Facebook Sextortionist
Imagem: Cathryn Virginia/Motherboard.

O Facebook ajudou o FBI a hackear um predador de crianças

O Facebook pagou uma firma de cibersegurança para desenvolver uma vulnerabilidade zero-day no Tails para identificar um homem que extorquia e ameaçava meninas.
11 Junho 2020, 3:29pm

Por anos, um homem da Califórnia assediou e aterrorizou sistematicamente meninas usando aplicativos de chat, e-mail e o Facebook. Ele extorquia nudes e vídeos delas, e as ameaçava de estupro e morte. Ele também mandava ameaças violentas e específicas de realizar atentados com armas de fogo ou bombas nas escolas das meninas se elas não mandassem fotos e vídeos sexualmente explícitos para ele.

Buster Hernandez, conhecido como “Brian Kil” online, era uma ameaça tão persistente e era tão bom em esconder sua identidade real que o Facebook tomou uma medida sem precedentes: ajudar o FBI hackear o homem para reunir provas que levasse a sua prisão e condenação, a Motherboard descobriu. O Facebook trabalhou com uma empresa terceirizada para desenvolver uma vulnerabilidade e não a entregou diretamente ao FBI; não está claro se o FBI sabia que o Facebook estava envolvido em desenvolver a vulnerabilidade. Segundo fontes dentro da companhia, essa é a primeira e única vez em que o Facebook ajudou as autoridades a hackear um alvo.

Esse caso anteriormente desconhecido de colaboração entre a gigante de tecnologia do Vale do Silício e o FBI destaca as habilidades técnicas do Facebook, de uma empresa de hackers terceirizada e das autoridades, e levanta questões éticas difíceis sobre quando – se é – apropriado que companhias privadas ajudem a hackear seus usuários. O FBI e o Facebook usaram o que é chamado de vulnerabilidade zero-day no sistema de operação focado em privacidade Tails, que redireciona automaticamente todo o tráfego de internet do usuário através da rede de anonimato Tor, para desmascarar o verdadeiro IP de Hernandez, o que acabou levando a prisão dele.

Um porta-voz do Facebook confirmou para a Motherboard que eles trabalharam com “especialistas em segurança” para ajudar o FBI a hackear Hernandez.

“O único resultado aceitável para nós era que Buster Hernandez encarasse as consequências por seu abuso de meninas”, disse um porta-voz do Facebook. “Esse é um caso único, porque ele estava usando métodos tão sofisticados para esconder sua identidade, que tomamos a ação extraordinária de trabalhar com especialistas de segurança para ajudar o FBI a trazê-lo à justiça.”

“Como não havia outros riscos de privacidade, e o impacto humano era muito grande, senti que não tínhamos escolha.”

Funcionários do Facebook familiares com a situação disseram a Motherboard que as ações de Hernandez eram tão extremas que a companhia acreditou ter sido encurralada e teve que agir.

“Nesse caso, não havia risco para os usuários além dessa pessoa para qual havia muito mais causa provável. Nunca faríamos uma mudança que afetasse outra pessoa, como uma porta dos fundos de criptografia”, disse um ex-funcionário do Facebook com conhecimento sobre o caso. “Como não havia outros riscos de privacidade, e o impacto humano era muito grande, senti que não tínhamos escolha.”

Mas, segundo vários ex e atuais funcionários do Facebook com quem a Motherboard falou, a decisão foi mais controversa dentro da companhia. A Motherboard garantiu o anonimato das fontes para que elas pudessem discutir eventos sensíveis protegidos acordos de não-divulgação.

Captura de tela de uma conversa de Buster Hernandez e a vítima que ajudou o FBI a entregar a vulnerabilidade, inclusa nos documentos do tribunal.

Os crimes que Buster Hernandez cometeu são hediondos. A acusação do FBI é uma leitura nauseante. Ele mandava mensagens para meninas menores de idade no Facebook e dizia algo como “Oi, tenho que te perguntar uma coisa. É meio importante. Para quantos caras você mandou nudes? Porque tenho um nude seu”, segundo os documentos do tribunal.

