网络调查技术(Network Investigative Technique)

作者:{Weedly}@ArkTeam

一、概述

网络调查技术(Network Investigative Technique,简称NIT)是FBI使用恶意软件、漏洞利用和各种黑客战术追踪罪犯的概括性术语。FBI自2002年就开始使用NIT,用于网络入侵、儿童色情、炸弹威胁、敲诈、恐怖主义等案件中,NIT也用于Tor暗网里的黑客追踪。由于最近NIT再次被FBI用于追踪Tor暗网里的一名性敲诈嫌犯,而备受关注。

二、原理

NIT其实应用的是Metasploit已停止开发的Decloaking Engine项目。Decloaking Engine使用了五种不同的方法绕过代理的设置直接访问计算机,从而破解匿名系统暴露用户计算机的真实IP地址。其中一种方法是与终端用户建立直接连接的Adobe Flash应用,FBI追踪暗网用户就是利用这种方法绕过Tor的保护,暴露用户的真实IP地址(图1)。Tor项目早知道这一弱点,所以一直建议用户不要安装Flash插件。


图1 NIT追踪暗网用户的原理

对于NIT的利用,必须先攻下该网站并植入攻击代码,等待攻击者来访问时实施攻击。NIT在网站部署后,就可以获取访问网站的用户计算机真实IP地址和计算机的注册信息。FBI在2012年的Operation Torpedo行动中,控制了三家暗网儿童色情网站的服务器后,向访问者的浏览器发送Flash应用,诱骗访问者提供真实的IP地址。除了获取IP地址外,NIT还可以获取计算机内的完整文件、网页浏览历史记录、网络摄像头活动等信息。

三、争议

FBI使用NIT追踪暗网用户的代码并非针对特定用户,而是针对网站的每个访问者。由于对第四修正案的隐私权滥用和未经授权访问用户计算机的侵犯,NIT备受争议。很多安全专家认为NIT等同于恶意软件,它能破坏Tor的加密匿名环境迫使用户计算机显示真实的IP地址。另一方面,政府也在扩大NIT的使用范围,但是目前只有法官能签发其所在司法管辖权内的NIT逮捕令,所以NIT收集的证据并非都有效。

发表评论

电子邮件地址不会被公开。 必填项已用*标注