Pălărie neagră sau pălărie albă? Întrebările se învârt în jurul arestului brusc al eroului cercetător

Miercuri , Un cercetător de securitate britanic a fost oprit la aeroportul din Las Vegas și a fost reținut în custodia federală. Potrivit autorităților de aplicare a legii, Marcus Hutchins (mai cunoscut sub numele de MalwareTech) a fost responsabil pentru dezvoltarea unui troian important bancar – o afirmație serioasă care ar putea conduce la ani de închisoare. Hutchins a atras atenția cea mai recentă Rolul său central În conținutul malware-ului WannaCry, un vierme de răscumpărare care a blocat aproape 75.000 de sisteme din întreaga lume. Arestarea lui Hutchins a venit la doar câteva zile după ce a participat la Defcon, cea mai mare conferință de hacking din lume, unde călăuzea reputația de erou nouă.
Afirmațiile l-au uimit pe prietenii și colegii lui Hutchins, dar încă nu este clar ce dovezi există pentru ai sprijini. Rechizitoriul Se concentrează în primul rând pe un co-inculpat al cărui nume rămâne sub sigiliu, iar documentul aruncă foarte puțină lumină asupra implicării lui Hutchins. În urma arestării, o mare parte a comunității de securitate sa adunat la apărarea lui Hutchins, scotând dovezi circumstanțiale în legătură cu acuzațiile. Dar lipsa informațiilor din partea guvernului, combinată cu dezgroparea activităților lui Hutchins în calitate de adolescent, a devenit o stare de confuzie.
Pălărie albă sau pălărie neagră?
În urma arestării, observatorii au descoperit Vechi jurnale IRC Conectat la numele de utilizator anterior al lui Hutchins. Bustenii vopresc tânărul Hutchins – care ar fi avut vreo optsprezece ani în acel moment – ca un hacker de pălărie de culoare joasă care se joacă cu boturi și scripturi. Dar, deși implică cu blândețe faptul că este implicat în piața de coduri rău intenționate, el nu spune niciodată în mod explicit că vinde vreunul și nici nu există jurnale care să îl conecteze la troianul bancar, Kronos.
Povestea unei pălării negre tinere, imature, care devine legitimă de-a lungul anilor, este cu greu una nouă. Kevin Mitnick, una dintre cele mai vechi și mai proeminente ținte ale Legii privind frauda și abuzul în domeniul calculatoarelor, lucrează în prezent ca consultant în probleme de securitate. Ideea că este natural ca pălăriile albe să fi început ca pălării negre adolescente este răspândită în comunitate. Rechizitoriul vag și descoperirea trecutului lui Hutchins creează un fel de blot Rorschach pentru observatori: în absența mai multor fapte, este la fel de ușor să-l vezi pe Hutchins ca pe un martir, ca să-l vezi ca fiind criminal.
„În acel moment nu ar plăti niciun fel de plată.”
În zilele de la arestare, Hutchins, de 23 de ani, a fost transportat între o serie de facilități federale din Las Vegas. Vineri, cauțiunea Hutchins era stabilită la 30.000 de dolari, cu condiția să-și predea pașapoartele, să rămână în arest la domiciliu și să nu folosească internetul. Hutchins a rămas în închisoare în cursul săptămânii, deși obligația sa este plătită luni. Prieteni au lansat deja O campanie de finanțare a mulțimilor Să strângă bani pentru apărarea sa legală. Apărătorul public al lui Hutchins a remarcat într-o audiere anterioară că el „a cooperat cu guvernul înainte de a fi acuzat”, deși nu este clar ce anume implica această cooperare.
Printre prietenii lui Hutchins, reacția primară a fost neîncrederea. În timp ce Hutchins a atras mai întâi atenția populară pentru rolul său esențial în conținutul malware-ului WannaCry, a fost de ani de zile o figura iubită în comunitatea de securitate, cunoscută pentru curiozitatea și talentul său. Rendition Security Jake Williams a lucrat cu Hutchins în aceeași perioadă de timp numită în rechizitoriu și declară că este greu de crezut că tânărul cercetător ar fi putut coordona o întreprindere criminală în acele luni.
„Am comercializat mostre și cercetări malware”, a spus Williams The Verge . „El a ajutat cu un program educațional cu care lucram, oferind un cod. În acel moment nu ar plăti nicio plată, ceea ce este incongruent cu taxele percepute acum „.
„Nimeni nu construiește de la zero o întreagă suită de programe malware”.
Nu există nicio îndoială că Kronos în sine a fost malware. În primul rând, a fost văzut pe forumurile rusești de criminalitate informatică În iulie 2014 , Programul a fost conceput pentru a recupera acreditările bancare – așteptând până când o țintă este înregistrată într-un site bancar și interceptând parolele în tranzit. Cunoscut ca un troian bancar, acest tip de malware sa dovedit foarte popular printre criminali online, iar Kronos era departe de primul sau cel mai mare. Programul a apărut pentru prima dată în urma troianului Zeus bancar mai mare, ceea ce autoritățile consideră că este responsabil de pierderi de 70 milioane de dolari.
