0
| 本文作者: 溫曉樺 | 2016-05-17 15:41 |
FBI如何入侵公民網(wǎng)絡(luò)20年?這是我們知道的一切(上)
每次監(jiān)聽一個目標太耗時,而一宗案件的嫌犯往往有好多個。因此到了2012年,政府借用了犯罪黑客在貿(mào)易中最喜歡用的技巧:偷渡式下載,也叫水坑式攻擊。
所謂“水坑式攻擊”,是指黑客通過分析被攻擊者的網(wǎng)絡(luò)活動規(guī)律,尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點,先攻下該網(wǎng)站并植入攻擊代碼,等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節(jié):捕食者埋伏在水里或者水坑周圍,等其他動物前來喝水時發(fā)起攻擊獵取食物。水坑攻擊已經(jīng)成為APT攻擊的一種常用手段。
FBI在犯罪嫌疑人聚集的計算機上嵌入間諜軟件,讓所有訪問者的計算機都受到感染。這種方式成為政府最喜歡的一個手段,用來揪出Tor路由下匿名訪問兒童色情網(wǎng)站的游客。
FBI最早是在2012年開始利用這項技術(shù)。2012年,F(xiàn)BI展開了名為Operation Torpedo的行動,目標是訪問三家基于Tor隱藏服務(wù)的暗網(wǎng)上的兒童色情網(wǎng)站用戶。Operation Torpedo行動中,F(xiàn)BI使用的工具是現(xiàn)已停止開發(fā)的 Metasploit Decloaking Engine。Decloaking Engine使用了五種不同的方法破解匿名系統(tǒng),其中一種方法是與終端用戶建立直接連接的Adobe Flash應(yīng)用,繞過Tor的保護暴露了用戶的真實IP地址。
2013年,F(xiàn)BI再次使用了這個手段擒獲Freedom Hosting的創(chuàng)始人。Freedom Hosting是一家提供基于Tor匿名網(wǎng)絡(luò)托管服務(wù)的愛爾蘭公司,其客戶包括兒童色情網(wǎng)站。
據(jù)悉,為了打擊“戀童癖”,F(xiàn)BI滲透入半數(shù)Tor洋蔥網(wǎng)站,其中包括匿名電子郵件服務(wù)商TORmail。
FBI在網(wǎng)站上植入了惡意JavaScript腳本,利用0day漏洞注入到Tor Browser(捆綁Tor的修改版Firefox瀏覽器)中。Tor Browser此前默認關(guān)閉了JS功能,但為了提高可用性最近又啟用了JavaScript,結(jié)果讓FBI有可乘之機。利用該0day漏洞,F(xiàn)BI可以獲得用戶的瀏覽器指紋,甚至可能包括IP地址。任何人在8月2日之后訪問過Freedom Hosting托管網(wǎng)站都可能成為潛在的受害者。所以,不知道有多少無辜的游客都可能被當成犯罪嫌疑人受到攻擊,然而,政府從未透露過其中的影響。
更極端的是,去年FBI曾運營了一家互聯(lián)網(wǎng)最大的兒童色情網(wǎng)站,通過控制網(wǎng)站的同時允許用戶從位于華盛頓郊區(qū)的政府網(wǎng)站下載數(shù)千張非法圖像和視頻,從而將能夠破壞那些網(wǎng)絡(luò)安全措施的軟件植入網(wǎng)站,然后確認其中數(shù)百名用戶的身份。這場行動中,大約有4000臺機器被感染,1300個IP被記錄的用戶中,有137名被起訴。
對于政府的監(jiān)聽行為,背后的未知領(lǐng)域仍然遠遠大于我們現(xiàn)在所知道的一切。比如,政府到底拿這些工具做些什么呢?只是收集一下IP或者計算機的注冊信息?還是做更多侵入性的事情——比如激活目標計算機的攝像頭并拍下嫌疑人的日常?他們?nèi)绾芜M行什么測試,來保證這些工具不會對目標計算機造成其他傷害?
另外,F(xiàn)BI的調(diào)查人員總是能夠獲得法院批準使用這些工具的搜查令?如果是,這些間諜工具在完成搜查令的行動后依然保留在系統(tǒng)中?還是需要執(zhí)法機關(guān)在其完成任務(wù)后對其頒布消除令?政府利用零日漏洞的頻率如何?他們持有這些軟件收集而來的信息長達多少時間?這些漏洞他們是會一直利用還是提出修補?去年的ACM計算機與通信安全會議上,有論文表示,NSA一直在利用“常用的大素數(shù)只有那么幾個”的漏洞,而針對證書分解的量子計算的進步,也有望破解目前基于迪菲-赫爾曼協(xié)議最廣泛使用的公開密鑰加密算法RSA。
司法部一直堅持認為其黑客行動是合法的,因為有著搜查證和法院監(jiān)督。但即使這些行動是在監(jiān)督下進行的,它仍然會帶來嚴重的問題。2007年少年發(fā)送炸彈威脅案就是一個例子。2007年5月,萊西市瑟斯頓縣的密林中學(xué)屢次收到炸彈威脅,警察被迫疏散校園兩次之后,通知FBI來處理。特工收到關(guān)于疑犯的舉報信息之后,從美國檢察官辦公室獲取搜查令,允許他們發(fā)送一封“通信”至疑犯的計算機,以此追蹤其行蹤。為了感染這名青少年嫌犯的計算機,F(xiàn)BI被爆利用美聯(lián)社的名義以及模仿《西雅圖時報》網(wǎng)站,制造虛假的新聞網(wǎng)頁并植入惡意軟件“釣魚”,用來追查這名發(fā)出炸彈恐嚇的嫌犯。
FBI隨后以私人信息的方式,將假網(wǎng)頁發(fā)到疑犯的MySpace帳戶。疑犯點擊了鏈接之后,當中隱藏“計算機及IP地址確認”(CIPAV)間諜軟件的木馬就會啟動,允許FBI獲取疑犯所處位置、IP地址等信息。最終導(dǎo)致一名15歲的學(xué)生于7月14日被捕。
FBI沒有披露其保證證詞,美聯(lián)社指責(zé)FBI侵犯其名譽權(quán),并將記者及世界各地的采編人員置于危險之中。這是這些黑客行動帶來的二次傷害。又比如最近的PlayPen案中,不僅許多無辜訪問者的計算機被感染,那些允許下載的兒童照片也將給這些兒童帶來進一步的傷害。
在線下世界,執(zhí)法機關(guān)偽裝自己的身份秘密參與犯罪團伙的行動的問題屢見不鮮。但因為(在線調(diào)查)的方式變得越來越復(fù)雜,當前的問題更加緊迫。當FBI決定化身為現(xiàn)實中某個角色時,它應(yīng)該受到怎樣的監(jiān)管呢?這是個問題。
相關(guān)閱讀:
FBI如何入侵公民網(wǎng)絡(luò)20年?這是我們知道的一切(上)
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
