Per anni, un uomo in California ha sistematicamente molestato e terrorizzato giovani ragazze usando app di chat, email e Facebook. Ha estorto foto e video di nudo, e minacciato le sue vittime di stupro e morte. Inoltre, mandava minacce dettagliate delle stragi che avrebbe condotto nelle scuole frequentate dalle ragazze se non gli avessero mandato le immagini esplicite chieste.
Buster Hernandez, noto online come “Brian Kil”, rappresentava una minaccia tanto persistente ed era così abile a nascondere la sua vera identità che Facebook ha preso la decisione senza precedenti di collaborare con l’FBI per hackerarlo e ottenere le prove necessarie per arrestarlo e condannarlo, ha scoperto Motherboard. Nello specifico, Facebook ha collaborato con un’azienda di terze parti per sviluppare l’exploit, che non ha consegnato direttamente all’FBI; non è chiaro se l’FBI sapesse del coinvolgimento di Facebook nello sviluppo dell’exploit. Stando a fonti interne all’azienda, questa è la prima e unica volta che Facebook aiuta le autorità ad hackerare un obiettivo.
Videos by VICE
Il caso mostra le possibilità tecniche di cui dispongono Facebook, un’azienda di hacking di terze parti e le forze dell’ordine se combinate, e solleva domande complesse su quando—e se—sia appropriato che aziende private aiutino altri ad hackerare i propri stessi utenti. L’FBI e Facebook hanno usato un cosiddetto exploit zero-day nel sistema operativo Tails, che reindirizza automaticamente il traffico internet di un utente tramite la rete anonima Tor, per smascherare il vero indirizzo IP di Hernandez, che ha poi condotto al suo arresto.
Un portavoce di Facebook ha confermato a Motherboard che il colosso ha lavorato con “esperti di sicurezza” per aiutare l’FBI ad hackerare Hernandez.
“L’unico risultato accettabile per noi era portare Buster Hernandez davanti alla giustizia per gli abusi inflitti a quelle giovani ragazze,” ha detto il portavoce di Facebook. “È stato un caso unico, perché stava usando metodi così sofisticati per nascondere la sua identità che sono state necessarie misure straordinarie di collaborazione con esperti di sicurezza per aiutare l’FBI a fare giustizia.”
“Dato che non c’erano altri rischi di privacy, e l’impatto sulle vittime era così serio, non penso che avessimo alternativa.”
Alcuni ex impiegati di Facebook che erano a conoscenza della situazione hanno detto a Motherboard che le azioni di Hernandez erano così estreme che l’azienda ha ritenuto di non avere altra scelta se non agire.
“In questo caso, non c’era alcun rischio per altri utenti oltre a questa persona, verso cui c’erano molto più che semplici sospetti. Non avremmo mai fatto qualcosa che potesse avere un impatto su altre persone, come una backdoor,” ha detto un ex impiegato di Facebook che sapeva del caso. “Dato che non c’erano altri rischi di privacy, e l’impatto sulle vittime era così serio, non penso che avessimo alternative.”
Stando a diversi impiegati ed ex impiegati di Facebook con cui Motherboard ha parlato, ad ogni modo, la decisione è stata molto più controversa all’interno dell’azienda. Motherboard ha garantito a diverse fonti l’anonimato per permettere loro di discutere gli eventi protetti da accordi di segretezza.
I crimini commessi da Buster Hernandez sono agghiaccianti e leggere i documenti dell’FBI fa venire la nausea. Mandava messaggi a ragazze minorenni su Facebook dicendo cose tipo “Ciao, devo chiederti una cosa. È importante. A quanti ragazzi hai mandato foto indecenti, perché ne ho qualcuna tua?,” stando ai documenti del tribunale.
