20年來的管中一窺:FBI究竟是如何竊聽你的計算機的?

前一陣，著名的《41號修訂案(Rule 41)》可謂備受美國人民指責，因為這項法案極大擴展了FBI的權力範圍，包括FBI可以監控追蹤誰，以及如何追蹤。

但另一方面，全球人民對此早就見怪不怪了，因為NSA稜鏡門事件已經讓人震驚過一次了。曾經滄海難為水啊，FBI的那點事還能嚇到誰呢?

　　但你可能不知道，FBI監控美國人民也已經有老長的歷史了，至少可以追溯到20年前。這些歷史存檔當然不會讓我們這些普通人看到，否則怎麼叫機密呢?就連明面上出現的搜查令，在授權的言辭上都含糊不清，實際情況如何自然可見一斑。

　　

　　實際上，美國聯邦和州法官每年是需要向國會提交一份報告的。這份報告就是他們這一年處理的竊聽請求數據。但這份報告並不具體，比如其中不需要提供用到的竊聽或黑客工具。於是美國執法機構究竟用什麼工具去竊聽就成迷了。不過偶爾，在某些新聞和庭審中，還是會有隻字片語可以捕捉。

　　從這樣的隻字片語中，我們大致能夠對FBI的竊聽技術進行管中一窺。在我們列舉這些case之前，值得一提的是，FBI自己很不喜歡用「hacking」這個詞，因為hacking其實也就意味著未經授權的訪問嘛，FBI更希望體現行動的合法性，所以他們的用詞比較多的出現了「遠程訪問搜索(remote access searches)」或者「網絡調查技術(Network Investigative Techniques)」。這種「合法性」也是FBI始終在做這些事的一層窗戶紙，總有人試圖捅破，FBI自然不會答應。

　　1998年：食肉動物的短暫生命

　　FBI首個廣為人知的計算機竊聽工具，是個流量嗅探器(或者叫sniffer)，名為Carnivore(食肉動物)。這個嗅探器當時就安裝在骨幹網絡上，ISP運營商也是知道此事的。Carnivore能夠從目標設備獲取通訊內容和/或元數據(或者往目標設備傳輸數據)。據說從1998年開始，FBI共使用該工具25次。

　　Carnivore之所以會被昭告天下，原因其實是2000年的時候Earthlink公司拒絕FBI將之安裝到它們網絡中。當時Earthlink公司認為，FBI會用這款工具毫無節制地竊聽所有用戶的通訊過程。然後雙方就此事上了法庭，還舉行了國會聽證會，爭論一度進入白熱化——就跟今天蘋果和FBI的對戰差不多的感覺。

　　

　　FBI堅稱，他們所用的過濾器(filter)只會收集某些目標通訊數據，別的東西都不會去監聽。不過國外隨後就有針對Carnivore工具的獨立評測報告出現，裡面提到這套系統如果設置不正確就「能夠廣撒網(broad sweeps)」。另外Carnivore本身無法阻止任何人進行這樣的設置，在設置改變之後也沒法看到是誰進行了設置。

　　時代在發展，到2005年，FBI就撤下了Carnivore，換上了新的商業過濾器產品。不過據說FBI彼時仍在使用Carnivore家族的其他定製化數據收集工具。

　　實際上，所有這些網絡監聽工具都存在一個障礙：即碰上加密數據的時候，它們就無能為力了，這應該也是現如今大量執法機構面臨的一個問題。雖然還是可針對監聽目標截獲其鍵盤輸入，也就是所謂的keylogger密鑰記錄工具。

　　1999年：黑幫老大促成竊聽技術發展

　　美國黑手黨有個犯罪組織名叫Cosa Nostra，當年他們的老大是Nicodemo Savatore Scarfo。1999年，Scarfo應該就是第一個被政府keylogger密鑰記錄工具鎖定的人了。當時Scarfo為了安全，一直堅持進行加密通訊。FBI就對他用上了keylogger——所用的密鑰記錄工具應該是個商用工具，其作用就是獲取Scarfo的PGP加密密鑰。

　　

　　黑幫老大Nicodemo Savatore Scafro

　　FBI當年用的工具和現如今的密鑰記錄工具還不一樣：現在的keylogger可以遠程安裝，而那個時候FBI需要親自派人前往Scarfo的辦公室，而且前後偷偷去了兩次才搞定的。因為Scarfo用的是撥號網絡連接，FBI沒法遠程進行安裝過程。

　　最近，麻省理工學院的自然安全研究員Ryan Shapiro還獲取到了一份2002年的政府通訊備忘錄。其中就提到，美國司法部對於旗下FBI的這次行動非常不爽，說FBI「在某個根本就不值得的目標身上，採用如此機密的技術」(Scarfo淚奔)…

