Роздуми про сваттинг: битва за безпеку ONE Bitcoin інженера

16 жовтня 2017 року розпочався як будь-який інший понеділок. Я прокинувся о 6 ранку й поїхав до YMCA грати в ракетбол, готовий розпочати тиждень із WIN.

Коли я закінчив грати, я написав у Твіттері милу догадку:

Потім я пішов у парну та в душ, щоб розслабитися та освіжитися. Повернувшись до свого району, я зіткнувся з незвичайною проблемою: поліцейський крейсер із миготливими маячками блокував вхід. Я зупинився і опустив вікно:

«Привіт, офіцер, є проблема? Я просто намагаюся потрапити до свого дому».

«Вибачте, ми повинні охороняти територію через інцидент, який триває».

«Це активний шутер?»

«Незрозуміло, але ми маємо інформацію, що він має довгі рушниці в приміщенні».

«Ну, чорт, що мені сказати своїй родині? Вони вдома».

«Подзвони їм і скажи сісти в машину та вийти з громади».

"Зроблю!"

Я з’їхав з головної дороги й знайшов місце для паркування, щоб подзвонити в будинок.

«Гей, T панікуй, але поліція блокує околиці через інцидент. Тобі слід сісти в машину та виїхати».

«Добре, я зараз вийду».

Я почекав кілька хвилин, а потім мені передзвонили.

«Поліція зупинила мене, коли я виходив, і запитала, чи зі мною все гаразд. Очевидно, їх викликали до нас додому! Вони хочуть, щоб ви прийшли поговорити з ними до мобільної команди за рогом».

Я повернувся до входу і сказав патрульному, що його капітан хоче зі мною поговорити, тому він помахав мені пройти. При вході в мобільну команду перше, що мене запитали:

— Пане, у вас є вороги?

На що я відповів:

Це було T до того, як з'явилися станції новин; мабуть, вони навіть T знали, що значить «відбивати».

Новинним телеканалам вдалося отримати копію телефонної розмови зловмисника; ви можете послухайте це тут. Нападник стверджував, що вони застрелили когось, а інших тримали в заручниках після того, як облаштували вхідні двері вибухівкою.

Коли журналісти розійшлися і все затихло, я вирішив повідомити нападнику, що вони не досягли своєї мети.

За кілька годин після того, як я написав твіт, я отримав голосове повідомлення з погрозами з номера з кодом міста Нью-Йорк; ви можете прослухати голосову пошту тут. Зверніть увагу на спільну тему між викликом 911 і голосовою поштою — обидва рази він вимагає $50 000 (або еквівалент у BTC).

«Наступного разу, коли я щось з тобою зроблю, це T стосуватиметься поліції».

Протягом 48 годин поліцейське управління Дарема повідомило мені, що вони відстежили дзвінок на одноразовий сервер у Техасі, але зайшли в глухий кут і передали справу до ФБР. Я ніколи не чув про це ФБР. Я давно втратив будь-яку впевненість у здатності правоохоронних органів захистити мене, тому це розчарувало, але не дивувало.

Що я зробив у відповідь? Я встановив 360-градусне відеоспостереження з роздільною здатністю 4K навколо свого майна, ще раз перевірив решту моїх фізичних налаштувань безпеки, вийняв із сейфа кілька одиниць вогнепальної зброї й чекав.

На щастя, моя інтуїція про те, що нападник T мав сміливості наражати своє життя на небезпеку, фізично напавши на мене, виявилася правильною. Більше (фізичних) інцидентів не було.

Лайно щойно стало реальним

Відмахування це не гра; це може бути смертельним. Приклад:

Я мало сподіваюся, що злочинця буде знайдено, але відчуваю себе змушеним запропонувати додатковий стимул.

Я хочу чітко дати зрозуміти, що я не потерплю погроз проти себе чи будь-кого, хто мені небайдужий. Я захищатиму себе та своїх близьких до самого передсмертного подиху всіма ресурсами, які є в моєму розпорядженні.

Наступне повідомлення

підписується з цим ключем PGP.

***

Було багато припущень, що це пов’язано з дебатами щодо масштабування Bitcoin , але зловмисник так і не сказав, якими були його мотиви. По факту він залишив мені це голосове повідомлення з вимогою викупу… але навіть T дав мені адреси, на яку я маю надіслати BTC!

Після розмови з іншими людьми, які зазнали переслідувань, я цілком очікував інших неприємностей, таких як:

• Використання вкрадених кредитних карток для купівлі речей і доставки їх додому.
• Купівля наркотиків/нелегальних речей на сайтах даркнету та доставка їх додому.
• Втручання в облікові записи моїх комунальних послуг, щоб їх вимкнути.
• Підробка акту в спробі претендувати на право власності на мій будинок.

