Facebook liet besturingssysteem Tails hacken om kindermisbruiker te vinden

Facebook heeft het beveiligde besturingssysteem Tails laten hacken om de FBI te helpen met een onderzoek naar een kindermisbruiker die via Tails van Facebook gebruikmaakte. Facebook betaalde een beveiligingsbedrijf meer dan 100.000 dollar voor de exploit van een zeroday in het OS.

Facebook hielp de politiedienst in een onderzoek naar een man die minderjarige meisjes lastigviel op het sociale netwerk. Buster Hernandez chanteerde hen om hem naaktfoto's te sturen. Motherboard schrijft dat bronnen binnen Facebook de man zagen als een van de grootste gevaren op het sociale netwerk en dat zelfs een medewerker hem fulltime volgde.

Hernandez maakte gebruik van Tails. Dat is een Debian-distributie die bedoeld is om anoniem te blijven. Tails werkt vanaf een usb-boot en bevat standaard tools zoals de Tor-browser en KeePass. Het besturingssysteem wordt veel gebruikt door activisten, dissidenten en media, waaronder Tweakers. Tails staat bekend om de anonimiteit en veiligheid die het biedt. Juist dat laatste leverde bij de FBI problemen op. De Amerikaanse politiedienst deed onderzoek naar Hernandez, maar kreeg het niet voor elkaar hem te hacken en zijn identiteit te achterhalen. De hacktools die de FBI gebruikte, waren niet geschikt voor Tails.

Facebook besloot de FBI te helpen met het onderzoek. Het sociale netwerk nam een beveiligingsbedrijf in de arm om een exploit te ontwikkelen voor Tails. Het is niet bekend om welk beveiligingsbedrijf het gaat. Wel schrijft Motherboard dat Facebook daarvoor 'een bedrag van zes cijfers' betaalde. Het beveiligingsbedrijf ontwikkelde een zeroday voor Tails. Daarvoor werkte het samen met een programmeur van Facebook. Het ging om malware die gebruikmaakte van een kwetsbaarheid in de videospeler van Tails. Met behulp van die malware was het ip-adres van de verdachte te achterhalen.

Volgens sommige bronnen van Motherboard waren medewerkers van Facebook niet blij met het plan. Ze noemden het plan van aanpak dubieus, al waren er ook werknemers die zich er wel in konden vinden. Facebook zou bewust hebben gekozen voor een exploit die in een komende release van Tails toch al zou worden gerepareerd, zodat de zeroday een vervaldatum zou hebben. De ontwikkelaars van Tails zeggen dat ze niets afweten van de situatie en dat niet bekend is welke kwetsbaarheid voor de exploit werd misbruikt.

Door Tijs Hofmans

Nieuwscoördinator

11-06-2020 • 11:11

131 Linkedin

Reacties (133)

133
126
52
9
2
46
Wijzig sortering
Wat een ongelooflijk enge ontwikkeling zeg! Hier is echt zo ongelooflijk veel fout aan...

Los van dat Facebook compleet de hand overspeelt, wat betekent dit voor een onderzoek? Het is toch onmogelijk bewijsmateriaal dat Facebook eventjes een specifieke gebruiker hackt?


Edit:
Het valt dus allemaal reuze mee. Het originele artikel brengt de nuance veel beter over. Bijzonder dat het binnen het beleid van Facebook past, maar het is dus gewoon een medewerker daar die zich betrokken heeft bij de casus door op zoek te gaan naar een middel om in te zetten.
The firm worked with a Facebook engineer and wrote a program that would attach an exploit taking advantage of a flaw in Tails’ video player to reveal the real IP address of the person viewing the video. Finally, Facebook gave it to an intermediary who handed the tool to the feds, according to three current and former employees who have knowledge of the events.
en
The FBI then got a warrant and the help of a victim who sent a booby-trapped video to Hernandez, as Motherboard previously reported. In February of this year, the man pleaded guilty to 41 charges, including production of child pornography, coercion and enticement of a minor, and threats to kill, kidnap and injure. He is now awaiting sentencing, and will likely spend years in prison.

[Reactie gewijzigd door MiesvanderLippe op 11 juni 2020 11:26]

hand overspelen, neen hoor. Hun platform werd misbruikt en ze zijn erachter gegaan. Dat vindt ik eigenlijk prima. Dat horen ze in zekere mate ook te doen, dat heet je platform beschermen. Het moest anders zijn moest nu een journalist ofzo zijn. Dan had ik daar logischerwijze problemen mee gehad. De vraag is natuurlijk waar stopt dit. maar dit is natuurlijk imho...
Hoe nobel facebook dit ook gedaan heeft het zou de fbi moeten zijn die dit zou moeten doen.

Facebook is nu feitelijk gewoon aan het hacken als private partij. Er is wetgeving dat deze taak is weggelegd voor opsporingsdiensten die wettelijk met goedkeuring iemand zouden mogen hacken.

Als je dit toelaat dat een private partij dit doet, dan is de vraag waar stop dit ?

Het gevaar dat ik hier zie is dat facebook hier dus 100.000 dollar aan uit wil geven, dat had de FBI ook kunnen doen maar misschien hebben ze dat geld niet of willen het niet uitgeven.

Dus hoe nobel het allemaal ook is, ik zie er voor de toekomst toch een gevaar in.
Dit, ja. En aan de misinformatie, racisme en vele verkeerde links op hun platform doen ze dan weer vrij weinig, in verhouding. Tevens vraag ik mij af waarom ze dit in de publiciteit brengen. Zouden ze een wit voetje willen halen, net nu die nieuwe wetgeving over social media "een ding" is?
Probleem dat ik heb is dat facebook dit nu betaald, je kan dat ook zien als een lobby. Voor wat hoort wat.
Is de volgende stap dat bedrijven straks onderzoeken van politie/overheden gaan betalen en dus bijna kunnen bepalen wat er wel en niet onderzocht wordt ?

Hoe nobel die ook van facebook is, het komt bijna over als kijk eens wat we goed doen, het is 100.000 dollar uit een reclamebeduget.