Quando una vittima rispondeva, lui pretendeva video e foto sessualmente espliciti, con la minaccia di mandare le immagini che già aveva agli amici e parenti della ragazza (in realtà, non aveva alcuna foto di nudo, era un bluff). Poi, e in alcuni casi per mesi o anni, continuava a terrorizzare le sue vittime dicendo che avrebbe reso tutto pubblico. Mandava lunghe e dettagliate minacce di stupro, di attacchi omicidi verso le famiglie delle vittime, e di stragi e bombe nelle scuole, se non avessero continuato a mandare quanto chiesto. In certi casi, diceva alle vittime che se si fossero suicidate avrebbe postato le loro foto di nudo sulle pagine fatte in loro memoria.
Diceva alle sue vittime che voleva “essere il peggior cyberterrorista mai esistito.”
“Voglio lasciare una scia di morte e distruzione [alla tua scuola],” ha scritto nel 2015. “Mi basterà ENTRARE SENZA FARMI NOTARE DOMANI… ammazzerò tutti i tuoi compagni e ti lascerò per ultima. Mi piegherò su di te mentre urli e piangi e chiedi pietà prima di tagliarti quella cazzo di gola da orecchio a orecchio.”
Per tutto il tempo, sosteneva che la polizia non l’avrebbe mai beccato: “Penseresti che la polizia ormai avrebbe dovuto prendermi, ma non è così. Non hanno alcun indizio. La polizia è inutile,” ha scritto. “Pregate per l’FBI, non risolveranno mai questo caso lmao… Sono sopra la legge e sempre lo sarò.”
Hernandez usava il sistema operativo Tails, su cui gira Tor e che è progettato per crittografare e spostare tutto il traffico di un utente attraverso la rete anonima di default, nascondendo il suo vero indirizzo IP dai siti e servizi che usa. Sfruttando questo strumento, l’uomo ha contattato e molestato decine di vittime su Facebook per anni fino al 2017, stando ai documenti del tribunale. Il sistema operativo è usato anche da giornalisti, attivisti e dissidenti che sono minacciati dai sistemi di sorveglianza delle autorità e dei governi. Un portavoce di Tails ha detto che è “usato quotidianamente da oltre 30.000 tra attivisti, giornalisti e persone vittime di abusi domestici, e cittadini preoccupati per la propria privacy.”
Hernandez era così vociferato su Facebook che gli impiegati lo consideravano il peggior criminale mai comparso sulla piattaforma, hanno detto due ex impiegati di Facebook a Motherboard. Stando a queste fonti, Facebook aveva assegnato a un impiegato il compito di tracciare Hernandez per due anni, e aveva sviluppato un nuovo sistema di machine learning per individuare gli utenti che creano nuovi account e contattano minori con scopi di estorsione. Questo sistema è stato in grado di individuare Hernandez e collegarlo a diversi account sotto pseudonimo, oltre che alle vittime di ogni profilo falso, hanno detto due ex impiegati di Facebook.
Diversi rami dell’FBI sono stati coinvolti nella caccia all’uomo, e l’FBI ha fatto un primo tentativo di hack e de-anonimizzazione, che è però fallito, poiché il tool che hanno usato non era adatto a Tails. Hernandez si è accorto dell’operazione e ha deriso l’FBI, stando ai due ex impiegati.
“Tutto ciò che abbiamo fatto era perfettamente legale, ma noi non siamo forze dell’ordine.”
Il security team di Facebook, al tempo guidato da Alex Stamos, ha capito di dover fare di più, e concluso che all’FBI servisse il loro aiuto per smascherare Brian Kil. Facebook ha assunto uno studio di consulenza in cybersicurezza per sviluppare un tool di hacking, per un compenso a sei cifre. Le nostre fonti hanno descritto il tool come un exploit zero-day, con cui si intende una vulnerabilità in un software sconosciuta agli stessi sviluppatori. L’azienda terza ha lavorato con un ingegnere di Facebook e scritto un programma capace di sfruttare una falla nel player video di Tails e rivelare il vero indirizzo IP della persona che sta guardando il video. Infine, Facebook lo ha passato a un intermediario che lo ha consegnato all’FBI, stando alle tre fonti che hanno confermato gli eventi.
