新闻快讯
< >

FBI利用NIT技术在暗网抓人反被上诉 法院这样判

E安全3月3日讯 2018年2月末,美国法院中止了一名被定罪恋童癖者的上诉——指控 FBI 黑客以非法方式窃取其计算机信息并进行搜查。美国法院表示,尽管 FBI 确实违反《联邦刑事诉讼规则》第41条的行为甚至还上升到了违反宪法第四修理案的高度,但仍然维持对这名犯人的判决。

恋童癖者被FBI找到的经过

现年53岁的盖比瑞尔·沃登来自费城雄鹿县,他因在暗网当中通过 Playpen 搜索儿童性虐待图像及录像,面临在联邦监狱服刑两年的判决结果。在2015年的“针刺行动”当中,执法人员在其家中的 DVD 与 U 盘上发现了这些非法内容的副本。

Playpen 是匿名网络 Tor 上的一项隐藏服务,目前有多达25万用户借此分享未成年人性行为素材。

FBI间谍软件存在“越线”,但法官表示被告罪有应得-E安全

FBI使用网络调查技术(NIT)获取IP地址

FBI 方面在获得搜查令之后,迅速对其地下网站所使用的服务器进行追踪并查获。在行动当中,执法人员在该网站中部署了一项所谓网络调查技术(简称NIT),旨在确定 Playpen 登录用户所使用的公共 IP 地址。

Tor 的工作原理是通过多个节点进行连接转发,从而隐藏用户在接入互联网时所使用的实际公共 IP 地址,最终阻碍任意方对用户网络活动的追踪与识别。

通过互联网服务商获取真实地址

在接入 Tor 匿名服务时,用户的真实公共 IP 地址不会被透露给目标服务器。然而,执法机构在 Playpen 网站上部署的 NIT 则仍能够准确锁定论坛用户的 IP 地址。之后 FBI 会将这些地址提供给 Comcast 等互联网服务供应商,并要求对方提供使用这些 IP 地址的用户的详细信息。

凭借着由此获得的家庭住址信息,FBI 执法人员迅速出击,并逮捕了数百名观看并传播儿童性素材的犯罪嫌疑人。沃登亦被当场抓获并定罪,2016年宾夕法尼亚州地方法院判处其24个月有期徒刑。在审判之前,他签署了一份认罪协议,同意提早认罪以换取轻判——这将缩短审判周期并减轻纳税人的负担。按照常规程序,签署认罪协议意味着被告方同时放弃了上诉的权利,但此次沃登仍然被允许对证据的获取方式提起上诉。

FBI间谍软件存在“越线”,但法官表示被告罪有应得-E安全

恋童癖者抓到了FBI什么把柄?

沃登正式提出要求,表示质疑 FBI 收集证据的方式,他提到 FBI 所使用的间谍软件是非法的,因此他的罪名并不成立。近日沃登的上诉最终被驳回。

沃登在 Playpen 上的用户名为“thepervert”,他辩称 FBI 方面通过安装 NIT 的方式非法获取证据。一般来讲,法官在搜查令中会要求执法机构预先知晓嫌疑人的所在位置,但 FBI 方面则说服了法院给予这种特殊的搜查权根据逮捕令,用户身处何地并不重要,FBI 有权追踪其所在地并进行逮捕。


这一论点确实成立,且一部分 Playpen 用户也因此逃脱了罪责。在此之后,美国国会调整了《联邦刑事诉讼规则》中的第41条,即允许美国的执法机构利用逮捕令对全球范围内的任何计算机设备进行探查。在本次上诉审议当中,多名官员虽然认同此项搜查令不应得到批准,且 FBI 确实存在“越线”行为的意见,但仍然决定维持原有判决。

这一决定亦扼杀了沃登试图推翻控方所持有的,能够证明其为 Playpen 用户的证据的企图。

判决记录文件中提到,“NIT 逮捕令确实违反了第41条的原有版本,且法官根据《联邦裁判法》认定执法方超越了自身权力范围。因此,其所收集的证据应被视为无效,而第41条违反行为甚至被上升到了违反宪法第四修理案的高度。然而本庭同意政府的意见,即出于善意而忽视法律规则的例外仍具有一定适用性,这也是最终决定维持原判的根本原因所在,因此将以其它理由支持地方法院拒绝沃登上诉的判决。”

NIT 调查技术可能利用 Flash 漏洞

这一案例确实提示了一些关于 FBI 方面神秘 NIT 的有趣细节。以往,调查局方面实际曾多次开展针对未成年人性爱视频的共享行为调查,但却从未透露其对 Tor 匿名网络的渗透方法。某国外政府特工机构曾与 FBI 合作,利用特制的视频来诱捕暗网中的恋童者,但其并不清楚 FBI 的 NIT 到底是如何起效的

FBI间谍软件存在“越线”,但法官表示被告罪有应得-E安全


此次案例透露了更为全面的细节,美国法院文件显示,该间谍软件很可能是利用基于火狐版 Tor 浏览器中的 Flash 或 JavaScript 漏洞获取以下七种信息:

  • IP地址;

  • 用于区分不同计算机内数据来源的惟一标识符;

  • 操作系统类型;

  • 关于 NIT 是否已经投放完成的信息;

  • 主机名称;

  • 活动操作系统用户名;

  • MAC地址(物理地址)。

NIT 可能包含多个组成部分:其一负责利用此项 Bug 或者获取第二部分,其二则将信息收集到本地 PC 上并将信息发送回 FBI 处。

FBI 方面采取了一系列措施以推动“针刺行动”的实施。在接管了北卡罗来纳州 Playpen 服务器之后,FBI 方面将设备转移到了弗吉尼亚州并再度运行了13天,以便将 NIT 进一步扩散开来。该暗网站点管理员迈克尔·弗拉基格(Michael Fluckiger)因参与儿童虐待相关活动而被判处20年有期徒刑。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。