Aan andere zaken op hun platform doen ze idd niets dus het blijft een beetje dubbel met facebook.

Maar ja binnenkort weer presidentsverkiezingen in de USA, dan moeten ze reclame verkopen en kunnen politici hun leugens via facebook gericht op personen afschieten.
Probleem dat ik heb is dat facebook dit nu betaald, je kan dat ook zien als een lobby.
Je hebt hier wel een punt idd, en ik zou daar ook problemen mee hebben.

Is dit dan het moment dat er vanuit de politiek gelobbied mag worden om justitie dusdanig van funds te voorzien dat zij zelfstandig een dergelijk beleid kan gaan voeren?
Of, zitten we als maatschappij nog steeds een beetje in de fase dat we ons (oprecht) afvragen hoe wenselijk deze nieuwe wetten zijn die hacken mogelijk maken...

Wellicht kun je die twee niet qua volgorde omdraaien.
Hoe nobel die ook van facebook is, het komt bijna over als kijk eens wat we goed doen, het is 100.000 dollar uit een reclamebeduget.
Het doel van FB is reclames verkopen, Tails gebruikers daar ging dat zeer slecht bij, hiermee kunnen ze al die anonieme Tails gebruikers ook profielen laten aanleggen en ads verkopen.

Wat is daar nobel aan?
Ik zie dit meer als een soort pilotproject/testcase van facebook om te kijken hoever ze kunnen gaan, zowel politiek (juridisch) als m.b.t. publieke opinie. Het schuift iedere keer een stukje verder op.

Prachtig is ook dit 'voorbeeld' dat ze hebben uitgezocht, want wie is er terecht nu niet tegen hacken van iemand die doet aan seksuele chantage. Honderduizenden worden per dag bedreigt, afgeperst of misbruikt via dit 'sociale' netwerk. Naar gelange de politieke-economische belangen wordt er vrijwel niets tegen of mee gedaan. Nog enger is dat overheden facebook steeds meer gaan gebruiken als tool voor digitale crowdcontrol tot aan het op stasi niveau in kaart brengen van gedrag en bewegingen (ook van niet-facebookgebruikers om) van individueen.
Ik zie het meer als 100.000 euro uitgeven aan publiciteit door facebook om positief in het nieuws te komen.

De praktijk is dat facebook is verschrikkelijk bedrijf is dat in de praktijk oplichters toestaat reclame te maken, zie uitspraak John de Mol tegen facebook. Facebook doet niets.
Wordt je lastig gevallen, en klaag je, je loopt tegen een muur aan advocaten bij facebook, misselijk bedrijf.

In de USA gebruiken politici facebook om hun leugens via advertenties te verspreiden. Lees cambrigde analytics. Gerichte reclame of leugens om mensen te beïnvloeden. Maar ja facebook verdiend er aan.

En ja overheden hebben het nu ook ontdekt. Stop dit boze monster of breekt het uit elkaar.

[Reactie gewijzigd door bbob op 11 juni 2020 15:35]

In Nederland is het gebruik van Facebook al snel aan het afnemen onder de voorhoede. Het begon bij scholieren, en nu zie je ook al dat 'millennials' het steeds minder gebruiken, had het er laatst nog over met een vriend. Hoe vaak krijg je nog een uitnodiging voor een verjaardag via Facebook?
Van facebook naar instagram blijft toch van facebook naar facebook 8)7
Ja, maar ik heb het idee dat Instagram echt meer om foto's gaat en minder om politiek en onjuiste berichten verspreiden. Heeft natuurlijk ook zijn nadelen. Ik gebruik het niet.

[Reactie gewijzigd door Cerberus_tm op 11 juni 2020 15:36]

Als fbi aan Facebook om hulp vraagt dan is het toch niet hacken? Als in uit eigen redenen mensen hacken..

[Reactie gewijzigd door raro007 op 11 juni 2020 13:01]

Het doel heiligt de middelen, tenzij de middelen het doel ontheiligen.
Van dat laatste is in mijn optiek in deze zaak geen sprake.

Iedereen mag hacken en dat is maar goed ook, hoe worden er anders vulnerabilities gevonden om vervolgens te dichten.

Op basis van profiling zal het OS op de client van de crimineel als Tails distributie herkend zijn. Wie let welke partij dan ook deze distributie ook te installeren en vervolgens pogingen te doen deze te penetreren. Als er dan een vulnerability ontdekt wordt kan er een exploit voor geschreven worden. Deze zal, wat het artikel volgens mij ook bevestigt een heel specifiek doel geschreven zijn, namelijk het ontmaskeren van deze zieke crimineel.

Het is uiteraard strafbaar om zo'n exploit vervolgens te verhandelen zodat er onrechtmatig computervredebreuk mee gepleegd kan worden. Een gerechtelijke instantie als de FBI zal hier ongetwijfeld het equivalent van een huiszoekingsbevel bij een rechter of OvJ verkregen hebben en dus op wettelijke gronden.

Er is hier juist sprake van het heel concreet targetten van een individuele entiteit (in dit geval een persoon) en niet het loslaten ervan op alle gebruikers van de Tails distributie. Als instanties waar wij belastiggeld voor afdragen om de integriteit van onze maatschappij en ons rechtssysteem te handhaven en te beschermen dit niet zouden mogen, dan geef je criminelen zoals in deze zaak in feite vrij spel met vrij beschikbare middelen.

Dit terwijl er genoeg andere criminele organisaties zijn die koortsachtig naar dergelijke vulnerabilities zoeken om zo exploits te schrijven die ze kunnen verhandelen of zelf kunnen inzetten om zoveel mogelijk gebruikers van deze kwetsbare systemen geld of informatie afhandig te maken. Net of een verbod op onderzoek naar vulnerabilities (hacken) er voor zorgt dat dergelijke organisaties zich daar ook maar aan gaan houden.