Quando a vítima respondia, ele exigia que ela mandasse vídeos e fotos sexualmente explícitas dela, ou ele mandaria o nude que já tinha dela para os amigos e a família da menina (na verdade, ele não tinha nenhum nude). Aí, em alguns casos durante meses ou até anos, ele continuava a aterrorizar as vítimas ameaçando publicar as fotos e vídeos. Ele mandava longas ameaças de estupro para as vítimas. Ele mandava ameaças específicas de atacar e matar as famílias das meninas, além de cometer um atentado com arma de fogo ou bomba nas escolas delas se elas não continuassem mandados imagens e vídeos. Em alguns casos, ele dizia para as vítimas que se elas se matassem, ele postaria os nudes delas em suas páginas memoriais.

Ele disse às vítimas que “queria ser o pior ciberterrorista que já viveu”.

“Quero deixar uma trilha de morte e fogo [na sua escola]”, ele escreveu em 2015. “Vou simplesmente ENTRAR SEM SER DETECTADO AMANHÃ… Vou matar toda sua classe e te deixar por último. Vou deitar em cima de você enquanto você grita, chora e implora antes de cortar sua garganta de orelha a orelha.”

Você trabalha ou já trabalhou para o Facebook? Você trabalha para o FBI ou desenvolve ferramentas de hack para as autoridades? Queremos falar com você. Entre em contato com Lorenzo Franceschi-Bicchierai com segurança pelo Signal em +1 917 257 1382, chat OTR em lorenzofb@jabber.ccc.de, ou por e-mail em lorenzofb@vice.com

Durante tudo isso, ele dizia que não seria pego pela polícia: “Você achava que a polícia já teria me encontrado agora, mas não me encontrou, eles não têm nenhuma pista. A polícia é inútil”, ele escreveu. “Pode rezar para o FBI, eles nunca vão resolver esse caso rs… Estou acima da lei e sempre estarei.”

Hernandez usava o sistema de operação Tails, que roda o software de anonimato Tor, e é pensado para criptografar e redirecionar todo o tráfego de um usuário pela rede por padrão, escondendo seu endereço de IP verdadeiro de sites e serviços que ele usa. Com essa ferramenta, ele entrou em contato e aterrorizou dezenas de vítimas no Facebook por anos, até 2017, segundo documentos do tribunal. O sistema de operação também é amplamente usado por jornalistas, ativistas e dissidentes que estão sob ameaça de serem vigiados pela polícia e governos. Um porta-voz do Tails diz que o sistema é “usado diariamente por mais de 30 mil ativistas, jornalistas, sobreviventes de violência doméstica e cidadãos preocupados com sua privacidade”.

Hernandez era tão notório dentro do Facebook que funcionários o consideravam o pior criminoso que já usou a plataforma, dois ex-funcionários disseram a Motherboard. Segundo essas fontes, o Facebook colocou um funcionário dedicado para rastrear Hernandez por dois anos, e desenvolveu um novo sistema de aprendizado de máquina para detectar usuários criando novas contas e abordando crianças na tentativa de explorá-las. O sistema conseguiu detectar Hernandez e ligar diferentes contas com pseudônimos e suas respectivas vítimas a ele, disseram dois ex-funcionários do Facebook.

Vários oficiais do FBI estavam envolvidos na caçada, e o FBI já tinha feito tentativa de hackeá-lo e identificá-lo antes, mas sem sucesso, já que a ferramenta de hack que eles usaram não era pensada para o Tails. Hernandez notou a tentativa de hack e provocou o FBI, segundo dois ex-funcionários.

“Tudo que fizemos foi legal, mas não somos as autoridades.”

A equipe de segurança do Facebook, na época comandada por Alex Stamos, percebeu que precisava fazer mais, e concluiu que o FBI precisava da ajuda deles para desmascarar Brian Kil. O Facebook contratou uma firma de consultoria de cibersegurança para desenvolver uma ferramenta de hack, o que custou centenas de milhares de dólares. Nossas fontes descreveram a ferramenta como uma vulnerabilidade zero-day, que se refere a uma vulnerabilidade em software que é desconhecida pelos desenvolvedores do software. A firma trabalhou com um engenheiro do Facebook e escreveu um programa que poderia ser ligado a uma vulnerabilidade para explorar uma falha no player de vídeo no Tails, revelando o endereço de IP verdadeiro da pessoa assistindo o vídeo. Finalmente, o Facebook deu a ferramenta para um intermediário que a entregou aos oficiais federais, segundo três ex-funcionários e funcionários atuais que têm conhecimento dos eventos.

