GOPHERSPACE.DE - P H O X Y
gophering on hngopher.com
HN Gopher Feed (2017-08-04) - page 1 of 10
 
___________________________________________________________________
Arrest of WannaCry researcher sends chill through security
community
245 points by rbanffy
http://thehill.com/policy/cybersecurity/345337-wannacry-hero-chi...
___________________________________________________________________
 
qaq - 2 hours ago
I think one factor not being accounted for is cybersecurity is a
fairly big priority for law enforcement yet in a very large number
of cases they are never able to find or prosecute people
responsible. So they need to "make the numbers" to show that they
are being effective and the easiest strategy is to go for easy
targets.
 
calafrax - 4 hours ago
> The indictment does not say Hutchins designed Kronos or sold
Kronos. Rather, it says that he provided computer code to a second
party to update Kronos.> Overt Acts in Furtherance of the
Conspiracy> a. Defendant MARCUS HUTCHINS created the Kronos
malware.https://www.documentcloud.org/documents/3912524-Kronos-
Indic...
 
  [deleted]
 
[deleted]
 
duxup - 2 hours ago
I guess I get the concern but it seems clear the accusation are
unrelated to WannaCry and his involvement in another event.We've
seen bumbling investigations and misguided legal threats before...
that didn't stop people and this one doesn't seem to yet be either
of those.
 
wepple - 3 hours ago
> It is unclear from the indictment if Hutchins would have been
aware his work was being used maliciouslyThe indictment
specifically states he sold the malware. Unless he was completely
convinced the buyers of Kronos were using it for research into
browser malware, it's pretty damned obvious.I'd be interested to
talk to malware researchers that are genuinely scared about this.
 
  syshum - 3 hours ago
  We dont know what was actually sold, or what was paid for, or who
  paid for it.Of course the government in a government indictment
  will states "he sold malware" but the government is known to lie,
  exaggerate, and use terms incorrectly or out of context when
  talking about technology.Taking the indictment at face value is
  IMO extremely naive
 
bdcravens - 3 hours ago
Shouldn't it be "Arrest of malware creator sends chill through
security community"?
 
loteck - 3 hours ago
Lot's of comments about moving DEFCON out of US jurisdiction.
DEFCON officially flaunts the fact that both criminals and law
enforcement attend the event.[0] If that is the approach of the
con, this interaction is built-in.This isn't about DEFCON.[0]
https://defcon.org/html/links/dc-faq/dc-faq.html
 
csomar - 46 minutes ago
The article is light on details and leave an important question's
answer very vague: Did Hutchins sell his product in an underground
market to an unknown identity? How much was the compensation?These
questions answered would make the case a "clear-cut".And there is a
big difference between selling your code in an underground market
for $250k* with bitcoin, and open sourcing it for free.*I come up
with this number as an example.
 
[deleted]
 
throwme_1980 - 1 hours ago
Please read his indictment application, there is clearly a reason
why he was arrested. If 'researchers" are allegedly selling malware
then yes they should worry. Simple
 
flipp3r - 3 hours ago
Sad to see it confirmed that it's not worth the risk going to
America to visit DEFCON. I hope they'll host it in Europe someday..
To see no statement by DEFCON on this whole thing is almost equally
sad.
 
  sschueller - 2 hours ago
  There already is a security conference in Europe just as large
  run by the chaos computer club in Germany.
 
  watty - 3 hours ago
  Can you elaborate?  Have you been creating malware (banking
  trojans) and selling it online?
 
    flipp3r - 3 hours ago
    No I haven't created or sold malware.But i have this; A middle-
    eastern last name, I use Tor, I use Linux, and I use Telegram,
    I am active in the field of IT and especially enjoy IT
    security.I know that I can be held indefinitely if I visit the
    USA. In the USA you're guilty until proven innocent, unlike the
    rest of the western world. Simply going to the USA is more risk
    than it is for practically every other country. Well, for me,
    and a lot of people like me.That's what my comment was
    about.EDIT: How is it relevant to the article? Well, he is an
    IT security specialist who wanted to visit DEFCON. Yes, I
    understand what he did was wrong, it was his own risk.
 
      watty - 3 hours ago
      Ok... but what does that have to do with this article or
      these comments?  In this case a banking trojan creator was
      arrested.He wasn't middle eastern, he wasn't arrested for
      using Tor, Linux, or Telegram.
 
        celticninja - 3 hours ago
        Perhaps you are being deliberately obtuse I'm not sure. The
        point the poster was making is that the US happily arrests
        foreigners who set foot in the US and regardless of your
        guilt or innocence you get trapped in the US justice system
        which is essentially a system to tie you up in court and
        legal processes that you cannot afford so that you accept a
        plea deal, possibly for something you have not done,
        because otherwise you face never seeing the outside world
        again. The US justice system then acts like the guilty plea
        is enough to warrant their behaviour even though many times
        it is accepted by the defendant because they have no other
        options.This also applies if you are a poor American
        citizen, the rich can buy their release with sufficient
        payment to lawyers, plus the courts tend to be more lenient
        on the rich  over there, especially if they are white. Rich
        coloured people have a tough time because the justice
        system likes to make examples of them and claim the example
        is being made because they are rich and not because they
        are non-white.
 
          Jtsummers - 2 hours ago
          > The point the poster was making is that the US happily
          arrests foreigners who set foot in the US and regardless
          of your guilt or innocence you get trapped in the US
          justice system which is essentially a system to tie you
          up in court and legal processes that you cannot afford so
          that you accept a plea deal, possibly for something you
          have not done, because otherwise you face never seeing
          the outside world again.Any country that you set foot in,
          that has reason to arrest you and acts on it, can trap
          you within their legal/justice system effectively
          indefinitely. This is not a matter of right or wrong,
          it's just a fact.If Argentina has a reason to arrest me,
          and I go there, I shouldn't be surprised if they do.
          Germany would do it. Switzerland would do it. Literally
          every nation.Now, my rights within those nations with
          respect to duration of arrest, access to legal guidance,
          etc. may vary, and some will be better than others. But
          that someone is arrested for violating US law by US
          authorities while they happen to be in the US should not
          be a big surprise to anyone.
 
          watty - 2 hours ago
          I guess I am obtuse.  I see this as the FBI believes
          Marcus created and sold/conspired to sell malware.  This
          is illegal.  Now we will see evidence and a trial.The
          responses are ridiculous.- Muslim last names ??- US
          happily arrests foreigners- Plea deal or never see the
          outside world again- White rich people are favoured- Rich
          black people have a tough timeSeriously?
 