Ik vind het heel triest dat er zoveel reacties op zo'n artikel komen van mensen die zichzelf als groot voorstander van anonimiteit zijn, terwijl dat vaak de reden is dat mensen zich vrij zien om ongeremd hun lusten en behoeften te kunnen botvieren en zo anderen enorm te kwetsen.

IMO enkel hulde voor deze aanpak.
Is het niet zo dat Facebook het mechanisme voor de "hack" heeft ontwikkeld, maar de fbi het heeft uitgevoerd?

Vind ik opzich best een mooie samenwerking tussen overheid en bedrijfsleven.
Het is ook allemaal heel nobel en leuk maar de moraal bij facebook is nogal dubbel. Lees bijv uitspraak John de Mol tegen facebook. Facebook bied oplichters de mogelijkheid reclame te kopen om mensen op te lichten, daar doet facebook niets aan, reclame is immers inkomsten.
Lees alleen in Nederland verhalen van stalking en hoe facebook dan vooral niet meewerkt te achterhalen wie er achter zit.

Facebook werkt hier aan mee naar mijn mening als reclamestunt. Ze weten heel goed, net als overheden, dat pedo en opsporing goed verkoopt en men zo even als positief gezien wordt. Die 100.000 dollar kun je eerder als soort reclame zien, of misschien lobby bij overheden.

Wat triest is is, dat de FBI dat geld ook had kunnen uitgeven maar dat overheden, mede door belastingontduikende multinationals, dus te weinig geld hebben om dit uit te geven.

Ja het is mooi maar als je dieper nadenkt is het allemaal heel dubbel en hoe dieper je gaat des te smeriger de smaak.
Hmm, dat ben ik helemaal met je eens, hoor. Ik vind Facebook geen nobel bedrijf.

Ging mij meer om het feit dat het volgens mij niet zo is dat Facebook hier als privaat bedrijf even een burger hacked.

Overigens vind ik hun grove fouten met betrekking tot hun reclame verkoop, en een roofdier op social media niet echt een goede vergelijking. Riekt naar whataboutism.

Dat doet echter niets af aan je punt dat Facebook nog een lange weg te gaan heeft voordat je het een ethisch bedrijf kunt noemen. Waarschijnlijk is het waar dat Facebook dit als relatief goedkope pr ziet. Maar ik weeg meer aan het feit dat die smeerlap gepakt is, dan dat Facebook daar aan heeft meegewerkt.

Edit: typos

[Reactie gewijzigd door ExtendedCaesar op 11 juni 2020 14:47]

Volgens mij begrijp je het punt niet, het gaat er ook niet om hoe John de Mol is. In zijn geval wordt zijn naam, foto net als vele andere bekende nederlanders maar ook bekenden in andere landen misbruikt voor oplichting.

John de Mol heeft het geld en heeft gekozen te vechten tegen de reus Facebook. Vele anderen beginnen er niet aan want waar moet je beginnen, het kost een vermogen en de vraag is wat hou je er aan over.

Mijn punt is dat facebook een reus is die lak heeft aan alles. Begin daar maar eens tegen te vechten.
Tussen je platform en gebruikers willen beschermen en software laten maken om een systeem dat niet van je platform is te hacken zit wel een enorm verschil. Ik denk dat @MiesvanderLippe daarop doelde. Niet alles is zomaar geoorloofd om tegen anderen te doen als je op je eigendommen of diensten last van ze meent te hebben. Eigen rechter spelen is niet snel toegestaan. Bijvoorbeeld ook om te voorkomen dat het negatief kan aflopen dat een verdachte niet vervolgd kan worden of ander recht niet behaalt kan worden. De nuance lijkt er hier in te zitten dat Facebook het in samenwerking met de FBI deed.
Hoezo? Denk je dat het anders allemaal in-house gebeurd bij de FBI?
Belangrijkste verschil is dat de FBI de tool heeft ingezet (en dus niet FB zelf). FB hielp enkel bij ontwikkeling.
Misschien wel een mooie toevoeging: Facebook heeft ook geholpen met het verder ontwikkelen van Tor om zo hun diensten te kunnen aan bieden in andere landen:

facebookcorewwwi.onion

Voor de vele misstanden en twijfels die ik hebt bij Facebook, is dit een geval waarin ze duidelijk iets goeds hebben bijgedragen aan de wereld.
Techbedrijven dragen enorm veel bij aan digitale ontwikkelingen. Facebook is er daar ook een van.

https://github.com/facebook

Zou ik al deze ontwikkelingen in de zee gooien om het evil wat Facebook doet ongedaan te maken? Absoluut.
Ik vind dat je de schrijver van het artikel in je eerste versie wel wat hard aanpakt. Hij schrijft het redelijk correct:
Facebook hielp de politiedienst in een onderzoek naar...
en
Facebook besloot de FBI te helpen met het onderzoek.
Dat wil dus zeggen dat de FBI het onderzoek leidde en dat FB de FBI geholpen heeft. Dat is niet hetzelfde als FB hacked iemand. Mits juridische toestemming (een zogenaamde warrant) is het de bevoegdheid van de FBI om verdachten te schaduwen d.m.v. speciale middelen (zoals bv. hacken).

De auteur van dit artikel schreef het juist, en de FBI en FB hebben hierin juist gehandeld.
Dit is in elk geval beter dan dragnet surveillance. In dit geval was er een verdachte en middelen zijn ingezet om hem te identificeren. Als alles legaal gebeurde: fijn.

Terzijde: als je Tor/Tails een stuk veiliger/anoniemer wil gebruiken moet je de meest strenge browserinstelling gebruiken. Nadeel is dat javascript en dergelijke dan niet meer werken, maar het is veelal via javascriptfunctionaliteit dat IP-adresssen lekken.
Facebook zou bewust hebben gekozen voor een exploit die in een komende release van Tails toch al zou worden gerepareerd, zodat de zeroday een vervaldatum zou hebben.
Dat is nog een soort van ethisch. Het beperkt de schade enigszins. Voor de rest haal ik wel m'n wenkbrauwen op over deze actie. Van een partij als de FBI zelf kan ik het me voorstellen maar een commerciële zelfstandige partij als Facebook...

