Phần mềm giám sát của FBI trong vụ đe dọa đánh bom kiểm thử các giới hạn của hiến pháp

FBI surveillance malware in bomb threat case tests constitutional limits

Tài khoản Yahoo của nghi can nhằm vào các “liên kết Internet” được sử dụng để dõi theo các dịch chuyển trên Web của anh ta.

"Internet link" targeting suspect's Yahoo account used to track his Web movements.

by Dan Goodin - Dec 7 2013, 9:20am ICT

Theo: http://arstechnica.com/security/2013/12/fbi-surveillance-malware-in-bomb-threat-case-tests-constitional-limits/

Bài được đưa lên Internet ngày: 07/12/2013

Lời người dịch: Câu chuyện tưởng như chỉ có trong các tiểu thuyết trinh thám viễn tưởng, thì nay là sự thật. Bằng phần mềm, con người có thể truy lùng bất kỳ ai ở bất kỳ chỗ nào, miễn là họ có sử dụng máy tính và Internet. Đây là các trích đoạn một vụ truy tìm một nghi phạm đánh bom tên là Mo: “Đội các cao thủ ưu tú của FBI đã thiết kế một mẩu phần mềm độc hại mà từng được phân phối bí mật khi Mo đã ký vào một tài khoản thư điện tử Yahoo của anh ta, từ bất kỳ máy tính nào ở bất kỳ đâu trên thế giới, theo các tài liệu. Mục tiêu của phần mềm đó là để thu thập một dải các thông tin - các website mà anh ta đã viếng thăm và các chỉ số địa điểm của máy tính - mà có thể cho phép các nhà điều tra tìm thấy Mo và trói anh ta vào với các mối đe dọa đánh bom”. Bạn rất nên đọc hết bài viết này. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

FBI có một đội cao thủ ưu tú tạo ra các phần mềm độc hại được tùy biến để xác định hoặc theo dõi các nghi can có giá trị cao, những người giỏi trong việc lần ra các dấu vết của bọn chúng trên trực tuyến, theo một báo cáo được xuất bản.

Sự phức tạp đang gia tăng đối với phần mềm gián điệp - chúng có thể báo các địa điểm địa lý của người sử dụng và kích hoạt từ xa một máy quay của máy tính mà không làm bật lên ánh sáng mà làm cho những người sử dụng biết nó đang ghi - đang đẩy tới các ngưỡng giới hạn của hiến pháp về tìm kiếm và chiếm đoạt, tờ Washington Post đã nêu trong một bài báo được xuất bản hôm thứ sáu. Các bình luận so sánh nó với một tìm kiếm vật lý mà chiếm đoạt một cách bừa bãi toàn bộ nội dung của một ngôi nhà, hơn là chỉ những khoản có liên quan tới một tội phạm bị tình nghi. Các cựu quan chức Mỹ nói FBI sử dụng kỹ thuật đó một cách dè xẻn, một phần để ngăn ngừa nó khỏi việc được biết tới một cách rộng rãi.

Bài báo 2.000 từ kể về một cuộc săn lùng của FBI đối với “Mo”, một người đã thực hiện một loạt các mối đe dọa bằng thư điện tử, video chat, và một dịch vụ tiếng nói Internet để kích nổ các quả bom ở các trường đại học, sân bay và khách sạn khắp nơi tại Mỹ năm ngoái. Sau khi theo dõi các số điện thoại, và kiểm tra các địa chỉ IP được sử dụng để truy cập các tài khoản, các nhà điều tra từng không tới gần để biết người đàn ông đó là ai hoặc thậm chí anh ta từng nằm ở đâu trên thế giới. Sau đó, các quan chức đã cố gắng làm thứ gì đó mới.

“Đội các cao thủ ưu tú của FBI đã thiết kế một mẩu phần mềm độc hại mà từng được phân phối bí mật khi Mo đã ký vào một tài khoản thư điện tử Yahoo của anh ta, từ bất kỳ máy tính nào ở bất kỳ đâu trên thế giới, theo các tài liệu“, các phóng viên Craig Timberg và Ellen Nakashima đã viết. “Mục tiêu của phần mềm đó là để thu thập một dải các thông tin - các website mà anh ta đã viếng thăm và các chỉ số địa điểm của máy tính - mà có thể cho phép các nhà điều tra tìm thấy Mo và trói anh ta vào với các mối đe dọa đánh bom”.

