam atrás de um perseguidor em série de crianças.

Outra fonte disse: “Tudo o que fizemos foi perfeitamente legal, mas não fazemos parte da polícia”.

“O anterior, que uma empresa privada comprou um feito de dia zero para capturar um criminoso”, disse uma fonte que estava ciente da investigação e do desenvolvimento do ataque. “Todo esse conceito está ferrado […] é suspeito demais.”

No entanto, de acordo com todas as fontes com as quais a placa -mãe falou, foi a primeira e a única vez que o Facebook estava diretamente envolvido e ajudou o FBI a capturar um suposto infrator dessa maneira, desenvolvendo uma ferramenta especificamente para descobrir a identidade de um objetivo. Para alguns funcionários do Facebook e ex -funcionários que não conheciam o negócio, bem como para aqueles que sabiam que era uma decisão muito controversa.

Esses funcionários estão tão orgulhosos de seu trabalho que aparentemente têm uma sala de reuniões onde as fotos dos criminosos que acabaram sendo interrompidos, bem como os casos de casos em que investigaram, segundo os funcionários e os ex -funcionários do Facebook.

Um porta -voz da Tails declarou em um email que os desenvolvedores do projeto “não conheciam a história de Hernández até esse momento e não sabiam que vulnerabilidade era usada para descobrir sua identidade”. O porta -voz descreveu isso como “informações novas e talvez confidenciais” e disse que o feito é algo que eles nunca haviam falado sobre a equipe de desenvolvimento da Tails. Muitos pesquisadores de segurança, incluindo aqueles que trabalham em grandes empresas, como o Google, seguem um processo chamado “disseminação coordenada”, na qual os pesquisadores declaram empresas que encontraram vulnerabilidade em seu software e dão tempo para resolver antes da publicação publicamente de essa vulnerabilidade.

O fato de que hackers ocorreram em Tails, não no Facebook, acrescenta uma sombra ética particularmente espinhosa a essa ação. Embora esse ataque em particular tenha se destinado a ser usado contra um criminoso específico e atroz, quem opera em zero dia foi entregue à polícia implica o risco de ser usado em outros casos menos graves. A segurança desses produtos não pode ser comprometida por alguns sem comprometer -se a todos, portanto, as ferramentas de hackers geralmente são muito bem salvas e são vendidas por grandes somas. Se eles caírem em mãos ruins, pode ser desastroso.

“O anterior, que uma empresa privada comprou um feito de dia zero para capturar um criminoso. Todo esse conceito está ferrado. “”

“Acho que eles fizeram a coisa certa aqui. Eles fizeram muito esforço para proteger a segurança das crianças”, disse o ex -funcionário, que pediu para permanecer anônimo porque não tem permissão para falar do caso. “É difícil pensar em outra empresa que gasta desta vez e desta vez para tentar reduzir os danos causados ​​por um homem maligno”.

Nesse caso, isso não aconteceu porque o FBI pretendia aproveitar a vulnerabilidade em comparação com um objetivo específico.

Durante anos, os principais funcionários responsáveis ​​pela aplicação da lei e pelos legisladores nos alertaram sobre o problema conhecido como “Pass in the Sombe”, um cenário em que criminosos e terroristas se beneficiam da criptografia para que não possam parar ou continuar com eles . Com o aumento da criptografia padrão, a polícia e os governos invadem seus objetivos com mais frequência para obter suas comunicações e seus dados.

Um fator que convenceu a equipe de segurança do Facebook de que era apropriado, segundo fontes, era que em breve haveria um novo lançamento de Tails, onde o código vulnerável já havia sido eliminado. De fato, isso colocou uma data operacional, de acordo com duas fontes conhecendo a ferramenta.

Em relação à equipe do Facebook, os desenvolvedores de cauda não estavam cientes do fracasso, embora tenham eliminado o código defeituoso. Um dos ex -funcionários do Facebook que trabalhou neste projeto disse que o plano era informar as caudas no final do defeito, mas que perceberam que o código era reparado naturalmente.

O amigo Stepanovich, diretor executivo do Silicon Flatirons Center da Faculdade de Direito da Universidade do Colorado, disse que era importante lembrar que, seja qual for o Pirat Tools.

“A vulnerabilidade pode ser usada contra qualquer pessoa. Os criminosos podem usar caudas, mas também é uma ferramenta para ativistas, jornalistas ou representantes do governo, bem como para outras pessoas que precisam se proteger de ações maliciosas “, disse Stepanovich na placa -mãe, um especialista bem conhecido em privacidade e segurança” É por isso que é importante ter processos transparentes na descoberta de vulnerabilidades e sua solução correspondente, incluindo a preferência padrão de informá -la a uma pessoa, uma organização ou um negócio apropriado. ”

De acordo com o senador Ron Wyden, que é um observador pontual para o uso da pirataria pela polícia, este caso levanta questões sobre como o FBI gerenciou a ferramenta de hackers comprada pelo Facebook.

“O FBI reutilizou em outros casos? A vulnerabilidade compartilhou com outras agências? Você enviou o ataque do dia zero para a revisão do processo de equidade de vulnerabilidade entre as agências?”, Perguntou Wyden em um comunicado à imprensa, referindo -se ao processo do processo do governo que isso deve estabelecer se a vulnerabilidade de dias zero deve ser informada dos desenvolvedores de software onde está localizado. “É claro que deve haver muito mais clareza sobre como o governo usa ferramentas de hackers e se as regras atuais oferecem proteção adequada”.

No entanto, os investigadores de segurança e segurança que tomaram a decisão na época disseram que realmente não havia outra opção.

fonte: https://www.vice.com/es/article/v7gd9b/facebook-fbi-hackean-depredador-sexual