Reflections on a Swatting: Inside ONE Bitcoin Engineer's Security Battle

Nagsimula ang Oktubre 16, 2017 tulad ng iba pang Lunes. Nagising ako ng 6 am at nagmaneho papunta sa YMCA para maglaro ng racquetball, handang simulan ang linggo nang may WIN.

Nang matapos akong maglaro, nag-tweet ako ng isang cute na quip:

Pagkatapos ay pinindot ko ang steam room at ang shower para mag-relax at magpahangin. Pagbalik ko sa aking lugar, nakatagpo ako ng hindi pangkaraniwang problema: isang police cruiser na may mga ilaw na kumikislap ang humaharang sa pasukan. Huminto ako at ibinaba ang aking bintana:

"Hi Officer, may problema ba? I'm just trying to get to my house."

"Paumanhin, kailangan naming i-secure ang lugar dahil sa isang patuloy na insidente."

"Ito ba ay isang aktibong tagabaril?"

"Hindi malinaw, ngunit mayroon kaming impormasyon na mayroon siyang mahahabang baril sa lugar."

"Well shit, anong dapat kong sabihin sa pamilya ko? Nasa bahay sila."

"Tawagan sila at sabihin sa kanila na sumakay sa kotse at lumabas sa komunidad."

"Gagawin!"

Bumaba ako sa main road at naghanap ng mapaparadahan para matawagan ko ang bahay.

"Hey, do T panic but the police are lock down the neighborhood because of an incident. Dapat sumakay ka na sa kotse at umalis."

"Sige, lalabas na ako."

Naghintay ako ng ilang minuto at nakatanggap ako ng tawag pabalik.

"Pinigilan ako ng pulis habang papaalis ako at tinanong ako kung okay lang ako. Tila tinawag sila sa bahay namin! Gusto nilang sumama ka na makipag-usap sa kanila sa mobile command unit sa kanto."

Nagmaneho ako pabalik sa pasukan at sinabi sa patrol officer na gustong makipag-usap sa akin ng kanyang kapitan, kaya kinawayan niya ako. Sa pagpasok sa mobile command unit, ang unang tinanong sa akin ay:

"Sir, may kaaway ka ba?"

Na sinagot ko:

T nagtagal bago lumitaw ang mga istasyon ng balita; tila, T nila alam kung ano ang ibig sabihin ng "swatting".

Nakuha ng mga istasyon ng balita ang isang kopya ng tawag sa telepono na ginawa ng umaatake; kaya mo pakinggan mo dito. Iginiit ng attacker na binaril at napatay nila ang isang tao at nangho-hostage ang iba matapos nilagyan ng mga pampasabog ang front door.

Nang umalis na ang mga news crew at huminahon na ang lahat, naisip ko na dapat kong ipaalam sa umaatake na nabigo silang makamit ang kanilang layunin.

Sa loob ng ilang oras ng paggawa ng aking tweet, nakatanggap ako ng isang nagbabantang voicemail mula sa isang numero na may isang New York area code; kaya mo makinig sa voicemail dito. Tandaan ang isang karaniwang tema sa pagitan ng 911 na tawag at ng voicemail — parehong beses na humihingi siya ng $50,000 (o ang katumbas sa BTC.)

"Next time I do anything to you, it wo T involve the police."

Sa loob ng 48 oras sinabi sa akin ng Durham Police Department na na-trace nila ang tawag sa isang throwaway server sa Texas ngunit natamaan ito at ibinabalik ang kaso sa FBI. Wala akong narinig mula sa FBI. Nawalan ako ng tiwala sa kakayahan ng tagapagpatupad ng batas na protektahan ako matagal na ang nakalipas, kaya ito ay nakakabigo ngunit hindi nakakagulat.

Ano ang ginawa ko bilang tugon? Nag-install ako ng 360-degree na 4K na resolution surveillance sa paligid ng aking property, double-checked ang natitirang bahagi ng aking physical security setup, kumuha ng ilang baril mula sa safe, at naghintay ako.

