赛博警察:沿着数字路线巡逻 仍有比坏人聪明的好人。 ——大卫·肯尼迪美国陆军军警信息系统安全处 赛博空间不是完美的。 一些人称这个虚拟世界为被管束的混乱 (controlled chaos),而其他人,例如我,相信它是现代版的荒芜西部。不管你称它为什么,也 不管你认为它是什么,赛博空间毫无疑问是各地的最热门的东西。每个人都在谈论 它,而且看起来几乎每个人都在访问它。随着越来越多的人为自己制造出虚拟的第 二生命,他们发现,赛博空间同现实世界 一样也有罪犯。 哪儿有获利的机会,哪儿就一定有试图去非法获利的罪犯。虚拟世界也不例外。 但是, 那 些想突破信息高速公路的速度限制的人也有遇到赛博警察的可能性。黑 客们最坏的恶梦,就是 在他们的虚拟的后视镜看到这些不断增加的执法人员的警灯。 黑客的第一条不成文原则是“不要被抓住”。美国陆军信息系统安全处的大卫 ·肯尼迪说:“我们曾抓到的坏家伙要么是不走运,要么是出了错。那些走运的且 不出错的坏家伙犯罪手段十分高明。但他们会变得傲慢自大,那就是他们的失误之 处。”黑客是积习已久的自夸者。他们总在谈论自己的侵入活动,写下自己最好的 闯入经历,不停地向其他黑客唠叨,这使 他们最终会变得粗心。 “黑客最主要的保护物是他的匿名,”一名黑客曾写道,“那些过于公开曝光 者是自取灭亡 的人。”凯文·米特尼克(Kevin Mitnick)是一个极好的例子。他十 分自负, 越过了法律 的界限,打破所有规则,后来又低估了他闯入的系统的拥有 者及赛博警察的能力,所有这些导致了他的毁灭。 米特尼克1995年初被捕时只有31岁,但他的黑客生涯的开始要早得多,那时他 还在加利福尼 亚州蒙罗中学(Monroe High School) 当学生。正是在那儿他开始了 他 的黑客生涯。他闯 入了洛杉矶联校区(Unifed School District)计算机和北美 空军防御指挥部(North Ameri can Air Defense Command) 的主机。这些入侵仅仅 只是恶作剧,表明了米特尼克有破解最复杂的系统的技巧。 米特尼克的第一次被判有罪是由于偷窃太平洋贝尔公司(Pacific Bell)计算机 手册,但监狱中的时间并不足以让他洗手不干。1988年他再次被宣判有罪,这次是 因为获取MCI电话公司计算机中的长途代码。 但黑客活动特有的瘾嗜不断驱使着米 特尼克。 1994年,他因计算机犯罪而受到FBI调查,并因违背先前誓言而被美国警 官服务处(United States Marsha l's Service)追捕。他的母亲说,他害怕被捕和 坐牢。 但是,即使执法人员紧跟 在身后,米特尼克仍不会停止侵入。但这一次, 他的目标反击了。 1994年底,安全专家下村孜(Tsutomu Shimomura)接到圣迭戈超级计 算中心的 同事的电话。他们说有人访问了他的连接着计算中心的网络的个人计算机。那个人 阅读了下村的私人电子邮件并下载了有关安全的文件和软件。此时,旧金山海岸的 一家称为Well的在线服务商的系统管理员发现, 在属于“计算机、 自由和隐私” (Computers,Freedom and Privacy )的组织的网络部分文件容量突增。该组织的组 织者及计算机程序员布鲁斯·考伯尔(Bruce Koball)检查了该目录,在那儿发现了 下村的文件。 下村决定采取行动。在几位同事的参与下,他制定了一个追踪入侵者的监视计 划。现在一个身影出现了,下村和他的小组相信他们所追逐的黑客就是凯文·米特 尼克。不多久他们发现,凯文偷走了将近2万个Netcom公司(一家因特网服务提供商) 客户的信用卡 号码。 下村和他的小组来到位于圣何塞的Netcom总部,在那儿,在 美国助理检察官肯特·沃尔克(K ent Walker)的帮助下,通过查阅电话记录发现, 米特尼克从明尼阿波利斯(Minneapolis)、丹佛(Denver)及罗利(Raleigh)的拨入线 连接过该公司。 