Riflessioni su uno Swatting: dentro la battaglia per la sicurezza di ONE ingegnere Bitcoin

Il 16 ottobre 2017 è iniziato come un qualsiasi altro lunedì. Mi sono svegliato alle 6 del mattino e sono andato alla YMCA per giocare a racquetball, pronto a iniziare la settimana con una WIN.

Quando ho finito di giocare, ho twittato una battuta carina:

Poi sono andato nel bagno turco e nella doccia per rilassarmi e rinfrescarmi. Al ritorno nel mio quartiere, ho incontrato un problema insolito: una volante della polizia con le luci lampeggianti bloccava l'ingresso. Mi sono fermato e ho abbassato il finestrino:

"Salve agente, c'è qualche problema? Sto solo cercando di arrivare a casa mia."

"Siamo spiacenti, dobbiamo mettere in sicurezza la zona a causa di un incidente in corso."

"Si tratta di uno sparatutto?"

"Non è chiaro, ma abbiamo informazioni secondo cui detiene armi lunghe nei locali."

"Beh merda, cosa dovrei dire alla mia famiglia di fare? Sono a casa."

"Chiamateli e dite loro di salire in macchina e di andarsene dalla comunità."

"Andrà bene!"

Ho lasciato la strada principale e ho trovato un posto dove parcheggiare, così da poter chiamare casa.

"Ehi, T panico, ma la polizia sta bloccando il quartiere a causa di un incidente. Dovresti salire in macchina e andartene."

"Ok, vengo subito."

Ho aspettato qualche minuto e poi ho ricevuto una chiamata.

"La polizia mi ha fermato mentre uscivo e mi ha chiesto se stavo bene. A quanto pare sono stati chiamati a casa nostra! Vogliono che tu vada a parlare con loro all'unità di comando mobile dietro l'angolo."

Sono tornato all'ingresso e ho detto all'agente di pattuglia che il suo capitano voleva parlare con me, così mi ha fatto segno di passare. Quando sono entrato nell'unità di comando mobile, la prima cosa che mi è stata chiesta è stata:

"Signore, ha dei nemici?"

A cui ho risposto:

T passò molto tempo prima che arrivassero le emittenti televisive; a quanto pare, T sapevano nemmeno cosa significasse "swatting".

Le emittenti televisive sono riuscite a ottenere una copia della telefonata effettuata dall'aggressore; è possibileascoltalo quiL'aggressore ha affermato di aver sparato e ucciso qualcuno e di aver tenuto in ostaggio altre persone dopo aver manomesso la porta d'ingresso con degli esplosivi.

Una volta che le troupe se ne furono andate e la situazione si fu calmata, pensai che avrei dovuto far sapere all'aggressore che non era riuscito a raggiungere il suo obiettivo.

Nel giro di poche ore dal mio tweet, ho ricevuto un messaggio vocale minaccioso da un numero con prefisso di New York; puoiascolta la segreteria telefonica quiSi noti un tema comune tra la chiamata al 911 e la segreteria telefonica: in entrambe le occasioni chiede 50.000 $ (o l'equivalente in BTC).

"La prossima volta che ti farò qualcosa, T coinvolgerò la polizia."

Entro 48 ore il Dipartimento di Polizia di Durham mi ha detto che avevano rintracciato la chiamata a un server usa e getta in Texas, ma che erano finiti in un vicolo cieco e stavano girando il caso all'FBI. Non ho mai sentito parlare dell'FBI. Ho perso ogni fiducia nella capacità delle forze dell'ordine di proteggermi molto tempo fa, quindi è stato deludente ma non sorprendente.

Cosa ho fatto in risposta? Ho installato una sorveglianza a 360 gradi con risoluzione 4K attorno alla mia proprietà, ho ricontrollato il resto della mia configurazione di sicurezza fisica, ho tirato fuori qualche arma da fuoco dalla cassaforte e ho aspettato.

Fortunatamente il mio intuito che l'aggressore T aveva il coraggio di mettere in pericolo la propria vita aggredendomi fisicamente si è rivelato corretto. Non ci sono stati ulteriori incidenti (fisici).

La situazione si è fatta davvero seria

Lo swatting non è un gioco; può essere fatale. Un esempio concreto:

Ho poche speranze che il colpevole venga trovato, ma mi sento in dovere di offrire un ulteriore incentivo.

Voglio chiarire in modo estremamente chiaro che non tollererò minacce contro me stesso o chiunque mi stia a cuore. Difenderò me stesso e i miei cari fino all'ultimo respiro con ogni risorsa a mia disposizione.

Il seguente messaggio

è firmatocon questa chiave PGP.

***

Si è molto speculato sul fatto che questo fosse correlato al dibattito sullo scaling Bitcoin , ma l'attaccante non ha mai detto quali fossero le sue motivazioni. Dopo il fatto, mi ha lasciato questo messaggio vocale chiedendomi un pagamento di riscatto... ma T mi ha nemmeno dato un indirizzo a cui inviare i BTC!

Dopo aver parlato con altre persone che sono state molestate, mi aspettavo altri fastidi come:

• Utilizzare carte di credito rubate per acquistare cose e spedirle a casa mia.
• Acquistare droga/cose illegali su siti darknet e spedirle a casa mia.
• Manomettere i conti delle mie utenze per farle disattivare.
• Falsificare un atto di compravendita nel tentativo di rivendicare la proprietà della mia casa.

