作者:Todd Feathers
2020年8月的一个晚上9点刚过,Kimberly Thompson和Brian James将车停在了俄亥俄州阿克伦的一个车道上,下车后便遭遇了一阵枪林弹雨。他们的腿部中弹,被迅速送往医院,幸存下来但汤普森20个月大的孙子泰里·哈尔斯尔,当时仍然坐在车里,头部中弹,重伤濒死。
事件发生后,阿克伦警方从附近地区收集了视频 footage,并请求公众帮助识别两名接近受害者、开枪射击然后驾驶卡车逃离的男子。几个月内,侦探们锁定了一名嫌疑人菲利普·门多萨,并获得了对他的手机定位数据进行搜查的许可,该数据来自 Sprint 公司。根据法庭记录他们还对谷歌发出了一份地理围栏令,要求提供那些在案发地点附近出现的设备的GPS、Wi-Fi或蓝牙记录的相关信息。这两份令状都没有找到任何证据显示门多萨及其设备当晚出现在发生枪击事件的第五大道1200街区。
调查一直停滞到2022年8月,当时阿克隆警方收到一份三页的文书报告包含他们一直在寻找的证据。这来自一家鲜为人知的加拿大公司,名为Global Intelligence,该公司在过去几年里一直向美国各地的警察部门出售一项非凡的服务。
全球情报公司声称,仅使用开源数据——无需搜查令的公开信息以及一套超过700个算法,其Cybercheck系统据称可以通过检测无线网络和接入点来实时定位或在过去特定时间定位一个人,这些无线网络和接入点与该人的“网络档案”有交互。该公司创始人亚当·莫斯赫在宣誓作证时表示,整个过程完全自动化,在调查人员将案件的基本细节输入Cybercheck门户到系统生成识别嫌疑犯及其位置的报告这段时间内无需人工干预。
如果该技术如宣传的那样有效,那么全球智能正以低至每案309美元的价格向警察部门出售此前未知的强大监控能力,这些能力可以与国家级情报机构使用的开源工具相媲美。但《连线》杂志基于数百页的法庭文件、证词、访谈和警方记录对从加利福尼亚到纽约涉及Cybercheck的调查进行审查后发现,Cybercheck实际上是一个效果差得多的工具——它在一些高调案件中提供的证据要么明显不正确,要么无法通过其他方式验证。
开源情报专家向《连线》杂志透露,Cybercheck 提供给执法部门的许多信息使用公开来源数据是不可能获取到的。事实上,在过去的几个月里,Global Intelligence 在俄亥俄州的工作已经逐渐消失,检察官最终决定不在包括门多萨案在内的几起谋杀案中使用 Cybercheck 报告作为证据。
“要么他们在某种程度上做了些什么”少数派报告“现在,或者这只是胡说八道,”纽约州奥尔巴尼州立大学开源情报实验室主任斯蒂芬·科尔索特在接受《连线》杂志要求审查Cybercheck报告和莫斯勒在《连线》上的证词后说道。
在2022年11月的一次庭审中,Mosher作证了据称,自2017年以来,345个不同的执法机构使用Cybercheck进行了大约24,000次搜索。WIRED识别了多于十几起涉及Cybercheck的案件,其中包括13起案件中检察官打算在庭审中将Cybercheck报告用作证据。在两起法院允许将Cybercheck报告作为庭审证据采纳的案件中,结果是谋杀罪定罪。
我们通过Cybercheck发现的机构从小郊区警察部门到县治安官和州警察都有。涉嫌的犯罪行为从与儿童色情材料相关的案件到驾车枪击案,以及困扰社区数十年的悬而未决案件不等。例如,去年纽约州警察逮捕了一名谋杀案嫌疑人收到证据后根据起诉书,据称他在大约20年前谋杀案发生的当晚,在关键地点放置了他的手机,这是Cybercheck调查的一部分。该案计划于2025年进行审判。
虽然莫斯赫多次作证谈及Cybercheck,但他关于算法所依赖的数据来源以及它们如何得出结论的解释并不能完全说明Cybercheck生成报告的能力。Global Intelligence没有回答《连线》杂志有关谁设计了Cybercheck的算法或该公司使用什么数据来训练这些算法的问题。当被问及该工具是如何确定一个人的网络档案曾在某一特定无线网络上活动——很多时候是在事件发生多年后——一名未具名的Global Intelligence员工在一封电子邮件中写道:“关于无线网络交互并没有具体单一的信息来源。”