　　　　

　　此後，Scarfo表示FBI的行為是不道德的，至少要有正規的程序(原話是說要有個竊聽令——可能是類似搜查令一類的東西)才能截獲其通訊內容，光有搜查令是不行的。Scarfo的辯護律師就FBI所用的keylogger搜集了一些證據，FBI則堅持表示這項機密技術僅應用於國家安全領域——當然現如今次技術已經比較廣泛地被黑客們利用了。

　　很明顯，美國政府機關在從事類似行為的時候，直到現在都還在用這一藉口：為了國家安全。20年前人家就已經在這麼說了!

　　2001年：司法部第一次批准這種類型的竊聽

　　在Scarfo這個事件中，政府通訊備忘錄中提到「如此機密的技術」，但外媒認為，此事中FBI所用的keylogger只是個商業化工具。或許美國司法部的意思是，我們用的工具原本是個機密，現在卻敗露了!大概是因為這個原因，FBI充分認識到應該開發自己專屬的竊聽工具。

　　所以2001年的時候，外媒就聽說了Magic Lantern(幻燈?)——這是FBI開發的最新keylogger的代號，相比先前針對Scarfo的那款工具就強大多了，因為這東西已經可以遠程安裝了。

　　

　　除了能夠記錄鍵盤敲擊過程，Magic Lantern還能記錄網頁瀏覽歷史、用戶名、密碼，還能列出目標設備上所有面向網際網路開放的埠。其首次利用，應該是在Operation Trail Mix行動中進行的。Operation Trail Mix行動實際上是針對一家動物權利組織的一次調查，此事就發生在2002、2003年期間。

　　紐約時報最近揭露說，在這件案子裡，FBI就是利用Magic Lantern來搞定加密數據的。雖然在法庭文檔中並沒有提到該工具，但國外媒體都認為這就是個keylogger。今年Shapiro據說獲取到一份2005年的郵件，裡面就有提到Magic Lantern：

　　「這是司法部第一次批准這種類型的竊聽。」

　　自從Magic Lantern被媒體曝出之後，FBI在隨後的十幾年時間裡，開始特別注重所用竊聽工具技術的保密工作。

　　2009年：更多信息流出

　　這一年，公眾對於FBI竊聽行為又有了更為深入的認識。當時國外《連線(WIRED)》雜誌藉由某個《信息自由法》相關請求，獲取到一些政府文件的緩存信息。這些文件中提到了一款名為CIPAV的情報工具——CIPAV是「計算機與網際網路協議驗證」的首字母縮寫。CIPAV可以用來收集計算機的IP和MAC地址，還有所有開放埠列表，已經安裝的軟體，註冊信息，用戶登錄用戶名，最後訪問的網址。這些數據可以通過網際網路傳回到FBI。

　　顯然CIPAV已經不是個keylogger了，而且並未搜集通訊信息。安全領域內的很多人認為，CIPAV應該也並不新鮮，至少和Magic Lantern的存在時間是差不多的，而且到今天仍在使用。或者說CIPAV其實是另一個版本的Magic Lantern，只不過就是去掉了keylogger功能。

　　

　　CIPAV立下的功勞似乎還不少：2004年的時候，有個專業從事勒索的犯罪分子，專門剪電話線和網線，以此勒索錢財，這個人就是藉由CIPAV識別抓獲的。2007年，華盛頓有個青少年給一所高校發出炸彈威脅郵件，也是用CIPAV揭示此人身份的。另外還有針對恐怖分子、國外間諜行動的黑客調查等等，總之其主要用途就是查詢目標IP——而且是那些用匿名方式企圖隱藏自己身份的目標。

　　2002年揭露的一份PDF文檔中，一名聯邦檢察官似乎就提及了CIPAV被大量使用。他提到：「雖然這項技術在某些情況下的確非常有價值。但在我們看來，某些機構用這項技術卻毫無必要，無謂增加將問題合法化的難度，而且又沒有帶來足夠的好處。」這話的意思也就是，CIPAV用得越多，那些辯護律師就能收集到越多有關CIPAV的信息，以進一步質疑其合法性問題。

　　2012年：單體攻擊升級為全體攻擊

　　一次就竊聽一個人，這樣的效率實在是太低下了。萬一是個犯罪團夥，涉及到很多人呢?所以2010年的時候，FBI就借用了黑客們慣用的一招：水坑攻擊。找一個犯罪嫌疑人喜歡聚集的網站，植入間諜程序，這樣一來，所有訪問者的計算機都會被感染，單體攻擊全面升級為全體攻擊。

