前一陣,著名的《41號修訂案(Rule 41)》可謂備受美國人民指責,因為這項法案極大擴展了FBI的權(quán)力范圍,包括FBI可以監(jiān)控追蹤誰,以及如何追蹤。但另一方面,全球人民對此早就見怪不怪了,因為NSA棱鏡門事件已經(jīng)讓人震驚過一次了。曾經(jīng)滄海難為水啊,F(xiàn)BI的那點事還能嚇到誰呢?
但你可能不知道,F(xiàn)BI監(jiān)控美國人民也已經(jīng)有老長的歷史了,至少可以追溯到20年前。這些歷史存檔當然不會讓我們這些普通人看到,否則怎么叫機密呢?就連明面上出現(xiàn)的搜查令,在授權(quán)的言辭上都含糊不清,實際情況如何自然可見一斑。
實際上,美國聯(lián)邦和州法官每年是需要向國會提交一份報告的。這份報告就是他們這一年處理的竊聽請求數(shù)據(jù)。但這份報告并不具體,比如其中不需要提供用到的竊聽或黑客工具。于是美國執(zhí)法機構(gòu)究竟用什么工具去竊聽就成迷了。不過偶爾,在某些新聞和庭審中,還是會有只字片語可以捕捉。
從這樣的只字片語中,我們大致能夠?qū)BI的竊聽技術(shù)進行管中一窺。在我們列舉這些case之前,值得一提的是,F(xiàn)BI自己很不喜歡用“hacking”這個詞,因為hacking其實也就意味著未經(jīng)授權(quán)的訪問嘛,F(xiàn)BI更希望體現(xiàn)行動的合法性,所以他們的用詞比較多的出現(xiàn)了“遠程訪問搜索(remote access searches)”或者“網(wǎng)絡(luò)調(diào)查技術(shù)(Network Investigative Techniques)”。這種“合法性”也是FBI始終在做這些事的一層窗戶紙,總有人試圖捅破,F(xiàn)BI自然不會答應(yīng)。
1998年:食肉動物的短暫生命
FBI首個廣為人知的計算機竊聽工具,是個流量嗅探器(或者叫sniffer),名為Carnivore(食肉動物)。這個嗅探器當時就安裝在骨干網(wǎng)絡(luò)上,ISP運營商也是知道此事的。Carnivore能夠從目標設(shè)備獲取通訊內(nèi)容和/或元數(shù)據(jù)(或者往目標設(shè)備傳輸數(shù)據(jù))。據(jù)說從1998年開始,F(xiàn)BI共使用該工具25次。
Carnivore之所以會被昭告天下,原因其實是2000年的時候Earthlink公司拒絕FBI將之安裝到它們網(wǎng)絡(luò)中。當時Earthlink公司認為,F(xiàn)BI會用這款工具毫無節(jié)制地竊聽所有用戶的通訊過程。然后雙方就此事上了法庭,還舉行了國會聽證會,爭論一度進入白熱化——就跟今天蘋果和FBI的對戰(zhàn)差不多的感覺。
FBI堅稱,他們所用的過濾器(filter)只會收集某些目標通訊數(shù)據(jù),別的東西都不會去監(jiān)聽。不過國外隨后就有針對Carnivore工具的獨立評測報告出現(xiàn),里面提到這套系統(tǒng)如果設(shè)置不正確就“能夠廣撒網(wǎng)(broad sweeps)”。另外Carnivore本身無法阻止任何人進行這樣的設(shè)置,在設(shè)置改變之后也沒法看到是誰進行了設(shè)置。
時代在發(fā)展,到2005年,F(xiàn)BI就撤下了Carnivore,換上了新的商業(yè)過濾器產(chǎn)品。不過據(jù)說FBI彼時仍在使用Carnivore家族的其他定制化數(shù)據(jù)收集工具。