Il 9 novembre sono stato bombardato da un bot che mi voleva iscrivere a un TON di liste di email marketing.

Poiché le email erano marketing "legittimo" piuttosto che email di massa da poche fonti, ho deciso abbastanza rapidamente che l'opzione migliore era semplicemente disattivare la mia email per il giorno e far sì che la maggior parte delle iscrizioni rimbalzassero, impedendo al mio indirizzo email di essere aggiunto alle liste dei marketer. Avere 8 anni di esperienza nella scrittura di software di email marketing ha i suoi vantaggi.

Dodici ore dopostatoshi.infoè stato attaccato da DoS e il mio host ha oscurato l'indirizzo IP per salvare la propria infrastruttura. Niente di che.

Ho tenuto Secret questo dettaglio per l'anno scorso, ma T ero a casa quando l'aggressore ha mandato la squadra SWAT a casa mia. Spero davvero che l'autore legga questo articolo e si renda conto di quanto abbia fallito miseramente.

Ho il forte sospetto che il motivo per cui l'attaccante abbia scelto di colpire quando lo ha fatto sia stato il tweet che vedi all'inizio di questo articolo. Di solito vario i miei post sui social media e rimando a twittare qualsiasi cosa che possa collegarmi a una posizione specifica.

Quindi, quando l'aggressore ha visto che "mi ero appena svegliato", ha erroneamente pensato che fossi a casa: chiaramente non era abbastanza sofisticato da conoscere la mia routine. Posso solo immaginare come questa storia avrebbe potuto svolgersi diversamente se non fosse stato per questo ONE dettaglio.

Se fossi stato a casa, probabilmente non avremmo contattato la squadra SWAT prima che sfondassero la porta, il che probabilmente sarebbe finito male.

Il vero problema dello swatting

Ho aspettato così a lungo per rivelare i dettagli di questa giornata perché volevo adottare misure aggiuntive per migliorare la mia sicurezza operativa. Ho scritto tutte le precauzioni che ho preso nell'ultimo anno e ho intenzione di pubblicarle presto.

Il fatto è che erofortunatoche il Dipartimento di Polizia di Durham è più competente e cauto rispetto ad altri dipartimenti negli Stati Uniti. Se quel giorno alcune variabili fossero state diverse, sarei potuto morire facilmente.

Sebbene io dia certamente la colpa all'attaccante per le azioni intraprese, la mia analisi della causa principale colloca l'dare la colpa direttamente alle forze dell'ordine per aver creato una vulnerabilità sfruttabileLa militarizzazione della polizia, combinata con l'inesistenza dell'autenticazione, crea un ambiente ideale per lo swatting.

Se ci pensi, l'asimmetria è inquietante: una singola telefonata anonima può causare l'impiego di forza letale nel giro di pochi minuti contro un bersaglio arbitrario. Una singola telefonata anonima costa solo pochi dollari e tuttavia può consumare decine se non centinaia di migliaia di dollari di risorse pubbliche solo per determinare se una minaccia è reale o meno.

Qual è la soluzione? Sebbene io sia un grande sostenitore Privacy , T credo che sia possibile per qualcuno usare la forza letale senza correre rischi per sé. Come minimo, dovresti mettere a rischio la tua reputazione in modo da poter essere ritenuto responsabile.

La mia raccomandazione alle forze dell'ordine: rendetevi conto che gli swatters quasi sempre effettueranno una chiamata da fuori dalla località del loro bersaglio. Pertanto, T possono effettivamente chiamare il 911: devono trovare un numero non di emergenza che possano chiamare e che li faccia passare al 911. Queste escalation dovrebbero essere segnalato in rossocome sospetto.

Rintracciare la fonte della telefonata; se riconduce a uno stato completamente diverso da quello in cui si trovava il chiamante,bandiera rossa!

Se il numero di telefono sorgente del chiamante T è registrato a suo nome (o a nome di chiunque altro), allora chiedi una prova di identificazione. Se il chiamante si rifiuta di identificarsi (il mio aggressore ha riattaccato quando gli è stato chiesto), allora è un bandiera rossa!

Vi lascio con un estratto dal "Manifesto Cripto -anarchico" (enfasi mia):

" La Tecnologie informatica è sul Verge di fornire la possibilità a individui e gruppi di comunicare e interagire tra loro in modo totalmente anonimo. Due persone possono scambiarsi messaggi, condurre affari e negoziare contratti elettronici senza mai conoscere il vero nome o l'identità legale dell'altro. Le interazioni sulle reti saranno irrintracciabili, tramite un esteso re-instradamento di pacchetti crittografati e scatole antimanomissione che implementano protocolli crittografici con una garanzia quasi perfetta contro qualsiasi manomissione. La reputazione sarà di fondamentale importanza, molto più importante nelle relazioni persino delle attuali valutazioni del merito creditizio. Questi sviluppi altereranno completamente la natura della regolamentazione governativa, la capacità di tassare e controllare le interazioni economiche, la capacità di KEEP Secret le informazioni e altereranno persino la natura della fiducia e della reputazione."

Immagine tramite Jameson Lopp