FBI如何入侵公民網絡20年?這是我們知道的一切(上)
via wired
外媒最近的頭條都很驚悚,稱如今政府有了更大的權力來攻擊我們的計算機。正如美國國家安全局NSA堂而皇之的黑客行動,聯邦調查局FBI的竊聽行為也並不新鮮。事實上,FBI的竊聽史比我們想象的還更加悠久。這段自由之下暗藏的黑客史,我們可以從二十年前講起。
這些歷史基本上是不可能具有文檔記錄的,因為這本來就是個祕密行動。搜查令批准的行動使用了含糊不清的表述,把真正發生的事情隱藏了起來,法庭上辯護律師也極少能夠揭發出FBI利用監聽的手段和工具來追查嫌疑人。關於這樣的案例,雷鋒網(搜索“雷鋒網”公眾號關注)此前報道過一個——《這位黑客被控73宗罪,卻成了美國民權英雄》。當然,世上也不會有關於政府多久黑一次民眾的統計記錄。雖然聯邦和州法官必須每年向國會提交一份報告,彙報竊聽請求的數量和性質,但也無需説明竊聽的手段。因此,關於這些FBI或其他執法機構利用的竊聽手法和工具,外界知道的少之又少。但是,風聲是包不住的。
據《連線》雜誌報道,通過對一些走漏風聲的案件的窺探,我們可以了解到,近年來聯邦調查局的計算機入侵技術是如何發展到無孔不入的。值得注意的是,如果政府用了“攻擊(hacking)”這個詞,就意味着這是未經授權的訪問,政府的竊聽行為也是要受到法律制裁的。所以他們更喜歡“遠程訪問搜索”和網絡調查技術(NIT)這樣的表述。但是,無論用的是什麼名目,這樣的行為越來越頻繁。
1998:稍縱即逝但充滿戲劇性的網絡分析器Carnivore
FBI第一個計算機入侵工具是名為“食肉獸(Carnivore)”網絡分析器,當時它被安裝在網絡主幹道上運行——有着互聯網服務供應商的許可。Carnivore本來是為了偵破"毒品走私"等組織犯罪而開發的。也就是將對犯罪嫌疑人實施的電話竊聽,應用到因特網上,針對電子郵件進行監視。不過由於被檢測對象除了特定的犯罪嫌疑人以外,還有可能擴大到一般市民的電子郵件當中去,因此受到媒體及隱私保護團體的強烈抗議。
FBI是在1998年開發Carnivore的,從那時起至2000年被公之於眾,它已經被用於約25件案件的偵查中,但我們對它究竟安裝在哪一個ISP的服務器上並不知曉(聯邦監聽法規定不能公佈配合監聽的通信公司以及ISP的名稱)。
事實上,民眾對於Carnivore的責難並非在於其監聽行為。Carnivore的外觀與普通的Windows個人電腦無異,只是其中安裝了由FBI獨立開發的竊聽軟件。根據聯邦通信監聽法,FBI在獲得法院發出的許可令後,可將Carnivore安裝到“因特網供應商(ISP)的服務器”中。在美國,自從1968年制訂聯邦通信監聽法以來,最近每年都有1300件左右的電話竊聽獲得法院的許可,美國人對於通信監聽本身的抵觸情緒並不十分強烈。但是,人們抗議的是其監視的方法——Carnivore的原理是,將通過該服務器的所有電子郵件“全部吞進去”以後,再篩選出指定對象的特定犯罪嫌疑人的電子郵件,然後將其保存到自己的存貯設備中。最後FBI的調查人員閲讀被篩選出來的電子郵件用來檢舉犯人。
這令人不寒而慄——電話竊聽時只是監聽犯罪嫌疑人所使用的特定的電話號碼的通話內容,而Carnivore卻要將“通過該ISP服務器的所有電子郵件全部監聽之後,再篩選出所需要的內容”。 而且研究者發現,Carnivore缺乏不僅缺乏機制錯誤配置的預防方案,而且當配置被改變時,FBI甚至無法找出是誰更改的配置。
美國隱私保護團體Electronic Privacy Information Center(EPIC)等曾申請了美國信息公開法的FOIA(Freedom of Information Act,信息自由法案 )。他們向FBI要求,“公開Carnivore從所有電子郵件中篩選出犯罪嫌疑人電子郵件的程序”。他們認為只要未能確認這一程序,“就無法相信FBI的説法。説不定那些與犯罪無關的一般市民的電子郵件也會被篩選出來,供調查人員閲讀”。
FBI則聲稱“如果公開程序,它就會暴露在犯罪組織面前,Carnivore將會變得毫無用處”,而拒絕公開程序。FOIA其實已經變得徒有虛名,即使申請公開信息也會讓你半永久地等待,或者多數情況下為政府機構所忽視掉。因此,Carnivore的程序也很可能成為“永久之謎”。
2005年,FBI已經用商業過濾器來取代Carnivore,但仍使用其他Carnivore系列的定製工具。但是所有的這些網絡監視工都具有一個同樣的問題困擾:加密與解讀。聯邦調查局特工可以使用這些工具來獲得所有他們想要的數據,但如果數據是加密的,他們也不能成功讀取。
回車鍵擊鍵記錄器就是為了規避加密而設計的,它可以在監視目標鍵入的數據被加密前就獲取數據。
1999:一個黑幫老大如何成就美聯儲的計算機監控系統?
