13 Giugno 2020 - Tempo di lettura: 8 minuti
Facebook ha pagato numeri di sei cifre a una società di sicurezza informatica per sviluppare un zero-day in un sistema operativo basato su Tor per smascherare un uomo che ha passato anni a sottrarre centinaia di dati di giovani ragazze, minacciando di sparare o far esplodere le loro scuole se non avessero rispettato.
Sapevamo già dai documenti del tribunale che l'FBI aveva ingannato l'uomo nell'aprire un video intrappolato tra le tette - presumibilmente di abusi sessuali su minori, sebbene non contenesse nulla del genere - che esponesse il suo indirizzo IP. Quello che non sapevamo fino ad ora è che l'exploit è stato realizzato su misura per volere di Facebook e a sue spese.
Facebook ha avuto coraggio in questo gioco. Il predatore, un californiano di nome Buster Hernandez, ha usato la piattaforma e le sue app di messaggistica come terreno di caccia per anni prima di essere catturato.
Hernandez era una minaccia così persistente, ed era così bravo a nascondere la sua vera identità, che Facebook ha fatto il passo "senza precedenti" di lavorare con una società di terze parti per sviluppare un exploit, riferisce Vice. Secondo le fonti della pubblicazione su Facebook, era "la prima e unica volta" che Facebook ha aiutato le forze dell'ordine a violare un bersaglio.
È una scoperta eticamente spinosa. Da un lato, abbiamo le implicazioni profondamente preoccupanti del fatto che Facebook paghi un'azienda per bucare una tecnologia di protezione della privacy in modo da eliminare l'anonimato di un utente - questo, proveniente da una piattaforma che ha promesso di ultimare la crittografia end-to-end su tutte le sue app di messaggistica.
D'altra parte, è facile fare il tifo per i risultati, data la natura del bersaglio.
Arrestato nel 2017 all'età di 26 anni, Hernandez si chiamava Brian Kil (tra gli altri 14 alias) online. Tra il 2012 e il 2017, ha terrorizzato i bambini, minacciando di uccidere, stuprare, rapirli o altrimenti brutalizzarli se non hanno inviavano immagini di nudo, incoraggiando alcuni di loro ad uccidersi e minacciando sparatorie di massa nelle loro scuole o un bombardamento in un centro commerciale. Nel febbraio 2020, si è dichiarato colpevole di 41 capi d’accusa di ragazze terrorizzate dai 12 ai 15 anni.
Anche se secondo quanto riferito Facebook ha assunto una terza parte senza nome per inventare uno zero-day che avrebbe portato alla scoperta dell'indirizzo IP di Hernandez e ad un eventuale arresto, in realtà non ha consegnato questo exploit all'FBI. Non è nemmeno chiaro che l'FBI sapesse che Facebook era dietro lo sviluppo del malware.
Naturalmente l'FBI ha fatto la stessa cosa da sola. Un caso è stato la rimozione di Playpen, quando l'ufficio ha assunto un'impresa mondiale di sfruttamento minorile e l'ha gestita per 13 giorni, piantando una cosiddetta tecnica investigativa di rete (NIT) - che è anche nota come malware della polizia - sui computer di coloro che visitato.
Nella caccia a Hernandez, è stato sviluppato un exploit zero-day per colpire un sistema operativo incentrato sulla privacy chiamato Tails. Conosciuto anche come Amnesic Incognito Live System, Tails instrada tutte le connessioni in entrata e in uscita attraverso la rete di anonimato Tor, mascherando gli indirizzi IP reali degli utenti e, quindi, le loro identità e posizioni. Il malware Tails è stato usato per eliminare gli strati anonimi di Tor per raggiungere il vero indirizzo IP di Hernandez, che alla fine ha portato al suo arresto.