Facebook帮助开发了Tails漏洞

赫尔南德斯之所以能够逃脱捕获这么长时间，是因为他使用了Tails，这是一种专为处于高监控风险的用户设计的Linux版本，它通过开源的Tor网络路由所有入站和出站连接，以将其匿名化。据“副”杂志报道，联邦调查局曾试图侵入赫尔南德斯的电脑，但失败了，因为他们使用的方法不是为“尾巴”量身定做的。两名Facebook员工告诉“副”杂志，随后赫尔南德斯继续在随后的信息中嘲笑联邦调查局。Facebook已经指派了一名专职员工来揭开赫尔南德斯的面纱，开发了一个自动系统来标记最近创建的给未成年人发信息的账户，并将抓获赫尔南德斯作为其安全团队的优先事项。他们还向第三方承包商支付了六位数的费用，让他们帮助开发Tails的零日漏洞：Tails视频播放器中的一个漏洞，使他们能够检索观看剪辑的人的真实IP地址。三名消息人士告诉West，一名中间人将工具传递给FBI，FBI随后获得了搜查令，让其中一名受害者向Hernandez发送修改后的视频文件(该机构以前曾使用过这一策略)。

Facebook也从未通知Tails团队这个漏洞-打破了行业长期的披露传统，即在漏洞公开之前通知相关开发人员，这样他们就有机会实施修复。有消息称，由于即将发布的Tails更新将删除易受攻击的代码，Facebook并没有费心这么做，尽管这家社交媒体公司没有理由相信Tails开发者曾经发现过这个漏洞。

我们唯一可以接受的结果是巴斯特·赫尔南德斯(Buster Hernandez)因虐待年轻女孩而面临责任，Facebook的一位发言人告诉“副”杂志。这是一个独特的案例，因为他使用了如此复杂的方法来隐藏自己的身份，以至于我们采取了非常措施，与安全专家合作，帮助联邦调查局将他绳之以法。

我同意最后一段。我对联邦调查局使用漏洞：合法黑客，这叫“合法黑客”没意见。我不同意Facebook花钱利用Tails，把它交给FBI，然后对它的存在保密。

赞成。世界不是非黑即白，它有一个巨大的灰阶，有时甚至有非常奇怪的颜色。和你一样，我对埃尔南德斯被抓获也没意见，但我一点也不赞成接下来的步骤。像Facebook这样的行为开创了一个危险的先例。他们今天在追捕埃尔南德斯，但明天可能会追捕激进分子。

.明天通过削弱行业安全来追捕激进分子，我想写。把大公司的钱花在开发漏洞上是不道德的，也不是积极打开操作系统中的漏洞，这是苹果、谷歌或微软可以很容易做到的[*](希望Facebook没有自己的操作系统)。

[*]或者目前已经有，正如几年前微软从数百万台计算机上积极删除破坏Windows 7更新框架的补丁时所证明的那样。

据“副”说，联邦调查局曾试图侵入赫尔南德斯的电脑，但以失败告终，因为他们使用的方法不是为Tails量身定做的。

那太差劲了。这听起来就像某个联邦特工在加油站排在某个扎着马尾辫的家伙后面，一边掏口袋里的U盘一边欣赏他的衣服，因为他用联邦雇员的工资买不起那套量身定做的三件套西装。

你提出了一个有趣的观点。值得注意的是，这在我们的社会中一直是一个反复出现的主题，在这个主题中，某些行动被认为是合理的，但后来却被滥用，成为不同意建制派的人的目标。

我同意你的观点--利用聪明人开发的工具来控制普通人群是一种常见的做法。我只想提醒所有开发这类工具的技术专家注意，针对自己为当权者开发的产品，为自己创造一些对策。历史告诉我们，你永远不会知道你明天会被他们列入黑名单，并利用你自己的产品成为目标。

