FBI 的「先進」辦案技術

提起美國的聯邦調查局 FBI ，大多數人會聯想到身穿藍色風衣、拿著Glock 21手槍的探員。但科技普及卻正在改變 FBI 的辦案方式，當中更涉及不少「越界」的技巧，有專家直指其手法與電腦犯罪無異。

其中一宗引起大眾疑慮的，是FBI堵破Silk Road 2.0網站的手法。Silk Road 2.0是一個從事非法藥物、槍械和信用卡資料的網站，由於網站和用家都使用了開源匿名通訊技術Tor，連線時的真正IP位址是保密的，令 FBI 一直沒有辦法鎖定用戶和網站主人真正身份。但在2014年在11月代號Operation Onymous的行動中，FBI 卻成功堵破Silk Road 2.0和Agora、Evolution、BlueSky等非法網站，未知是否與破解Tor有關。

Silk Road被查封已經不是第一次了，在Silk Road 1.0被查封時，FBI官方說法是因為登入頁面中錯誤地配置CAPTCHA驗證，因而暴露了其伺服器的真正IP位址，並不是因為破解了Tor。這次查封Silk Road 2.0時，FBI 卻沒有再公開自己的手段，但最近從一宗審理兒童色情網站的呈堂文件中，卻披露了FBI曾經利用Tor的漏洞，鎖定用戶身份。當時FBI使用的是開源的Metasploit，這原本網路安全業界用來審視系統安全的工具，但 FBI 卻使用了當中一個名為Decloaking Engine的程式，對目標網站發動攻擊。

Decloaking Engine利用了Adobe Flash插件的漏洞，成功繞過Tor的限制，鎖定網站經營者和用戶的身份。但其實在這以前，開發Tor專案Tor Project成員已經發現了此漏洞，並呼籲Tor用戶不要安裝Flash Player。被攻擊的網站很可能是因為無法及時更新而中伏，由此可見經常更新系統的重要性。Tor Project最初雖然是由美國海軍資助而研發的計畫，但根據美國電子前線基金會(Electronic Frontier Foundation，EFF)發表的報告，Tor的用戶除了軍隊外，還有記者和人權分子。如果FBI有能力對Tor發動攻擊，意味著平民也有機會成為被攻擊對象。

究竟Tor是否已被破解？至少直到2013年都沒有。由Edward Snowden披露的盜聽計畫PRISM的文件中，就有「無法破解Tor匿名性」的描述。NSA在PRISM進行中也曾經鎖定Tor用戶身份，但卻不是因為找到方法破解它，而是因為用戶在使用Tor瀏覽器Tor Browser Bundle時來不及更新，又或者設定不當，換言之暫時仍未有證據證實Tor已經被破解。使用Tor最簡單的方法，使是用以Linux為基礎開發的Tails系統，當用戶登出關機時，所有用戶記錄都會隨之消失。

FBI 另一宗引起爭議的辦案手法，便是製作一個虛假的Seattle Times網頁，當被瀏覽時，名為CIPAV(Computer and Internet Protocol Address Verifier)的惡意程式，便會安裝在「疑犯」的電腦上，向 FBI 報告用戶的IP位址、MAC位址、開啟埠號、作業系統版本、已安裝的應用程式和曾到訪的網站。可幸的是 FBI 似乎認為「疑犯」只會使用Windows，官方記錄中CIPAV亦多次因為「系統不相容」未能成功入侵，Linux用戶暫時還可放心。

主筆
麥經倫
2015年1月