實際上,所有這些網(wǎng)絡(luò)監(jiān)聽工具都存在一個障礙:即碰上加密數(shù)據(jù)的時候,它們就無能為力了,這應(yīng)該也是現(xiàn)如今大量執(zhí)法機構(gòu)面臨的一個問題。雖然還是可針對監(jiān)聽目標截獲其鍵盤輸入,也就是所謂的keylogger密鑰記錄工具。
1999年:黑幫老大促成竊聽技術(shù)發(fā)展
美國黑手黨有個犯罪組織名叫Cosa Nostra,當年他們的老大是Nicodemo Savatore Scarfo。1999年,Scarfo應(yīng)該就是第一個被政府keylogger密鑰記錄工具鎖定的人了。當時Scarfo為了安全,一直堅持進行加密通訊。FBI就對他用上了keylogger——所用的密鑰記錄工具應(yīng)該是個商用工具,其作用就是獲取Scarfo的PGP加密密鑰。
黑幫老大Nicodemo Savatore Scafro
FBI當年用的工具和現(xiàn)如今的密鑰記錄工具還不一樣:現(xiàn)在的keylogger可以遠程安裝,而那個時候FBI需要親自派人前往Scarfo的辦公室,而且前后偷偷去了兩次才搞定的。因為Scarfo用的是撥號網(wǎng)絡(luò)連接,F(xiàn)BI沒法遠程進行安裝過程。
最近,麻省理工學(xué)院的自然安全研究員Ryan Shapiro還獲取到了一份2002年的政府通訊備忘錄。其中就提到,美國司法部對于旗下FBI的這次行動非常不爽,說FBI“在某個根本就不值得的目標身上,采用如此機密的技術(shù)”(Scarfo淚奔)…
此后,Scarfo表示FBI的行為是不道德的,至少要有正規(guī)的程序(原話是說要有個竊聽令——可能是類似搜查令一類的東西)才能截獲其通訊內(nèi)容,光有搜查令是不行的。Scarfo的辯護律師就FBI所用的keylogger搜集了一些證據(jù),F(xiàn)BI則堅持表示這項機密技術(shù)僅應(yīng)用于國家安全領(lǐng)域——當然現(xiàn)如今次技術(shù)已經(jīng)比較廣泛地被黑客們利用了。
很明顯,美國政府機關(guān)在從事類似行為的時候,直到現(xiàn)在都還在用這一借口:為了國家安全。20年前人家就已經(jīng)在這么說了!
2001年:司法部第一次批準這種類型的竊聽
在Scarfo這個事件中,政府通訊備忘錄中提到“如此機密的技術(shù)”,但外媒認為,此事中FBI所用的keylogger只是個商業(yè)化工具?;蛟S美國司法部的意思是,我們用的工具原本是個機密,現(xiàn)在卻敗露了!大概是因為這個原因,F(xiàn)BI充分認識到應(yīng)該開發(fā)自己專屬的竊聽工具。
所以2001年的時候,外媒就聽說了Magic Lantern(幻燈?)——這是FBI開發(fā)的最新keylogger的代號,相比先前針對Scarfo的那款工具就強大多了,因為這東西已經(jīng)可以遠程安裝了。
除了能夠記錄鍵盤敲擊過程,Magic Lantern還能記錄網(wǎng)頁瀏覽歷史、用戶名、密碼,還能列出目標設(shè)備上所有面向互聯(lián)網(wǎng)開放的端口。其首次利用,應(yīng)該是在Operation Trail Mix行動中進行的。Operation Trail Mix行動實際上是針對一家動物權(quán)利組織的一次調(diào)查,此事就發(fā)生在2002、2003年期間。