一旦Facebook在全球运营，他们明天将与谁合作：FSB、BND、中国顶级LEA(或者一般来说，他们版本的Stasi？)。

在爱沙尼亚，LEA曾经滥用Finfisher恶意软件，他们可以收费访问它，他们只是为了好玩而玩弄它，目标是朋友、家人等。

他们还向第三方承包商支付了六位数的费用，让他们帮助开发Tails的零日漏洞：Tails视频播放器中的一个漏洞，使他们能够检索观看剪辑的人的真实IP地址。

这将解释他们是如何知道我是从美国访问Facebook的，尽管我是在一个VirtualBox中运行的，那里的主机是通过从欧洲路由的VPN连接起来的。

关于这是一个独特的案例或一个特殊案例的概念[1]，这在某种程度上证明了所谓的一次性工具开发是合理的。让我提醒大家，这是一种支持做坏事的花言巧语，因为我们是好人，或者其他出于其他动机的自私自利的牛人。

他们的独特或特殊论点的基本缺陷是，所有案例都是特殊的或独特的，这取决于你如何看待它们，你所要做的就是绕过这个问题，直到你找到所谓的独特观点，这并不是很难做到的。因此，接下来要说的是，由于所有病例都是独一无二的，所以所有病例都可以这样对待。

因此，你必须问一个真正的问题，为什么Facebook会这样做，特别是当你考虑到它们是如何开始的(在线虐待年轻女性)。

当涉及到企业时，通常的答案是股东价值(股东价值)，按照Facebook的说法，股东们肯定意味着，某个重要人物肯定会被其他级别相当高的人说服。因此，他们不仅可以在不久的将来看到巨大的损失，而且还可以看到问题的解决方案。

因此，我怀疑Facebook这么做的真正原因是他们做了成本效益分析，然后追逐利润。也就是说，在政治压力越来越大的时候，他们可以看到主要的负面宣传正在向他们进发，他们只想在付出巨大代价之前把它赶走…。一位资深人士给出了一个礼品包装的想法，作为一个潜在的解决方案，以及成本等等。

但成本效益分析只能在有足够技术知识的人提出使礼品包装解决方案成为可能的行动后才能进行。其他人则需要物色供应商等，这需要大量的技术投入。因此，所涉及的技术人员的动机和道德是一个明显的因素[2]。因此，这会让人对思考的实现产生疑问，这将是整洁的，以此类推。

作为安全专家，人们必须学会区分这样一个事实，即政策的实施是有原因的，通常是合法的，不能因为一些角落案件的争论而放弃。因为一旦你越过那条线就没有回头路了。仅适用于转角案例的情况将变为可接受的边缘案例，然后是次要案例，然后是所有案例的一般保单，而不考虑"；。

你强迫人们的一种方式经常被野战人员称为老鼠。你发现一个人的弱点，然后利用它让他们做一些符合这些信念的事情。然后，你利用这一点来利用这一点，直到你有能力勒索这个人做他们知道不仅是错误的事情，否则会用尖刻的声音和音叉谴责别人。

Facebook会在某个时候发现，他们的手不再干净了，因此其他人会知道，他们的信念是廉价的，并以正确的方式稍微加了点压力就作废了。

但从不同的角度来考虑这一点，这不是一种潜在的导致Célèbre&34；变成一个儿童的想法，想想那些深受某些政治类型喜爱的儿童，对投票公民来说，鼓点显然是不健康的。因此，问问自己这个问题，如果美国行政部门准备追查一个在国际上行贿和贪污的举报人，这在美国都是非法的，规模超出了大多数人的想象，你认为他们会对Facebook这样的脏手公司做什么？

暂时忽略这个案件中的嫌疑犯是如何引起注意的[1]，想想他是如何试图保护自己的，以及他失败的原因。归根结底，他的失败在于对技术做出了未经证实的假设。不同的人多年来在这个博客上反复警告的技术。