          megous - 1 hours ago
          Reread the question you asked. You asked for elaboration
          on the feeling of insecurity about visiting US. The
          response was to the point.
 
      eridius - 3 hours ago
      You're commenting on an article about how the FBI arrested
      someone for creating malware. If you haven't been creating
      malware, then I don't see how this article has anything to do
      with the issues you face as someone with a middle-eastern
      last who uses privacy tools like Tor. Hutchins wasn't
      targeted because of CBP's stance on things it associates with
      terrorism. He was targeted because the FBI believes he
      authored malware.
 
        mintplant - 2 hours ago
        Believe it or not, it's possible to be suspected or even
        accused of something you didn't actually do, whether
        through a misunderstanding or otherwise. And factors such
        as ethnicity and personal associations can influence the
        chance of this occurring.
 
          eridius - 1 hours ago
          Hutchens is a British man, not someone of an ethnicity
          that makes people wary. The arrest of Hutchens shouldn't
          have any relevance whatsoever to worries about being
          flagged for ethnicity.
 
    swinglock - 3 hours ago
    Was Marcus Hutchins arrested for selling malware online?
 
      watty - 3 hours ago
      Yes. https://www.documentcloud.org/documents/3912524-Kronos-
      Indic...
 
        manarth - 3 hours ago
        The indictment doesn't say that Hutchins sold Kronos.It
        claims that Hutchins was part of a conspiracy to sell
        Kronos, and that defendant [redacted] sold Kronos, but
        doesn't state that Hutchins advertised or sold Kronos.The
        only solid claim against Hutchins is that he created
        Kronos, which doesn't stack up with his tweet asking for a
        sample of Kronos.The following claim is that Hutchins and
        [redacted] updated Kronos.It's not exactly a smoking gun.
 
    6footgeek - 3 hours ago
    *potentially.
 
thrillgore - 3 hours ago
I would not be shocked if Defcon moved out of the US.
 
  [deleted]
 
  differentView - 3 hours ago
  To where?
 
    6footgeek - 2 hours ago
    Germany!
 
DINKDINK - 3 hours ago
I wonder if the location of the arrest influenced the prosecutors'
decision: "We 'caught' him at a hacker convention where they broke
a voting machine!"
 
betaby - 3 hours ago
No need to do any malice in order to be arrested on Def
Conhttps://www.cnet.com/news/russian-crypto-expert-arrested-at-...
 
olegkikin - 3 hours ago
I hope it goes to trial, and he is not found guilty. Should be a
relatively easy case to win.
 
  celticninja - 3 hours ago
  The US will try to force him into a plea deal where the
  alternative is 50 years in prison so that they can say "see we
  were justified in arresting him because he wouldn't plead guilty
  of he hadn't done anything wrong"
 
  emodendroket - 3 hours ago
  Based on the information to be found in this article it's not at
  all clear whether it will be an easy case to win.
 
[deleted]
 
Jtsummers - 2 hours ago
I feel like no one here remembers when Dmitry Sklyarov was arrested
under similar circumstances. The US government has no obligation to
seek out every potential arrestee no matter where they are in the
world for every single crime that the US has laws for. But if the
target of an investigation (whether they know it or not) sets foot
in the US, then we shouldn't be surprised when they are arrested.
And this is just another case with Def Con (so no, it's probably
not moving out of the US, it didn't 15 years ago), I'm quite
certain that these sorts of things happen frequently for other
crimes of (relatively) low priority that are just outside our
primary focus on this forum (technology).And is the US any worse
for this than other nations? Probably not. They just get more
publicity when it happens. But every nation that has a legal system
will do the same thing. If the Russians or the Brits or the Germans
or the Swiss decide that Jtsummers is a suspect in a crime, and I
visit and they realize it, I shouldn't be surprised to find myself
arrested and barred from leaving the country.[0]
https://www.cnet.com/g00/news/russian-crypto-expert-arrested... -
may not be the best article, it's the first one that came up on
Google for me.
 
vkou - 2 hours ago
He's not indicted for doing security research, he's indicted for
stealing people's bank accounts.The indictment may end up being
bullshit, but it has not been for any of his white-hat, or grey-hat
activities.
 
mnarayan01 - 3 hours ago
As someone who's not sure where I stand on this, I feel like
Hutchins supporters are doing themselves a disservice by overly-
conflating this with WannaCry. I think there's potentially a good
argument to be made along the lines of "Hutchins good work w.r.t.
WannaCry is the only reason that anyone (including law enforcement)
is aware of semi-historical Kronos, so going after him for Kronos
is equivalent to going after him for WannaCry." Additionally, there
may well be other arguments in his favor that I'm not even thinking
of.But those arguments need to be made (and the one I outlined
would need decent factual details). That said...maybe glossing over
(or even totally ignoring) Kronos is the best way for Hutchins
supporters to go...but if it is, that seems an unfortunate
reflection on society.
 
  jxcole - 2 hours ago
  I don't think that's what these researchers are saying. I think
  they are saying more along the lines of: "Hutchins has shown that
  he is a security researcher through his work on wannacry. As a
  security researcher, he probably has researched other problems as
  well, possibly including Kronos. The fact that he was arrested
  with little to no evidence could be showing that the DOJ is
  willing to arrest people who have copies of virus source code on
  their computers, even if they only accessed it for research
  purposes. In fact he may have updated Kronos code or written some
  part of Kronos as part of research to validate a hypothesis or
  test a theory. Such actions are ordinary actions for researchers,
  so this puts at risk most computer security research across the
  world."
 
    mnarayan01 - 2 hours ago
    I think this is also an argument with potential (at least when
    presented as here, i.e. without excessive reference to
    WannaCry), but I think you need to either have a decent amount
    of affirmative evidence against him having sold Kronos or to
    wait at least several days before using the DOJ's absence of
    presented evidence as evidence of absence.W.r.t. the latter,
    I'm not saying that the DOJ should have had him arrested if it
    lacks serious evidence of his guilt. I'm saying that his arrest
    has happened; it's too late to stop it. The question is whether
    it should have happened, and, since we're highly unlikely to be
    able to change anything within a few days, it seems like it
    makes sense to wait a few days before asserting that the DOJ
    lacked evidence to support the arrest if only to avoid poising
    the well. If it turns out that they didn't have any evidence,
    then the arrest was a problem which needs to have consequences.
    But I think being over-eager at this point greatly lowers the
    probability of there being any such consequences.
 
    watty - 2 hours ago
    >> The fact that he was arrested with little to no
    evidence...Do you really think they are loosely tying Marcus to
    Kronos with little to no evidence?  Why go through all the
    trouble?  Just because they haven't shared evidence in a sealed
    case doesn't mean they have no evidence.  It's safe to assume
    there is evidence and it'll be interesting to see what it is.
 