紐約時報最近揭露說,在這件案子里,F(xiàn)BI就是利用Magic Lantern來搞定加密數(shù)據(jù)的。雖然在法庭文檔中并沒有提到該工具,但國外媒體都認為這就是個keylogger。今年Shapiro據(jù)說獲取到一份2005年的郵件,里面就有提到Magic Lantern:
“這是司法部第一次批準這種類型的竊聽。”
自從Magic Lantern被媒體曝出之后,F(xiàn)BI在隨后的十幾年時間里,開始特別注重所用竊聽工具技術(shù)的保密工作。
2009年:更多信息流出
這一年,公眾對于FBI竊聽行為又有了更為深入的認識。當時國外《連線(WIRED)》雜志借由某個《信息自由法》相關(guān)請求,獲取到一些政府文件的緩存信息。這些文件中提到了一款名為CIPAV的情報工具——CIPAV是“計算機與互聯(lián)網(wǎng)協(xié)議驗證”的首字母縮寫。CIPAV可以用來收集計算機的IP和MAC地址,還有所有開放端口列表,已經(jīng)安裝的軟件,注冊信息,用戶登錄用戶名,最后訪問的網(wǎng)址。這些數(shù)據(jù)可以通過互聯(lián)網(wǎng)傳回到FBI。
顯然CIPAV已經(jīng)不是個keylogger了,而且并未搜集通訊信息。安全領(lǐng)域內(nèi)的很多人認為,CIPAV應(yīng)該也并不新鮮,至少和Magic Lantern的存在時間是差不多的,而且到今天仍在使用?;蛘哒fCIPAV其實是另一個版本的Magic Lantern,只不過就是去掉了keylogger功能。
CIPAV立下的功勞似乎還不少:2004年的時候,有個專業(yè)從事勒索的犯罪分子,專門剪電話線和網(wǎng)線,以此勒索錢財,這個人就是借由CIPAV識別抓獲的。2007年,華盛頓有個青少年給一所高校發(fā)出炸彈威脅郵件,也是用CIPAV揭示此人身份的。另外還有針對恐怖分子、國外間諜行動的黑客調(diào)查等等,總之其主要用途就是查詢目標IP——而且是那些用匿名方式企圖隱藏自己身份的目標。
2002年揭露的一份PDF文檔中,一名聯(lián)邦檢察官似乎就提及了CIPAV被大量使用。他提到:“雖然這項技術(shù)在某些情況下的確非常有價值。但在我們看來,某些機構(gòu)用這項技術(shù)卻毫無必要,無謂增加將問題合法化的難度,而且又沒有帶來足夠的好處。”這話的意思也就是,CIPAV用得越多,那些辯護律師就能收集到越多有關(guān)CIPAV的信息,以進一步質(zhì)疑其合法性問題。
2012年:單體攻擊升級為全體攻擊
一次就竊聽一個人,這樣的效率實在是太低下了。萬一是個犯罪團伙,涉及到很多人呢?所以2010年的時候,F(xiàn)BI就借用了黑客們慣用的一招:水坑攻擊。找一個犯罪嫌疑人喜歡聚集的網(wǎng)站,植入間諜程序,這樣一來,所有訪問者的計算機都會被感染,單體攻擊全面升級為全體攻擊。
后來FBI用這種方法追蹤兒童情色網(wǎng)站的訪客,效果還是相當顯著的:2012年內(nèi)布拉斯加州的Operation Torpedo行動就用上了水坑攻擊。這次行動主要針對的是三家兒童色情網(wǎng)站的匿名訪客。所以FBI對水坑攻擊的確也是情有獨鐘,即便對方用的是洋蔥匿名瀏覽器,能夠隱藏真實IP,也一樣可以搞定。
一般過程是這樣的,F(xiàn)BI首先獲得網(wǎng)站服務(wù)器的控制權(quán),然后在某個網(wǎng)站頁面插入間諜程序。比如2013年,有個名叫Freedom Hosting的匿名Web主機服務(wù)提供商,其客戶就有專做兒童色情站點的。那年8月份,F(xiàn)BI控制了Freedom Hosting服務(wù)器。此后,這家主機提供商旗下的所有網(wǎng)站都顯示“維護中”頁面。實際上這個頁面就隱藏了Javascript代碼,這些代碼利用Firefox安全漏洞,可致被感染的計算機暴露真實IP。