Kronos a fost Crăpate și redistribuite – și, la fel ca majoritatea proiectelor de codificare, a atras în mare măsură codul disponibil, ceea ce face dificilă a spune exact ce elemente se crede că Hutchins sa dezvoltat. În timp ce în mare măsură similar cu Zeus, Kronos a atras de asemenea Scurs cod sursă A unui program mai puțin cunoscut, numit Carberp, în conformitate cu Cercetare timpurie Kaspersky . De asemenea, au fost incluse diferite componente de partajare a desktop-urilor, care au fost inițial dezvoltate pentru utilizare non-periculoasă. Dacă Hutchins era responsabil pentru dezvoltarea acestor sisteme, el ar fi putut să codifice împreună o componentă malware fără să o cunoască.
„Nu este clar care parte a Kronos-ului este de fapt acuzat de scris”, spune cercetătorul Errata Security, Robert David Graham, care a lucrat pe componente similare în trecut. „Nimeni nu construiește de la zero o întreagă suită de programe malware”.
Rechizitoriul
Bineînțeles, toate acestea sunt speculații, deoarece marea acuzație a juriului este atât de subțire în privința detaliilor. Plângerea penală împotriva lui Hutchins, care va prezenta mai multe detalii asupra acuzațiilor, rămâne sub sigiliu. Singurele detalii pe care le oferă rechizitoriul sunt în contele 1, care susține că Hutchins și co-inculpatul său s-au angajat într-o conspirație pentru a „conduce cu bună știință transmiterea” codului care ar cauza „în mod intenționat daune fără autorizație” peste zece calculatoare – Legea privind frauda și abuzul de calculator din 1986.
Dar acea parte a rechizitoriului se concentrează în principal pe actele verbale ale co-pârâtului lui Hutchins, al căror nume rămâne sub sigiliu. („Actele verbale” sunt fapte necesare pentru a susține o taxă de conspirație și sunt menite să arate participarea inculpaților la conspirație). Puțină este cunoscută în acest moment, dar poate fi un indiciu că co-inculpatul cooperează cu guvernul și a oferit dovezi ale implicării lui Hutchins în crearea și vânzarea malware-ului Kronos.
Unii îl văd pe Hutchins drept daune colaterale în cadrul unei urmăriri penale mai ample
Rechizitoriul susține că, în iulie 2014, co-inculpatul a folosit un videoclip pe un „site public disponibil” pentru a arăta cum să folosească „troianul Kronos Banking”. În luna următoare, co-inculpatul a oferit să vândă troianul pe un internet Forum pentru $ 3.000. În aprilie 2015, co-inculpatul a anunțat malware-ul pe AlphaBay – piața întunecată a web-ului, care a fost confiscată recent de către organele de drept federale. În luna iunie a aceluiași an, co-inculpatul a vândut malware-ul Kronos pentru aproximativ 2.000 de dolari „în monedă digitală”, iar în iulie a oferit servicii „criptante” pentru serviciile Kronos care ar ajuta la ascunderea troianului pe sistemele informatice.
În acea lungă listă de acte vizibile, Hutchins este acuzat doar de crearea software-ului Kronos în 2014 și apoi de actualizarea software-ului mai târziu în 2015, după ce co-inculpatul său anonim a început să vândă malware-ul.
Ca rezultat, unii îl văd pe Hutchins drept daune colaterale într-o acuzație mai mare împotriva unui vânzător anonim malware. În ceea ce privește Tor Ekeland, un avocat care apără frecvent cazuri de fraudă și abuz în materie de computere, Pune-l pe Twitter , „[Departamentul de Justiție] la arestat pe tipul care a ajutat la oprirea lui Wannacry, deoarece cineva cu care se presupune că a lucrat a făcut 2 000 de dolari din vânzarea de programe malware”.
Agenții FBI au luat AlphaBay offline cu șapte zile înainte de acuzația împotriva lui Hutchins
Procuratura este adusă în districtul estic din Wisconsin, o jurisdicție care nu este deosebit de cunoscută pentru poliția cazurilor de hacking de înaltă calitate – o posibilă indicație că domiciliatul misterios locuiește în Wisconsin. Menționarea lui AlphaBay în rechizitoriu sugerează, de asemenea, că co-pârâtul a fost demascat în timpul anchetei pe piața care a fost Făcut public luna trecută . Agenții FBI l-au luat pe AlphaBay offline pe 4 iulie, cu doar șapte zile înainte ca rechizitoriul împotriva lui Hutchins și co-inculpatului său să fie trimis sub sigiliu.
Co-inculpatul ar fi putut fi prins de asemenea într-o investigație a malware-ului Zeus (varianta anterioară a lui Kronos). În 2010, FBI a arestat 10 persoane în legătură cu Zeus, cu zeci de alte persoane suspectate de implicare. Postările de pe blogul lui Hutchins arată că a fost Cercetarea variantelor Zeus la sfârșitul anului 2013 , Inclusiv variantele compilate din codul sursă Carberp. Cercetarea a fost publică și se pare că nu a fost nici un efort să se elimine posturile după acest fapt.
În mod ciudat, lista de acte vizibile din numărul 1 nu afirmă în mod specific că Hutchins a făcut o reducere a profitului sau a vândut software-ul în mod direct, chiar dacă numărul 2 și 4 din taxa de acuzare, atât Hutchins, cât și co-pârâtul său, A vândut un dispozitiv de interceptare a convorbirilor telefonice. (Deși software-ul Kronos nu are autentificări, nu este clar că din punct de vedere juridic, acesta este considerat un „dispozitiv”.)