Sa kabutihang palad ang aking intuwisyon na ang umaatake ay T lakas ng loob na ilagay ang kanyang sariling buhay sa panganib sa pamamagitan ng pisikal na pag-atake sa akin ay napatunayang tama. Wala nang mga karagdagang (pisikal) na insidente.

Shit naging totoo lang

Ang swatting ay hindi isang laro; ito ay maaaring nakamamatay. Kaso sa punto:

Wala akong pag-asa na matagpuan ang may kasalanan, ngunit napipilitan akong mag-alok ng karagdagang insentibo.

Gusto kong gawing lubos na malinaw na hindi ko kukunsintihin ang mga banta laban sa aking sarili o sa sinumang pinapahalagahan ko. Ipagtatanggol ko ang aking sarili at ang aking mga mahal sa buhay hanggang sa aking mamamatay na hininga sa bawat mapagkukunan na aking magagamit.

Ang sumusunod na mensahe

ay pinirmahan gamit ang PGP key na ito.

***

Nagkaroon ng maraming haka-haka na ito ay may kaugnayan sa Bitcoin scaling debate, ngunit hindi sinabi ng umaatake kung ano ang kanyang mga motibasyon. Pagkatapos ng katotohanan, iniwan niya sa akin ang voicemail na ito na humihingi ng ransom payment... ngunit T man lang ako binigyan ng address kung saan ko dapat ipadala ang BTC!

Pagkatapos makipag-usap sa ibang mga taong na-harass, lubos kong inaasahan ang iba pang mga inis gaya ng:

• Paggamit ng mga ninakaw na credit card para makabili ng mga bagay at ipadala sa aking bahay.
• Pagbili ng mga droga / ilegal na bagay sa mga darknet site at ipinapadala ang mga ito sa aking bahay.
• Pinapakialaman ang mga account para sa aking mga utility para i-off ang mga ito.
• Pagpeke ng isang gawa sa pagtatangkang angkinin ang pagmamay-ari ng aking tahanan.

Noong Nobyembre 9, nakatanggap ako ng email na binomba ng isang bot na nagsa-sign up sa akin para sa isang TON listahan ng marketing sa email.

Dahil ang mga email ay "lehitimong" marketing sa halip na mga mass email mula sa ilang source, mabilis akong nagpasya na ang pinakamagandang opsyon ay i-off ko lang ang aking email para sa araw at ginawa ang karamihan sa mga pag-sign up, na pinipigilan ang aking email address na maidagdag sa mga listahan ng mga marketer. Ang pagkakaroon ng 8 taong karanasan sa pagsusulat ng email marketing software ay may mga pakinabang nito.

Makalipas ang labindalawang oras statoshi.info ay inatake ang DoS at ni-blackhol ng host ko ang IP address para i-save ang sarili nilang imprastraktura. Walang big deal.

Secret ko ang detalyeng ito sa nakalipas na taon, ngunit T ako sa bahay nang ipadala ng attacker ang SWAT team sa aking bahay. Inaasahan ko talaga na mabasa ng salarin ang artikulong ito at mapagtanto kung gaano sila kalungkot na nabigo.

Lubos akong naghihinala na ang dahilan kung bakit pinili ng attacker na mag-strike noong ginawa niya ay mula sa tweet na nakikita mo sa simula ng artikulong ito. Karaniwan kong iniiba ang aking mga post sa social media at inaantala ang pag-tweet ng anumang bagay na maaaring magtali sa akin sa isang partikular na lokasyon.

Kaya, nang makita ng umaatake na "kagigising ko lang" mali niyang inakala na dapat nasa bahay na ako – maliwanag na hindi siya sapat na sopistikado upang malaman ang aking gawain. Naiisip ko lang kung paano maaaring magkaiba ang paglalaro ng kwentong ito kung hindi dahil sa ONE maliit na puntong ito.