Netcom的 工程师发现,他们在北卡罗来纳州的罗利的交换站曾经 被人以电子方式擅自改动,这表明那儿可能就是米特尼克所在的地方。 下村现在同警察、FBI特工和斯普林特蜂窝电话公司(Sprint Cellular)的技术 人员一同工作。 他飞往罗利,追踪米特尼克的蜂窝电话信号到一片综合建筑。FBI 特别警探继续工作,他们进一步将搜索范围缩小到一套公寓,并为此获得一张联邦 搜查证。凌晨1点30分,FBI警探站在雨中敲响了202公寓的房门。米特尼克开了门。 这个也许是我们时代最有名的计算机 罪犯终于被捕了。 下村由于追踪发现了米特尼克而被人们视为英雄,但事实上这是包括他及各种 执法机构,如 FBI和美国警署(U.S. Marshal's Office) 的团体的努力。由于计算 机 犯罪还不普遍,在线 管辖是一个新的冒险事业。那儿没有许多计算机警察,因 为即使有联邦法律,或者50个州中有49个州的法律能适用于计算机犯罪,技术犯罪 仍不是优先考虑的问题。街道的暴力犯罪是首先得解决的问题,因此赛博空间仍然 是荒芜的西部。 但是,随着计算机成为越来越多的黑 客及其他罪犯的工具,全国 的执法机构逐渐认识到设立赛博警察的必要了。 1986年开展的一项国家司法研究所(National Institute of Justice) 调查表 明,75%的受调查的警察局长和63%的郡长认为计算机犯罪调查可能在将来的工作 中占很大比重。人口在50万及以上的地区里,这两个比例甚至更高:大约为84%的 警察局长和75%的郡长。 根据对计算机犯罪执法的需要,洛杉矶市警察局(Police Department) 设立了 计算机犯 罪小组。在费城,经济犯罪署(Economic Crime Unit) 的警官开始调 查 计算机犯罪。在科罗拉多、丹佛和雷克伍德(Lakewood),市政府设立了联合特遣部 队来对付此类问题。 但专门的计算机犯罪小组仍相对较少,通常这些执法部门很难找到受过合适的 教育并精通计算机的警官。将这些警官从最需要他们的大街上调至计算机后面几乎 是不可能的,因此组成大多数计算机犯罪小组的警官都有两重任务:在现实的大街 和赛博空间的大街上工作。因此 ,他们经常需要得到作为虚拟世界的“奖金猎人” (bounty hunters)的市民的帮助。 在凯文·米特尼克案件中,下村孜在将罪犯逮捕入狱中扮演了主要角色。下村 并不是警察,他是计算机安全专家。在受到侵入的激怒下,他决定发挥他的专长来 对付入侵者。他在键盘上追踪非法连接的技能是法律得以执行的关键。后来,随着 对米特尼克包围网的缩小,下村得到了斯普林特电话公司的技术人员的协助。他们 也不是警察, 但他们的协助在追踪发现米特 尼克蜂窝电话的过程中也是必不可少 的。 1995年, 威斯康星州一名私人侦探花了9个月时间,在网上装扮成一名14岁的 女孩来引诱因特网上的恋童癖者。惊骇于她在网上所看到的东西,这名私人侦探发 布了一条讯息,自称是14岁的“杰西卡”,并且“年纪大的人把自己当作成年人”。 这番叙述吸引了布莱恩·西森 (Bryan Sisson) ,一名45岁的有前科的恋童癖者。 “杰西卡” 和西森 开始交换电子邮件。几个星期后,这名装扮成杰西卡的私人侦 探打电话给FBI。 经过几个月的相互交流和交换照片后,西森安排在密尔沃基的一 家旅店房间与“杰西卡”见面。当他到达时,FBI特别警探 以跨州企图同未成年人 从事性活动而逮捕了他。 也许最著名的市民“赛博警察”是《杜鹃蛋》(The Cuckoo's Egg)的作者 克利福特·斯多 尔 (Clifford Stoll) 。 这名加利福尼亚劳伦斯·伯克利实验室 (Lawrence Berkeley Lab oratory)的天体物理学家在预算缩减后被迫离开天文部, 工作于实验室的计 算机部。 