2022年,在哈尔塞尔在阿克伦被枪杀后的两年多时间里,Cybercheck为警方制作了一份报告,声称门多萨的网络资料曾在晚上9点后触发了位于第五大道1228号附近的两个无线互联网设备的信号。根据莫斯赫的证词,一个网络资料是由名字、别名、电子邮件地址、电话号码、IP地址、Google ID以及其他在线标识符组合而成的独特数字指纹。
Summit County的检察官以谋杀罪起诉了Mendoza。但是当Mendoza的辩护律师Donald Malarcik查阅Cybercheck报告时,他发现了一个问题。据称负责将信息输入Cybercheck系统的警局员工犯了一个错误:他们询问系统是否能在2020年8月20日当天找到Mendoza在现场。而实际上枪击案发生在8月2日。尽管时间不对,Cybercheck依然声称能以93.13%的准确率在5th Avenue 1228号找到Mendoza。更让Malarcik感到困惑的是,在第一次报告之后的某个时刻,Cybercheck又生成了另一份报告它在所有方面都与第一份报告完全相同——从MAC地址(这些是分配给联网设备的唯一标识符)到门多萨据称在射击事件发生时的网络档案所发出的信号的时间,以及准确性评分——唯一的不同是它有正确的射击日期。
传票提供的证据并未显示门多萨的设备或账户出现在案发现场。但根据Cybercheck完全自动化的算法,门多萨的网络档案在枪击事件发生时确实在第五大道1228号,并且在同一天的同一时间、持续相同的时间长度、连接相同的无线网络的情况下,在18天后再次出现在了同一个地点。
匿名的Cybercheck员工回应《连线》杂志提问时表示,该公司坚持认为梅迪纳案件中两份报告的准确性。“在同一地点不同日期使用同一设备拥有相同的网络配置文件并不罕见,”他们写道。
马拉奇克提交了一份动议,要求检察官在另一份已生成报告的案件中提供Cybercheck公司的软件。他还传唤了莫斯赫,并聘请了一名数字取证专家试图审查与门多萨有关的两份Cybercheck报告中的代码。他告诉《连线》杂志,在另一起案件中,据称所有专家看到的只是一些用于在网络上搜索关于某个主题的信息的程序的几百行代码——这和莫斯赫在审前听证会上所作的关于100万行代码及超过700个算法的证词完全不同。
“这相当于你在谷歌搜索时会做的事情,”Malarcik声称。“我们没有看到的是秘密配方,即Mosher所说的机器学习技术,它将这些数据点转化为智能信息,确定某个网络配置文件的位置。这就是他从未向我们披露的内容。”
莫斯赫和全球智能没有回应《连线》关于马拉奇克说法的问题。
马拉奇克请求法院举行所谓的道伯特听证会,以确定莫斯赫关于Cybercheck调查结果的证词是否足够可信,可以在门多萨案件中作为证据使用。在听证日期前两天, Summit县检察官决定不将Cybercheck用作证据。从那时起,检方办公室已经在另外三起涉及四名被控谋杀罪男子的案件中撤回了Cybercheck报告,这些报告本可能作为证据提出,马拉奇克和法庭记录显示。八月初,门多萨认罪,并且判刑服至少15年的15至20.5年刑期。
布拉德·格斯纳,Summit县检察官的主要法律顾问告诉《连线》杂志:“在我们与Cybercheck进行的并进入审判阶段的案件中,Cybercheck发现的情况与实地侦探发现的情况一致。”那些情况是吻合的。
总计,该办公室在阿克隆警察局提交的10起案件中使用过或打算使用Cybercheck报告,Gessner说。阿克伦灯塔期刊以及 NBC新闻是第一个报道该县使用该工具的。
summerville时报,谢菲尔德警长办公室确认了阿克伦信使期刊本月它正在调查Mosher是否在作证时撒谎,但没有提供其他细节。
在其他案件中——萨拉赫·马迪和阿达鲁斯·布莱克的谋杀案审判——辩护律师没有质疑使用Cybercheck,结果导致了有罪判决。这两个有罪判决都在上诉法院得到了维持。
从那时起,审理Javion Rankin、Deair Wray、Demonte Carr和Demetrius Carr谋杀案的法官裁定,除非Global Intelligence向被告提供其源代码,否则Cybercheck不能作为证据提交。然而,Summit County地区检察官办公室对其中几项裁决提出了上诉,在九月份,俄亥俄州的一个上诉法院裁定初审法院在以与该技术有效性无关的理由排除Cybercheck报告作为证据时犯了错误。