[Reactie gewijzigd door Eagle Creek op 11 juni 2020 11:21]

Kan je nou Facebook aanklagen wegens ongeoorloofd toegang verschaffen tot een prive computer? Ik wist niet dat private bedrijven mochten hacken en exploits gebruiken. Als ik een exploit maak en misbruik, zijn de rapen gaar hier. Beetje apart.
Zie m'n reactie verderop. Tweakers slaat de plank volledig mis hier. Facebook heeft een bedrijf betaald een middel te ontwikkelen dat ze daarna via een tussenpersoon aan de FBI hebben gegeven, die heeft het later rechtmatig ingezet. Het is een vreemde betrokkenheid bij een onderzoek, maar het is niet bijzonder dat een bedrijf als Facebook een afdeling heeft die zich op een dergelijke manier bezighoud met beveiligingsonderzoek.
Dan nog,

Als ik iemand een geweer geef en die persoon schiet er iemand mee overhoop ben ik dan medeplichting ?

Of de text is verdraai maar er staat overal dat het active onderzoek is naar een hack, Niet een onderzoek naar beveiligings gaten dat is een wezelijk verschil.

"om een exploit te ontwikkelen"
Nou, precies dat; als je een hele vracht geweren weg geeft aan een stel opstandelingen - ja - dan ben je wel degelijk betrokken bij de situatie. Niet enkel een simpele leverancier...
Een wapen-leverancier zou zowel aan een zittende regering als aan opstandelingen mogen leveren; mits deze daarvoor betalen. Maar gratis weg geven is toch weer wat anders... dan wordt men sponsor.
"opstandelingen" is wel erg breed gedefinieerd, terroristen kun je ook aanmerken als "opstandelingen", ik ben er niet zo zeker van dat wanneer er maar voor betaald word je aan iedereen zomaar wapens mag verkopen als "wapen leverancier", ik betwijfel dit ten zeerste...
Als jou bekend is dat er een illegale handeling mee verricht gaat worden: ja.
Ik heb meer kritiek op het feit dat facebook de FBI gebruikt als gerichte hond. Zij kiezen deze verdachte er uit, maar kunnen kiezen om een eigen collega die veel geld opbrengt niet aan te geven. Bovendien kunnen ze minder belangrijke targets escaleren door bvb. een lijst van zware offenders mee te geven en die daartussen te steken. "Kun je deze lijst even afhandelen? Hier is een hacktool die voor allen werkt."

Doe dit 3 keer op kleine schaal, en er komt een initiatief om een 'goed geolied' samenwerkingsverband op te starten. Op dat moment krijgt facebook de mogelijkheid om politieke targets gericht te chanteren en zijn we weer een stukje vrijheid kwijt.

Of heb ik nou te veel netflix gekeken..

[Reactie gewijzigd door FlaffTweakr op 11 juni 2020 11:52]

Misschien is het interessante aan dit geval dat FB het bedrijf heeft betaald, en niet de FBI (wat natuurlijk nauwelijks naar voren komt in het artikel hier). Zo'n stap is misschien nog niet eerder gebeurd.
FB heeft er natuurlijk een groot belang bij om haar gebruikers een veiligere omgeving te bieden (en deze gast dus te zien verdwijnen van het platform).
Ik vind dat je wat de hard op Tweakers schiet. Het staat correct in het artikel hier:
Facebook hielp de politiedienst in een onderzoek naar...
en
Facebook besloot de FBI te helpen met het onderzoek.
M.a.w. RTFA. OOK (en vooral) als je emotioneel wordt van de inhoud.
Het is een vreemde betrokkenheid bij een onderzoek,
Ik vraag me af of Facebook hierdoor in de toekomst kan rekenen op meer welwillendheid vanwege overheden bij allerlei onderzoeken naar interne aangelegenheden of van mededingingsautoriteiten...
Ik mag idd hopen dat facebook zelf niet is gaan hacken.

Toch is het apart dat een bedrijf dus geld investeert en dat dan aan een overheidsdienst gratis ter beschikking stelt. Het zou de overheid sieren om het bedrag dat facebook betaald heeft aan facebook te betalen zodat er geen afhankelijkheid gaat ontstaan.

Opspring is een overheidstaak en de kosten daarvan horen bij de overheid.
Toch is het apart dat een bedrijf dus geld investeert en dat dan aan een overheidsdienst gratis ter beschikking stelt. Het zou de overheid sieren om het bedrag dat facebook betaald heeft aan facebook te betalen zodat er geen afhankelijkheid gaat ontstaan.
Dan creëer je een heleboel problemen:

Als een winkel beveiligingscamera's installeert, krijgen ze die dan ook vergoed zodra er een winkeldief mee betrapt is? En wat als er niemand mee betrapt is, maar het feit dat ze er hangen wel een afschrikkende werking had en er winkeldiefstallen mee zijn voorkomen?

Waarom zou FB nog proberen een goede prijs te bedingen bij dat externe bedrijf? Ze kunnen zoveel betalen als ze willen, want ze krijgen het toch wel terug van de overheid.

Hoe bepaal je de kosten die vergoed worden als FB de exploit niet door een externe partij had laten ontwikkelen, maar genoeg experts in huis had gehad om het zelf op te lossen?
Als je vergelijkingen maakt moet je daar goed over nadenken voordat je ze schrijft.

Bij een winkeldiefstal is de gedupeerde de winkelier. In dit verhaal is facebook niet de gedupeerde, facebook is een platform waarmee slachtoffer en gedupeerde in contact komen.

Externe bedrijven verkopen al jaren zero-days aan overheden, daar wordt ook een prijs voor bepaald, ds wederom je stelling zo veel betalen als ze willen gaat niet op. Daarnaast als je goed gelezen had, had deze zero day ook een korte houdbaarheidsdatum. Dat bepaald ook de prijs.

