Reflexiones sobre un Swatting: Dentro de la batalla de seguridad de un ingeniero de Bitcoin

El 16 de octubre de 2017 empezó como cualquier lunes. Me desperté a las 6 de la mañana y fui en coche a la YMCA a jugar ráquetbol, ​​listo para empezar la semana con una WIN.

Cuando terminé de jugar, tuiteé una linda ocurrencia:

Luego fui al baño de vapor y a la ducha para relajarme y refrescarme. Al regresar a mi barrio, me encontré con un problema inusual: una patrulla con las luces intermitentes bloqueaba la entrada. Me detuve y bajé la ventanilla.

Hola, oficial, ¿hay algún problema? Solo intento llegar a mi casa.

"Lo sentimos, pero debemos asegurar la zona debido a un incidente en curso".

"¿Es un tirador activo?"

"No está claro, pero tenemos información de que tiene armas largas en el local".

—Mierda, ¿qué le digo a mi familia? Están en casa.

“Llámalos y diles que se suban al auto y salgan de la comunidad”.

"¡Servirá!"

Salí de la carretera principal y encontré un lugar para estacionar para poder llamar a la casa.

Oye, no T asustes, pero la policía está cerrando el barrio debido a un incidente. Deberías subirte al coche y marcharte.

"Está bien, salgo enseguida."

Esperé unos minutos y luego recibí una llamada.

La policía me detuvo al salir y me preguntó si estaba bien. ¡Parece que los llamaron a nuestra casa! Quieren que vengas a hablar con ellos a la unidad de comando móvil que está a la vuelta de la esquina.

Regresé a la entrada y le dije al oficial de patrulla que su capitán quería hablar conmigo, así que me dejó pasar. Al entrar en la unidad de comando móvil, lo primero que me preguntaron fue:

"Señor, ¿tiene usted enemigos?"

A lo que respondí:

No pasó mucho tiempo hasta que aparecieran las estaciones de noticias; aparentemente, T siquiera sabían lo que significaba "swatting".

Las estaciones de noticias lograron obtener una copia de la llamada telefónica que realizó el atacante; puedesEscúchalo aquíEl atacante afirmó que disparó y mató a alguien y que tenía a otros como rehenes después de colocar explosivos en la puerta principal.

Una vez que los equipos de noticias se fueron y todo se calmó, pensé que debía hacerle saber al atacante que no lograron su objetivo.

A las pocas horas de haber publicado mi tweet, recibí un mensaje de voz amenazante de un número con un código de área de Nueva York; puedesescucha el mensaje de voz aquíObsérvese un tema común entre la llamada al 911 y el mensaje de voz: en ambas ocasiones exige 50.000 dólares (o su equivalente en BTC).

"La próxima vez que te haga algo, no involucrará a la policía".

En menos de 48 horas, el Departamento de Policía de Durham me informó que habían rastreado la llamada hasta un servidor desechable en Texas, pero que no encontraron nada y que estaban transfiriendo el caso al FBI. Nunca recibí noticias del FBI. Hace tiempo que perdí la confianza en la capacidad de las fuerzas del orden para protegerme, así que esto fue decepcionante, pero no sorprendente.

¿Qué hice? Instalé un sistema de vigilancia de 360 grados con resolución 4K en mi propiedad, revisé el resto de mi sistema de seguridad física, saqué algunas armas de fuego de la caja fuerte y esperé.

Por suerte, mi intuición de que el atacante no tuvo el valor de poner su vida en peligro atacándome físicamente resultó acertada. No hubo más incidentes (físicos).

La mierda se puso seria

Aplastar no es un juego; puede ser fatal. Un ejemplo:

Tengo pocas esperanzas de que se encuentre al autor, pero me siento obligado a ofrecer un incentivo adicional.

Quiero dejar muy claro que no toleraré amenazas contra mí ni contra nadie que me importe. Me defenderé a mí mismo y a mis seres queridos hasta mi último aliento con todos los recursos a mi disposición.

El siguiente mensaje

está firmadocon esta clave PGP.

***

Se especuló mucho sobre la relación entre esto y el debate sobre la escalabilidad de Bitcoin , pero el atacante nunca reveló sus motivos. Después, me dejó un mensaje de voz exigiendo el pago de un rescate... ¡pero T siquiera me dio una dirección a la que enviar los BTC!

Después de hablar con otras personas que han sido acosadas, esperaba otras molestias como:

• Usando tarjetas de crédito robadas para comprar cosas y enviarlas a mi casa.
• Comprar drogas/cosas ilegales en sitios de la darknet y enviarlas a mi casa.
• Manipular las cuentas de mis servicios públicos para lograr que me los desactiven.
• Falsificar una escritura en un intento de reclamar la propiedad de mi casa.