　　後來FBI用這種方法追蹤兒童情色網站的訪客，效果還是相當顯著的：2012年內布拉斯加州的Operation Torpedo行動就用上了水坑攻擊。這次行動主要針對的是三家兒童色情網站的匿名訪客。所以FBI對水坑攻擊的確也是情有獨鍾，即便對方用的是洋蔥匿名瀏覽器，能夠隱藏真實IP，也一樣可以搞定。

　　

　　一般過程是這樣的，FBI首先獲得網站伺服器的控制權，然後在某個網站頁面插入間諜程序。比如2013年，有個名叫Freedom Hosting的匿名Web主機服務提供商，其客戶就有專做兒童色情站點的。那年8月份，FBI控制了Freedom Hosting伺服器。此後，這家主機提供商旗下的所有網站都顯示「維護中」頁面。實際上這個頁面就隱藏了Javascript代碼，這些代碼利用Firefox安全漏洞，可致被感染的計算機暴露真實IP。

　　不過2013年的這起事件也暴露了FBI行事的風格：Freedom Hosting這家伺服器供應商，旗下網站也不光只有做兒童色情的，還有不少是合法的企業站點。FBI的水坑攻擊，自然也讓這些企業站點的訪客被感染了。FBI事後並未揭露具體的數據，所以究竟有多少人被「攻擊」，也就不得而知了。

　　去年，FBI和合作夥伴還利用類似的方法，針對Playpen兒童色情網站的會員，超過4000臺設備發起攻擊。據說，這次行動FBI獲取到大約1300名Playpen訪客的真實IP位址，最終137人被起訴。

　　法律問題一大堆

　　我們上面揭露的這些其實只是冰山一角，畢竟FBI那麼注重行動的保密性，能夠被媒體曝光的也實在有限。實際情況究竟如何，大概除了斯諾登這種在有關部門呆過的，普羅大眾一輩子都搞不清楚。比如政府開發這些工具究竟是做什麼的，是否真的只是獲取IP位址之類的信息，還是順便激活你的攝像頭，還在神不知鬼不覺的情況下給你拍幾張照片?

　　諸如此類的問題還有一堆，比如這些工具是否會誤傷到一般人。隨《41號修訂案》的出現，FBI恐怕更不用關心這方面的問題。還有，進行調查的時候，FBI是否要獲得搜查令之後才能使用這些工具，申請此類搜查令的程序如何;政府是否常年利用0day漏洞，而且不通知軟體開發商漏洞存在性。

　　

　　美國司法部長期以來都說自己的這些行為是完全合法的。可實際情況沒有這麼簡單，比如我們上面提到的2007年一名青少年發出炸彈威脅郵件一事：FBI為了讓這名青少年的計算機感染惡意程序，給他發了個惡意連結，騙他往他的MySpace帳戶個人聊天室中下載間諜工具。連結的欺騙性很強，偽裝成是美聯社有關此次炸彈威脅的報導。

　　後面這些事情當然不是FBI自己說的了，電子前線基金會(EFF)當時獲取到FBI的內部郵件，才揭露了此事。然後，美聯社對FBI提起訴訟，說FBI破壞美聯社的聲譽，而且還讓美聯社全球範圍內的的記者編輯們身處危險之中——讓很多人誤以為這起事件是美聯社和政府合謀幹下的。美聯社表示：

　　「FBI的本意可能只是將此作為針對某一個人的陷阱。但這件事隨後可能會被無數人在社交網絡上轉發，裡面都會提到我們的名字，可我們跟這件事根本就沒有關係。」

　　這個問題又再度演化為，執法機構為了執法，究竟是否可以、或者可以執行多大程度的違法行為。有關這個問題的探討是早已有之了。加州大學戴維斯分校的法律教授Elizabeth Joh說：

　　「我們在這方面的監管很少。比如FBI要假裝成真人，或者某個機構——尤其是媒體——而且還是以這種非法的方式進行的，那麼應該採用何種監督方式進行監督?是不是靠他們自我監督就行?這些都是問題。」

　　不過既然這些問題原本就不準備昭告天下，那麼又談何法律問題呢?

625技術沙龍不得不說的事情

揭秘用「世界上最好的程式語言」製作的敲詐者木馬

【紀念青蔥歲月】那些年我們一起追過黑客網站！

中國十大黑客網站排行榜

提交廠商漏洞被查水錶，怪誰？

比特幣贊助打賞地址：13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD

長按公眾號，可「置頂」

----

要聞、乾貨、原創、專業
關注「黑白之道」 微信：i77169
華夏黑客同盟我們堅持，自由，免費，共享！