在其他司法管辖区,《WIRED》发现,检察官也决定不使用Cybercheck报告,或者是在辩护律师审查了调查结果和莫斯赫的证词后撤销了对被告的指控。
2021年,德克萨斯州米德尔兰县的治安官副手正在调查一名女子被谋杀的案件,该女子的尸体在路边田野中被发现并已被烧毁。副手们因其他指控逮捕了受害者的前男友塞尔吉奥·塞纳。据一份诉状称,在搜查他的手机时,他们发现了他威胁受害者的信息,包括这样一段文字:“你的车将被烧掉,然后你就是下一个。”但是他们没有找到能将塞纳与犯罪现场联系起来的证据。
警长办公室向Cybercheck求助并收到了一份报告报告声称算法以97.25%的准确率确定了Cerna的网络档案在受害者尸体被发现当天触发了犯罪现场附近的一台无线激光打印机。检察官希望将该报告作为证据用于Cerna的审判,但他的辩护律师请求举行Daubert听证会。在听证会进行了一半且辩护方尚未对Mosher交叉询问之前,助理地方检察官Lisa Borden决定不在审判中使用Mosher的证词或Cybercheck报告。
“我们需要能够验证那份数据的真伪,”她告诉《连线》杂志,但在Daubert听证会举行时,Cybercheck在其报告中所识别的打印机已经无法找到。据法院记录和全球情报公司称,这是Cybercheck在美国唯一一次被提交到Daubert听证会上的情况。
密歇根州的一位陪审团在三月判决塞尔纳有罪,并判处他终身监禁。塞尔纳的律师表示他会上诉。
在科罗拉多州,关于Mosher和Cybercheck的问题先于检察官撤销对一名被告的指控并封存案件文件而出现,据执法部门称,该案件涉及儿童性虐待材料(CSAM)。在得知当地地方检察官办公室计划在庭审中提交Cybercheck证据,并传唤Mosher作为专家证人后,辩护律师Eric Zale聘请了私人调查员来调查Mosher的背景。
莫斯赫告诉博尔德县法院,据泽勒所述,他此前曾在加拿大两起涉及儿童色情材料的案件中作为专家证人出庭作证。上诉简报马拉奇克为另一个客户提交的文件中包含了一份在发现阶段共享的网络检查报告。但在接到扎勒调查员的联系后,其中一个加拿大案件中的检察官联系了博尔德县的检察官表示莫舍从未被要求以任何身份作证。被告与莫舍有关联,在审判的第一天就认罪了。一位熟悉另一宗加拿大案件的检察官致函法庭称,针对莫舍向法官声称自己出庭作证的那人的指控从未提出过。
扎勒指控莫斯赫在“利用这种技术圣杯来诱骗地方执法部门、法官和检察官,坦率地说还有些辩护律师依赖于Cybercheck的技术。”
莫舍没有回应《连线》关于扎勒声称的评论请求。全球情报公司并没有否认莫舍声称自己在这两起加拿大案件中作为专家作证的说法。
“Mosher先生当时觉得他需要传达所有法院参与活动,包括提供关于调查的陈述,”这位未具名的Global Intelligence员工写道。“其他检察官在之前的庭审中审查过此事,认为这一事件更像是一个翻译问题,而不是某种不当行为。”
WIRED 请求了那些检察官的名字但没有收到回复。
俄亥俄州和得克萨斯州面临的挑战在于Cybercheck的一个不同寻常的特点,这一特点使其与其他数字取证工具区别开来:自动系统不会保留其发现的支持证据。正如Mosher在多个司法管辖区作证时所言,在宣誓下证实,Cybercheck不记录它的数据来源、它如何在不同的数据点之间建立联系,或者它是如何具体计算其准确率的。
以门多萨为例,没有人确切知道Cybercheck是如何确定电子邮件地址“ladypimpjuice625@aol.com这句话属于门多萨。全球智能也没有解释系统究竟是如何确定门多萨的网络档案触发了第五大道1228号附近的无线设备。
Mosher 作证说,Cybercheck 在其搜索过程中保留的唯一信息是它认为与调查相关的信息,所有这些信息都包含在其自动生成的报告中供调查人员使用。其他任何内容,包括可能与特定电子邮件地址或在线别名的所有者身份相矛盾的信息,则据称由算法处理并用于计算 Cybercheck 报告中包含但未存档的准确性得分。
“当我们被问及是否保存我们抓取的所有文物和所有数据时——我们实际上无法做到这一点,因为这些数据量是数泽字节(zettabytes),”莫斯赫在2024年1月19日德克萨斯州Daubert听证会上作证。一泽字节相当于超过1万亿吉字节。