Phần sau của bài báo đó, họ đã chi tiết về cuộc tấn công đó:

Thẩm phán liên bang Kathleen M. Tafoya đã phê chuẩn quyền tìm kiếm của FBI yêu cầu vào ngày 11/12/2012, gần 5 tháng sau khi cuộc gọi đe dọa đầu tiên từ Mo. Lệnh này đã trao cho FBI 2 tuần cố gắng kích hoạt phần mềm giám sát được gửi cho địa chỉ thư điện tử texan.slayer@yahoo.com. Điều mà tất cả các nhà điều tra cần, dường như là, để Mo ký vào tài khoản của anh ta và, hầu như ngay lập tức, phần mềm đó đã bắt đầu báo cáo thông tin ngược về cho Quantico.

Các rào cản về hậu cần đã chứng minh thậm chí còn phức tạp hơn các rào cản pháp lý. Sự cho phép tìm kiếm đầu tiên yêu cầu làm hỏng địa chỉ thư điện tử Yahoo đối với Mo, trộn một bức thư duy nhất và nhắc đệ trình một yêu cầu được làm cho đúng. Một cập nhật phần mềm cho một chương trình mà phần mềm giám sát từng lên kế hoạch để ngắm đích, trong khi chờ đợi, đã dấy lên những nỗi sợ hãi về một sự cố, ép FBI tạo dáng lại cho phần mềm độc hại của mình trước khi gửi nó cho máy tính của Mo.

Lệnh đó cho phép một “liên kết web trên Internet” mà có thể tải về phần mềm giám sát vào máy tính của Mo khi anh ta ký vào tài khoản của Yahoo. (Yahoo, khi được hỏi từ Washington Post, đã đưa ra một tuyên bố nói hãng đã không biết về vụ việc và đã không hỗ trợ theo bất kỳ cách gì).

Phần mềm giám sát từng được gửi qua Internet vào ngày 14/12/2012 – 3 ngày sau khi lệnh đó được ban hành - nhưng chương trình của FBI đã không hoạt động đúng, theo một tài liệu của tòa án được đệ trình vào tháng 2.

“Chương trình đó ẩn trong một liên kết được gửi tới texan.slayer@yahoo.com đã thực sự không bao giờ thực hiện được như được thiết kế”, một mật vụ liên bang đã nói trong một lưu ý viết tay cho tòa án.

Nhưng, nói nêu, máy tính của Mo đã gửi đi một yêu cầu thông tin cho máy tính của FBI, tiết lộ 2 địa chỉ IP mới trong quá trình đó. Cả 2 gợi ý rằng, vào tháng 12 năm ngoái, Mo vẫn còn ở Tehran.

Bài báo không nói chính xác dạng khai thác nào các cao thủ của FBI đã nhúng vào thư điện tử đó. Chi tiết về cuộc tấn công làm việc ngay khi Mo đã ký vào tài khoản của anh ta gợi ý nó có thể đã liên quan tới một tập lệnh (scripting) xuyên các site hoặc một sự giả mạo yêu cầu xuyên các site, có khả năng được sử dụng trong sự kết hợp với các kỹ thuật khác. Đó là điều phỏng đoán thuần túy và có thể là sai.

Nó không có nghĩa là lần đầu tiên các nhà điều tra của chính phủ đã sử dụng các cuộc tấn công máy tính để theo dõi các nghi can. Vào năm 2007, nhà cung cấp thư điện tử được mã hóa Hushmail đã chuyển 12 đĩa CD có giá trị của các thư điện tử từ 3 tài khoản người sử dụng trong một vụ nhằm vào sự phân phối các chất hữu cơ bất hợp pháp, một nhà báo của Wired đã nêu khi đó. Một CTO của Hushmail đã nói xuất bản một chỗ bị tổn thương chung trong một dịch vụ có liên quan tới khả năng lưu ký một mật khẩu dạng văn bản thô khi người sử dụng truy cập dịch vụ đó. Vào tháng 8, tạp chí Phố Uôn đã nêu một thẩm phán liên bang ở Houston đã từ chối một yêu cầu của FBI để gửi phần mềm giám sát tới một nghi can trong một vụ khác. Kế hoạch đó, nó có liên quan tới việc kích hoạt một máy quay được xây dựng sẵn của kẻ bị tình nghi, từng là “cực kỳ bừa bãi” và có thể vi phạm Sửa đổi bổ sung Số 4 về kiềm chế tìm kiếm và chiếm đoạt, thẩm phán này nói.