一个75美分的计算机帐目错误使他发现了一名黑客, 后来这名黑客被证明是一个国际间谍集团成员 。斯多尔与FBI特别警署及国家安全 局(NSA,National Security Agency)〖HT5,4”S S〗一同 摧毁了这个集团。这是 一个以喜剧结尾的故事,它说明不是所有的赛博警察都佩戴徽章。管辖信息高速公 路 《新闻周刊》的迈克尔·迈耶尔(Michael Meyer)写道:“赛博犯罪 的汹涌不是偶然。现在每个人似乎都要买计算机并上网。”问题正出在这上面。 随着赛博空间的膨胀,对能应付高技术犯罪的增长的执法人员的需求也在增加。 赛博空间对执法人员来说是一个全新领域,是一个奇特的,并且有些陌生的环境, 它不符合警察与罪犯 战斗的正常方法。克莱德·M·斯蒂茨(Clyde M.Stites)是俄 勒冈行 政司法办公室侦探 组毛特娄马郡指挥官,他在《法律与秩序》(Law and Order) 杂志中写道:“90年代最热门 的犯罪工具是个人计算机……警方发现, 洗钱、贩毒集团及卖淫团伙也在使用个人计算机。” 今天,计算机已不仅仅是黑客的专有领域。它们正被当作笔记本,记录着从毒 品贩子的主顾到妓女的约会, 及赌马者的得分情况等一切东西。 据说,被指控对 1993年纽约世界贸易中心 爆炸案负责的拉姆齐·优素福(Ramzi Yousef) 将加密信 息存储在他的 膝上计算机的硬盘中 。“对受过良好训练的执法官来说,”斯蒂茨 说,“存储在计算机中的信息是一座新的信息 金矿。” IRS罪犯调查组特别警探迈克尔·R·安德森(Michael R.Anderson) 说 :“存 储在计算机中信息同赛马操作中使用的闪光信号纸一样不稳定。”将这类证据从计 算机中抽出正成为一门 独立的学科,它被执法圈称为“计算机法医学”(computer forensics)。 警察习惯于处理实实在在的物理证据,而不是以比特和字节的形式存储在软、 硬盘中的琐碎的信息。但技术的发展正迫使他们接受这种新专业的训练。密歇根州 立大学的犯罪司法学院 教授大卫·L·卡特(David L.Carter) 博士在《FBI执法人 员通报》( FBI Law Enforce ment Bulletin) 中写道:“计算机犯罪能在3毫 秒中发生,它使用一段程 序代码,告诉软件在 计算机执行完命令后消除自身。这 基本上除去了犯罪痕迹。” 调查员必须要拿出能判定犯罪成立的证据。实际上,没有证据就没有犯罪。即 使证据被取回,“电子数据交换及其网络使执法人员很难确定哪些文档和资料是与 犯罪有关的,从而使这 些法律要素非常复杂,”卡特博士说。 弗吉尼亚州昆提哥的联邦调查局学院(the Federal Bureau of Investigation Acade my) 现在开始讲授计算机犯罪调查和证据收集课程。佐治亚州格林科联邦执 法 人员训练中心( FLETC, the Federal Law Enforcement Training Center)也这 么做。 被视为 计算机犯罪执法 的先行者的佛罗里达州成立了计算机取证组 (Computer Evidence Recovery Unit),来处 理被没收的计算机。布莱渥德郡的执 法人员电子技术协助委员会 (LEETAC, Law Enforc emen t Electronic Technical Assistance Committee)在州内巡游以协助处理查 封的计算机。 在对付在线犯罪的执法人员中也有革新。据说,警官们建立了“刺板”(sting board s)——由秘密警察运营的电子公告板。它采用的是与秘密警察抓获卖淫者或 贩毒者非常类似的方式,在线警察扮成黑客、青少年或其他需要的假身份来引诱罪 犯,收集对他们的证据并最终将其逮捕。整个电子公告板专门用来引诱罪犯。而在 其他情况下,像圣何塞的侦探吉姆·麦克马洪一样的警官沿着电子街道单独对付罪 犯。