如果評選2016年新晉最酷的科技機構,FBI 應該榜上有名。
這個懲惡揚善的機構最近經常挑戰人類科技的極限。上個月充滿極客范地碾壓了蘋果,這個月又強勢地手撕“暗黑瀏覽器”Tor。之所以FBI這么被人關注,歸根結底是因為他們手上經常有“好貨”——超級漏洞。
【大名鼎鼎的匿名瀏覽器 Tor】
戀童癖引發的血案
其實,FBI 和 Tor 瀏覽器之間的“斗法”已經由來已久了。Tor 瀏覽器作為暗網的主場,藏匿了諸多犯罪活動。去年3月,FBI干掉了暗網上的一個兒童色情網站,并且偷偷進駐了他們的服務器。然后利用一種稱為“網絡研究技術”的神技定位到了這個網站的137位“忠實用戶”,并且毫不留情地一一起訴。
如果這137位好漢依次認罪伏法,簽字畫押,那故事就太沒意思了。有一位名為 Jay 的老濕表示:“我趙日天不服。”然后雇傭了一位更不服的律師。律師抗辯,要求 FBI 在“血口噴人”之前至少拿出一丟丟證據:
你說你通過技術手段定位了我的當事人,用了什么技術手段你倒是給我演示一遍啊!這個要求不過分吧?
這個要求得到了法官的認可。然而,FBI 卻扭扭捏捏好幾個月,并且推動司法部出臺了一個動議,大意是,這個破解的技術過程和本案無關,希望法庭不要窮追不舍了。
這件事情孰是孰非暫不討論,從技術角度來說,FBI 掌握了 Tor 瀏覽器的漏洞應該是板上釘釘的。
FBI 之流氓會武術
由于Tor 瀏覽器是地下暗網的主要入口,所以有關這個瀏覽器的漏洞一直備受關注。不過,很多人可能不知道,Tor 瀏覽器并沒有采用什么高深的技術,而是由開源瀏覽器 Firefox 改進而來的。通俗地說,就是在 Firefox 瀏覽器的外層又增加了一套匿名傳輸系統。
【Firefox 瀏覽器】
由此,安全專家做了一個重要的論斷:
Firefox 的漏洞不一定在 Tor 瀏覽器上起作用,但是反過來,Tor 瀏覽器的漏洞一定是 Firefox 的漏洞。
如此看來,FBI 手上的漏洞就不僅僅是能破解暗網這么簡單,而是波及到所有 Firefox 瀏覽器的用戶了。這也是為什么那些不上暗網的人也如此擔心的原因。
理論上,這個漏洞可以用來監視所有 Firefox 用戶的行為。這讓本來就“法力無邊”的 FBI 如虎添翼,正所謂“科學家會武術,流氓都擋不住”。
不過,FBI 特工阿爾芬說,“我們手里的工具僅僅能用于調查兒童色情網站用戶這一件事情。”網友紛紛表示:“別逗了。”
安全專家表示:“理論上來說,驗證一個工具究竟能用于什么用途,必須查看代碼才能知道。”
0 Day 漏洞明證
由于 Firefox 的代碼是開源的,所以全世界的黑客都可以向它的開發者 Mozilla 提交瀏覽器的漏洞,而 Mozilla 也會在第一時間修復漏洞。也就是說,如果 FBI 使用了已知的漏洞攻破了暗網,那么他們完全沒有必要隱藏這種方法。他們扭扭捏捏的唯一解釋就是:這是一個未知的漏洞,俗稱“0 Day”漏洞。
0 Day 漏洞的可怕之處在于,僅有發現它的人可以掌握漏洞的用法。而軟件的開發者和所有的使用者都不知情,這就好像駕駛著一艘明顯有嚴重問題的輪船出海,讓所有的乘客殫精竭慮。然而,FBI 看來沒準備吧這個漏洞公開,甚至可能還會繼續利用這個漏洞“懲惡揚善”。
至此,FBI 手里又多了一個重要漏洞。僅僅今年,公眾就知道 FBI 手里至少分別掌握了蘋果手機和Tor/Firefox上面的重磅漏洞。然而可以想見,公眾不知情的漏洞更是不計其數。
FBI 儼然已經有了漏洞收集癖,也許某一天這個“科技巨頭”會集齊大多數科技廠商的 0 Day 漏洞。到那個時候,別說攻擊蘋果手機、暗網,就連反過來攻擊美國政府都可能易如反掌。
美國的童鞋們,你們就這么慣著 FBI 吧。