Réflexions sur un swatting : la bataille de sécurité d' un ingénieur Bitcoin

Le 16 octobre 2017 a commencé comme n'importe quel lundi. Je me suis réveillé à 6 heures du matin et je suis allé au YMCA pour jouer au racquetball, prêt à commencer la semaine par une WIN.

Quand j'ai fini de jouer, j'ai tweeté une jolie boutade :

Je suis ensuite allé au hammam et à la douche pour me détendre et me rafraîchir. De retour dans mon quartier, j'ai rencontré un problème inhabituel : une voiture de police, gyrophares allumés, bloquait l'entrée. Je me suis arrêté et j'ai baissé ma vitre :

« Bonjour, officier, il y a un problème ? J'essaie juste de rentrer chez moi. »

« Désolé, nous devons sécuriser la zone en raison d'un incident en cours. »

« Est-ce un tireur actif ? »

"Ce n'est pas clair, mais nous avons des informations selon lesquelles il possède des armes longues sur les lieux."

« Eh bien, merde, que dois-je dire à ma famille ? Ils sont à la maison. »

« Appelez-les et dites-leur de monter dans la voiture et de quitter la communauté. »

"Ça ira!"

Je me suis arrêté sur le côté de la route principale et j'ai trouvé une place pour me garer afin de pouvoir appeler la maison.

« Hé, T de panique, mais la police a bouclé le quartier suite à un incident. Tu devrais monter dans la voiture et partir. »

"OK, j'arrive tout de suite."

J'ai attendu quelques minutes, puis j'ai reçu un appel.

« La police m'a arrêté alors que je partais et m'a demandé si j'allais bien. Apparemment, ils étaient appelés chez nous ! Ils veulent que tu viennes leur parler au poste de commandement mobile, au coin de la rue. »

Je suis retourné à l'entrée et j'ai dit à l'agent de patrouille que son capitaine souhaitait me parler. Il m'a donc laissé passer. En entrant dans l'unité de commandement mobile, la première question qu'on m'a posée a été :

« Monsieur, avez-vous des ennemis ? »

À quoi j'ai répondu :

Il n'a T fallu longtemps avant que les chaînes d'information ne se manifestent ; apparemment, elles ne savaient même T ce que signifiait « swatting ».

Les chaînes d'information ont réussi à obtenir une copie de l'appel téléphonique passé par l'agresseur ; vous pouvezécoutez-le iciL'agresseur a affirmé avoir tiré et tué quelqu'un et avoir retenu d'autres personnes en otage après avoir piégé la porte d'entrée avec des explosifs.

Une fois les équipes de presse parties et tout calmé, j'ai pensé que je devais faire savoir à l'attaquant qu'il n'avait pas réussi à atteindre son objectif.

Quelques heures après avoir posté mon tweet, j'ai reçu un message vocal menaçant d'un numéro avec un indicatif régional de New York ; vous pouvezécoutez la messagerie vocale ici. Notez un thème commun entre l’appel au 911 et la messagerie vocale : les deux fois, il exige 50 000 $ (ou l’équivalent en BTC).

« La prochaine fois que je te fais quelque chose, ça n’impliquera T la police. »

Dans les 48 heures, la police de Durham m'a informé qu'elle avait remonté l'appel jusqu'à un serveur temporaire au Texas, mais qu'elle était tombée dans l'impasse et qu'elle transmettait l'affaire au FBI. Je n'ai jamais eu de nouvelles du FBI. J'avais perdu toute confiance dans la capacité des forces de l'ordre à me protéger depuis longtemps ; c'était donc décevant, mais pas surprenant.

Qu'ai-je fait en réponse ? J'ai installé une vidéosurveillance 4K à 360 degrés autour de ma propriété, j'ai revérifié le reste de mon système de sécurité physique, j'ai sorti quelques armes à feu du coffre-fort et j'ai attendu.

Heureusement, mon intuition selon laquelle l'agresseur n'avait T osé mettre sa vie en danger en m'attaquant physiquement s'est avérée juste. Il n'y a pas eu d'autres incidents (physiques).

La merde est devenue réelle

Le swatting n'est pas un jeu ; il peut être fatal. Exemple concret :

J’ai peu d’espoir que le coupable soit retrouvé, mais je me sens obligé d’offrir une incitation supplémentaire.

Je tiens à préciser clairement que je ne tolérerai aucune menace contre moi-même ou contre mes proches. Je me défendrai, moi et mes proches, jusqu'à mon dernier souffle, par tous les moyens à ma disposition.

Le message suivant

est signéavec cette clé PGP.

***

Il y a eu beaucoup de spéculations sur un lien avec le débat sur la mise à l'échelle du Bitcoin , mais l'attaquant n'a jamais révélé ses motivations. Après coup, il m'a laissé ce message vocal exigeant une rançon… T même me donner d'adresse à laquelle envoyer les BTC!

Après avoir parlé avec d’autres personnes qui ont été harcelées, je m’attendais pleinement à d’autres désagréments tels que :

• Utiliser des cartes de crédit volées pour acheter des choses et les expédier chez moi.
• Acheter de la drogue ou des choses illégales sur des sites darknet et les expédier chez moi.
• J'ai falsifié les comptes de mes services publics pour les faire désactiver.
• Falsifier un acte pour tenter de revendiquer la propriété de ma maison.

