Reflexões sobre um Swatting: Por dentro da batalha de segurança de um engenheiro de Bitcoin

16 de outubro de 2017 começou como qualquer outra segunda-feira. Acordei às 6 da manhã e dirigi até o YMCA para jogar raquetebol, pronto para começar a semana com uma WIN.

Quando terminei de jogar, tuitei uma piada fofa:

Então fui para a sauna a vapor e para o chuveiro para relaxar e me refrescar. Ao retornar para o meu bairro, encontrei um problema incomum: uma viatura policial com suas luzes piscando estava bloqueando a entrada. Parei e abaixei minha janela:

"Olá, policial, há algum problema? Estou apenas tentando chegar em casa."

"Desculpe, precisamos proteger a área devido a um incidente em andamento."

"É um atirador ativo?"

"Não está claro, mas temos informações de que ele tem armas longas no local."

"Bom, merda, o que eu devo dizer para minha família fazer? Eles estão na casa."

"Ligue para eles e diga para entrarem no carro e saírem da comunidade."

"Vai fazer!"

Saí da estrada principal e encontrei um lugar para estacionar, para poder ligar para a casa.

"Ei, T em pânico, mas a polícia está fechando o bairro devido a um incidente. Você deveria entrar no carro e ir embora."

"Ok, já vou."

Esperei alguns minutos e então recebi uma ligação de volta.

"A polícia me parou quando eu estava saindo e me perguntou se eu estava bem. Aparentemente eles foram chamados à nossa casa! Eles querem que você venha falar com eles na unidade de comando móvel na esquina."

Voltei para a entrada e disse ao policial da patrulha que seu capitão queria falar comigo, então ele me deixou passar. Ao entrar na unidade de comando móvel, a primeira coisa que me perguntaram foi:

"Senhor, o senhor tem algum inimigo?"

Ao que eu respondi:

T demorou muito para que as emissoras de notícias aparecessem; aparentemente, elas T sabiam o que significava "swatting".

As estações de notícias conseguiram uma cópia do telefonema feito pelo atacante; você podeouça aqui. O agressor alegou que atirou e matou alguém e manteve outros reféns após colocar explosivos na porta da frente.

Depois que as equipes de notícias foram embora e tudo se acalmou, pensei que deveria avisar ao agressor que eles não conseguiram atingir seu objetivo.

Poucas horas depois de fazer meu tweet, recebi uma mensagem de voz ameaçadora de um número com código de área de Nova York; você podeouça a mensagem de voz aqui. Observe um tema comum entre a ligação para o 911 e o correio de voz — em ambas as vezes ele exige US$ 50.000 (ou o equivalente em BTC).

"Da próxima vez que eu fizer alguma coisa com você, T envolverá a polícia."

Em 48 horas, o Departamento de Polícia de Durham me disse que havia rastreado a ligação para um servidor descartável no Texas, mas chegou a um beco sem saída e estava entregando o caso ao FBI. Nunca mais ouvi falar do FBI. Perdi qualquer confiança na capacidade da polícia de me proteger há muito tempo, então isso foi decepcionante, mas não surpreendente.

O que eu fiz em resposta? Instalei vigilância de resolução 4K de 360 graus ao redor da minha propriedade, verifiquei duas vezes o resto da minha configuração de segurança física, tirei algumas armas de fogo do cofre e esperei.

Felizmente, minha intuição de que o agressor T teve coragem de colocar sua própria vida em perigo ao me atacar fisicamente provou estar certa. Não houve mais incidentes (físicos).

A merda ficou séria

Swatting não é um jogo; pode ser fatal. Caso em questão:

Tenho pouca esperança de que o autor do crime seja encontrado, mas sinto-me obrigado a oferecer um incentivo adicional.

Quero deixar bem claro que não tolerarei ameaças contra mim ou qualquer pessoa com quem me importo. Defenderei a mim mesmo e a meus entes queridos até meu último suspiro com todos os recursos à minha disposição.

A seguinte mensagem

está assinadocom esta chave PGP.

***

Houve muita especulação de que isso estava relacionado ao debate sobre a escalabilidade do Bitcoin , mas o invasor nunca disse quais eram suas motivações. Depois do fato, ele me deixou esta mensagem de voz exigindo um pagamento de resgate... mas T me deu um endereço para o qual eu deveria enviar o BTC!

Depois de falar com outras pessoas que foram assediadas, eu esperava outros aborrecimentos, como:

• Usar cartões de crédito roubados para comprar coisas e enviá-las para minha casa.
• Comprar drogas/coisas ilegais em sites da darknet e enviá-las para minha casa.
• Adulterando as contas dos meus serviços públicos para desligá-los.
• Falsificar uma escritura na tentativa de reivindicar a propriedade da minha casa.