    Ajedi32 - 2 hours ago
    > The fact that he was arrested with little to no evidenceHow
    do you know what evidence does or doesn't exist? The case
    hasn't even been brought to trial yet.
 
ajarmst - 1 hours ago
Why?  The arrest of a mall cop who was also doing burglaries
wouldn't send a chill through the security guard community, except
perhaps for those who were moonlighting as burglars.
 
  wwweston - 49 minutes ago
  If he was arrested for burglarizing a mall he worked in, though,
  and you didn't have any evidence other than the claim of the
  arresting authorities that he wasn't merely present in the mall
  (as security guards are wont to be) where a burglary had taken
  place, you might be somewhat concerned.
 
watty - 3 hours ago
I've read a few articles but I feel like I'm missing something.
What's with the sensational quotes like "I had folks afraid that
their own involvement in investigating WannaCry would get them
arrested."?Everything I've read points that he created banking
Malware "Kronos" which was sold on various "underground forums"
(whatever that means).  What's with the WannaCry conspiracies?  He
wasn't arrested for being a security research, he was arrested for
being a malware creator selling malware.  Why is this "sending a
chill through the security community"?
 
  hughes - 3 hours ago
  I think people who write malware to steal banking info should be
  prosecuted when possible. It will be interesting to see whether
  this goes to trial and if so how solid any evidence against him
  is.However, I do not doubt that a mix of fear & incompetence
  could have resulted in his arrest as much as any concrete
  evidence of his involvement in Kronos. I think there's (perhaps
  rightfully) a culture of distrust and paranoia around law
  enforcement's interaction with ethical hacking. It's difficult to
  detach from that when legitimate prosecution happens.
 
    bjpbakker - 2 hours ago
    > people who write malware to steal banking info should be
    prosecutedI really disagree with you on this. The problem is
    not the person who researches different exploits (ie who may
    /write/ the malware) but with the people who /use/ the malware
    to do bad things.When we keep preventing white hat researchers
    from doing their job, there's no defense against black hats.If
    he actually sold Kronos for the sole purpose of stealing, I
    agree that he should be prosecuted. If he only used it for
    research purposes, this is a complete witch hunt.
 
  NateyJay - 3 hours ago
  The concern is that a lot of behaviour that a security researcher
  would do in the course of their research, taking over C&C server
  addresses such as with Wannacry, soliciting for samples of
  malware, such as Hutchins did with the Kronos trojan, and having
  contacts with black-hat hackers, might look to the DOJ as if he
  is the culprit who created the malware.People think that an
  innocent white hat hacker could get swept up in this kind of
  arrest, and there has been so little evidence released, nobody
  knows what actually happened.
 
    tptacek - 3 hours ago
    Hutchins is accused of creating the Kronos trojan, and of
    working closely with someone who sold the trojan. The lines the
    DOJ is saying were crossed are pretty bright.
 
      cargo8 - 2 hours ago
      If I write open source code for research, share it with the
      community, and someone wants to license it for "further
      research" and pays me ? am I responsible if their adapted
      software is then used / stolen / re-applied to kill people or
      hack a bank?In this scenario I both wrote and explicitly sold
      the software with no idea of what the later applied tech
      would do. The computer laws referenced in the article seem to
      require direct knowledge of malicious intent of the software
      in the sale.
 
        tptacek - 2 hours ago
        If you know the person licensing it from you is going to
        use it to steal financial information, and the clear
        purpose of the tool you've built is to steal financial
        information, then I would say you should definitely make
        sure you have a criminal defense lawyer you trust and can
        afford.
 
          uyhso8 - 1 hours ago
          I don't think anyone would disagree with what you just
          said, but given the way prosecutors deal with "intent"
          sometimes, I think it would be easy for them to cross a
          line.If you haven't already, listen to this podcast about
          Doug Williams and polygraphs:
          https://www.thisamericanlife.org/radio-
          archives/episode/618/...There's a lot of parallels and
          how issues of intent can get very grey.
 
          tptacek - 1 hours ago
          They're required to prove intent at trial.
 
          travmatt - 1 hours ago
          As I understand it this is the crux of the case - that
          the creation of such software isn't illegal, but sale
          with the intent to be used in the commission of a crime
          is. I understand the indictment is pretty barebones, so I
          wonder what exactly they are basing their allegations of
          intent on.
 
        [deleted]
 
      natch - 2 hours ago
      It bears mentioning that accused does not mean convicted. The
      DOJ record as far as accusations turning out to be grounded
      in reality is not unblemished.>Hutchins is accused of
      creating the Kronos trojan, and of working closely with
      someone who sold the trojan. The lines the DOJ is saying were
      crossed are pretty bright.You say that as though you are
      contradicting NateJay.But the fear NateJay is highlighting is
      exactly that a white hat is being accused. And that (whether
      ultimately borne out in this case, or not) this kind of thing
      could happen to people who are conducting innocent security
      research.
 