莫斯赫作证说,Cybercheck 不需要展示其工作过程,因为它的结论来源于任何人都可以通过适当的开源情报(OSINT)培训在网上找到的开源数据。
莫舍在 Summit County 对阿达鲁斯·布莱克的谋杀案审判中作证说:“如果你把那份[Cybercheck]报告交给一个精通网络空间和机器学习的调查员,他们将会得出完全相同的结果。”
罗布·李是一位开源情报(OSINT)专家,并且是SANS研究所的研究与教学负责人,该机构是一家领先的网络安全和信息安全培训提供商。根据莫斯勒的简历和法庭证词,在创立环球智能之前,莫斯勒参加了超过十门SANS学院提供的课程。
应WIRED的要求,李和他在SANS研究所的团队审查了Cybercheck报告以及莫斯勒在宣誓下提供的系统的描述。他们认为,报告中的一些信息极不可能是从公开来源收集到的。
具体来说,要确定某个设备何时连接了无线网络,分析人员要么需要物理拦截信号,要么需要访问该设备或网络的日志,而这些都不是开源的。这种类型的访问需要搜查令。
李告诉《连线》杂志:“Cybercheck的算法过程中缺乏同行评审和透明度,这让我质疑用于准确画像和地理位置定位的数据集的有效性、充分性和合法性。”“仅使用开源数据而不进一步验证工具的方法和数据来源就声称能达到这种级别的准确性是非常可疑和值得怀疑的。”
一位Global Intelligence的员工向WIRED透露,执法部门与“开源情报领域的行业分析师和专家合作,这些人手动复制并验证我们报告中的情报数据。”他们补充说,“调查和起诉仅在机构收集并验证了Cybercheck情报之后才能推进。”该公司对此事的回应并未涉及某些说法,例如设备是否连接到特定Wi-Fi网络这类数据通常无法通过开源方法获取。
在2022年11月的Black谋杀案审判中,Mosher作证说,自2021年1月以来,Cybercheck为嫌疑人进行了大约1,900次历史位置搜索和另外1,000次实时位置搜索。在这总共2,900次搜索中,Mosher作证说,只有一项搜索显示个体的实际位置与Cybercheck为其网络档案列出的位置不符。
但在与《连线》杂志的采访中以及通过公共记录请求获得的《连线》邮件中,Cybercheck 的多名执法部门客户声称该公司提供的技术信息无法被调查人员证实或与可靠来源的信息相矛盾。
1月,俄亥俄州刑事调查局(BCI)的助理局长马克·科尔拉尔写信给Cybercheck,提及他的机构向一家电子邮件服务提供商送达了一份搜查令,要求获取与一名嫌疑人相关的账户信息。“电子邮件服务提供商表示,在Cybercheck报告中列出的电子邮件地址并不存在且从未存在过,”科尔拉尔写道。
俄亥俄州司法部长办公室的一个部门——Ohio BCI在2023年8月与Cybercheck签订了一份价值3万美元的试验合同,并向该公司提交了十几起案件。该办公室的一名发言人Steve Irwin告诉《连线》杂志:“BCI尚未收到许多案件的结果,而且一些线索也没有产生实际效果。”“由于缺乏有成效的调查线索,BCI无意再与该公司签订合同。”
华盛顿州的亚基马县治安官办公室在2022年签署了一份价值11,000美元的合同,允许他们向Cybercheck提交20个案件。“我认为我们仍然可以访问Cybercheck,但我们没有使用它,”治安官的公共信息官员Casey Schilperoort在一封电子邮件中写道。“我听说我们收到的信息不多且不准确。”
非正式的邮件往来链在不同机构的调查人员分享了他们使用该技术的经验之后,WIRED 通过公共记录请求获得的信息显示,科罗拉多州奥罗拉侦探尼古拉斯·莱斯南斯基写道,Cybercheck 在他的部门的一起凶杀案中确定某人是嫌疑人,因为此人在线档案与位于一个地址的路由器匹配。“探员们去该地址拜访了居民,该居民已在该地居住超过20年,并且从未有过同名路由器,所以我们无法证实他们的信息。”莱斯南斯基写道。莫斯赫和全球情报公司没有回应WIRED关于莱斯南斯基说法的问题。