9 листопада я отримав електронну пошту, яку бомбардував бот, який підписував мене на TON списків маркетингу електронною поштою.

Оскільки електронні листи були «законним» маркетингом, а не масовими електронними листами з кількох джерел, я досить швидко вирішив, що найкращим варіантом буде просто вимкнути свою електронну пошту на день і змусити більшість реєстрацій відхилятися, запобігаючи додаванню моєї електронної адреси до списків маркетологів. Мати 8 років досвіду написання програмного забезпечення електронного маркетингу має свої переваги.

Через дванадцять годин statoshi.info був атакований DoS, і мій хост приховав IP-адресу, щоб зберегти свою власну інфраструктуру. Нічого страшного.

Я тримав цю подробицю в Secret протягом останнього року, але мене T було вдома, коли зловмисник прислав до мене додому спецназ. Я щиро сподіваюся, що злочинець прочитає цю статтю і зрозуміє, наскільки жалюгідно він зазнав невдачі.

Я дуже підозрюю, що зловмисник вирішив завдати удару через твіт, який ви бачите на початку цієї статті. Зазвичай я змінюю свої публікації в соціальних мережах і відкладаю публікацію в Твіттері всього, що може прив’язати мене до певного місця.

Отже, коли зловмисник побачив, що я «щойно прокинувся», він неправильно припустив, що я повинен бути вдома – він явно не був достатньо досвідченим, щоб знати мій розпорядок дня. Я можу тільки уявити, як ця історія могла б розгорнутися по-іншому, якби не цей ONE момент.

Якби я був удома, ми, можливо, не зв’язалися зі спецназом, поки вони не виламували двері, що, ймовірно, закінчилося б погано.

Справжня проблема з відкиданням

Я так довго чекав, щоб розкрити подробиці цього дня, тому що хотів зробити додаткові кроки для покращення своєї операційної безпеки. Я записав усі запобіжні заходи, які вживав за минулий рік, і маю намір незабаром їх опублікувати.

Справа в тому, що я був пощастило що поліцейський департамент Дарема більш компетентний і обережний, ніж інші департаменти в США, якби кілька змінних того дня були іншими, я міг би легко померти.

Хоча я, безперечно, звинувачую зловмисника у вчинених ним діях, мій аналіз першопричини встановлює звинуватити безпосередньо правоохоронні органи у створенні вразливості, яку можна використовувати. Мілітаризація поліції в поєднанні з неіснуючою автентифікацією створює чудове середовище для нападу.

Якщо подумати про це, асиметрія викликає занепокоєння – один анонімний телефонний дзвінок може призвести до розгортання смертоносної сили проти довільної цілі за лічені хвилини. Один анонімний телефонний дзвінок коштує лише кілька доларів, але може витратити десятки, якщо не сотні тисяч доларів державних ресурсів лише для визначення реальності загрози.

Яке рішення? Хоча я великий прихильник Політика конфіденційності , я T вважаю, що хтось може застосовувати смертоносну силу без ризику для себе. Принаймні вам доведеться поставити на карту свою репутацію, щоб вас могли притягнути до відповідальності.

Моя рекомендація правоохоронним органам: майте на увазі, що зловмисники майже завжди телефонуватимуть з-поза меж країни своєї цілі. Таким чином, вони насправді T можуть зателефонувати в 911 – їм потрібно знайти неекстрений номер, за яким вони можуть зателефонувати, щоб передати їх до 911. Ці ескалації мають бути червоний прапорець як підозрілий.

Відстежити джерело телефонного дзвінка; якщо воно простежується до зовсім іншого стану, ніж заявлене місцезнаходження абонента, червоний прапор!

Якщо вихідний номер телефону абонента T зареєстровано на його ім’я (чи чиєсь ім’я), попросіть підтвердження особи. Якщо абонент відмовляється назвати себе (мій зловмисник поклав трубку, коли його запитали), тоді це a червоний прапор!

Я залишаю вам уривок із «Маніфесту Крипто » (виділено моїм):

«Комп’ютерні Технології знаходяться на Verge надання можливості окремим особам і групам спілкуватися і взаємодіяти один з одним у абсолютно анонімний спосіб. Дві людини можуть обмінюватися повідомленнями, вести бізнес і укладати електронні контракти, навіть не знаючи справжнього імені або юридичної особи іншого. Взаємодії в мережах буде неможливо відстежити через значне перенаправлення зашифрованих пакетів і захищені від втручання коробки, які реалізують криптографічні протоколи з майже повною гарантією від будь-яких фальсифікацій. Репутація буде мати центральне значення, набагато важливіше навіть за сучасні кредитні рейтинги, ці зміни повністю змінять природу державного регулювання, здатність оподатковувати та контролювати економічну взаємодію, здатність KEEP інформацію в Secret, і навіть змінять природу довіри та репутації».

Зображення через Джеймсона Лоппа