Oricine are un eșantion de kronos? – MalwareTech (@MalwareTechBlog) 13 iulie 2014

Pe scurt, rechizitoriul aruncă foarte puțină lumină asupra implicării lui Hutchins. Chiar dacă toate acuzațiile specifice sunt luate ca fiind adevărate, Hutchins ar putea fi un creator nefericit al cărui cod a fost vândut cu foarte puțină contribuție de la el – poate chiar fără nici o compensație financiară. El ar putea, la fel de plauzibil, să fie un cybercriminal sofisticat care a profitat de programele malware.
Tânărul Marcus Hutchins
În iulie 2014, în timpul acuzației, inculpatul a început să vândă malware-ul, Hutchins a postat pe Twitter întrebând dacă cineva a avut un eșantion de Kronos. Unii spun că, din moment ce a fost Hutchins cercetarea Kronos, ar fi puțin probabil să fi scris-o. Dar este posibil ca Hutchins să citească Raportul inițial al IBM privind malware-ul , Se întreba dacă Kronos era software-ul pe care el însuși îl scrisese și căuta un eșantion pentru a-și testa ipoteza. Mai puțin probabil – dar totuși posibil – este ipoteza că el a trimis pe Twitter o cerere pentru un eșantion Kronos care să-i acopere urmele și să-și dea dovadă de deniabilitate plauzibilă la vremea respectivă.
Diverse persoane au mai săpat vechi jurnale IRC, Încă disponibilă prin intermediul Arhivei Internet , Conectat la numele său de utilizator anterior, TouchMe. Jurnalele IRC descriu Hutchins, care ar fi fost în vârstă de optsprezece ani, ca o pălărie neagră de joasă nivele care se juca în jur cu bucăți de cod malware. Dar, deși face referiri la piețele malware, nu spune niciodată cu atât de multe cuvinte că vinde boți.