Facebook ha detto a Motherboard che non si occupa di sviluppare exploit e che non vuole creare l’aspettativa che collaborare con le forze dell’ordine diventerà una cosa regolare. Facebook ha detto di aver stabilito l’approccio dell’operazione, ma di non aver sviluppato internamente l’exploit, e che la scelta di hackerare l’obiettivo è stata presa solo dopo aver escluso tutte le altre opzioni.
L’FBI ha poi ottenuto un mandato e l’aiuto di una vittima, che ha mandato un video-trappola a Hernandez, come riportato da Motherboard in passato. A febbraio di quest’anno l’uomo si è dichiarato colpevole di 41 capi d’accusa, compresa produzione di pedopornografia, coercizione e adescamento di minori, minacce di morte, rapimento e ingiuria. Ora è in attesa della sentenza e passerà probabilmente anni in prigione.
Un portavoce dell’FBI ha declinato la nostra richiesta di commento, dicendo che è una “situazione ancora in corso” e ha suggerito di contattare l’ufficio del Procuratore che ha perseguito Hernandez. L’ufficio del Procuratore ha declinato a sua volta la richiesta di commento.
Facebook conduce continuamente indagini su sospetti criminali sulla sua piattaforma, siano cybercriminali, stalker, ricattatori, o persone che abusano di minori. Diversi team a Menlo Park e altri uffici dell’azienda raccolgono le segnalazioni degli utenti e danno la caccia a questi criminali. Questi gruppi sono composti da specialisti in sicurezza, alcuni dei quali lavoravano prima per il governo, comprese agenzie come FBI e polizia, stando ai profili LinkedIn degli stessi impiegati.
Questi impiegati sono così orgogliosi del loro lavoro che avevano una stanza dove appendevano le foto di chi finiva arrestato, e i ritagli di giornale che parlavano di quei casi, stando agli impiegati ed ex impiegati con cui ha parlato Motherboard.
Stando a tutte le fonti interpellate, però, questa è stata la prima e unica volta in cui Facebook si è fatta coinvolgere direttamente e ha collaborato con l’FBI in questo modo. E secondo molti, è stata una decisione controversa.
“Il precedente per cui un’azienda privata compra uno zero-day per sgominare un criminale,” ha detto una fonte che era a conoscenza dell’indagine e dello sviluppo dell’exploit, “è un’idea completamente fuori di testa […] è una cosa loschissima.”
Un’altra fonte ha detto che “tutto ciò che abbiamo fatto era perfettamente legale, ma noi non siamo forze dell’ordine.”
“Sarei sorpreso se, davanti a circostanze uguali a queste, succedesse di nuovo,” ha aggiunto.
Un ex impiegato di Facebook a conoscenza dell’indagine, però, ha visto la partnership con l’azienda di cybersicurezza e il fatto di pagare per lo sviluppo dell’exploit come azioni giustificate, dato che lo scopo era prendere un molestatore di minori.
“Penso che abbiano fatto la cosa giusta. Si impegnano molto per proteggere i bambini,” ha detto l’ex impiegato, che ha chiesto di restare anonimo perché non era autorizzato a parlare del caso. “È difficile pensare a un’altra azienda che dedichi tutto questo tempo e risorse a limitare i danni causati da un individuo spietato.”
“Il precedente per cui un’azienda privata compra uno zero-day per sgominare un criminale è completamente fuori di testa.”
Che l’hack sia avvenuto su Tails e non su Facebook, aggiunge un altro livello particolarmente spinoso alla faccenda. Anche se lo scopo dell’hack era essere usato contro un solo, specifico, criminale spietato, consegnare un exploit zero-day alle forze dell’ordine implica il rischio che sarà usato in altri casi, meno gravi. La sicurezza di questi prodotti non può essere compromessa per qualcuno senza che tutti siano compromessi, così i tool di hacking zero-day sono spesso tenuti segreti e venduti per cifre altissime. Se finissero nelle mani sbagliate, potrebbe essere un disastro.