        Natsu - 1 hours ago
        That's fair, it's always best to let the facts come out in
        court before any of us decide to judge him one way or
        another.  By then we'll have a clearer picture of exactly
        what (if anything) his knowledge of and involvement with
        the principles of the crimes was.It seems to me that, if
        proven, the DOJ has a case here.  They key point will be
        exactly what they can or cannot prove in court.It's best
        not to get too riled up over preliminary things like this.
        We haven't heard most of what there is to hear until the
        closing arguments are given and I'd rather not make up my
        mind too far one way or another before I've heard
        everything there is to know.  And I would be embarrassed to
        stake an opinion later proven ridiculous because I rushed
        to judgement.
 
        am1988 - 1 hours ago
        That's absolutely true, but if the DoJ is acting in good
        faith (they believe they have sufficient evidence of guilt
        by this person) then is this really a problem?There are
        good reasons to be cautious, but this particular case is
        far from decided either way.
 
        notatoad - 2 hours ago
        A white hat is being accused of black hat behaviour.  There
        is no indication that the government is seeking to charge
        him with any activities related to behaviour that could be
        interpreted as "white hat" in any way.  He's accused of
        creating and distributing malware.  He may be found
        innocent of that, but the crimes he is accused of are very
        definitely crimes, and he shouldn't get a pass just because
        he's been publicly acting as a white hat.If the government
        has evidence, he should be charged and tried.  And that
        appears to be what's happening here.
 
          natch - 1 hours ago
          Again, no contradiction here. There is a fear that a
          white hat is being accused of black hat behavior. Not a
          claim. A fear. And a reality that a person (maybe white
          hat, maybe black hat, we don't know) is being accused of
          black hat behavior. Nothing surprising here. He may, or
          may not, be a black hat. The fear of unjust accusation is
          still valid. We will have to see if the DOJ will share
          the evidence, and what that evidence says.
 
          tptacek - 2 hours ago
          Well. They're probably crimes. The law behind building
          and selling banking trojans is pretty hazy.
 
          AlexCoventry - 1 hours ago
          You're kidding, right? Looks like slam dunk aiding and
          abetting wire fraud.
 
          tptacek - 1 hours ago
          I am not kidding, but rather parroting Orin Kerr, an
          expert on this subject, who does not think this case is a
          slam dunk.(Not because the evidence for Hutchins'
          involvement is thin, but because the law here is hazy.)
 
          AlexCoventry - 59 minutes ago
          Thanks for the cite. Interesting.
 
      loeg - 2 hours ago
      Yes, that's what they're saying.  Consider the source.
 
        tptacek - 2 hours ago
        I'm not convicting him, and if you put a gun to my head and
        forced me to render a verdict based on what's public now,
        I'd say "not guilty". What do you want from me? Cases like
        this unfold over time. We don't get to know everything we
        want to know the moment we want to know it.
 
          ggggtez - 2 hours ago
          The parent post thread is about why researchers were
          afraid as a result of the arrest. While it might unfold
          and get a not guilty, in the mean time he's in jail. If
          you were a malware researcher with good intentions, you
          might rightly think it's a mistake and one that could get
          you in the same kind of trouble.
 
          tptacek - 2 hours ago
          My point isn't that I have a huge of trust and goodwill
          in the criminal justice system, but rather that almost
          nobody in the security community does the stuff that this
          person is accused of doing. Do you build banking trojans
          and then arrange for them to be sold to anonymous
          strangers on Darknet forums? If not: what does this case
          have to do with your security work?
 
          mkagenius - 1 hours ago
          I doubt the type of bug will matter unless people need
          license to sell trojans by law.
 
          tptacek - 1 hours ago
          "Type of bug"? Sorry, I don't follow.
 
          sillysaurus3 - 1 hours ago
          Banking trojans. They're saying that the DOJ might
          convict people for selling trojans in the course of their
          security work.I think the "selling" part is the problem,
          not the writing. Don't sell trojans and you won't go to
          jail. Seems pretty clear.
 
          weaksauce - 58 minutes ago
          I'd say making them is legal and using them on systems
          you own is completely legal... selling them or using them
          on machines you are not allowed to access are illegal.
          Giving them away to someone that sells them or uses them
          to commit a crime would be a grey area but likely
          illegal.
 
          AnimalMuppet - 46 minutes ago
          It seems to me that this is kind of a litmus situation -
          this case reveals what you think of the DOJ.  If you
          think that they somewhat routinely frame people that they
          are "after", then you look at the fact of the accusation
          and see this case as more proof that security researchers
          should be cautious (and maybe avoid entering the US).On
          the other hand, if you think that the DOJ, while subject
          to making mistakes, does not often knowingly and
          deliberately falsely accuse people, then you look at the
          alleged behavior, and realize that it is well outside the
          bounds of whitehat behavior.
 
          tptacek - 41 minutes ago
          I think there's very little evidence that the DOJ
          routinely frames accused computer criminals --- or even
          that they routinely make mistakes with them. The reality
          is that so few computer crimes are prosecuted that the
          ones that are are usually smoking-gun cases.I can't speak
          to any other aspect of federal prosecution. My thoughts
          about computer crime prosecution definitely can't be
          extrapolated to my thoughts about criminal justice in
          general.
 
    [deleted]
 
    pasbesoin - 27 minutes ago
    From my limited perspective, the U.S. is continuing to
    transition more fully to "rubber hose" policing, for lack of a
    better term.If they decide you are a problem for any reason or
    decide to put you in their sites, perhaps for their own
    political agenda, you will face an overwhelming range of
    charges and immediate legal expenses.The goal isn't truth; the
    goal is to break you and so further their agenda.I'm not saying
    there isn't legitimate law enforcement occurring within the
    mix.But, in terms of the overall picture as opposed to court
    etiquette itself, "benefit of the doubt" seems to have long
    since gone out the window.Now imagine being a foreigner, away
    from family and local support networks, and not knowing whether
    you've landed on some very political person's list (and
    prosecutors in the U.S. are very political creatures).Imagine
    you work in an area engendering much controversy, such as
    computer systems security.And finally, take it a step further,
    even sitting home or traveling in e.g. Europe:  Just how far
    and pervasive are the FBI et al. willing to reach with
    politically aided extradition requests?Political forces in the
    U.S. want to "stop" "cybercrime" by physically insisting that
    people they don't like "stop" doing those things.  Not a
    technical solution.  Not improving systems and systems
    management.  Nope, get out the rubber hose.And wield it based
    upon political calculation, more so than actual, (legally)
    substantiated fact.
 
  biggerfisch - 3 hours ago
  The quotes came from people who only knew him as a WannaCry
  researcher, due the fact that the DoJ took forever to say why
  they were arresting him. It's as if a prominent anti-spammer were
  to get arrested with no explanation. A naive guess would be that
  it was due to their anti-spam work. Even though this arrest
  wasn't related to his WannaCry, that was his most recent exposure
  to the public and I think assuming it was related to that can be
  forgiven
 
  celticninja - 3 hours ago
  You state he is a malware creator b cause the FBI and their
  indictment told you he is.The FBI claim he created the software
  in July 2014, the exact month that he asked on twitter for a copy
  of the software. Now I am not saying he is innocent but I am also
  not assuming his guilt because the FBI said he was guilty.What
  proof do you have that he is a malware creator selling malware?
 
  tetrep - 3 hours ago
  > He's not a "hacker" who is doing security research, he's a
  malware creator selling malware.There's no reason he can't be
  both. We can both like him for stopping WannaCry, and dislike him
  for (if true) marketing/distributing malware based on
  Kronos.Although I agree with your general sentiment, I'm confused
  as to why the security community is chilled by this. The court
  case should be public, so we'll be able to judge the evidence
  ourselves.
 
    aphextron - 2 hours ago
    >The court case should be public, so we'll be able to judge the
    evidence ourselves.Well this is still the United States, so by
    law it will be. People are blowing this way out of proportion
    as if he were disappeared by the secret police or something.
 