Kung nakauwi na ako, maaaring hindi kami nakipag-ugnayan sa SWAT team hanggang sa sinira nila ang pinto, na malamang na magwawakas nang masama.

Ang tunay na problema sa swatting

Napakatagal kong hinintay na ihayag ang mga detalye ng araw na ito dahil gusto kong gumawa ng mga karagdagang hakbang upang mapabuti ang aking seguridad sa pagpapatakbo. Isinulat ko ang lahat ng mga pag-iingat na ginawa ko sa nakalipas na taon at nilayon kong i-publish ang mga ito sa lalong madaling panahon.

Ang bagay ay, ako ay maswerte na ang Departamento ng Pulisya ng Durham ay mas may kakayahan at maingat kaysa sa ibang mga departamento sa U.S. Kung may ilang mga pagbabago sa araw na iyon, madali akong mamatay.

Bagama't tiyak na sinisisi ko ang umaatake para sa mga aksyon na kanilang ginawa, inilalagay ng aking root cause analysis ang sisihin nang husto ang pagpapatupad ng batas para sa paglikha ng isang mapagsamantalang kahinaan. Ang militarisasyon ng pulisya na sinamahan ng hindi umiiral na pagpapatunay ay lumilikha ng isang magandang kapaligiran para sa swatting.

Kung iisipin mo, nakakabahala ang kawalaan ng simetrya - ang isang hindi kilalang tawag sa telepono ay maaaring magresulta sa nakamamatay na puwersa na i-deploy sa loob ng ilang minuto laban sa isang di-makatwirang target. Ang nag-iisang anonymous na tawag sa telepono ay nagkakahalaga lamang ng ilang dolyar at maaari pa ring kumonsumo ng sampu kung hindi man daan-daang libong dolyar sa mga pampublikong mapagkukunan para lang matukoy kung totoo o hindi ang isang banta.

Ano ang solusyon? Bagama't isa akong malaking tagapagtaguyod ng Privacy , sa palagay ko ay T posible para sa isang tao na mag-deploy ng nakamamatay na puwersa nang walang panganib sa kanilang sarili. Hindi bababa sa, dapat mong ilagay ang iyong reputasyon sa linya upang ikaw ay mapanagot.

Ang aking rekomendasyon sa mga ahensyang nagpapatupad ng batas: Alamin na ang mga swatter ay halos palaging tumatawag mula sa labas ng kanilang target na lugar. Dahil dito, T talaga sila makakatawag sa 911 – kailangan nilang maghanap ng hindi pang-emergency na numero na maaari nilang tawagan na magdadala sa kanila sa 911. Ang mga pagtaas na ito ay dapat pulang bandila bilang kahina-hinala.

Sundan ang pinagmulan ng tawag sa telepono; kung bumabalik ito sa isang ganap na naiibang estado kaysa sa inaangkin na lokasyon ng tumatawag, pulang bandila!

Kung ang pinagmulang numero ng telepono ng tumatawag ay T nakarehistro sa kanilang pangalan (o pangalan ng sinuman) pagkatapos ay humingi ng patunay ng pagkakakilanlan. Kung ang tumatawag ay tumangging kilalanin ang kanilang sarili (binabaan ang aking umaatake kapag tinanong) kung gayon ito ay a pulang bandila!

Iniiwan ko sa iyo ang isang sipi mula sa "The Crypto Anarchist Manifesto" (akin ang diin):

" Ang Technology ng computer ay nasa Verge ng pagbibigay ng kakayahan para sa mga indibidwal at grupo na makipag-usap at makipag-ugnayan sa isa't isa sa isang ganap na hindi kilalang paraan. Maaaring magpalitan ng mensahe ang dalawang tao, magsagawa ng negosyo, at makipag-ayos ng mga elektronikong kontrata nang hindi nalalaman ang Tunay na Pangalan, o legal na pagkakakilanlan, ng isa. Ang perpektong katiyakan laban sa KEEP Secret.

Larawan sa pamamagitan ng Jameson Lopp