Un portavoce di Tails ha detto in una email che gli sviluppatori del progetto “non sapevano della storia di Hernandez fino ad ora, e non siamo a conoscenza di quale vulnerabilità è stata sfruttata per de-anonimizzarlo.” Il portavoce ha definito la cosa come “informazioni nuove e potenzialmente sensibili,” e ha detto che l’exploit non è ai stato spiegato al team di sviluppo di Tails. Molti ricercatori in sicurezza—compresi quelli che lavorano per grosse aziende come Google—affrontano un processo chiamato “divulgazione coordinata” in cui i ricercatori informano le aziende di aver trovato una vulnerabilità nel loro software e danno loro il tempo di risolvere il problema prima di rendere pubblici i dettagli.
In questo caso, però, non è stato fatto, perché l’FBI voleva sfruttare la vulnerabilità contro l’obbiettivo.
Da anni, alti ufficiali delle forze dell’ordine e legislatori denunciano con preoccupazione il problema del “going dark“, uno scenario in cui criminali e terroristi sfruttano crittografia potente per sfuggire ad arresti e condanne. Con la crescita della crittografia di default, le forze dell’ordine e i governi hanno iniziato ad hackerare più spesso gli obiettivi per ottenerne le comunicazioni e i dati.
Un fattore che ha convinto il team di sicurezza di Facebook che la decisione presa fosse appropriata, dicono le fonti, è stato il fatto che sapevano di un aggiornamento imminente di Tails che avrebbe rimosso la parte di codice vulnerabile. Di fatto, questo metteva una data di scadenza sull’exploit, stando alle due fonti a conoscenza del tool.
A detta del team di Facebook, gli sviluppatori di Tail non sapevano del difetto, nonostante abbiano rimosso il codice relativo. Uno degli ex impiegati di Facebook che ha lavorato al progetto ha detto che il piano era di segnalare, prima o poi, la vulnerabilità a Tails, ma poi si sono accorti che non ce n’era più bisogno.
Amie Stepanovich, direttrice esecutiva del Silicon Flatirons Center all’Università del Colorado, ha detto che è importante ricordare che a prescindere dall’obiettivo designato per questi tool di hacking, sfruttano vulnerabilità del software che possono essere usate anche contro persone innocenti.
“Una vulnerabilità può essere usata contro chiunque. Tails potrà essere usato da criminali, ma è anche uno strumento fondamentale per attivisti, giornalisti, o ufficiali governativi, così come per persone che vogliono proteggersi contro malintenzionali,” ha detto a Motherboard Stepanovich. “Ecco perché è importante avere processi trasparenti sulla scoperta e risposta a queste vulnerabilità, compreso il dare priorità a informare una persona, organizzazione o azienda appropriata.”
Stando al Senatore Ron Wyden, che monitora attentamente l’uso di strumenti di hacking da parte delle forze dell’ordine, questo caso solleva domande su come l’FBI abbia gestito il tool acquistato da Facebook.
“L’FBI l’ha riutilizzato in altri casi? Ha condiviso la vulnerabilità con altre agenzie? Ha sottomesso lo zero-day a una verifica secondo il Vulnerabilities Equity Process?” ha dichiarato Wyden , facendo riferimento al processo governativo che stabilisce se una vulnerabilità zero-day debba essere divulgata agli sviluppatori del software o meno. “È chiaro che deve essere fatta più luce su come il governo usa un tool di hacking, e su se le regole preposte forniscano una sicurezza adeguata.”
Gli ingegneri e i ricercatori in sicurezza che hanno fatto la chiamata al tempo, però, hanno detto che non c’era altra scelta.
“Sapevamo che sarebbe stato usato contro brutta gente,” ha detto una delle fonti a conoscenza del caso. “C’era una brutta persona che faceva brutte cose, e noi volevamo sistemare la situazione.”