Em 9 de novembro, recebi um e-mail bombardeado por um bot que estava me inscrevendo em TON listas de marketing por e-mail.

Como os e-mails eram marketing "legítimo" em vez de e-mails em massa de algumas fontes, decidi rapidamente que a melhor opção era simplesmente desligar meu e-mail por um dia e fazer a maioria das inscrições saltarem, evitando que meu endereço de e-mail fosse adicionado às listas dos profissionais de marketing. Ter 8 anos de experiência escrevendo software de marketing por e-mail tem suas vantagens.

Doze horas depoisstatoshi.infofoi atacado por DoS e meu host colocou o endereço IP em blackhole para salvar sua própria infraestrutura. Nada demais.

Eu mantive esse detalhe em Secret durante o último ano, mas eu T estava em casa quando o agressor enviou a equipe da SWAT para minha casa. Espero sinceramente que o perpetrador leia este artigo e perceba o quão miseravelmente ele falhou.

Eu suspeito fortemente que a razão pela qual o atacante escolheu atacar quando o fez foi o tweet que você vê no começo deste artigo. Eu geralmente vario minhas postagens em mídias sociais e adiei tuitar qualquer coisa que possa me ligar a um local específico.

Então, quando o agressor viu que eu "acabei de acordar", ele incorretamente assumiu que eu devia estar em casa – ele claramente não era sofisticado o suficiente para saber minha rotina. Só posso imaginar como essa história poderia ter sido diferente se não fosse por ONE pequeno ponto.

Se eu estivesse em casa, talvez não tivéssemos feito contato com a equipe da SWAT até que eles arrombassem a porta, o que provavelmente teria terminado mal.

O verdadeiro problema com o swatting

Esperei tanto tempo para revelar os detalhes deste dia porque queria tomar medidas adicionais para melhorar minha segurança operacional. Escrevi todas as precauções que tomei no ano passado e pretendo publicá-las em breve.

A questão é que eu estavasortudoque o Departamento de Polícia de Durham é mais competente e cauteloso do que outros departamentos nos EUA. Se algumas variáveis tivessem sido diferentes naquele dia, eu poderia facilmente estar morto.

Embora eu certamente culpe o atacante pelas ações que ele tomou, minha análise da causa raiz coloca oculpar diretamente a polícia por criar uma vulnerabilidade explorável. A militarização da polícia combinada com autenticação inexistente cria um ótimo ambiente para swatting.

Quando você pensa sobre isso, a assimetria é perturbadora – uma única ligação telefônica anônima pode resultar em força letal sendo implantada em questão de minutos contra um alvo arbitrário. Uma única ligação telefônica anônima custa apenas alguns dólares para ser feita e ainda pode consumir dezenas, se não centenas de milhares de dólares em recursos públicos apenas para determinar se uma ameaça é real ou não.

Qual é a solução? Embora eu seja um grande defensor da Política de Privacidade , T acho que deva ser possível para alguém empregar força letal sem risco para si mesmo. No mínimo, você deveria ter que colocar sua reputação em risco para que possa ser responsabilizado.

Minha recomendação para as agências de aplicação da lei: percebam que os swatters quase sempre farão uma chamada de fora da localidade do alvo. Como tal, eles T podem realmente ligar para o 911 – eles têm que encontrar um número que não seja de emergência para o qual possam ligar e que os encaminhe para o 911. Essas escalações devem ser com bandeira vermelhacomo suspeito.

Rastreie a origem da chamada telefônica; se ela retornar para um estado completamente diferente do local reivindicado pelo chamador,bandeira vermelha!

Se o número de telefone de origem do chamador T estiver registrado em seu nome (ou no nome de qualquer pessoa), peça uma prova de identificação. Se o chamador se recusar a se identificar (meu agressor desligou quando perguntado), então é um bandeira vermelha!

Deixo-vos com um excerto do "Manifesto Cripto Anarquista" (ênfase minha):

" A Tecnologia de computadores está Verge a fornecer a capacidade para indivíduos e grupos se comunicarem e interagirem uns com os outros de uma maneira totalmente anônima. Duas pessoas podem trocar mensagens, conduzir negócios e negociar contratos eletrônicos sem nunca saber o Nome Verdadeiro ou a identidade legal do outro. As interações em redes serão indetectáveis, por meio de extenso redirecionamento de pacotes criptografados e caixas à prova de violação que implementam protocolos criptográficos com garantia quase perfeita contra qualquer violação. As reputações serão de importância central, muito mais importantes nas negociações do que até mesmo as classificações de crédito de hoje. Esses desenvolvimentos alterarão completamente a natureza da regulamentação governamental, a capacidade de tributar e controlar as interações econômicas, a capacidade de KEEP as informações em Secret e até mesmo alterarão a natureza da confiança e da reputação."

Imagem via Jameson Lopp