Waar het feitelijk om gaat is, moet je multinationals onderzoeken van overheden laten sponsoren, hoe nobel dit ook is en hoe mooi het is dat de dader gepakt is. Als overheden dit niet meer zelf kunnen doen en betalen is de stap naar een door bedrijven bepaald overheidsmodel steeds dichterbij. Of dat wenselijk is, moet je je eens goed afvragen.
Bij een winkeldiefstal is de gedupeerde de winkelier. In dit verhaal is facebook niet de gedupeerde, facebook is een platform waarmee slachtoffer en gedupeerde in contact komen.
Een exacte vergelijking die op alle punten overeenkomt is simpelweg niet mogelijk. Maar als je een vergelijking wilt die dichter in de buurt komt: een bedrijf waar, tegenover het kantoor, met grote regelmaat mensen beroofd worden. Het bedrijf schaft een camera aan, doneert die aan de politie en krijgt vervolgens van de politie opdracht om die op te hangen.
Nu hebben we een beter voorbeeld, hoera... maar dat verandert niets aan de daadwerkelijke vraag: wordt die camera wel of niet vergoed?
Externe bedrijven verkopen al jaren zero-days aan overheden, daar wordt ook een prijs voor bepaald, ds wederom je stelling zo veel betalen als ze willen gaat niet op.
Dat heeft er echt niets mee te maken. Jij stelt voor dat de FBI de kosten die Facebook gemaakt heeft vergoedt. Als Facebook een bonnetje voor 100.000 dollar kan laten zien krijgen ze 100.000 dollar, als ze een bonnetje van 1.000.000 dollar hebben, dan krijgen ze 1.000.000 dollar. Of een andere partij diezelfde exploit voor een paar tientjes had willen aanleveren doet niet ter zake; de reden voor het terugbetalen is immers "zodat er geen afhankelijkheid gaat ontstaan" en dat werkt alleen als je de volledige kosten vergoedt.
Daarnaast als je goed gelezen had, had deze zero day ook een korte houdbaarheidsdatum. Dat bepaald ook de prijs.
Dat had ik gelezen, maar ook dat is irrelevant.
Waar het feitelijk om gaat is, moet je multinationals onderzoeken van overheden laten sponsoren, hoe nobel dit ook is en hoe mooi het is dat de dader gepakt is. Als overheden dit niet meer zelf kunnen doen en betalen is de stap naar een door bedrijven bepaald overheidsmodel steeds dichterbij. Of dat wenselijk is, moet je je eens goed afvragen.
Dat we daar met zijn allen nog een keer goed over na moeten denken ben ik met je eens. Het punt is dat jouw voorstel over het vergoeden van kosten daar helemaal niets mee te maken heeft. "Als overheden dit niet meer zelf kunnen doen en betalen" is per definitie een andere situatie dan eentje waarin terugbetaald wordt, want dan kunnen overheden die kosten nog wel zelf betalen.
Volkomen gelijk.

@Sircuri
Als je exploits zoals je aangeeft misbruikt, kan je inderdaad in problemen komen. Je mag best gebruik maken van exploits, maar met goede/gepaste doeleinden.
Ze hebben alleen zijn IP adres achterhaald. Aangezien hij Facebook gebruikte valt dat volgens mij onder de TOS.
Niet als ze hacktools moeten gebruiken om zijn echte IP te achterhalen (de servers van FB zien normaal gesproken alleen het IP van zijn TOR exit node of zijn VPN of wat dan ook).
Facebook heeft ook een verantwoordelijk hier in, als ze niks zouden doen dan zijn ze medeplichtig en dit is wel een vergrijp waar deze actie wat mij betreft prima passend is.

Is de viespeuk overigens gepakt?
Facebook heeft ook een verantwoordelijk hier in, als ze niks zouden doen dan zijn ze medeplichtig en dit is wel een vergrijp waar deze actie wat mij betreft prima passend is.
Hoezo medeplichtig? Dat betekent dat je bewust meewerkt aan een misdaad (om het even welke motivatie), niet dat de misdaag toevallig in jouw omgeving plaatsvond.

Ik neem aan dat ze in eerste instantie bijvoorbeeld alle informatie die ze hadden over deze man hebben aangeleverd aan de politie. Vergelijkbaar met als je een winkeldiefstal ziet: het zou een beetje raar zijn als je mede-plichtig wordt geacht (als omstander of winkelier), als je niet achter de dief bent aangerend.

Kortom: Facebook is eerder mede-slachtoffer, dan medeplichtig.

Interessant dat ze dit hebben gedaan, ik snap de motivatie die ze er voor hadden, maar ik vind het wel raar dat dit van een privaat bedrijf moet komen.
Facebook faciliteert het platform.

Als ze bewust niks deden zouden ze medeplichtig zijn.
Nu ze hebben ingegrepen zijn ze slachtoffer, aangezien ze resources in hebben moeten zetten.

De manier waarop gaat ver, maar het scheelt een hoop dat ze het zelf niet hebben ingezet en dat de exploit tijdelijk was.
Als ze bewust niks deden zouden ze medeplichtig zijn.
Alleen als ze op de hoogte waren van de intenties van de dader.

Even aannemend dat ze niet van te voren wisten dat deze account kwalijke bedoelingen had, dan zou een simpele account-ban voldoende zijn geweest (in ieder geval juridisch, moreel zou ik iets meer onderzoeksinzet absoluut verwachten).
Waarom zou je een account bannen als het geen kwade bedoelingen heeft? Als ze niet op de hoogte waren van de intenties, kunnen ze ook niet bewust de keuze maken om die intenties te negeren.
We weten niet of dit perse van een privaat bedrijf moest komen, volgens mij zou de FBI deze creep makkelijk op andere manieren kunnen oppakken.
En deze aanname is gebaseerd op...? Als FB deze gast intern als het grootste gevaar op heel FB beschouwt (zelfs als dat enigszins overdreven zou zijn), dan zitten we echt wel op het niveau crimineel waarvoor de FBI tijd vrij kan maken als het een makkie zou zijn.
Ik gaf aan dat we er niet van uit kunnen gaan dat de FBI perse hulp nodig had van facebook om deze creep op te pakken. Jij denkt dus. omdat Facebook de FBI geholpen heeft, het anders niet mogelijk was :+ ?