      [deleted]
 
  manarth - 3 hours ago
  There's a tweet dating back to 2014 [1] where he asks for a
  sample of Kronos.A number of people have pointed out that would
  be taking the extremely ridiculously long game for an alibi - why
  would the author ask for a copy of his own code?There's also
  little/no published information to back up the statement that he
  ever sold Kronos.[1]
  https://twitter.com/MalwareTechBlog/status/48837379416825446...
 
    arca_vorago - 1 hours ago
    My personal opinion, until shown evidence otherwise, is this is
    the real author/seller being turned into an informant, and part
    of that process, the first step, is to protect the informant
    and smear another. MTB's high profile on the issue may mean he
    was a target of opportunity.Of course I could be wrong, so time
    will tell. A good future indicator of this will be if the case
    is dropped as quietly as possible.
 
    snissn - 2 hours ago
    If you wrote some malware and people were passing around copies
    of it, wouldn't you want to see the source of what they were
    passing around?
 
    tptacek - 3 hours ago
    He's not personally accused of selling Kronos in the
    indictment; his unnamed co-conspirator is.(That co-conspirator
    is unnamed to us, but most probably is someone clearly known to
    the DOJ).The indictment itself is pretty bare. But an
    indictment isn't a trial; the DOJ will need to prove its
    charges to a jury with a considerable amount of evidence, and,
    as Orin Kerr pointed out last night, they have an uphill climb
    ahead of themselves, because the letter of the law is favorable
    to people who create and sell banking trojans.
 
      notatoad - 1 hours ago
      > most probably is someone clearly known to the DOJnot
      probably.  the first line of the indictment is "Defendant
      [redacted] used the online aliases [redacted].https://www.doc
      umentcloud.org/documents/3912549-MalwareTechB...
 
    usrusr - 1 hours ago
    > A number of people have pointed out that would be taking the
    extremely ridiculously long game for an alibi - why would the
    author ask for a copy of his own code?If I was greedy and in
    the security field, with identities (or middlemen) on both
    sides of the game, I would be terribly tempted to play those
    identities to support each other. For example when blackhat-me
    would be selling an exploit, whitehat-me could create buzz by
    talking about it. Later, when the exploit's market value drops
    towards zero (ip enforcement is weak on the darknet), whitehat-
    me could reap the glory of discovering all the details about
    the exploit, maybe even using some "mistakes" blackhat-me left
    in the code to facilitate plausible parallel construction.What
    are all those ifs having to do with the WannaCry situation?
    Probably nothing, hopefully nothing. Or maybe hopefully a lot,
    because it would mean that the FBI did not lock up the wrong
    guy?
 
    thefreeman - 2 hours ago
    I would imagine when he allegedly sold the malware it wasn't
    named "Kronos". He could have had no idea at the time that the
    specific campaign was his code, or perhaps had a suspicion and
    wanted to confirm it.
 
      tptacek - 2 hours ago
      There's a video demonstration of the tool we're talking
      about. Nobody who has watched it is going to for a moment
      entertain the idea that the author of this tool didn't
      understand its intention. Its purpose is extracting financial
      information from botnets.
 
        randallsquared - 1 hours ago
        That doesn't seem to be a reply to GP's post.
 
  syshum - 3 hours ago
  >>Why is this "sending a chill through the security
  community"?because a lot of legitimate security research when
  viewed through the myopic and cynical lens of a Federal Agent can
  be seen as illegal,  this is an ongoing and ever present fear for
  people in the field.The FBI claims he is a malware creator and
  arrested him for it,  you seem to believe fully this narrative of
  the FBI with no room for the FBI to view completely innocent
  actions as something else.  No room for the FBI to be in error,
  no room for the FBI to be wrong.The government has routinely,
  time and time again, over extended and prosecuted several people
  wrongly under CFAA, which is a terrible and broad law that can be
  applied at will to many innocent every day computer actions.
 
    tptacek - 3 hours ago
    What legitimate security research are we talking about? I work
    in vulnerability research and not malware research, but: can we
    name anyone who has been prosecuted for what turned out to
    clearly be benevolent research work?
 
      comex - 2 hours ago
      It depends how you define ?research?.- Weev?s harvesting and
      publication of iPad owners? email addresses was far from
      benevolent, but it also wasn?t exactly hardcore hacking; IIRC
      he just changed a URL parameter.  As you know, it?s not that
      far from what white hats sometimes do, in terms of probing
      public websites - with the obvious exception that they?d
      usually responsibly disclose the vulnerability to the site
      owner, rather than publishing people?s data!- Barrett Brown
      was charged with (among other things) republishing a link to
      data someone else had leaked.  That falls more into the
      category of journalism than research, and ultimately the
      charge was dropped, but it still fits a theme of overzealous
      use of the CFAA.edit: that wasn?t the CFAA, but same
      idea.
 
        tptacek - 2 hours ago
        I follow what you're saying, but look at these cases:
        Aurenheimer was confronted with IRC logs in which he
        discussed selling the information he got from the website,
        and Barrett Brown was accused of actively assisting the
        people who breached Stratfor.What ever you think of the
        actual prosecutions here, neither of those are cases of
        security research being mistaken for something else. The
        most you can say, for instance, about Brown is that he is
        not as closely connected to an extraordinarily serious
        crime as the DOJ believed he was.
 
        marcoperaza - 2 hours ago
        As to your first example, there seems to be this pervasive
        idea in tech culture that something shouldn't be a serious
        crime or tort because it is so easy to do. I see the
        argument very often in cases of unauthorized access and
        copyright infringement.Murder is also rather easy, and we
        execute people for it.
 
          tptacek - 2 hours ago
          That's not what he's saying. He's saying that independent
          of how easy it is to do, it's also something that
          professional security people do routinely. And he's
          right. But that's not the basis of the charge against
          Aurenheimer.
 
          marcoperaza - 2 hours ago
          >That's not what he's saying. He's saying that
          independent of how easy it is to do, it's also something
          that professional security people do routinely. And he's
          right. But that's not the basis of the charge against
          Aurenheimer.It's certainly part of what he said:>but it
          also wasn?t exactly hardcore hacking; IIRC he just
          changed a URL parameter.The difficulty of carrying out an
          action is completely irrelevant to its legality.
 
