FBI如何入侵公民网络20年?这是我们知道的一切(上)
via wired
外媒最近的头条都很惊悚,称如今政府有了更大的权力来攻击我们的计算机。正如美国国家安全局NSA堂而皇之的黑客行动,联邦调查局FBI的窃听行为也并不新鲜。事实上,FBI的窃听史比我们想象的还更加悠久。这段自由之下暗藏的黑客史,我们可以从二十年前讲起。
这些历史基本上是不可能具有文档记录的,因为这本来就是个秘密行动。搜查令批准的行动使用了含糊不清的表述,把真正发生的事情隐藏了起来,法庭上辩护律师也极少能够揭发出FBI利用监听的手段和工具来追查嫌疑人。关于这样的案例,雷锋网 (搜索“雷锋网”公众号关注) 此前报道过一个—— 《这位黑客被控73宗罪,却成了美国民权英雄》。 当然,世上也不会有关于政府多久黑一次民众的统计记录。虽然联邦和州法官必须每年向国会提交一份报告,汇报窃听请求的数量和性质,但也无需说明窃听的手段。因此,关于这些FBI或其他执法机构利用的窃听手法和工具,外界知道的少之又少。但是,风声是包不住的。
据《连线》杂志报道,通过对一些走漏风声的案件的窥探,我们可以了解到,近年来联邦调查局的计算机入侵技术是如何发展到无孔不入的。值得注意的是,如果政府用了“攻击(hacking)”这个词,就意味着这是未经授权的访问,政府的窃听行为也是要受到法律制裁的。所以他们更喜欢“远程访问搜索”和网络调查技术(NIT)这样的表述。但是,无论用的是什么名目,这样的行为越来越频繁。
1998:稍纵即逝但充满戏剧性的网络分析器Carnivore
FBI第一个计算机入侵工具是名为“食肉兽(Carnivore)”网络分析器,当时它被安装在网络主干道上运行——有着互联网服务供应商的许可。Carnivore本来是为了侦破"毒品走私"等组织犯罪而开发的。也就是将对犯罪嫌疑人实施的电话窃听,应用到因特网上,针对电子邮件进行监视。不过由于被检测对象除了特定的犯罪嫌疑人以外,还有可能扩大到一般市民的电子邮件当中去,因此受到媒体及隐私保护团体的强烈抗议。
FBI是在1998年开发Carnivore的,从那时起至2000年被公之于众,它已经被用于约25件案件的侦查中,但我们对它究竟安装在哪一个ISP的服务器上并不知晓(联邦监听法规定不能公布配合监听的通信公司以及ISP的名称)。
事实上,民众对于Carnivore的责难并非在于其监听行为。Carnivore的外观与普通的Windows个人电脑无异,只是其中安装了由FBI独立开发的窃听软件。根据联邦通信监听法,FBI在获得法院发出的许可令后,可将Carnivore安装到“因特网供应商(ISP)的服务器”中。在美国,自从1968年制订联邦通信监听法以来,最近每年都有1300件左右的电话窃听获得法院的许可,美国人对于通信监听本身的抵触情绪并不十分强烈。但是,人们抗议的是其监视的方法——Carnivore的原理是,将通过该服务器的所有电子邮件“全部吞进去”以后,再筛选出指定对象的特定犯罪嫌疑人的电子邮件,然后将其保存到自己的存贮设备中。最后FBI的调查人员阅读被筛选出来的电子邮件用来检举犯人。
这令人不寒而栗——电话窃听时只是监听犯罪嫌疑人所使用的特定的电话号码的通话内容,而Carnivore却要将“通过该ISP服务器的所有电子邮件全部监听之后,再筛选出所需要的内容”。 而且研究者发现,Carnivore缺乏不仅缺乏机制错误配置的预防方案,而且当配置被改变时,FBI甚至无法找出是谁更改的配置。
美国隐私保护团体Electronic Privacy Information Center(EPIC)等曾申请了美国信息公开法的FOIA(Freedom of Information Act,信息自由法案 )。他们向FBI要求,“公开Carnivore从所有电子邮件中筛选出犯罪嫌疑人电子邮件的程序”。他们认为只要未能确认这一程序,“就无法相信FBI的说法。说不定那些与犯罪无关的一般市民的电子邮件也会被筛选出来,供调查人员阅读”。
FBI则声称“如果公开程序,它就会暴露在犯罪组织面前,Carnivore将会变得毫无用处”,而拒绝公开程序。FOIA其实已经变得徒有虚名,即使申请公开信息也会让你半永久地等待,或者多数情况下为政府机构所忽视掉。因此,Carnivore的程序也很可能成为“永久之谜”。
2005年,FBI已经用商业过滤器来取代Carnivore,但仍使用其他Carnivore系列的定制工具。但是所有的这些网络监视工都具有一个同样的问题困扰:加密与解读。联邦调查局特工可以使用这些工具来获得所有他们想要的数据,但如果数据是加密的,他们也不能成功读取。
回车键击键记录器就是为了规避加密而设计的,它可以在监视目标键入的数据被加密前就获取数据。
1999:一个黑帮老大如何成就美联储的计算机监控系统?