Dat creep was zeker niet grootste gevaar op FB.
Jup, heeft schuld bekend aan 41 feiten.
Waarom is facebook medeplichtig. Is de telcom provider dat dan ook, de bank, de postbode.
Tja, wat moet je hier nou op reageren? De FBI kan het niet hacken, dus doet Facebook het. Er zit nog meer logica in het roepen dat de aarde plat is, dan in dit verhaal.
Misschien mag de FBI het niet hacken?
We moeten niet vergeten dat de FBI 'slechts' een federale (als in bondsstaat zoals ook België en Duitsland zijn) politiedienst is die over de staten heen gaat. Ze moeten zich ook gewoon aan de wet houden en mogen misschien dit soort diensten niet kopen. Door verschillende media hebben we in dit land wel is het idee dat ze een één of ander bijzonder iets zijn, maar ze zijn wezenlijk niet veel anders dan de Duitse Bundespolizei of de Belgische Federale Politie.

Edit: 'mag' niet meer in hoofdletters maar cursief.

[Reactie gewijzigd door lenwar op 11 juni 2020 11:49]

De FBI mag dat wel degelijk mits ze de juiste warrant hebben. Het punt was volgens mij meer dat de FBI de technische kennis niet had en/of het budget niet kon krijgen om iemand in te huren. Facebook had dat wel, en leverde dus een en ander op een presenteerblaadje aan.

Verder heeft de FBI zeker weten meer bevoegdheden dan die Europese diensten die je noemt. Ze gaan over alles dat staatsgrensoverschrijdend is, en daarnaast nog een hele sloot federale wetten die zij en alleen zij handhaven. Ik zou ze echt niet willen vergelijken.
Er staat in dat het beveiligingsbedrijf het samen met een programmeur van Facebook gedaan hebben. Ik vermoed dat facebook gebruikt is om een bestand te plaatsen op de PC van de misbruiker.
Maar het kan ook iets zij geweest om de data op te slaan nadat het uit de exploit komt

Hoe dan ook er is een samenwerking geweest in code. Facebook heeft niet alleen betaald.
Klopt. Ik had het begrepen als: Facebook heeft de exploit gemaakt en aan de FBI gegeven. Dat mag. De FBI verkreeg toen een gerechtelijk bevel en kon Facebook dwingen de exploit in te zetten. Dat is legaal. Mooie U-bocht.
Misschien iets minder speculeren, minder Caps lock en meer Googlen / de zoekfunctie van Tweakers gebruiken: nieuws: FBI krijgt uitgebreidere bevoegdheid om computers te hacken
Het hacken van individuele computers is wat anders dan een bedrijf minimaal een ton betalen om een exploit in een openbaar besturingssysteem te laten vinden/ontwikkelen. Ik weet ook niet of ze het wel of niet mogen, maar er zal vast een (al dan niet) goede reden voor zijn, dat Facebook dit blijkbaar wel kan of in elk geval doet, en de politiediensten niet.
Nou ja, die reden probeer ik dus al de hele tijd te bedenken. Maar ik kan geen enkele goede reden bedenken waarom dat stukje niet bij de FBI zou moeten liggen. Dat daarna Facebook om hulp gevraagd wordt om de exploit "Facebook ready" te maken, begrijp ik natuurlijk wel. Maar dat het initiatief van Facebook komt, vind ik een erg gevaarlijke ontwikkeling.

Over de uitkomst (dader gepakt) ben ik natuurlijk wel erg tevreden, maar we moeten met z'n alle echt blijven waken voor de glijdende schaal van dat soort zaken.
Minder speculeren inderdaad. Indien Nederlandse politie een hacktool koopt, zijn ze inderdaad aan het hacken wanneer ze gebruik maken van de tool. Het valt te debatteren of het handiger zou zijn als de FBI zelf een tool zou maken.

Ze mogen deze tools net als onze nederlandse politie aanschaffen en gebruik maken, ze mogen zelfs extreem ver gaan. Ik ben blij dat ze zelfs zulke tools tot ze beschikking hebben, maar minder blij moet hoe dit altijd gebruikt wordt.
Personen “uitschakelen” valt onder de CIA, niet het FBI.
Correctie, de FBI kan het niet hakken, Facebook ook niet maar betaald er nog een ander bedrijf geld voor om het wel te doen.
Dan proberen ze niet hard genoeg. Blijkbaar kan Facebook gewoon een Tails exploit laten ontwikkelen voor 100.000 dollar. Waarom kan de FBI dat niet? Je weet wel, de organisatie die daar voor verantwoordelijk is.
Er staat dat het beveiligingsbedrijf het samen met een programmeur van FaceBook hebben gemaakt. Dus ik maak hier uit op dat facebook een stukje code heeft moeten aanpassen. Al is het maar om de exploit ge gebruiken of om de output op te slaan.
Zo las ik het alleen niet. Nu ik de reactie van @MiesvanderLippe heb gelezen, is het al iets genuanceerder inderdaad.
Om de zeer eenvoudige reden dat Facebook wilde helpen omdat hun netwerk gebruikt werd voor zaken die ze niet wilden. Daarnaast was er een technische reden omdat er een door Facebook bewerkte speciale video voor nodig was. Even wat lezen voor je commentaar geeft spaart je weer veel minnetjes: https://www.vice.com/en_u...spected-tor-sextortionist

Facebooks hulp was dus gewoon nodig.
Omdat Facebook geld zat heeft en de FBI niet. :)
Je bedoelt "budget".
Komt nog bij dat de FBI op moet passen voor uitlokking en dat soort zaken, begrijpelijk dat Facebook wat meer armslag heeft en capabele mensen in kan en mag huren.
Meer dan 35000 werknemers, infrastructuur, werkingskosten, mobiliteit… 275000$ kosten per werknemer lijkt me wel redelijk.
100.000 voor PR stunt. Ik denk dat facebook meer geld over heeft om hun image iets of wat op te krikken.
Facebook heeft de mogelijkheid de exploit af te leveren en te laten uitvoeren, omdat de misbruiker van hun dienst gebruik maakte. De FBI zou eerst mitm moeten worden, wat niet makkelijk is bij gebruikmaking van Tor. Voor Facebook is dat simpel omdat ze de bestemming zijn.

