電子取證:FBI如何在網絡空間抓捕罪犯
責編:gltian |2018-08-30 15:29:032016年,一份針對4名號稱“西海岸瘸子幫”(West Coast Crips)殺人犯的證人證詞被取消。取消它的,是一顆子彈。
于圣地亞哥聯邦法庭起訴這些幫派分子的美國助理檢察官 Todd Robinson 稱:“證人出庭前一兩天,他們給他頭上來了一槍。”
但該案可能拉開了防彈證詞時代。
根據網絡線索:短消息、手機定位信息、社交媒體上貼出的照片等等,都有助于確定幫派分子的罪行。
網絡線索非常關鍵。我做了很多涉幫派的訴訟,這些人都上Facebook,每個人都用手機。我現在就在錄一份口供,其中包含了一張他們要賣的毒品的照片。
但是,發現這些線索的過程就好像大海撈針,需要在海量電子數據中找出對本案有用的那一小塊。破解嫌犯的手機、平板電腦和筆記本電腦上的加密系統就是個極其艱難的工作,這項工作往往委托給FBI的全國計算機取證實驗室網絡。
只要存有數據,我們的人就會找出獲取這些數據的方法。
在網絡罪犯和司法部門的高風險對弈中,這個FBI實驗室堪稱大師級棋手。1999年以來,該實驗室的計算機專家團隊用數字證據定罪了謀殺犯、虐童者,甚至還有一名將隱藏攝像頭裝在部門盥洗室里拍攝女同事更衣的邊境巡警。
計算機專家們的工作正在改變人們的生活。
不過,這工作仍然引起了隱私方面的關注。雖然特朗普政府認為司法部門需要可進入電子設備的內置“后門”,但批評者稱這可能會將守法公民的財務和社交媒體賬號暴露在罪犯眼前。
只要加密算法中有后門,顯然不僅僅是警察能利用,壞人也能發現并利用。
即便沒有“后門”,這里的FBI分析師依然忙碌不堪。在最新統計數據已出爐的2016年,該實驗室檢查了1276臺電子設備,梳理了570TB數據。
數據流一直在增長,并且不會下降,只會增長。
猜吧,1/10000的概率
不是每個調查都需要計算機專家技能加持版的福爾摩斯。罪犯中蠢人占大多數,高智商幕后策劃者不可能爛大街。
比如說:
1. 等待出關的一名男性打開iPad瀏覽兒童色情網頁。
2. 謀殺未遂嫌犯的社交媒體主頁上有預謀殺人的帖子。
3. 在疑犯的計算機上,分析師發現了“怎樣處理尸體”的搜索歷史記錄。
有時候,破解嫌犯的電子設備是讓人傷腦筋的嚴峻考驗。2015年12月圣貝納迪諾恐怖襲擊就是個著名案例。當時FBI已經繳獲了槍手 Syed Rizwan Farook 的iPhone 5c,但該手機的4位數密碼有1萬種排列組合,FBI探員不可能隨機猜測或編個程序嘗試每一種可能性。只要試錯10次,該手機的內置加密系統就會清除所有信息。
蘋果公司拒絕了FBI解鎖手機的請求。盡管FBI不會就最終如何解鎖了該手機發表任何言論,民間網絡安全專家認為,該機構利用了iOS中的一個漏洞。
在圣地亞哥,那名謀殺未遂的嫌犯也有一部被鎖定的手機。實驗室的技術員用一根頭發絲細的導線連接到手機主板,繞過加密系統,讓探員得以找出有關該起謀殺的描述。
另一起案例中,調查人員破解了疑似戀童癖的手機。他們使用了繞過技術,并因此找到了其他受害兒童。
調查人員需要密碼破解武器庫。設備型號千千萬,在一臺電子設備上有用的方法,通常對其他設備沒有效果。
所有設備都是獨特的,必須找出各種方法破解它們。實驗室的技術人員需要知道蘋果與安卓,還有各種國外山寨版系統之間的區別。品牌忠誠度這種東西是不存在的。
FBI的圣地亞哥實驗室維護有一個龐大的手機庫,包含各大手機廠商的各型產品——iPhone、諾基亞、三星……
不久前,該實驗室還接了個翻蓋手機的案子。現在還有人在使用翻蓋手機,而只要有人在用,實驗室就得有。
為破解這些手機,分析師們會探尋各種“漏洞”——可從外部繞過密碼保護和其他障礙的設計缺陷。這些“漏洞”是十分寶貴的信息,司法部門想要,其他人也想要,包括壞人。
有些私人黑客會在發現漏洞時先通告相關企業,承諾等他們做出修復后再公開披露漏洞。
但售賣預發布漏洞信息的黑產是真實存在的。他們會武器化這些漏洞,造出可供人們撬開相關設備的螺絲刀。
漏洞與散列
不是所有的數字偵探都為司法部門服務。民間網絡偵探的隊伍不斷壯大,其中一些是奔著大額“漏洞獎勵”去的。
發現并報告計算機漏洞的黑客所獲得的款項就是漏洞獎勵。比如說,2012年,哥倫比亞大學研究生 Vasilis Pappas 就獲得了微軟20萬美元的漏洞獎勵。
美國聯合航空則是給發現了其網站漏洞的兩名黑客獎勵了200萬英里的航程。
美國政府也支持漏洞獎勵項目。今年4月,第五屆“黑了五角大樓”漏洞獎勵項目在軍方國防旅行系統網站上找出了65個漏洞。國防部為此支付了近8萬美元獎金。
還有漏洞獎勵代理商,比如舊金山的HackerOne。該公司維護著由10萬名以上的黑客組成的網絡,找出并修復了超過4.4萬個漏洞。
清除漏洞很有必要。無數守法公民依賴網絡管理財務、預約醫療服務、進行商業貿易。在一些國家,表達不同政見可能遭致牢獄之災或更糟糕的情況——如果政府能夠鎖定發聲者身份的話。
以上案例中,強加密是必須的。
但如果在需要找出兒童色情內容的時候破不開iPhone,那就不太妙了。
在FBI實驗室,利用漏洞進入嫌疑犯的電子設備是展開調查的第一步。隨后,調查人員會篩濾文件找尋犯罪證據,搜出隱藏文件,找回那些表面上被刪除的內容。
在計算機上,點擊“刪除”未必意味著內容被銷毀了。在計算機上所做的任何操作都有記錄。
調查人員還會用所謂的“散列函數”“散列”計算機,為設備上的所有數據做個取證鏡像。
這有點類似于指紋。所有的意義就在于能夠上呈法庭,讓法庭認為實驗室的取證是正確的,毫無疑問的。
換句話說,散列操作顯示出那些電子郵件、圖片視頻和其他數據都是在FBI破解設備前就存在的罪證。
極客之上
該實驗室是在FBI的索倫托科技谷高層辦公大樓里始創,定位是一家調查合作機構。從埃爾卡瓊警察局到海軍罪案調查處,共17個司法機構為該實驗室的工作小組貢獻了人員。
團隊中還包含十幾名FBI探員。雖然這些探員大多數沒有計算機專業學位,但全都以所謂的“A+認證”開啟在該實驗室的工作任期。他們與極客小隊成員無異。
培訓是持續的,實驗室外面的教室中總有講座和簡報在進行,將調查人員培育成附帶極客技術的多方位人才。領先電子技術前沿是一項永無止境的工作。
連調查人員自己都從工作到生活離不開手機,犯罪分子又怎么能與手機這項現代科技無關呢?