“Chúng ta đã chuyển thành một thế giới nơi mà sự ép tuân thủ luật đang đột nhập vào các máy tính của mọi người, và chúng ta không bao giờ có sự tranh luận công khai”, Christopher Soghoian, nhà công nghệ nổi tiếng của Liên đoàn Tự do Dân sự Mỹ, đã nói cho tờ Washington Post, khi nói về vụ chống lại Mo. “Các thẩm phán đang phải tạo ra các sức mạnh đó trong quá trình họ làm việc”.

The FBI has an elite hacker team that creates customized malware to identify or monitor high-value suspects who are adept at covering their tracks online, according to a published report.

The growing sophistication of the spyware—which can report users' geographic locations and remotely activate a computer’s camera without triggering the light that lets users know it's recording—is pushing the boundaries of constitutional limits on searches and seizures, The Washington Post reported in an article published Friday. Critics compare it to a physical search that indiscriminately seizes the entire contents of a home, rather than just those items linked to a suspected crime. Former US officials said the FBI uses the technique sparingly, in part to prevent it from being widely known.

The 2,000-word article recounts an FBI hunt for "Mo," a man who made a series of threats by e-mail, video chat, and an Internet voice service to detonate bombs at universities, airports, and hotels across a wide swath of the US last year. After tracing phone numbers and checking IP addresses used to access accounts, investigators were no closer to knowing who the man was or even where in the world he was located. Then, officials tried something new.

"The FBI’s elite hacker team designed a piece of malicious software that was to be delivered secretly when Mo signed onto his Yahoo e-mail account, from any computer anywhere in the world, according to the documents," reporters Craig Timberg and Ellen Nakashima wrote. "The goal of the software was to gather a range of information—Web sites he had visited and indicators of the location of the computer—that would allow investigators to find Mo and tie him to the bomb threats."

Later in the article, they elaborated on the attack:

Federal magistrate Judge Kathleen M. Tafoya approved the FBI’s search warrant request on Dec. 11, 2012, nearly five months after the first threatening call from Mo. The order gave the FBI two weeks to attempt to activate surveillance software sent to the texan.slayer@yahoo.com e-mail address. All investigators needed, it seemed, was for Mo to sign onto his account and, almost instantaneously, the software would start reporting information back to Quantico.

The logistical hurdles proved to be even more complex than the legal ones. The first search warrant request botched the Yahoo e-mail address for Mo, mixing up a single letter and prompting the submission of a corrected request. A software update to a program the surveillance software was planning to target, meanwhile, raised fears of a malfunction, forcing the FBI to refashion its malicious software before sending it to Mo’s computer.

The warrant authorizes an "Internet web link" that would download the surveillance software to Mo’s computer when he signed onto his Yahoo account. (Yahoo, when questioned by the Post, issued a statement saying it had no knowledge of the case and did not assist in any way.)

The surveillance software was sent across the Internet on Dec. 14, 2012 — three days after the warrant was issued — but the FBI’s program didn’t function properly, according to a court document submitted in February,

"The program hidden in the link sent to texan.slayer@yahoo.com never actually executed as designed," a federal agent reported in a handwritten note to the court.

But, it said, Mo’s computer did send a request for information to the FBI computer, revealing two new IP addresses in the process. Both suggested that, as of last December, Mo was still in Tehran.

The article doesn't say exactly what kind of exploit FBI hackers embedded in the e-mail. The detail about the attack working as soon as Mo signed onto his account suggests it may have involved a cross-site scripting or cross-site request forgery, possibly used in combination with other techniques. That's pure speculation that could very well turn out to be wrong.

It's by no means the first time government investigators have used computer attacks to track down suspects. In 2007, encrypted e-mail provider Hushmail turned over 12 CDs-worth of e-mails from three account users in a case targeting illegal steroids distribution, a Wired journalist reported at the time. A Hushmail CTO told the publication of a general vulnerability in the service that involved the possible logging of a plain-text password when the user accessed the service. In August, The Wall Street Journal reported a federal magistrate in Houston rejected an FBI request to send surveillance software to a suspect in a different case. The plan, which involved activating a suspect's built-in camera, was "extremely intrusive" and could violate the Fourth Amendment curbs on searches and seizures, the magistrate said.

"We have transitioned into a world where law enforcement is hacking into people’s computers, and we have never had public debate,” Christopher Soghoian, principal technologist for the American Civil Liberties Union, told The Washington Post, speaking of the case against Mo. "Judges are having to make up these powers as they go along."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com