100K is voor Facebook niet veel geld om van iemand af te komen die zwaar afbreuk doet aan hun service.
Vandaar zullen ze het wel een win-win situatie hebben gevonden.
Nou ja.. doet Facebook het...
Het eigenlijke werk heeft een extern bedrijf gedaan en fb betaalde de rekening.
Inhoudelijk zal fb, zo vermoed ik, de malafide video (?) aan persoon hebben laten zien.

Het doel heiligt lang niet altijd de middelen, en de uitwerkingen kan ik nog niet overzien, maar onder de streep weer een smeerlap minder.
Het is voor facebook mogelijk om de videospeler op hun site aan te passen zodat ze gebruik kunnen maken van de exploit, dit kan de FBI niet. Het is mooi dat Facebook dit uit de goedheid van hun hart doet, want een persoon als dit moet niet vrij rondlopen. Maar het laat wel zien dat als er een wil is vanuit de overheid dat je informatie nergens veilig is. Zolang het voor maatschappelijk verantwoordelijke doeleinden wordt gebruikt is het mooi, maar dat kan heel makkelijk anders lopen.
Er is vanalles van te zeggen natuurlijk, maar persoonlijk vind ik het goed om zo een erger kwaad aan te pakken.
Ja dat zal vrijwel iedereen wel zo vinden.

Totdat het voor andere doeleinden wordt gebruikt dan keiharde misdaad aan te pakken.
Dit soort exploits kunnen ook gelekt worden en in verkeerde handen terechtkomen, zoals bij Windows een paar jaar geleden.
Dan is het opzich toch netjes van ze dat ze nu een exploit hebben die in de volgende release al weer gepatched is? Wel duur voor een (naar eigen zeggen) 1 malige exploit gericht op 1 persoon, maar beter dat de wereld 1 viespeuk minder heeft.
Ah, da's wel netjes ja.
Maar het blijft toch wel een beetje eng dat - als ze dat willen - de boel wel weten open te breken en wie zegt dat ze dat in het vervolg dan ook gaan melden & gepatched wordt?

Zo staat ook op de website van Tails:

Who uses Tails

Activists
use Tails to hide their identities, avoid censorship, and communicate securely.

Journalists
and their sources
use Tails to publish sensitive information and access the Internet from unsafe places.

Domestic violence survivors
use Tails to escape surveillance at home.
Maar het blijft toch wel een beetje eng dat - als ze dat willen - de boel wel weten open te breken en wie zegt dat ze dat in het vervolg dan ook gaan melden & gepatched wordt?
Ga je hier nou serieus over een slippery slope beginnen?

Onhackbare software bestaat niet; als je er maar genoeg geld tegenaan gooit kom je uiteindelijk overal binnen. Dat hebben we niet van dit artikel geleerd, dat wisten we allang. Het enige nieuwe aan dit verhaal is dat er een partij bestaat die dusdanig veel reserves heeft dat ze bereid zijn ergens tussen de 100.000 en 1.000.000 dollar uit te geven om één persoon te pakken.
Of niet gelekt, en de handen waarin de exploit zich bevindt zijn al verkeerde handen. Het opent deuren.
Is dat echt zo? Vergelijk het met iemand die een sleuteldienst belt omdat zijn oma zich uit haar woning buitengesloten heeft. Dan kan je roepen "Oh nee, ze hebben een gesloten deur opengemaakt, dat kan misbruikt worden!" Maar die mensen met kwade bedoelingen kunnen net zo goed direct een sleuteldienst bellen.
Nee, vergelijk het met iemand die een loper laat maken die ook op jouw deur past.
Dat ben ik met je eens, er moet wel strikt toezicht op worden gehouden zodat het niet in verkeerde handen terecht komt, en dat het ook niet leid tot een politiestaat :/
Of er word politiek handig gebruik van gemaakt, wijzend naar dit succes en het kunnen pakken van een kindermisbruiker het promoten van gezichtsherkenning in de maatschappij "omdat dit nodig is om dit soort criminelen, terroristen etc" snel en makkelijker te kunnen pakken.

Want wat hier nu gebeurt is staan veel mensen (een meerderheid ?) toch echt wel achter...
Ik denk dat je gelijk hebt, vanuit een puur moreel oogpunt - vanuit datzelfde oogpunt zou encryptie een backdoor voor de politie moeten hebben, of zouden we telefoons en -data moeten gebruiken om mensen met Corona te kunnen volgen, bijvoorbeeld.

Echter, het is een glijdende schaal; je kunt immers ook met die corona app criminelen volgen, of getuigen, etc. Wat ook uit te leggen is, maar het is ook eng. Wat als een volgende regering zegt dat alle mensen met corona een kamp in moeten? Wat als de volgende regering preuts is en het privé delen van naaktfoto's illegaal maakt? Wat als ze bepalen dat protesteren tijdens de corona-crisis niet meer mag en iedereen die volgens hun telefoondata aanwezig was bij zo'n protest opgepakt wordt?

iig, dat is niet specifiek waar dit artikel over gaat, dit is bedrijven die de politie helpen met een onderzoek. Ook weer een moeilijke zaak. Apple zegt bijvoorbeeld dat ze hun eigen encryptie niet KUNNEN omzeilen als een onderzoek vraagt om het unlocken van een telefoon.
Zelfs al is het vertrouwen in huidige en toekomstige handhavers en leiders er wel: het gebruik van achterdeurtjes zal niet beperkt blijven tot enkel diegenen waar het origineel voor bedoeld was, maar gegarandeerd ook uitbreiden naar criminelen en minder vriendelijk gezinde mogendheden. Vergeet niet dat systemen tegenwoordig door eenieder op het internet te benaderen zijn, in tegenstelling tot de deuren in huizen, die fysieke veel beperkter zijn mbt benaderbaarheid.