1999年,科薩·諾斯特拉黑手黨老大Nicodemo Salvatore Scarfo成為第一個被政府擊鍵記錄器瞄準的犯罪嫌疑人。Scarfo使用加密手段來保護他的通信,FBI使用擊鍵記錄器——這可能是一個商業工具——來捕捉Scarfo的PGP加密密鑰。然而,與今天可以遠程安裝的擊鍵記錄器不同,當年FBI為了使用這個方式,調查員不得不兩度潛入Scarfo的辦公室來安裝和移除這個記錄器。
然而,FBI使用這樣一個工具顯然是太流氓了。不過,Scarfo接受了這個挑戰。
Scarfo認為,聯邦政府的運動需要一個竊聽命令來獲取他的通信內容,而不是隻有一張“搜查令”。他的律師蒐集了一些關於鍵盤記錄器的信息,但政府堅持認為這項技術——已經被黑客廣泛應用的設備——已經被列為國家安全機密。直到今天,這還是政府要幹壞事時用的同一個理由。
2001:幻燈Magic Lantern
Scarfo案顯然讓聯邦政府意識到,他們需要開發專屬定製的入侵工具。2001年,媒體收到消息稱其將研發一個叫“幻燈(Magic Lantern)”的設備——這個名字是FBI鍵盤記錄器的代號,它可以遠程安裝。
除了鍵盤,這個新工具也記錄網頁瀏覽歷史、用户名和密碼,並且在一台機器上打開所有互聯網接口。它第一次投入使用,大概是在2002年和2003年間。據《紐約時報》最新透露,FBI正在一個案子裏使用一個工具來規避數據加密,雖然該工具未曾在法律文件裏有所描述,但據稱就是一個擊鍵記錄器。
2001年消息有所泄露後,政府部門還成功地保持使用該工具近十年。
2009:最後更多的信息被公之於眾
20009年,《連接》通過《信息自由法》請求獲得了一份政府文件的緩存後,公眾終於對FBI的監聽行為有了更全面的了解。文檔記述了一個叫“CIPAV”監視工具——計算機和互聯網協議地址匹配(Computer and Internet Protocol Address Verifier)——主要用來收集計算機的IP和MAC地址,安裝在計算機上的開放接口和軟件,以及註冊信息、所有登錄過的用户名和最後一次URL訪問。所有數據都通過網絡發送到FBI。然而,CIPAV顯然沒有與擊鍵記錄器一同使用,也不記錄具體的通信內容。安全社區的大部分人士認為,CIPAV直到今天仍在使用中。
2007年,FBI在MySpace上成功追蹤到了Timberline高中爆炸威脅的嫌疑人。然而根據電子前沿基金會最新披露的文件顯示,FBI在破案的同時還觸犯了法律。據悉,FBI使用的是惡意軟件CIPAV。在該案件中,FBI探員將虛假網頁鏈接通過Myspace發給嫌疑人。當嫌疑人打開鏈接之後,CIPAV就會自動上載到其電腦中。
當一個工具被證明具有無與倫比的價值後,那麼必定有許多不必要的組織和機構也加入使用,這無疑增加了許多法律問題。當這樣的工具使用得越多,辯護律師知道得越多,並提出合法的反對來否決犯人的證據。
到了2012年,FBI的入侵規模越來越大,詳細敍述我們將在下篇推出。
資料來源:雷鋒網
作者/編輯:曉樺