Le 9 novembre, j'ai été bombardé d'e-mails par un robot qui m'inscrivait à une TON de listes de marketing par e-mail.

Comme les e-mails étaient du marketing « légitime » plutôt que des e-mails de masse provenant de quelques sources, j'ai rapidement décidé que la meilleure solution était de désactiver ma messagerie pour la journée. J'ai ainsi fait rebondir la plupart des inscriptions, empêchant ainsi mon adresse e-mail d'être ajoutée aux listes des marketeurs. Huit ans d'expérience dans le développement de logiciels d'e-mail marketing présentent des avantages.

Douze heures plus tardstatoshi.infoJ'ai subi une attaque DoS et mon hébergeur a bloqué l'adresse IP pour préserver son infrastructure. Ce n'est pas grave.

J'ai gardé ce détail Secret pendant un an, mais je n'étais T chez moi lorsque l'agresseur a envoyé l'équipe du SWAT chez moi. J'espère sincèrement que l'agresseur lira cet article et réalisera à quel point il a échoué lamentablement.

Je soupçonne fortement que la raison pour laquelle l'agresseur a choisi de frapper à ce moment-là est liée au tweet que vous voyez au début de cet article. J'ai pour habitude de varier mes publications sur les réseaux sociaux et de retarder la publication de tout tweet susceptible de me lier à un lieu précis.

Ainsi, lorsque l'agresseur a vu que je venais de me réveiller, il a supposé à tort que j'étais chez moi ; il n'était manifestement pas assez averti pour connaître mes habitudes. J'imagine à quel point cette histoire aurait pu se dérouler différemment sans ce ONE détail.

Si j'avais été à la maison, nous n'aurions peut-être pas pris contact avec l'équipe du SWAT avant qu'ils ne défoncent la porte, ce qui aurait probablement mal fini.

Le vrai problème avec le swatting

J'ai attendu si longtemps avant de révéler les détails de cette journée car je souhaitais prendre des mesures supplémentaires pour améliorer ma sécurité opérationnelle. J'ai consigné toutes les précautions prises au cours de l'année écoulée et je compte les publier prochainement.

Le truc c'est que j'étaischanceuxque le département de police de Durham est plus compétent et prudent que les autres départements aux États-Unis. Si quelques variables avaient été différentes ce jour-là, j'aurais facilement pu être mort.

Bien que je blâme certainement l'attaquant pour les actions qu'il a entreprises, mon analyse des causes profondes place lela responsabilité incombe entièrement aux forces de l'ordre pour avoir créé une vulnérabilité exploitableLa militarisation de la police, combinée à une authentification inexistante, crée un environnement propice au swatting.

À bien y réfléchir, cette asymétrie est inquiétante : un simple appel téléphonique anonyme peut entraîner le déploiement d'une force meurtrière en quelques minutes contre une cible arbitraire. Un simple appel anonyme ne coûte que quelques dollars, mais peut pourtant mobiliser des dizaines, voire des centaines de milliers de dollars de ressources publiques, simplement pour déterminer la réalité d'une menace.

Quelle est la solution ? Bien que je sois un fervent défenseur de la Politique de confidentialité , je ne pense T qu'il soit possible de recourir à la force meurtrière sans risque pour soi. À tout le moins, il faudrait mettre sa réputation en jeu pour être tenu responsable.

Ma recommandation aux forces de l'ordre : sachez que les swatters appellent presque toujours depuis l'extérieur du domicile de leur cible. Ils ne peuvent donc T appeler le 911 ; ils doivent trouver un numéro non urgent qui les redirigera vers le 911. Ces escalades devraient être signalé en rougecomme suspect.

Tracez la source de l'appel téléphonique ; s'il remonte à un État complètement différent de celui indiqué par l'appelant,drapeau rouge!

Si le numéro de téléphone source de l'appelant n'est T enregistré à son nom (ni à celui de quiconque), demandez une pièce d'identité. Si l'appelant refuse de s'identifier (mon agresseur a raccroché lorsqu'on lui a demandé), il s'agit d'une arnaque. drapeau rouge!

Je vous laisse avec un extrait du « Manifeste Crypto Anarchiste » (c'est moi qui souligne) :

L' Technologies est sur le Verge de permettre aux individus et aux groupes de communiquer et d'interagir de manière totalement anonyme. Deux personnes pourront échanger des messages, mener des affaires et négocier des contrats électroniques sans jamais connaître le véritable nom, ou l'identité légale, de l'autre. Les interactions sur les réseaux seront intraçables, grâce à un important réacheminement de paquets chiffrés et à des boîtiers inviolables mettant en œuvre des protocoles cryptographiques offrant une protection quasi absolue contre toute falsification. La réputation sera d'une importance capitale, bien plus importante dans les transactions que les notations de crédit actuelles. Ces évolutions transformeront radicalement la nature de la réglementation gouvernementale, la capacité à taxer et à contrôler les interactions économiques, la capacité à KEEP l'information Secret, et même la nature de la confiance et de la réputation.

Image via Jameson Lopp