          [deleted]
 
          tptacek - 2 hours ago
          I agree with you that the "hardcoreness" of what
          Aurenheimer did is a red herring.
 
      syshum - 2 hours ago
      Actual prosecutions of malware creators are exceedingly rare
      to almost none existent. As such I believe there are extreme
      pressure on law enforcement to "Make an example" of some
      malware creator, or anyone they can even remotely connect to
      the creation of malware.This pressure I believe will lead
      them to over reach on CFAA like they have in the past in
      other "hacking" caseshttps://www.wired.com/2015/10/cfaa-
      computer-fraud-abuse-act-...So while I can not point to an
      example right now, that is simply because there is a general
      lack of case law in the field to begin with, nor does that
      support a position that the FBI is correct in this case, or
      would never go after a innocent security research,  their
      history defies that completely.
 
      zippy - 2 hours ago
      "can we name anyone who has been prosecuted for what turned
      out to clearly be benevolent research work?"Randal Schwartz
      https://en.wikipedia.org/wiki/Randal_L._Schwartz
 
        tptacek - 2 hours ago
        Yeah, I think you'll find when you dig into the details
        that that case is not a great example for you.
 
          syshum - 2 hours ago
          https://w2.eff.org/legal/cases/Intel_v_Schwartz/schwartz_
          cas...Seems to be clear example to me
 
          sqeaky - 2 hours ago
          Instead of doubt, can you give us concrete reasons?
 
          tptacek - 2 hours ago
          This is from memory, but it's been discussed on HN
          before, so you can also consult the search bar. Schwartz
          had a contract to do sysadmin work for Intel. In the
          course of doing that work, he backdoored some of the
          systems he worked on. After his employment with the firm
          that had staffed him at Intel concluded, he continued to
          use those backdoors to access Intel's systems. His claim
          is that it was necessary to do so, in order to complete
          work Intel had asked him to do. But from what I recall,
          he was caught using those backdoors after any
          relationship he'd had with Intel had been severed.It's
          not the crime of the century, but it's not a case of
          someone doing benevolent security research getting
          caught. Nobody practicing today would backdoor a client
          computer, use the backdoor after their engagement had
          ended, and expect anyone to find that action defensible.
 
    watty - 2 hours ago
    But he wasn't arrested for any normal thing a security
    researcher would do - he's arrested for creating and selling
    malware... big difference.The FBI could be wrong and that'd
    suck.  I'm just assuming that the FBI and their resources have
    enough evidence to reasonably believe he's the creator.And
    again, your last comment doesn't fit this article.  They aren't
    overextending and arresting a security researcher (although he
    is one), they're arresting someone whom they believe is a
    malware creator and distributor.
 
      syshum - 2 hours ago
      The FBI claims he created malware,  an unnamed co-conspirator
      is charged with selling itSo you generally believe people are
      guilty until proven innocent, and I always believe people are
      innocent until they are proven guilty.  I never take the
      government word for anything, and generally assume the
      government is lying at all times.  History supports my
      position.I find it extremely alarming how quickly people just
      believe the FBI's assertions as fact with almost no actual
      evidence being presented
 
        abduhl - 1 hours ago
        > I never take the government word for anything, and
        generally assume the government is lying at all times.
        History supports my position.Do you habitually eat food
        that has been left out for longer than government
        guidelines allow because you generally assume the
        government is lying at all times?Do you increase your speed
        when you see a sign that says REDUCE SPEED, SHARP TURNS
        AHEAD because you generally assume the government is lying
        at all times?
 
        watty - 2 hours ago
        Correct, I don't think the FBI is making up evidence about
        Marcus and they actually believe he's the creator of
        Kronos.  Sounds crazy, I know.
 
          syshum - 2 hours ago
          >> Sounds crazy, I know.At least you admit that believing
          the FBI is crazy,  maybe there is hope for you.
 
        comex - 2 hours ago
        > So you generally believe people are guilty until proven
        innocent, and I always believe people are innocent until
        they are proven guilty.?Innocent until proven guilty? is a
        legal standard applied where ?guilty? means having one?s
        liberty taken away.  And in that context it?s a perfectly
        appropriate standard.  But as mere spectators, where the
        harm caused by mistakenly believing he?s guilty is minimal,
        I think we should feel free to simply believe in the most
        likely possibility (aka preponderance of the evidence).
        You may disagree on that point, and that?s your right.
        However, if we agree to apply that standard, I don?t think
        it?s reasonable to believe that the FBI?s allegations being
        false is actually more likely than the alternative.> I
        never take the government word for anything, and generally
        assume the government is lying at all times. History
        supports my position.[citation needed]
 
        vkou - 2 hours ago
        > So you generally believe people are guilty until proven
        innocent, and I always believe people are innocent until
        they are proven guilty.Is indicting people for crimes they
        are alleged to have committed consistent with your
        position? Because that's all that's happened so far.The FBI
        asserts that he created malware. He denies it. An
        indictment and a trial will figure out which of them is
        lying.
 
          mjw1007 - 2 hours ago
          That's one thing that might happen.Another is that he
          might plead guilty and we'll never know whether he was
          guilty or innocent (but threatened with consequences he
          didn't feel he could risk).
 
          chronic8k - 1 hours ago
          Which of the two outcomes do you prefer to happen:1. True
          malware creator and seller is sent to prison.2. True
          malware creator and seller is not sent to prison.Whether
          he pleads guilty or not has nothing to do with him being
          a security researcher. I'd much rather have more false
          positives than false negatives. You, and the rest of
          Europe, would too.
 
          DuskStar - 1 hours ago
          Um. I would much rather have false negatives than false
          positives in criminal cases, thanks."it is better 100
          guilty Persons should escape than that one innocent
          Person should suffer"Also, you've got this wonderful
          dichotomy laid out, but there are other options too: for
          instance, that this guy is sent to prison but was not the
          creator of the malware, thus ending any chance of the
          true creator ever being caught.
 