与大多数人不同的是，这个嫌疑犯的行为不是一时冲动，他知道如果他被抓到会发生什么。因此，他采取了他认为不正确的预防措施。除了许多人认为的预防措施外，对于举报人来说，这些预防措施已经足够了(例如，看看记者们为他们的机密信息热线提供了什么)。

事实上，他是通过一种以前使用过的已知技术的新版本被抓获的，对于这种技术，有已知的预防措施。所以嫌犯被逮捕是因为他们自己的OpSec能力有限。再一次证明，不仅OpSec很难，你还需要比大多数人可能拥有的知识水平高得多的知识水平。

[1]我们知道还有其他人做得更糟，如果他们能从中获利，他们还会继续做得更糟。

[2]让用户的计算机显示它的IP地址，虽然这在概念上是一个简单的想法，但却充满了技术上的困难，这使得它至少会发生变化。事实上，直到几年前，当它第一次被用来对付基于Tor的用户之前，许多人都认为这实际上是不可能的。这种具有技术挑战性的活动对某些类型的人来说是一种精神糖果，在简历上也会很好看，因此对某些技术类型这样做的诱惑将是不可抗拒的，因此不仅是对这个案件，而且对所有未来的案件来说，伦理和道德考量都是不可抗拒的。

我过去经常使用的最后一张live CD，没有或没有VirtualBox，是美国国防部的一个产品，叫做TENS或LPS，公开版本，但主要是CD。

有没有同等或更好的现场CD？在32位处理器上工作会更好。换句话说，试图绕过持久性或持久性超级Cookie。

如果可以关闭Tor，尾部可能是一种选择。有人知道如何在尾巴内、尾巴内或尾巴外关闭Tor吗？例如，要使用Tail的不安全浏览器，而不在后台使用Tor Chatter。

为什么要由Facebook买单？如果FBI正在调查，那么Facebook的成本肯定应该是零，而不是6位数+1名敬业的员工+技术团队？

为什么Facebook会成为一个无关平台的视频黑客攻击的中心？据称，Facebook只是信使，而不是FBI的技术专家，甚至也不是被利用的操作系统或视频播放器的开发者。

我认为缺少的是Facebook正在试图了解每个人的IP地址，即使你使用的是Tor、VPN、代理或其他任何东西。所以他们开发了这些间谍技巧，使用JS、图像、视频和其他东西来揭开你的面纱。

巧合的是，这个目标也在做大多数地方认为不好的事情，这样Facebook就可以因为做一件好事而获得一些宣传。

@QRe：Facebook试图了解每个人的IP地址-我不怀疑这是真的，但有证据表明，他们距离日常成功还有很长的路要走。否则，我预计他们会通过根据真正的IP投放广告来实现这一能力的货币化。我通常通过VPN浏览，而FB坚持强迫我投放的广告总是针对明显的IP地址的地理位置。FB可能有几位专家能够做到本文所说的他们为FBI所做的事情(或者他们只是走运，或者只是自我夸大FUD)，但我从来没有看到任何迹象表明FB IT无人机的平均水平完全是有能力的。

就我个人而言，我认为，现在我们的大部分政治演讲都是在Facebook这样的私人平台上进行的，因此没有第一修正案的保护，这比为了抓到罪犯而折断尾巴带来的危险和道德问题要大得多。

如果你清楚自己的价值观，这样的事件不会困扰你。言论自由日益变得毫无意义，这就是原因所在。

顺便说一句，对于那些认为问题无望的人来说，保护私人财产上的言论有很多法律先例。参见1946年“马什诉阿拉巴马州”一案。

所以我听到你说的是他利用自己的关系网进行犯罪。

无论如何，那都是愚蠢的。尤其是在使用别人的网络(咖啡厅、酒店、打开wi-fi等等)是如此容易的情况下。

允许的HTML：<；a href="；URL&34；>；·<；em>；<；cite>；<；i>；·<；strong>；<；b<；·<；sub>；sup>；·<；ul>；<；ol>；ol<；li>；