1999年,科萨·诺斯特拉黑手党老大Nicodemo Salvatore Scarfo成为第一个被政府击键记录器瞄准的犯罪嫌疑人。Scarfo使用加密手段来保护他的通信,FBI使用击键记录器——这可能是一个商业工具——来捕捉Scarfo的PGP加密密钥。然而,与今天可以远程安装的击键记录器不同,当年FBI为了使用这个方式,调查员不得不两度潜入Scarfo的办公室来安装和移除这个记录器。
然而,FBI使用这样一个工具显然是太流氓了。不过,Scarfo接受了这个挑战。
Scarfo认为,联邦政府的运动需要一个窃听命令来获取他的通信内容,而不是只有一张“搜查令”。他的律师搜集了一些关于键盘记录器的信息,但政府坚持认为这项技术——已经被黑客广泛应用的设备——已经被列为国家安全机密。直到今天,这还是政府要干坏事时用的同一个理由。
2001:幻灯Magic Lantern
Scarfo案显然让联邦政府意识到,他们需要开发专属定制的入侵工具。2001年,媒体收到消息称其将研发一个叫“幻灯(Magic Lantern)”的设备——这个名字是FBI键盘记录器的代号,它可以远程安装。
除了键盘,这个新工具也记录网页浏览历史、用户名和密码,并且在一台机器上打开所有互联网接口。它第一次投入使用,大概是在2002年和2003年间。据《纽约时报》最新透露,FBI正在一个案子里使用一个工具来规避数据加密,虽然该工具未曾在法律文件里有所描述,但据称就是一个击键记录器。
2001年消息有所泄露后,政府部门还成功地保持使用该工具近十年。
2009:最后更多的信息被公之于众
20009年,《连接》通过《信息自由法》请求获得了一份政府文件的缓存后,公众终于对FBI的监听行为有了更全面的了解。文档记述了一个叫“CIPAV”监视工具——计算机和互联网协议地址匹配(Computer and Internet Protocol Address Verifier)——主要用来收集计算机的IP和MAC地址,安装在计算机上的开放接口和软件,以及注册信息、所有登录过的用户名和最后一次URL访问。所有数据都通过网络发送到FBI。然而,CIPAV显然没有与击键记录器一同使用,也不记录具体的通信内容。安全社区的大部分人士认为,CIPAV直到今天仍在使用中。
2007年,FBI在MySpace上成功追踪到了Timberline高中爆炸威胁的嫌疑人。然而根据电子前沿基金会最新披露的文件显示,FBI在破案的同时还触犯了法律。据悉,FBI使用的是恶意软件CIPAV。在该案件中,FBI探员将虚假网页链接通过Myspace发给嫌疑人。当嫌疑人打开链接之后,CIPAV就会自动上载到其电脑中。
当一个工具被证明具有无与伦比的价值后,那么必定有许多不必要的组织和机构也加入使用,这无疑增加了许多法律问题。当这样的工具使用得越多,辩护律师知道得越多,并提出合法的反对来否决犯人的证据。
到了2012年,FBI的入侵规模越来越大,详细叙述我们将在下篇推出。