Het is onverantwoord om het op zichzelf al lastig genoeg zijnde beveiligingsprobleem van maatschappelijk belangrijke systemen zo zwaar te ondermijnen. Vergelijk het met het vergiftigen van de waterleidingen van een hele stad en een sterk laxerend middel om de mogelijke aanslagpleger tegen te werken: de welwillende burger word het leven lastig gemaakt en de crimineel koopt gewoon een flesje water uit betrouwbare bron.

[Reactie gewijzigd door emphy op 11 juni 2020 12:07]

Vind je het ook nog goed als het gevolg kan zijn dat de verdachte de straf kan ontlopen of strafvermindering kan krijgen omdat een bedrijf zich daarbij niet aan de wet heeft gehouden?

Een mening hebben dat iets wat een ander doet niet moet kunnen geeft niet zomaar recht om iets doelgericht tegen een bepaalde persoon te ondernemen. Niet alleen om te voorkomen dat personen of bedrijven eigen rechter gaan spelen maar ook om te voorkomen dat er geen recht gedaan kan worden.
De verdachte gebruikte het platform van FB om onwettige handelingen te verrichten. Dat FB dan meewerkt is niet meer dan logisch, en dat zij dan weer expertise inhuren een begrijpelijke en mijns inziens ook een wenselijke stap.
Oef, ik kan me goed voorstellen dat de medewerkers van Facebook en de overige betrokkenen er dubbele gevoelens over hebben. Ik zou niet graag in hun schoenen staan.

Maar goed, het is dus blijkbaar mogelijk om Facebook te gebruiken zonder dat Facebook en de FBI meteen weten wie en waar je bent. Dat Facebook er een enorm bedrag voor over heeft om iemand te kunnen vinden laat wel zien dat het toch allemaal niet zo erg is als dat wel eens wordt beweerd. Nu zat deze meneer natuurlijk niet op een Windows 10 of Android apparaat te werken dus de 'normale' tracking was niet aanwezig.

Ik hoop dat deze meneer Hernandez heel lang niet meer mag meedoen.
Facebook zou bewust hebben gekozen voor een exploit die in een komende release van Tails toch al zou worden gerepareerd, zodat de zeroday een vervaldatum zou hebben. De ontwikkelaars van Tails zeggen dat ze niets afweten van de situatie en dat niet bekend is welke kwetsbaarheid voor de exploit werd misbruikt.
Dus Facebook weet beter dan de ontwikkelaars van Tails zelf welke zeroday in de videospeler wordt opgelost? Het lijkt me dat het Tails team wel zou moeten weten waar het over gaat. Tenzij er in die videospeler vele zeroday's zitten natuurlijk...
Anoniem: 428562
11 juni 2020 11:54
Uiteindelijk was Buster Hernandez dus toch niet zo slim.
Hij had tor op een router moeten installeren en dan tails gaan gebruiken, had de FBI ipv zijn ip adres het ip adres dat de router aan zijn laptop had toegewezen gekregen. 192.168.0.X oid.
Dit is dus ook wat ik dacht! Of een openWRT systeem met VPN tussen de tails machine en router; dan heb je een abstrsctielaag die vanaf het tails systeem niet op te merken valt.
Dan is de vraag, hebben ze deze exploit ook voor andere doeleinden gebruikt..?
Dat kan je dan bij alle exploits jezelf afvragen, alleen is het nutteloos.
De vraag of is dat ander doeleinde ook gewettigd was doordat er een warrant was.

Ga er maar van uit dat de techniek om iemand te schaduwen bestaat. De vraag is of die techniek dan wel gewettigd dan wel onwettig ingezet wordt.
Facebook of de FBI?
Als het zo veilig is voor bepaalde leden.
Waarom doet Tails niet aan IP spoofing etc of wat dan ook.
Omdat IP spoofing niet mogelijk is als je wel een resultaat wilt hebben op je gespoofed verkeer (de responses gaan dan naar het spoofed adres ipv jou device)

Wat tails doet: https://tails.boum.org/about/index.en.html
Ze gebruiken o.a. TOR.

Maar als je dit doet op machine die in een "normaal" netwerk zit, dan kan je door simpel weg niet gebruik te maken van de TOR proxy een niet anonieme verbinding opzetten. Derden kunnen dan en anonieme connectie herleiden naar een publiek ipadres (door gericht de tainted video te versturen naar de anonieme persoon).

Oplossing is om dit soort dingen niet te doen op een machine met "normale" internet toegang. Pak een raspberry pi of iets dergelijks, zorg dat je 2 onafhankelijke netwerk interfaces hebt (liefst geen vlans dus fysiek) en zorg dat de gateway aan de binnenkant van je anonieme netwerk alleen via TOR kan communiceren. Voor TCP heel simpel (bv met iptables directen), voor UDP lastiger maar wel noodzakelijk voor op z'n minst DNS (de rest uit veiligheid blokkeren). Dit is vrij triviaal op te zetten als je ook maar een beetje een idee hebt van routering en Linux.

Mocht het device van de anonieme gebruiker nu gehacked worden, kan het device alsnog geen niet-anonieme verbindingen opzetten.

Bonus: zorg dat het device geen wireless/bluetooth heeft. Een gehacked device zou een scan kunnen doen om zo alsnog de fysieke locatie te verklappen.
De video player van de browser werd gehacked. D.w.z. dat lokaal op de kindermisbruiker zijn machine er code is uitgevoerd die informatie, over de lokale machine, verzameld heeft en opgestuurd naar bv. de servers van FB of de FBI.

IP spoofing zou niet geholpen hebben. Want de lokale machine van de kindermisbruiker weet dit soort informatie en na de hack werd er op die lokale machine lokale code uitgevoerd.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee