电子取证:FBI如何在网络空间抓捕罪犯

2016年,一份针对4名号称“西海岸瘸子帮”(West Coast Crips)杀人犯的证人证词被取消。取消它的,是一颗子弹。

于圣地亚哥联邦法庭起诉这些帮派分子的美国助理检察官 Todd Robinson 称:“证人出庭前一两天,他们给他头上来了一枪。”

但该案可能拉开了防弹证词时代。

根据网络线索:短消息、手机定位信息、社交媒体上贴出的照片等等,都有助于确定帮派分子的罪行。

网络线索非常关键。我做了很多涉帮派的诉讼,这些人都上Facebook,每个人都用手机。我现在就在录一份口供,其中包含了一张他们要卖的毒品的照片。

但是,发现这些线索的过程就好像大海捞针,需要在海量电子数据中找出对本案有用的那一小块。破解嫌犯的手机、平板电脑和笔记本电脑上的加密系统就是个极其艰难的工作,这项工作往往委托给FBI的全国计算机取证实验室网络。

只要存有数据,我们的人就会找出获取这些数据的方法。

在网络罪犯和司法部门的高风险对弈中,这个FBI实验室堪称大师级棋手。1999年以来,该实验室的计算机专家团队用数字证据定罪了谋杀犯、虐童者,甚至还有一名将隐藏摄像头装在部门盥洗室里拍摄女同事更衣的边境巡警。

计算机专家们的工作正在改变人们的生活。

不过,这工作仍然引起了隐私方面的关注。虽然特朗普政府认为司法部门需要可进入电子设备的内置“后门”,但批评者称这可能会将守法公民的财务和社交媒体账号暴露在罪犯眼前。

只要加密算法中有后门,显然不仅仅是警察能利用,坏人也能发现并利用。

即便没有“后门”,这里的FBI分析师依然忙碌不堪。在最新统计数据已出炉的2016年,该实验室检查了1276台电子设备,梳理了570TB数据。

数据流一直在增长,并且不会下降,只会增长。

猜吧,1/10000的概率

不是每个调查都需要计算机专家技能加持版的福尔摩斯。罪犯中蠢人占大多数,高智商幕后策划者不可能烂大街。

比如说:

1. 等待出关的一名男性打开iPad浏览儿童色情网页。

2. 谋杀未遂嫌犯的社交媒体主页上有预谋杀人的帖子。

3. 在疑犯的计算机上,分析师发现了“怎样处理尸体”的搜索历史记录。

有时候,破解嫌犯的电子设备是让人伤脑筋的严峻考验。2015年12月圣贝纳迪诺恐怖袭击就是个著名案例。当时FBI已经缴获了枪手 Syed Rizwan Farook 的iPhone 5c,但该手机的4位数密码有1万种排列组合,FBI探员不可能随机猜测或编个程序尝试每一种可能性。只要试错10次,该手机的内置加密系统就会清除所有信息。

苹果公司拒绝了FBI解锁手机的请求。尽管FBI不会就最终如何解锁了该手机发表任何言论,民间网络安全专家认为,该机构利用了iOS中的一个漏洞。

在圣地亚哥,那名谋杀未遂的嫌犯也有一部被锁定的手机。实验室的技术员用一根头发丝细的导线连接到手机主板,绕过加密系统,让探员得以找出有关该起谋杀的描述。

另一起案例中,调查人员破解了疑似恋童癖的手机。他们使用了绕过技术,并因此找到了其他受害儿童。

调查人员需要密码破解武器库。设备型号千千万,在一台电子设备上有用的方法,通常对其他设备没有效果。

所有设备都是独特的,必须找出各种方法破解它们。实验室的技术人员需要知道苹果与安卓,还有各种国外山寨版系统之间的区别。品牌忠诚度这种东西是不存在的。

FBI的圣地亚哥实验室维护有一个庞大的手机库,包含各大手机厂商的各型产品——iPhone、诺基亚、三星……

不久前,该实验室还接了个翻盖手机的案子。现在还有人在使用翻盖手机,而只要有人在用,实验室就得有。

为破解这些手机,分析师们会探寻各种“漏洞”——可从外部绕过密码保护和其他障碍的设计缺陷。这些“漏洞”是十分宝贵的信息,司法部门想要,其他人也想要,包括坏人。

有些私人黑客会在发现漏洞时先通告相关企业,承诺等他们做出修复后再公开披露漏洞。

但售卖预发布漏洞信息的黑产是真实存在的。他们会武器化这些漏洞,造出可供人们撬开相关设备的螺丝刀。

漏洞与散列

不是所有的数字侦探都为司法部门服务。民间网络侦探的队伍不断壮大,其中一些是奔着大额“漏洞奖励”去的。

发现并报告计算机漏洞的黑客所获得的款项就是漏洞奖励。比如说,2012年,哥伦比亚大学研究生 Vasilis Pappas 就获得了微软20万美元的漏洞奖励。

美国联合航空则是给发现了其网站漏洞的两名黑客奖励了200万英里的航程。

美国政府也支持漏洞奖励项目。今年4月,第五届“黑了五角大楼”漏洞奖励项目在军方国防旅行系统网站上找出了65个漏洞。国防部为此支付了近8万美元奖金。

还有漏洞奖励代理商,比如旧金山的HackerOne。该公司维护着由10万名以上的黑客组成的网络,找出并修复了超过4.4万个漏洞。

清除漏洞很有必要。无数守法公民依赖网络管理财务、预约医疗服务、进行商业贸易。在一些国家,表达不同政见可能遭致牢狱之灾或更糟糕的情况——如果政府能够锁定发声者身份的话。

以上案例中,强加密是必须的。

但如果在需要找出儿童色情内容的时候破不开iPhone,那就不太妙了。

在FBI实验室,利用漏洞进入嫌疑犯的电子设备是展开调查的第一步。随后,调查人员会筛滤文件找寻犯罪证据,搜出隐藏文件,找回那些表面上被删除的内容。

在计算机上,点击“删除”未必意味着内容被销毁了。在计算机上所做的任何操作都有记录。

调查人员还会用所谓的“散列函数”“散列”计算机,为设备上的所有数据做个取证镜像。

这有点类似于指纹。所有的意义就在于能够上呈法庭,让法庭认为实验室的取证是正确的,毫无疑问的。

换句话说,散列操作显示出那些电子邮件、图片视频和其他数据都是在FBI破解设备前就存在的罪证。

极客之上

该实验室是在FBI的索伦托科技谷高层办公大楼里始创,定位是一家调查合作机构。从埃尔卡琼警察局到海军罪案调查处,共17个司法机构为该实验室的工作小组贡献了人员。

团队中还包含十几名FBI探员。虽然这些探员大多数没有计算机专业学位,但全都以所谓的“A+认证”开启在该实验室的工作任期。他们与极客小队成员无异。

培训是持续的,实验室外面的教室中总有讲座和简报在进行,将调查人员培育成附带极客技术的多方位人才。领先电子技术前沿是一项永无止境的工作。

连调查人员自己都从工作到生活离不开手机,犯罪分子又怎么能与手机这项现代科技无关呢?

上一篇:赛可达发布2018年度最新手机安全软件保护能力横评报告

下一篇:中考保卫战,使命必达。这,就是锐捷!