El 9 de noviembre, recibí un bombardeo de correos electrónicos de un bot que me estaba suscribiendo a un TON de listas de marketing por correo electrónico.

Como los correos eran marketing legítimo, no correos masivos de unas pocas fuentes, decidí rápidamente que la mejor opción era simplemente desactivar mi correo electrónico por un día e hice que la mayoría de las suscripciones rebotasen, evitando así que mi dirección de correo electrónico se añadiera a las listas de los profesionales del marketing. Tener 8 años de experiencia desarrollando software de email marketing tiene sus ventajas.

Doce horas despuésstatoshi.infoSufrió un ataque DoS y mi host bloqueó la dirección IP para proteger su infraestructura. No es para tanto.

He mantenido este detalle en Secret durante el último año, pero no estaba en casa cuando el atacante envió al equipo SWAT. Espero de verdad que el agresor lea este artículo y se dé cuenta de lo estrepitosamente que fracasó.

Sospecho firmemente que la razón por la que el atacante decidió atacar cuando lo hizo fue el tuit que ven al principio de este artículo. Generalmente varío mis publicaciones en redes sociales y pospongo publicar cualquier tuit que pueda vincularme con una ubicación específica.

Así que, cuando el atacante vio que "acaba de despertar", asumió erróneamente que debía estar en casa; claramente no era lo suficientemente sofisticado como para conocer mi rutina. Solo puedo imaginar cómo esta historia habría sido diferente de no ser por este ONE detalle.

Si hubiera estado en casa, tal vez no hubiéramos hecho contacto con el equipo SWAT hasta que estaban derribando la puerta, lo que probablemente habría terminado mal.

El verdadero problema con el swatting

He esperado tanto tiempo para revelar los detalles de este día porque quería tomar medidas adicionales para mejorar mi seguridad operativa. He anotado todas las precauciones que he tomado durante el último año y tengo la intención de publicarlas pronto.

La cosa es que yo estabaafortunadoque el Departamento de Policía de Durham es más competente y cauteloso que otros departamentos de los EE. UU. Si algunas variables hubieran sido diferentes ese día, fácilmente podría estar muerto.

Si bien ciertamente culpo al atacante por las acciones que realizó, mi análisis de la causa raíz ubica alCulpar directamente a las autoridades por crear una vulnerabilidad explotableLa militarización de la policía combinada con la falta de autenticación crea un ambiente propicio para el swatting.

Pensándolo bien, la asimetría es inquietante: una sola llamada anónima puede resultar en el despliegue de fuerza letal en cuestión de minutos contra un objetivo arbitrario. Una sola llamada anónima cuesta solo unos pocos dólares y, sin embargo, puede consumir decenas, si no cientos de miles de dólares en recursos públicos solo para determinar si una amenaza es real o no.

¿Cuál es la solución? Aunque soy un gran defensor de la Privacidad , no creo que sea posible que alguien emplee fuerza letal sin riesgo alguno. Como mínimo, debería arriesgar su reputación para poder rendir cuentas.

Mi recomendación para las fuerzas del orden: Tengan en cuenta que los swatters casi siempre realizan una llamada desde fuera de la zona de su objetivo. Por lo tanto, no pueden llamar al 911; tienen que encontrar un número que no sea de emergencia al que puedan llamar y que los derive al 911. Estas escaladas deberían ser... con bandera rojacomo sospechoso.

Rastrear el origen de la llamada telefónica; si se rastrea a un estado completamente diferente a la ubicación declarada por la persona que llama,bandera roja!

Si el número de teléfono de origen de la persona que llama no está registrado a su nombre (ni al de nadie), pídale una prueba de identidad. Si la persona que llama se niega a identificarse (mi atacante colgó cuando se le pidió), entonces es un... bandera roja!

Os dejo con un extracto del "Manifiesto Cripto " (énfasis mío):

La Tecnología informática está a Verge de brindar la capacidad a individuos y grupos de comunicarse e interactuar entre sí de forma totalmente anónima. Dos personas pueden intercambiar mensajes, realizar negocios y negociar contratos electrónicos sin conocer jamás el nombre real ni la identidad legal de la otra. Las interacciones en red serán imposibles de rastrear, gracias al amplio redireccionamiento de paquetes cifrados y a las cajas a prueba de manipulaciones que implementan protocolos criptográficos con una seguridad casi perfecta contra cualquier manipulación. La reputación será fundamental, mucho más importante en las transacciones que incluso las calificaciones crediticias actuales. Estos avances alterarán por completo la naturaleza de la regulación gubernamental, la capacidad de gravar y controlar las interacciones económicas, la capacidad de KEEP la información en Secret e incluso alterarán la naturaleza de la confianza y la reputación.

Imagen vía Jameson Lopp