O Facebook disse a Motherboard que a companhia não é especializada em desenvolver ferramentas de hack, e não quer criar expectativas com as autoridades de que isso é algo que eles podem fazer regularmente. O Facebook diz que identificou a abordagem que deveria ser usada, mas não desenvolveu a ferramenta específica, e só investiu na opção de hack depois de esgotar todas as outras opções.

O FBI então conseguiu um mandato e ajudou uma vítima a mandar um vídeo de armadilha para Hernandez, como a Motherboard já tinha informado antes. Em fevereiro deste ano, Hernandez se declarou culpado de 41 acusações, incluindo produção de pornografia infantil, coerção e sedução de menores, e ameaças de morte, sequestro e violência. Agora ele está esperando pela sentença, e provavelmente vai passar anos na prisão.

Um porta-voz do FBI se recusou a comentar esta matéria, dizendo que é uma “questão em andamento”, e indicou a Procuradoria dos EUA no Distrito Sul de Indiana, que processou Hernandez.

A Promotoria dos EUA do Distrito Sul de Indiana não quis comentar.

Alex Stamos, ex-chefe de segurança do Facebook, numa palestra durante uma conferência. (Imagem: Wikimedia Commons)

O Facebook investiga suspeitos de crimes em sua plataforma, de cibercriminosos comuns, stalkers, extorsionários até pessoas envolvidas com exploração infantil. Várias equipes em Menlo Park e outros escritórios da companhia coletam queixas de usuários e caçam esses criminosos. Essas equipes são compostas por especialistas em segurança, alguns deles que já trabalharam para o governo, incluindo o FBI e o Departamento de Polícia de Nova York, segundo os perfil dos funcionários no LinkedIn.

Esses funcionários têm tanto orgulho de seu trabalho que tinham uma sala de reuniões onde colavam as fotos das pessoas que acabaram sendo presas, além de recortes de jornal dos casos que investigaram, segundo ex-funcionários e funcionários ainda trabalhando no Facebook.

Mas, segundo todas as fontes com quem a Motherboard falou, essa foi a primeira vez que o Facebook se envolveu diretamente e ajudou o FBI a caçar um suspeito desse jeito, desenvolvendo uma ferramenta especificamente para identificar o alvo. Para ex e atuais funcionários do Facebook que não sabiam do caso, além de pessoas que sabiam, foi uma decisão controversa.

“O precedente de uma companhia privada comprando um zero-day para ir atrás de um criminoso”, disse uma fonte que sabia da investigação e desenvolvimento da vulnerabilidade. “O conceito inteiro é fodido […] é muito problemático.”

Outra fonte disse que “tudo que fizemos foi legal, mas não somos as autoridades”.

“Eu ficaria surpreso que, se encarando as mesmas circunstâncias, isso aconteceria de novo”, ele acrescentou.

Mas um ex-funcionário do Facebook, que tinha conhecimento da investigação, via essa parceria com uma firma de cibersegurança e pagar para o desenvolvimento de uma ferramenta algo justificado, considerando que eles estavam caçando um assediador em série de crianças.

“Acho que eles fizeram a coisa certa aqui. Eles colocam muito trabalho na segurança das crianças” disse um ex-funcionário, que pediu para permanecer anônimo. “É difícil pensar em outra companhia gastando tanto tempo e recurso para tentar limitar danos causados por um criminoso.”

“O precedente de uma companhia privada comprando um zero-day para ir atrás de um criminoso. O conceito inteiro é muito problemático.”