[16:14] Dacă botul tău e bun
[16:14] Oamenii o vor cumpăra
[16:14] Nu aveți nevoie de o imagine de 20mb cu culori stupide

Unii din comunitatea de securitate au căutat să minimizeze activitățile timpurii ale lui Hutchins ca indiscreții simple tinerești. „MalwareTech sa distrat când a fost mai tânăr, cu toții am făcut-o” Un cercetător de securitate a scris pe Twitter . – Nu înseamnă că el a scris de fapt botul Kronos.

„TouchMe” pe darkhook nu sunt eu, nu mai trimiteți e-mailuri care să mă întrebe despre chestii de scriptkiddie, thx. – MalwareTech (@MalwareTechBlog) 8 noiembrie 2013

În timp ce unii indică un tweet de la 2013 pentru a pune la îndoială fiabilitatea jurnalelor IRC și identificarea lui Hutchins ca TouchMe, o persoană care folosea pseudonimul IPostYourInfo a susținut că l-au cunoscut pe Hutchins prin IRC. Vineri, au publicat un blog-blog care conține Destul de detaliate și dense dovezi circumstanțiale Care leagă TouchMe de acele jurnale însuși lui Marcus Hutchins. Dar, deși IPostYourInfo leagă Hutchins de un comportament neplăcut, ei nu pretind că Hutchins a scris Kronos. Și, deși bănuiesc că Hutchins a comercializat un program malware, ei nu s-au gândit la momentul în care a scris-o chiar el însuși.
„M-aș fi așteptat ca el să se implice în vânzarea de betabot [o altă piesă de malware], fără inițiativa și unitatea de a-și codifica propriul malware”, a scris IPostYourInfo.
O nouă provocare pentru CAFA
Chiar dacă Hutchins a fost direct implicat în elaborarea codului pentru Kronos, cazul legal împotriva lui este departe de a fi etanș. Orin Kerr, fost procuror federal și profesor la Facultatea de Drept a Universității George Washington, Crede că procurorii se vor confrunta cu o bătălie în creștere . Patru dintre cele șase contează provin dintr-un statut anti-interceptare a convorbirilor telefonice, a cărui aplicabilitate, spune Kerr, este discutabilă. Și din moment ce Hutchins nu este acuzat că folosește el însuși instrumentele, taxa pe baza conspirației de a comite fraude și abuzuri informatice este, de asemenea, neclară.
În pofida acestor probleme, procurorii nu au avut probleme în stabilirea unor acuzații similare cu privire la inculpații care s-au confruntat cu fapte similare în trecut. Un exemplu recent a fost Carcasa din 2015 Blackshades , Care vizează un program spyware-for-hire. Este obișnuit ca dezvoltatorii de programe malware să externalizeze hacking-ul real către jucătorii mai mici, cu un nou malware comercializat, analizat și eventual pirat și inversat de competiție. Pe măsură ce autoritățile de aplicare a legii adoptă mai multe cazuri de criminalitate informatică, accentul sa schimbat de la botneturi și distribuitori la dezvoltatorii înșiși, care de multe ori comandă o parte mai mare din profituri. Dacă aceste legi nu sunt adecvate pentru urmărirea malware-dezvoltatorilor, așa cum susține Kerr, aceasta ridică problema modului în care procurorii ar trebui să stopeze fluxul de hacking într-un moment în care lumea nu a fost niciodată mai dependentă de sistemele informatice interconectate și vulnerabile .
Deoarece cele mai multe dintre aceste cazuri de dezvoltatori malware au plecat în loc să meargă la proces, obiecțiile legale pe care Kerr le-a ridicat nu sunt testate. Puține dintre aceste acuzații au fost nevoite să facă față unei apărări juridice robuste. Chiar și cu comunitatea de securitate într-o tulburare confuză, Hutchins continuă să fie o figură foarte populară și se spune că un efort legal de strângere de fonduri este în curs de desfășurare. Dacă Hutchins se luptă cu taxele, acest lucru ar putea fi foarte bine în cazul în care modifică modul în care dezvoltarea malware-ului este urmărită în Statele Unite.

Comentariile nu sunt permise.