0
每次監聽一個目標太耗時,而一宗案件的嫌犯往往有好多個。因此到了2012年,政府借用了犯罪黑客在貿易中最喜歡用的技巧:偷渡式下載,也叫水坑式攻擊。
所謂“水坑式攻擊”,是指黑客通過分析被攻擊者的網絡活動規律,尋找被攻擊者經常訪問的網站的弱點,先攻下該網站并植入攻擊代碼,等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節:捕食者埋伏在水里或者水坑周圍,等其他動物前來喝水時發起攻擊獵取食物。水坑攻擊已經成為APT攻擊的一種常用手段。
FBI在犯罪嫌疑人聚集的計算機上嵌入間諜軟件,讓所有訪問者的計算機都受到感染。這種方式成為政府最喜歡的一個手段,用來揪出Tor路由下匿名訪問兒童色情網站的游客。
FBI最早是在2012年開始利用這項技術。2012年,FBI展開了名為Operation Torpedo的行動,目標是訪問三家基于Tor隱藏服務的暗網上的兒童色情網站用戶。Operation Torpedo行動中,FBI使用的工具是現已停止開發的 Metasploit Decloaking Engine。Decloaking Engine使用了五種不同的方法破解匿名系統,其中一種方法是與終端用戶建立直接連接的Adobe Flash應用,繞過Tor的保護暴露了用戶的真實IP地址。
2013年,FBI再次使用了這個手段擒獲Freedom Hosting的創始人。Freedom Hosting是一家提供基于Tor匿名網絡托管服務的愛爾蘭公司,其客戶包括兒童色情網站。
據悉,為了打擊“戀童癖”,FBI滲透入半數Tor洋蔥網站,其中包括匿名電子郵件服務商TORmail。
FBI在網站上植入了惡意JavaScript腳本,利用0day漏洞注入到Tor Browser(捆綁Tor的修改版Firefox瀏覽器)中。Tor Browser此前默認關閉了JS功能,但為了提高可用性最近又啟用了JavaScript,結果讓FBI有可乘之機。利用該0day漏洞,FBI可以獲得用戶的瀏覽器指紋,甚至可能包括IP地址。任何人在8月2日之后訪問過Freedom Hosting托管網站都可能成為潛在的受害者。所以,不知道有多少無辜的游客都可能被當成犯罪嫌疑人受到攻擊,然而,政府從未透露過其中的影響。
更極端的是,去年FBI曾運營了一家互聯網最大的兒童色情網站,通過控制網站的同時允許用戶從位于華盛頓郊區的政府網站下載數千張非法圖像和視頻,從而將能夠破壞那些網絡安全措施的軟件植入網站,然后確認其中數百名用戶的身份。這場行動中,大約有4000臺機器被感染,1300個IP被記錄的用戶中,有137名被起訴。
對于政府的監聽行為,背后的未知領域仍然遠遠大于我們現在所知道的一切。比如,政府到底拿這些工具做些什么呢?只是收集一下IP或者計算機的注冊信息?還是做更多侵入性的事情——比如激活目標計算機的攝像頭并拍下嫌疑人的日常?他們如何進行什么測試,來保證這些工具不會對目標計算機造成其他傷害?
另外,FBI的調查人員總是能夠獲得法院批準使用這些工具的搜查令?如果是,這些間諜工具在完成搜查令的行動后依然保留在系統中?還是需要執法機關在其完成任務后對其頒布消除令?政府利用零日漏洞的頻率如何?他們持有這些軟件收集而來的信息長達多少時間?這些漏洞他們是會一直利用還是提出修補?去年的ACM計算機與通信安全會議上,有論文表示,NSA一直在利用“常用的大素數只有那么幾個”的漏洞,而針對證書分解的量子計算的進步,也有望破解目前基于迪菲-赫爾曼協議最廣泛使用的公開密鑰加密算法RSA。
司法部一直堅持認為其黑客行動是合法的,因為有著搜查證和法院監督。但即使這些行動是在監督下進行的,它仍然會帶來嚴重的問題。2007年少年發送炸彈威脅案就是一個例子。2007年5月,萊西市瑟斯頓縣的密林中學屢次收到炸彈威脅,警察被迫疏散校園兩次之后,通知FBI來處理。特工收到關于疑犯的舉報信息之后,從美國檢察官辦公室獲取搜查令,允許他們發送一封“通信”至疑犯的計算機,以此追蹤其行蹤。為了感染這名青少年嫌犯的計算機,FBI被爆利用美聯社的名義以及模仿《西雅圖時報》網站,制造虛假的新聞網頁并植入惡意軟件“釣魚”,用來追查這名發出炸彈恐嚇的嫌犯。
FBI隨后以私人信息的方式,將假網頁發到疑犯的MySpace帳戶。疑犯點擊了鏈接之后,當中隱藏“計算機及IP地址確認”(CIPAV)間諜軟件的木馬就會啟動,允許FBI獲取疑犯所處位置、IP地址等信息。最終導致一名15歲的學生于7月14日被捕。
FBI沒有披露其保證證詞,美聯社指責FBI侵犯其名譽權,并將記者及世界各地的采編人員置于危險之中。這是這些黑客行動帶來的二次傷害。又比如最近的PlayPen案中,不僅許多無辜訪問者的計算機被感染,那些允許下載的兒童照片也將給這些兒童帶來進一步的傷害。
在線下世界,執法機關偽裝自己的身份秘密參與犯罪團伙的行動的問題屢見不鮮。但因為(在線調查)的方式變得越來越復雜,當前的問題更加緊迫。當FBI決定化身為現實中某個角色時,它應該受到怎樣的監管呢?這是個問題。
相關閱讀:
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