          [deleted]
 
          vkou - 1 hours ago
          > Another is that he might plead guilty and we'll never
          know whether he was guilty or innocentYes, that might
          happen. Taking that position to its logical conclusion,
          nobody should be indicted for anything.There are serious
          problems with the US justice system. As far as I can
          tell, there is nothing at face value that's unreasonable
          about this indictment.
 
          mjw1007 - 46 minutes ago
          I'm never entirely sure what people mean by "taking
          something to its logical conclusion", but if you mean
          something like "giving that consideration the greatest
          possible weight" I think where you end up is "end all
          reductions in sentence for pleading guilty", not "nobody
          should be indicted for anything".
 
      mintplant - 2 hours ago
      The implication is that the FBI may believe him to be the
      creator of Kronos based on something he did as part of
      security research, eg. gaining access to a control panel or
      taking over a CnC server.
 
    BinaryIdiot - 2 hours ago
    > because a lot of legitimate security research when viewed
    through the myopic and cynical lens of a Federal Agent can be
    seen as illegal, this is an ongoing and ever present fear for
    people in the field.While I tend to agree that this is
    possible, the parent's point was how unrelated this was to WC
    and to any research occurring in the field. It's strictly a
    case of "this guy wrote malware and sold it".> you seem to
    believe fully this narrative of the FBI with no room for the
    FBI to view completely innocent actions as something else. No
    room for the FBI to be in error, no room for the FBI to be
    wrong.I'm confused. The parent simply stated he was arrested
    for that. How does that translate into "Parent believes 100%
    what the FBI states with no room for the FBI to be wrong"?
 
  edzc92 - 1 hours ago
  Why is there a law against selling malware? Couldn't a comparison
  be made with regards to firearms? He created the malware but
  didn't deploy it live
 
    gruez - 28 minutes ago
    Not a good anology. What's a legitimate use for banking
    malware? A more apt analogy would be selling an IED.
 
  [deleted]
 
devhead - 3 hours ago
If your code is used in an exploit and that is now a punishable
crime, maybe next the NSA will be in the hot seat since the code
that was used in wanacry was their own. Or perhaps Israel for their
effort in Stuxnet. I hope he takes it to trial and we find out what
is really happening here. Pretty suspicious that this happens years
after the fact and only weeks after he helped prevent the further
spread of wannaCry. WannaCry being created on top of the leaked NSA
exploits they held on to instead of responsibly disclosing to
Microsoft.
 
  pyroinferno - 3 hours ago
  Yes, take this for an example, if someone were to deliberately
  sell firearms to someone that they knew would attempt to murder
  someone with their firearm, do you think they should be partially
  liable for the murder?
 
    devhead - 4 minutes ago
    lets take away the feelings by saying...if someone were to
    deliberately sell a pair of shoes to someone that they new
    would attempt to j-walk with their shoes, do you think they
    should be partially liable for the j-walking?> no.
 
    comicjk - 2 hours ago
    Yes, the seller would legally be an accessory to the murder,
    having had knowledge that the crime would be committed and
    having helped the murderer commit
    it.https://en.wikipedia.org/wiki/Accessory_(legal_term)
 
    watty - 2 hours ago
    Firearms are legal.  If you create an illegal firearm (banking
    trojan), and did the same, yes - you'd be partially liable.
 
    syshum - 3 hours ago
    No.
 
chasil - 3 hours ago
Realistically, DEF CON should move to the Caribbean.Marcus Hutchins
is a British citizen. Extradition before the event was feasible and
would have been a far more honorable path than the snatch and grab
that transpired.British security experts might insist on Grand
Cayman for any further conferences in the Americas.
 
  OzzyB - 3 hours ago
  Maybe Sir Richard Branson could host it on Neckar and stream it
  live on Virgin.com -- I'm only slightly kidding.
 
    balabaster - 3 hours ago
    This seems, amusingly, like something I could imagine him
    actually getting involved with.
 
    SeoxyS - 3 hours ago
    Nowhere near enough space on Necker (my friend just went there)
    for a massive conference like this. Would be cool, though.
 
  mjw1007 - 3 hours ago
  Extradition needn't have come into it. The US authorities could
  have sent their evidence to the UK police to deal with (assuming
  the UK police didn't have it to start with).If we want justice to
  be seen to be done, we shouldn't encourage "forum-shopping" by
  law-enforcement, letting them bring prosecutions in a country
  where the defendent will be artificially disadvantaged.
 
    mjw1007 - 3 hours ago
    Having said that, if the unidentified co-conspirator is from
    the US and they're going to be tried together, it wouldn't be
    so unreasonable.
 
      syshum - 3 hours ago
      I am sure the "unidentified co-conspirator" is unidentified
      because they have a deal to talk and will likely not be
      charged or has a plea agreement so no trial
 
    strictnein - 3 hours ago
    This isn't "forum-shopping". Not every crime is going to get
    someone extradited, which is a huge hassle, but if the person
    accused is going to be entering the country of course you grab
    him.
 
      ueuxbeysvsyagav - 2 hours ago
      Yeah everyone is just emotional and not using their brains.
      This is clearly the easiest route to take for the fbi. I
      appreciate our government being resourceful. However, if it
      turns out that the allegations are false and that this is
      harassment I will grab my pitchfork as well.
 
        strictnein - 2 hours ago
        Agreed. I will be really upset if this is all just a
        colossal f-up on the part of the feds.
 
