Facebook帮助FBI利用安全Linux发行版中的漏洞

Facebook安全人员和工程师帮助FBI追踪到了一个臭名昭著的儿童掠夺者，他们帮助一家第三方公司在专注于安全的Linux操作系统Tails版本中开发了一个漏洞，这是Inno周三的一篇报道。但他们悄悄地这样做，事后没有通知Tails的开发者重大安全漏洞，在将监控后门交给联邦特工的同时，可能违反了安全行业规范。

据副总裁称，Facebook多年来一直在追踪一名嫌疑人，此人经常使用该平台敲诈年轻女性获取裸照和视频，并向她们发送强奸、爆炸和校园大规模枪击事件的威胁-加州男子巴斯特·埃尔南德斯(Buster Hernandez)，他于2017年8月被起诉并逮捕，最近承认了41项指控，这些指控可能会让他在监狱中度过余生。法庭文件显示，埃尔南德斯化名“布莱恩·基尔”(Brian Kil)，多年来以数百名未成年女孩为目标，进行勒索和恐怖威胁。据报道，除了Facebook之外，他还吸引了FBI在多个地点的外地办事处的注意。

赫尔南德斯之所以能够逃脱捕获这么长时间，是因为他使用了Tails，这是一种专为处于高监控风险的用户设计的Linux版本，它通过开源的Tor网络路由所有入站和出站连接，以将其匿名化。根据“副”的说法，联邦调查局曾试图侵入赫尔南德斯的电脑，但失败了，因为他们使用的方法“不是为Tails量身定做的”。两名Facebook员工告诉West，赫尔南德斯随后在随后的信息中嘲笑FBI。

Facebook已经指派了一名专职员工来揭开赫尔南德斯的面纱，开发了一个自动系统来标记最近创建的给未成年人发信息的账户，并将抓获赫尔南德斯作为其安全团队的优先事项。他们还向第三方承包商支付了“六位数”的费用，让其帮助开发Tails的零日漏洞：Tails视频播放器中的一个漏洞，使他们能够检索观看剪辑的人的真实IP地址。三名消息人士告诉West，一名中间人将工具传递给FBI，FBI随后获得了搜查令，让其中一名受害者向Hernandez发送修改后的视频文件(该机构以前曾使用过这一策略)。

目前还没有明确的证据表明FBI是否知道这一漏洞部分是由Facebook开发的，这让人想知道它计划在多大程度上参与其中。在另一家公司的产品中开发漏洞也存在明显的道德问题，特别是Tails，它的设计考虑到了用户的安全，包括记者、举报人、跟踪受害者和政治活动家。

Facebook也从未向Tails团队通报漏洞突破的情况，这是一个悠久的行业披露传统，即相关开发人员在漏洞公开之前就会收到通知，这样他们就有机会实施修复。消息人士告诉West，由于即将发布的Tails更新计划删除易受攻击的代码，Facebook并没有费心这么做，尽管这家社交媒体公司没有理由相信Tails开发者曾经发现过这个漏洞。

Facebook的一些现任和前任员工知道帮助联邦调查局的决定是至关重要的，其中一人告诉“罪恶”杂志，“私人公司购买零日追捕罪犯的先例”是“一团糟”，“像地狱一样粗略”。其他人告诉该网站，这是在万不得已的情况下做出的决定，并没有开创先例，其中一人表示，这是一件“正确的事情”，其他公司不会愿意“(花费)大量的时间和资源来试图限制一个坏人造成的损害。”

此次行动的消息传出之际，一些国会议员、联邦调查局(FBI)和司法部(Department Of Justice)和国土安全部(Homeland Security)等其他联邦机构一直在对端到端加密发出警告，要求科技公司在他们的产品中安装监控后门。

这样做不仅会导致政府对私人通信进行更密集的大规模监控，而且如果利用这些后门的钥匙落入坏人手中，那将是一场安全噩梦。Facebook还与迫使其损害自身产品安全的其他企图进行了斗争，成功挫败了一个禁毒特别工作组的命令，即该公司窃听其Messenger产品，以抓获MS-13团伙成员。目前在国会流传的一项法案将创建一个由19名成员组成的非民选委员会，该委员会可以为互联网公司设定所谓的最佳标准，如果它们达不到标准，就会对它们进行惩罚，这被广泛解读为绕过了许多公司拒绝建立监控后门的最后一搏。

目前还不清楚联邦调查局是否可以在其他案件中利用这一漏洞，或者是否可以将其传递给其他联邦机构。

参议员罗恩·怀登(Ron Wyden)告诉“副”杂志，“FBI是否在其他案件中重复使用了它？它是否与其他机构分享了这个漏洞？它是否提交了零日供机构间漏洞公平进程审查？很明显，政府如何使用黑客工具，以及现有规则是否提供了足够的护栏，需要更多的阳光。“。

“我们唯一可以接受的结果是巴斯特·赫尔南德斯因虐待年轻女孩而面临责任，”脸书的一位发言人告诉“罪恶”杂志。“这是一个独特的案例，因为他使用了非常复杂的方法来隐藏自己的身份，所以我们采取了非常措施，与安全专家合作，帮助联邦调查局将他绳之以法。”