在另一起涉及一名13岁少年被枪杀的Aurora案件中,Global Intelligence的工作人员坚称Cybercheck已经识别出凶手,但Lesnansky的调查指向了他认为更有可能是凶手的人。“然后他们提出了一种情况,即那个被认定的人开车载着我认为更可能是凶手的人进行帮派入伙活动,”Lesnansky写道。“我怀疑Cybercheck认定的嫌疑人和其他我认为更可能的嫌疑人会一起驾车,因为其中一个人的房子曾多次遭到另一个人的枪击。”
在同一个电子邮件链中,密西西比州调查局特殊受害者单位情报分析师希瑟·柯林斯写道,她在处理一起失踪未成年人案件时使用了Cybercheck。“他们给了我们一些可能的‘嫌疑人’信息,结果完全错误。我们通过其他方法找到了失踪的未成年人。他们浪费了我们的时间。”
莫斯赫没有回应《连线》关于科林斯指控环球情报提供的信息是虚假的问题。
在其他情况下,Cybercheck似乎提供了准确的信息,尽管调查人员并不总是能够据此采取行动。
乔·莫伊兰,奥罗拉警察部门的公共信息官,表示他的机构已经向Cybercheck公司就五起案件请求了信息,并且在这其中两起案件中,该技术“对调查有帮助”,尽管尚未因此进行逮捕。
2017年,当时9岁的凯拉·乌恩贝霍恩是一名绑架了多年来,伊利诺伊州南埃尔金的警察部门一直在搜寻Unbehaun及其非监护母亲Heather Unbehaun(她被指控拐走了孩子),追查到乔治亚州后却陷入僵局。在此期间,该部门与Global Intelligence签订了一份合同,警官Dan Eichholz收到了一份Cybercheck报告,显示Unbehaun母女在俄勒冈州,他向WIRED透露说。这是一个新的线索,但由于Cybercheck没有提供任何支持其发现的证据,Eichholz无法利用这份报告来获取搜查令。
乌贝洪在2023年终于与父亲团聚,此前北卡罗来纳州阿什维尔一家寄售店的员工认出了她母亲的照片,这张照片曾在Netflix节目中展示。未解之谜在找到Unbehaun之后,Eichholz 在后续调查中得知,直到几个月前,这对夫妇确实一直在俄勒冈州生活。
“我不想说这不可行,但我也不能直接根据他们的信息采取行动,”Eichholz 说。“这是我们一直遇到的问题。‘好吧,你给了我这些信息,但我仍然需要核实并办理搜查证之类的事情。’”针对 Heather Unbehaun 的儿童绑架案仍在进行中。
Cybercheck凭借慷慨的市场营销活动和口口相传已经扩散到全国各地的执法机构。但在与《连线》杂志的采访以及我们审查的电子邮件中,几乎没有证据表明执法机构寻求或收到了支持Global Intelligence关于其技术能力的说法的证据。
与《连线》杂志交谈的检察官,如米德兰县的博登,表示他们通过所在辖区的执法人员使用 Cybercheck 而得知了它的存在。当它在案件中出现时,他们会让对抗性的法院系统决定其是否合法。
“这是新技术,我很好奇,所以我说,‘让我们试试看能走多远,’”Borden说。“我感谢它没有在我的案件中成为证据,也就是说我没有因为这项技术而被定罪。”
电子邮件显示,Global Intelligence的销售代表经常主动提出免费为警察部门的情況运行Cybercheck,以展示这项技术。他们还提到了一些案件,这些案件据Global Intelligence描述是高知名度的,并且据说Cybercheck在解决这些问题中发挥了作用,但他们并未直接提及具体案例或提供任何证据证明Cybercheck对调查产生了影响。
WIRED从俄亥俄州刑事调查局获得的电子邮件显示,调查人员最初很高兴了解Cybercheck能为其积压案件提供哪些信息。他们甚至向俄亥俄州的其他执法机构介绍了Global Intelligence的销售代表。这种热情似乎有助于说服其他机构信任该公司。
盖斯纳,来自Summit县地方检察官办公室的人表示,在他的机构决定是否使用Cybercheck证据时,他们向俄亥俄州BCI的网络犯罪部门征求意见。“他们说,是的,这有意义……我们没有这种技术,但很想拥有它。”他说,该县的检察官还联系了SANS研究所,并被告知该研究所“不做这类事情”。
但是,即使它已经撤回了Cybercheck提供的证据,Gessner说Summit County检察官办公室正在询问其他公司是否可以进行Global Intelligence所推销的那种开源定位。
“我们不想关闭可能帮助指向真相的大门。”