【侦察思路】神盾剧说:《CSI:CYBER》

安恒神盾局 2021-08-22 04:36:12 2938人浏览

今天是周五,为您带来涉网犯罪好剧解说~

美剧《犯罪现场调查:网络》于2015年3月4日开播,围绕FBI与黑客之间的博弈展开剧情,聚焦网络犯罪案件侦查和打击。

CSI:Cyber的开头,女主Avery的自白到,从未想过网络犯罪早已渗透进生活的方方面面,飘渺无踪的犯罪分子,早已潜藏在我们这些设备里。一个案件,每个人都有可能变成下一个受害者。

Infiltrating our daily lives in ways, 

we never imagined. 

Faceless, nameless, 

lurking inside our devices.

 Just a keystroke away.
it can happen to you…

事隔6年再回看这部美剧,虽然技术细节上存在疏漏,但不可否认的是,它确实揭开了网络犯罪侦查的一角。很多案例放到今天来看,仍具有参考意义。

 

今天就为您解说CSI:Cyber第一季第二集的剧情,技术内容主要涵盖:可编程逻辑控制器(PLC)、蓝牙发射器、暗网等。

#01

过山车伤人事件

在弗吉尼亚州的一个小游乐园内,一列正在运行未能减速的列车俯冲而下,与平台上刚停稳的列车相撞,造成3人死亡、1人重伤、16人轻伤的惨案。

出现事故的过山车拥有大规模的保护措施:在100多个轨道接口都装有传感器,就是用于紧急制动,以防事故发生。

 

因此,主角团推断这不是一次机器失灵的意外,而是有人蓄意修改过山车控制器代码的恶性伤人事件。

现场调查发现过山车控制器没有检测到风险的记录,因此自动防故障装置未启动。

 

前黑客Nelson提出有心之人可以写出源代码对过山车实施远程攻击,让自动防故障装置失效的“黑客论”。

 

但技术专家Krumitz表示不可能,因为公园没有WIFI和蓝牙,所以控制器完全被物理隔离了,嫌疑人必须要进入控制室才能完成入侵。

控制室是有门禁的,只有内部员工才有权限进出。此时出现两种侦查思路:1.嫌疑人是游乐园内部员工;2.嫌疑人盗用了游乐园员工信息。

 

通过分析门禁记录,主角团发现案发时一分钟内有17个不同员工试图进入同一扇门。真的游乐园员工是知道自己的权限可以打开哪扇门,这种异常记录说明嫌疑人是外人。

主角团推断嫌疑人采用了一种盗刷手法:通过通过修改公园出入口的识别器获取到员工信息,进而复制出能够进入控制室的内部员工门禁卡。

 

#02

蓝牙发射器

Krumitz对事故服务器进行拆解分析,找到了造成事故发生的设备“单板计算机”。

 

简单来说,嫌疑人把这台”单板计算机“伪装成嵌板,放入控制室的可编程逻辑控制器(PLC)里,因为和其他嵌板长相相似,因此并没有引起运维人员的注意。

单板计算机上的蓝牙发射器,使得本来被完全物理隔离的控制室能与其他网络设备连接。嫌疑人只要在18米的范围内利用蓝牙,向单板计算机发送指令,就能操纵过山车控制器,使得自动防故障装置无法响应。

 

根据视频分析,现场没有拿着特殊设备的人员,可以推测,嫌疑人为了隐藏自己的身份,用的是手机这种常见物品。

但聪明反被聪明误,每一台蓝牙设备,都有独一无二的12位十六进制的MAC地址。主角团通过解析现场遗留的无线设备,找到了目标的专属蓝牙地址,为后续抓捕行动提供了主动出击的机会。

#03

犯罪论坛

Avery根据蓝牙发射器的作用范围为18米,推测出嫌疑人当时就在案发现场,他要亲眼见证这场血腥暴力事件。

 

由此可以推断,嫌疑人是一个为血腥兴奋的变态,制造事故是为了自我满足。而他还需要一个鼓励暴力冲动的论坛来认可自己这种不被世俗接受的欲望。

Nelson在暗网中找到一个暴力色情论坛,通过图片搜索,在这个论坛上找到发布过山车事件现场视频的人——Otto。

 

Otto一直想进入论坛的内部区,而过山车事件就是他进入内部区的投名状。

3条人命对这群变态而言,不过是一场游戏,管理员甚至还觉得死去的人不够多,拒绝了Otto加入内部区的请求。这也诱发了Otto第二次犯罪——波士顿地铁伤人事件。

#04

波士顿地铁伤人事件

Nelson伪装成暗网论坛管理员与Otto对话,通过诱导式询问,主角团发现Otto预计在下班高峰期造成波士顿地铁撞击终点站台事故,他本人也将在现场录制视频。

Otto故技重施,通过蓝牙控制了地铁PLC,一车人的生命危在旦夕。把电路板拆下后,武力担当Elijah当机立断地切断了蓝牙信号,成功阻止了Otto的犯罪活动。

与此同时,Avery通过蓝牙适配器,嗅探到Otto用来发射蓝牙信号的手机就在附近,立马展开的抓捕行动,一个视人命如草芥的恶魔终于落网,本集的案件也告一段落。

#05

神盾局说

本集内容涉及到的犯罪手段和侦查技巧总结如下:

1

嫌疑人在过山车和地铁控制器上加装蓝牙发射器,再通过手机发送蓝牙指令,就能造成过山车和地铁防故障装置失灵,导致案件发生。

侦查小贴士:

1.警方应该对事故现场设备进行仔细分析,如果利用了蓝牙发射器,那么也一定会留下嫌疑人对应的蓝牙设备地址信息。虽然不能直接定位到本人,但在现场抓捕行动中,能快速定位嫌疑人的方位。

2.此类犯罪需要嫌疑人提前进入控制室布置,巡检人员应该强化安全意识,设备数量、零部件的变换及门禁的异常访问记录都应该引起警觉。

2

出于一种变态的心理需求,嫌疑人在现场关注凶案发生全过程,并且暗网论坛上发布凶案现场视频和照片博人眼球。

侦查小贴士:

1.嫌疑人冒着暴露自己的风险,也要在现场实施犯罪,在一定程度上说明嫌疑人是个价值观扭曲的变态,杀人动机也是为了满足自己变态的需求。

2.此类心理变态完成犯罪后,还会在固定的圈子“炫耀”自己的罪行,可以根据案件搜索特定暗网论坛、社区、群聊,缩小排查范围。

3.本集使用受害人照片在论坛中进行图片搜索,这种通过匹配受害者信息,反向追踪嫌疑人的方法,在现实的案件侦查过程中也可以复用。

3

剧中嫌疑人Otto实施两次实施犯罪都是为了得到管理员的认可,进入论坛内部区。

侦查小贴士:

1.暗网最大的危害性就在于教唆犯罪。暗网管理员设立分级制度,把暗网内成员分为三六九等。以提升地位为诱饵,诱使更多的人犯罪,情节恶劣程度不断加深。

2.暗网论坛管理员具有很高的地位,剧中主角团就是伪装成管理员,采用套话的形式得知Otto下一次犯罪计划从而在现场实施抓捕。然而,这个方法实际可行性较低,更推荐的还是使用之前《60s科普:互联网世界的深渊是什么?》提到的刺探工具,选择警企合作,更加高效的打击暗网犯罪!

侦察思路
    2条评论
    我不困,我精神抖擞
    看剧学习……真好
    3年前
    匿名用户
    擦。我居然看完了~~~
    3年前
    1
    2
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。