  CydeWeys - 3 hours ago
  I was just at this past DEF CON.  The good majority of attendees
  were from the United States.It doesn't make sense to move it to
  the Caribbean.  That would cause attendance to drop by a lot, and
  some other organization would just start another conference in
  the US, and most people would go to that one.
 
    chasil - 3 hours ago
    If our justice system behaves dishonorably, then the world's
    information security industry should certainly abandon the U.S.
    We can have our solo conferences, but we can't ask foreigners
    to risk incarceration for our convenience.The Bahamas might
    also be a reasonable choice, as they only declared independence
    from Britain in 1973.
 
      tdb7893 - 3 hours ago
      I might be misunderstanding your point but I don't understand
      what they did that was so dishonorable? I thought that this
      guy produced malware
 
        puetzk - 2 hours ago
        We don't know whether he did or not. But if they have
        evidence to support arresting him, the US has an
        extradition treaty with Britain; they should have shared it
        and asked British authorities to make the arrest. And there
        very well may be evidence, especially if the timing is
        related to something new obtained from the Alpha Bay
        takedown and it happening when he happened to visit the US
        for DEFCON was a coincidence.But running a snatch and grab
        at a security research conference looks really bad, and is
        bound to have a much wider chilling effect on people's
        willingness to attend US conferences.
 
          tzs - 2 hours ago
          > But if they have evidence to support arresting him, the
          US has an extradition treaty with Britain; they should
          have shared it and asked British authorities to make the
          arrest.Is this just for alleged computer crimes, or would
          you apply that to all alleged crimes?For example, suppose
          I run a fraudulent mail order business targeting people
          in, say, France, and this is a crime in France. Would you
          argue that if I visit France, and the French authorities
          want to arrest me and bring me to trial, they should let
          me go home and use extradition to try to force me back,
          rather than arrest me while I am in France?
 
          chasil - 2 hours ago
          I think that a Black Hat convention that attracts many
          federal employees who work in computer security should be
          especially sensitive to "snatch and grab" operations.The
          pall which is descending over foreign attendees is a
          harbinger of either relocation or vastly reduced
          attendance.
 
          tptacek - 1 hours ago
          What kind of an arrest isn't a "snatch and grab", in your
          mind?I think we can all rest assured, unfortunately, that
          Black Hat isn't going anywhere.
 
          tedunangst - 54 minutes ago
          Obviously, the polite thing to do would be to send a
          letter. "You have been charged with a crime. Please
          report to the local police station at your earliest
          convenience."
 
      CydeWeys - 2 hours ago
      There is already a similar huge convention held annually in
      Germany, the Chaos Communication Congress.  It's quite well
      attended.
 
  marcoperaza - 1 hours ago
  Your suggestion is preposterous. Why would the US alert someone
  to a sealed indictment with an extradition request instead of
  just letting them voluntarily enter the US and then arresting
  them?The point of the law isn't to be nice to criminals, it's to
  catch them. He will have his due process here in the US. If he
  finds US criminal justice procedures unfair, perhaps he shouldn't
  have visited in the first place. But I think he'll find the
  protections for the accused are actually stronger in American
  than in British law, or than in just about any other legal system
  in the world.
 
  rhinoceraptor - 3 hours ago
  There is apparently going to be a DEF CON event in Beijing. But
  I'm not sure that will be any better in terms of not going to
  prison.
 
  us0r - 2 hours ago
  [0] is an interesting article about this.  It doesn't matter
  where it is, if they want you they will get you.  They have done
  this private plane on the runway thing a few times now.>
  Seleznev, the identity thief who is the son of the Duma deputy,
  chose to vacation at a five-star resort in the Indian Ocean
  archipelago nation of the Maldives in 2014 precisely because it
  has no extradition treaty with the United States.  U.S. officials
  got word and persuaded Maldives authorities to intercept Seleznev
  at the airport, where in a fast-paced operation he was bundled on
  a private plane to GuamPersonally - I think in this Hutchins case
  they just wanted a new hire.http://hamodia.com/2017/04/02/u-s
  -sweeping-russian-hackers-b...
 
  strictnein - 3 hours ago
  So many extradition experts visiting Hacker News these days.
 
  tptacek - 2 hours ago
  You think the FBI is going to interdict a computer criminal
  before they spend a week in Las Vegas associating with computer
  security professionals, any of whom could be criminal co-
  conspirators??That would be exceptionally nice of them, but also
  extremely poor investigative practice.I will say, though, as one
  of the many people in my field that is bone-tired of schlepping
  out to the worst place in the United States every damn year for
  these events, any other location in the world would be fine for
  me, and I endorse the actual suggestion you're making.? (Yes,
  obviously, I know virtually nobody who attends Defcon is a
  criminal).
 
    pw - 2 hours ago
    So I take it you're not a fan of Vegas?
 
      tptacek - 2 hours ago
      I have friends who live there and don't want to talk shit
      about the real city of Las Vegas where people actually live,
      but the part of Las Vegas that Black Hat and Defcon drag us
      to every year is probably the worst place in the country.
 
        dsacco - 1 hours ago
        Piggybacking on this to +1 the sentiment as another
        "security person": I literally do not go to Black Hat or
        Defcon because I don't like Vegas.It's a minor networking
        hit for me, but a total win otherwise (and I can make up by
        networking elsewhere - I cannot get time spent in Vegas
        back).
 
tryingagainbro - 3 hours ago
Is it me or the DOJ so the flight manifest and then went to a grand
jury to indict? He did what he did in 2014-2015 and the charges
were filed in July 2017, a couple of weeks before Defcon...
 
  thehardsphere - 3 hours ago
  If that is the case, it would not be remarkable. Prosecutors have
  a responsibility to only pursue cases that are likely to result
  in conviction. If extradition was considered impossible, then
  there would not be much point in pursing an indictment.
 
    saalweachter - 2 hours ago
    I honestly assume that there's a "list of foreigners we'd like
    to prosecute" that the US gov't checks visa applications
    against.
 
      tryingagainbro - 1 hours ago
      I totally agree, and I think it's in different categories,
      depending on the crime. This guy might have escaped unless he
      came to USA for example, as extradition might mean a lot of
      work, for another they will leave no stone un-turned.USA
      probably gets all the flight reservation data and take it
      from there. If you're a Russian criminal mastermind dying to
      spend some of that cash in Greek islands, they'll find out.
      (Better stay in Russia and pay Igor @ Russian Gov his share
      :) )
 
      21 - 1 hours ago
      What if it's like this: Hey FBI, this guy on your list wants
      a visa. Should we give him one?
 
  bsder - 1 hours ago
  AlphaBay takedown.  I suspect that they found something there.If
  that's the case, this is a pretty fast turnaround, actually.And,
  given the tiny amounts of money I have seen being quoted (Kronos
  banking trojan sold for $3000?  really?), they probably arrested
  him with the intention to get him to roll over on somebody much
  bigger.The question is whether they've shot themselves in the
  foot.  Did the FBI intend for this to be a quiet nab, but his
  celebrity from WannaCry hosed them up?  Given how quickly they
  seem to be moving, it's certainly possible.
 
  syshum - 3 hours ago
  The timing does not shock me, it is most likely they flipped
  someone when they took down Alpha Bay which was recently