Que o hack tenha acontecido no Tails, não no Facebook, acrescenta uma camada ética particularmente espinhosa ao caso. Enquanto esse hack em particular era para ser usado contra um criminoso específico e hediondo, entregar vulnerabilidades zero-day para as autoridades vem com o risco de que isso seja usado em outros casos menos sérios. A segurança desses produtos não pode ser comprometida sem comprometer todos, então ferramentas de zero-day geralmente são secretas e vendidas por altas somas. Se elas caírem nas mãos erradas, pode ser um desastre.

Um porta-voz do Tails disse por e-mail que os desenvolvedores do projeto “não sabiam sobre a história de Hernandez até agora, e não temos conhecimento de qual vulnerabilidade foi usada para identificá-lo”. O porta-voz chamou o caso de “informação nova e provavelmente sensível”, e disse que a vulnerabilidade nunca foi explicada para a equipe de desenvolvimento do Tails. Muitos pesquisadores de segurança – incluindo alguns que trabalham para grandes companhias como o Google – passam por um processo chamado “divulgação coordenada”, onde os pesquisadores vão informar as companhias que descobriram uma vulnerabilidade em seus softwares, e darão a elas tempo para consertar o problema antes de divulgar detalhes para o público.

Mas nesse caso, isso não foi feito porque o FBI pretendia usar a vulnerabilidade contra um alvo real.

Há anos, oficiais da lei de alto escalão e legisladores soaram o alarme sobre o chamado problema “going dark”, um cenário onde criminosos e terroristas podem tirar vantagem de criptografia forte para a prisão. Com a ascensão da criptografia por padrão, as autoridades e governos estão cada vez mais hackeando seus alvos para obter suas comunicações e dados.

Um fator que convenceu a equipe de segurança do Facebook de que fazer isso era apropriado, disseram as fontes, foi que havia uma atualização próxima do Tails com a vulnerabilidade removida. Efetivamente, isso colocava uma data de validade na vulnerabilidade, segundo duas fontes com conhecimento da ferramenta.

Pelo que a equipe do Facebook sabia, os desenvolvedores do Tails não tinham conhecimento da falha, apesar de terem removido o código afetados. Um dos ex-funcionários do Facebook que trabalhou no projeto disse que o plano era eventualmente informar sobre o zero-day ao Tails, mas eles perceberam que não seria necessário porque o código seria consertado eventualmente.

Amie Stepanovich, diretora executiva do Silicon Flatirons Center da Escola de Direito da Universidade do Colorado, disse que é importante lembrar que seja contra quem for que a ferramenta seja usada, essas vulnerabilidades em software podem ser usadas contra inocentes.

“Uma vulnerabilidade pode ser usada contra qualquer um. O Tails pode ser usado por criminosos, mas também é uma ferramenta para ativistas, jornalistas e oficiais do governo, além de outras pessoas que querem se proteger”, disse Stepanovich, uma especialista conhecida em privacidade e segurança, a Motherboard. “Por isso é importante ter processos transparentes na descoberta e respostas a vulnerabilidades, incluindo uma preferência padrão de informá-las para pessoal, organização ou companhia apropriados.”

Segundo o senador Ron Wyden, que observa de perto o uso de hacks pelas autoridades, esse caso levanta questões sobre como o FBI usou a ferramenta adquirida pelo Facebook.

“O FBI usou a ferramenta de novo em outros casos? Eles compartilharam a vulnerabilidade com outras agências? Eles submeteram o zero-day para revisão do Processo de Equidade de Vulnerabilidades entre agências?” Wyden disse numa declaração, se referindo ao processo do governo que deve estabelecer se uma vulnerabilidade zero-day deve ser revelada aos desenvolvedores do software onde foi encontrada. “Está clara que é preciso muito mais luz sobre como o governo usa ferramenta de hack, e se as regras estabelecidas fornecem as proteções adequadas.”

Mas os pesquisadores de segurança e engenheiros que aprovaram a ação na época dizem que não havia outra escolha.

“Sabíamos que isso seria usado para um criminoso”, disse uma fonte com conhecimento direto do caso a Motherboard. “Havia um bandido cometendo crimes, e queríamos resolver isso.”

Se inscreva no nosso novo podcast de cibersegurança, CYBER.

Siga a VICE Brasil no Facebook, Twitter, Instagram e YouTube.