不過2013年的這起事件也暴露了FBI行事的風格:Freedom Hosting這家服務(wù)器供應(yīng)商,旗下網(wǎng)站也不光只有做兒童色情的,還有不少是合法的企業(yè)站點。FBI的水坑攻擊,自然也讓這些企業(yè)站點的訪客被感染了。FBI事后并未揭露具體的數(shù)據(jù),所以究竟有多少人被“攻擊”,也就不得而知了。
去年,F(xiàn)BI和合作伙伴還利用類似的方法,針對Playpen兒童色情網(wǎng)站的會員,超過4000臺設(shè)備發(fā)起攻擊。據(jù)說,這次行動FBI獲取到大約1300名Playpen訪客的真實IP地址,最終137人被起訴。
法律問題一大堆
我們上面揭露的這些其實只是冰山一角,畢竟FBI那么注重行動的保密性,能夠被媒體曝光的也實在有限。實際情況究竟如何,大概除了斯諾登這種在有關(guān)部門呆過的,普羅大眾一輩子都搞不清楚。比如政府開發(fā)這些工具究竟是做什么的,是否真的只是獲取IP地址之類的信息,還是順便激活你的攝像頭,還在神不知鬼不覺的情況下給你拍幾張照片?
諸如此類的問題還有一堆,比如這些工具是否會誤傷到一般人。隨《41號修訂案》的出現(xiàn),F(xiàn)BI恐怕更不用關(guān)心這方面的問題。還有,進行調(diào)查的時候,F(xiàn)BI是否要獲得搜查令之后才能使用這些工具,申請此類搜查令的程序如何;政府是否常年利用0day漏洞,而且不通知軟件開發(fā)商漏洞存在性。
美國司法部長期以來都說自己的這些行為是完全合法的??蓪嶋H情況沒有這么簡單,比如我們上面提到的2007年一名青少年發(fā)出炸彈威脅郵件一事:FBI為了讓這名青少年的計算機感染惡意程序,給他發(fā)了個惡意鏈接,騙他往他的MySpace賬戶個人聊天室中下載間諜工具。鏈接的欺騙性很強,偽裝成是美聯(lián)社有關(guān)此次炸彈威脅的報道。
后面這些事情當然不是FBI自己說的了,電子前線基金會(EFF)當時獲取到FBI的內(nèi)部郵件,才揭露了此事。然后,美聯(lián)社對FBI提起訴訟,說FBI破壞美聯(lián)社的聲譽,而且還讓美聯(lián)社全球范圍內(nèi)的的記者編輯們身處危險之中——讓很多人誤以為這起事件是美聯(lián)社和政府合謀干下的。美聯(lián)社表示:
“FBI的本意可能只是將此作為針對某一個人的陷阱。但這件事隨后可能會被無數(shù)人在社交網(wǎng)絡(luò)上轉(zhuǎn)發(fā),里面都會提到我們的名字,可我們跟這件事根本就沒有關(guān)系。”
這個問題又再度演化為,執(zhí)法機構(gòu)為了執(zhí)法,究竟是否可以、或者可以執(zhí)行多大程度的違法行為。有關(guān)這個問題的探討是早已有之了。加州大學(xué)戴維斯分校的法律教授Elizabeth Joh說:
“我們在這方面的監(jiān)管很少。比如FBI要假裝成真人,或者某個機構(gòu)——尤其是媒體——而且還是以這種非法的方式進行的,那么應(yīng)該采用何種監(jiān)督方式進行監(jiān)督?是不是靠他們自我監(jiān)督就行?這些都是問題。”
不過既然這些問題原本就不準備昭告天下,那么又談何法律問題呢?
* 本文譯者:歐陽洋蔥,參考來源WIRED ,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)