在高技术领域里,警察的计算机专长同他在街 道上的直觉一样重要。 尽管执法人员在跟上高技术犯罪的发展上已有了一定进步,但仍然存在着计算 机犯罪的受害者。计算机系统依旧被黑客破解,数据依旧被窃走。尽管与计算机相 关的犯罪已经缓慢地得 到承认,但只有极少警官接受这一神秘技术的训练。 “使人悲哀的事实是, FBI只有不到十名警探受过处理计算机证据的训练,而 特工处则更少, ”IRS特别警探安德森说,“技术变化太快,执法人员得紧紧跟上 潮流,否则技术的发展 会将他们扔入灰尘堆里。” 与出现的新问题保持同步,发展新的计算机安全技术和提出新的解决方案是至 关重要的。市 民也有报告计算机犯罪的责任,这能防止其他人成为可能的受害者。 报告计算机犯罪 毫无疑问,赛博空间是一个正在成长的社区。同任何社区一样,它也必须要求 人们共同对付犯罪。信息交换是计算机用户、网络管理员、电子公告板操作员、软 件工程师及其他人面对 计算机安全挑战的主要方法。 在有关安全问题上, 主要的领导者之一是计算机应急小组 (CERT) 。CE RT是 1988年11月为对付因特网蠕虫事件而由美国国防高级研究计划署 (Def ense Advanced Research Projects Agency) 成立的。它同因特网社区合作 来对付涉及 因特 网主机的计算机安全事故, 采取积极步骤来引起社区对计算机安全问题的注 意力,并开展旨在提高现有系统的安全性的研究工作。 为了这一目的,CERT提供了计算机安全事故24小时技术支持、产品脆弱性支持、 技术文档及 研习班。而且,小组还经营几个邮寄清单(mailing lists) 及一个USE NET新闻组来提 供咨询。按照小组所说,CERT咨询“提供了有关如何获得已知系统 安全问题的补丁文件(〖H T〗p atch) 或临时修补文件细节。”CERT还同商家合作 生产临时修补文件( workarounds)或补丁文件来修补系统问题。 如果你遇到安全侵入、病毒或其他计算机安全问题,你可以通过电子邮件 (地 址是ce rt@cert.org)或24小时热线(412)2687090及传真(412)2686989同C ERT 协调中心(CERT Coordination Center) 联系。CERT工作人员在美国东部时间早上7 ∶30到下午6∶00回答咨询, 并在其余时间接受紧急电话。如果你愿意,可以把本 书附录中的CERT事故报告表复印下来,填写并寄出。有关安全的信息还可以通过因 特网匿名FTP(certorg)来获得。 但是,如果黑客盗走你的数据,或者你发现有人从应收帐号中抽走了钱款,你 又该怎么做呢 ?这些犯罪是否能起诉,而不仅仅是报告呢?你的确可以这样做。 “读者们需要明白,如果他们成为计算机犯罪的受害者,他们不能仅仅打电话 给FBI或特工处, 并希望马上就有警察出现在门口。如果你今天给以上两个机构打 电话,最好的情况是,工作人员会写一份永远没有人读的报告,”特别警探安德森 说。 “多数受过训练处理计算机相关的证据的执法人员 (大约在北美洲有 500-600 人) ,在处理有关使用计算机作为犯罪工具的计算机证据。贩毒者使用计算机来进 行交易和洗钱;杀人犯使用计算机来记日记。计算机本身也是盗窃的目标。如果有 价值的数据未被备份并另外存放, 它们将可能因此永远丢失。FBI并不是专门处理 此类调查的。 大多数情况下,是本地的郡 州执法机构处理这些事件,99%的情况 你应该向他们求助。” 安德森说,坚持是最重要的。“你可能会遭到拒绝,但可能的情况是,要么是 当地警局、郡警局,要么是州警局,能帮助你保护证据。两者之一会调查或接手案 件。” 与计算机相关的犯罪同其他任何犯罪一样,要求我们积极行动起来减少其发生。 随着计算机 变得越来越普及, 问题肯定会继续存在下去。是该我们协助执法人员 来使赛博空间中恶劣的居民 服从命令的时候了。