美国联邦机构如何进行网站查封(Website Seizure)
信息安全

原创内容,转载请注明来源https://songyue.wang

昨天晚上查看Feedly Threat Intelligence的时候,看到了一则新闻:美国特勤局(Secret Service)查封了俄罗斯虚拟货币交易所Garantex的网站,并且要求Tether通过USDT的智能合约冻结了Garantex钱包内的25亿卢布的稳定币。

稳定币发行公司使用管理私钥,将外部钱包(EOA)地址放入黑名单,限制其调用transferapprove等函数,并其它钱包对其转账时revert交易,甚至在该资产被确认没收时重新铸造(mint)到法庭指定地址,已证明即使在去中心化区块链上,即使客户已将资产提至自托管钱包,发币主体仍然可以配合执法机构的请求。但今天我们主要研究FBI,DHS等机构如何查封网站。

简介

首先需要明确的是,通常媒体报道中的“Website Seizure”一词其实指的是Domain Seizure域名查封。如果访问被查封的网站,会看到执行此行动的机构徽章,以及一则公告。这里都用的是“The domain for xxx has been seized by…“语句。

访问Garantex显示的页面

由此可以判断,所谓的“网站查封”,并不一定意味着执法机构已获得被查封网站的服务器的物理控制或系统访问权限。虽然这次特勤局通过另外的方法得到了Garantex的硬盘镜像,但通常情况下,执法机构仍未掌握服务器上的资料(包括用户数据),并且网站所有者有可能在别处开设镜像,理论上用户甚至有可能通过IP继续访问该网站。“网站查封”更多是一种阻止违法行为继续进行的手段(且不保证成功),而不是取证手段。

要了解联邦机构查封域名的方法,首先需要熟悉域名管理。所有顶级域名(TLD)均由互联网名称与数字地址分配机构 (ICANN)分配,之后由不同的顶级域名管理人(TLD Manager)负责日常运营。比如.hk域名由香港互联网注册管理公司(HKIRC)运营,.com由Verisign公司运营。随后TLD Manager会授权域名注册商(Domain Registrar),例如GoDaddy和AWS Route 53,为客户提供域名注册,转让,DNS等服务。

假设没有DNS缓存,解析一个域名(例如google.com)的流程如下。解析器首先向ICANN管理的DNS Root Zone查询.com TLD的TLD服务器。Root Zone根服务器分布在全球13个地点,其中9个在美国。第二步,解析器向TLD Manager维护的TLD Server查询google.com域名的Name Server,NS通常由注册商维护。用户也可以在注册域名之后把NS修改成其它服务商,如DNSPod的地址。NS才是最终存储域名-IP对映的数据库,解析器通过查询NS获得最终指向的IP地址。

因此,域名查封问题跟TLD Manager,Name Server,注册商均有关系。我们需要分情况讨论相关的技术和法律问题。

1. 目标域名的注册商为美国公司

任何域名,无论何种TLD,无论从哪个域名注册商原始注册(转出),只要目前的注册商为美国公司,美国执法部门均可使用以下的流程进行查封

  • 要求域名注册商将域名的所有权从客户转移至执法机构(过户)。
  • 更改注册人信息,并且编辑新的Whois信息。如果执法机构决定在原有效期后继续保留域名,新注册人需要承担注册费。
  • 更改Name Server(如果原先使用的是不受控的NS)。
  • 更改DNS记录,例如停止所有解析,或者解析至执法机构的查封公告页面。
  • 关闭DNSSEC/使用执法机构提供的密钥重新启用DNSSEC(如有)。

ICANN提供了一份类似Domain & DNS Crash Course的文件来让执法人员了解域名的原理以及与注册商联系时要提供的信息。执法人员需要提供标注上述操作信息的法庭令(Court Order)或搜查令(Search Warrant)。下图为一份FBI向DOJ申请搜查令的附件,要求位于亚利桑那的注册商Namecheap协助。可以看出FBI直接要求更改了NS,这样FBI可随时管理DNS记录。同时FBI还要求Namecheap防止域名所有者信息的更改和转移。

申请搜查令的附件,文档来自DOJ Archive网站公开信息

如果域名的注册商不在美国,但是可以通过其所在地的执法机构展开跨国合作,也可以按照上述流程进行。Garantex两个域名之一的garantex.io的TLD Manager为英国的Internet Computer Bureau Limited,注册商为德国公司CSL Computer Service,就是通过法兰克福检察官办公室(GStA)成功查封(公告页面可以看到GStA-ZIT的徽章)。

2. 目标域名的TLD管理人为美国公司

IANA Root Zone Database中(这个列表的信息与ICANN根服务器一致),可以查询各TLD的管理人。在常见的TLD中,.com.net由VeriSign Global Registry Services管理,.org由Internet Society管理,.club由Registry Services LLC管理。上述TLD Manager均为美国公司,同样有义务遵守美国法院的命令。虽然TLD Manager无法更改域名注册及DNS,但是由于它维护个体域名和NS的映射表,通过搜查令可以修改NS从而得到DNS的控制。因此,任何.com.net.org等域名都可以被美国执法机构在无需国际协作的情况下,适用国内法直接查封。也是因为这个网络空间主权的原因,很多国家要求公务部门只能使用境内TLD管理人运营的国家顶级域名。例如中国2024年发布的《互联网政务应用安全管理规定》第五条要求:“一个党政机关网站原则上只注册一个中文域名和一个英文域名,域名应当以“.gov.cn”或“.政务”为后缀”,“事业单位网站的域名应当以“.cn”或“.公益”为后缀”。

这次Garantex的另一个.org域名即属于被美国通过TLD管理人,“霸道查封”的情况。查询garantex.org信息,发现它是通过俄罗斯的注册商NIC, JSC d/b/a RU-CENTER注册,而NS也已变更为特勤局管理的服务器。由于这家公司在美国没有业务及任何经营实体,并且大鹅不可能跟特勤局进行司法互助,因此这项域名查封只能通过TLD管理人,Internet Society完成。

3. 子域名

子域名的本质为云服务(例如<YOUR_SITE_NAME>.netlify.app),对子域名的法律请求应提交到云服务提供商(CSP),否则就和搜查范围不符合。CSP只能对子域名的DNS记录进行编辑或者删除子域名。另外,如果CSP明知客户使用其子域名服务在进行非法活动,或者从一开始就缺乏足够的安全控制,可能会被法律或者监管部门处罚。

总结

Key Takeaways

  • 任何.com.net.org等域名都可以在无需国际协作的情况下,适用美国国内法直接查封。
  • 任何于美国注册商注册的域名都可以在无需国际协作的情况下,适用美国国内法直接查封。

由此可见,对网络空间主权及极端情况下高可用性有要求的企业或机构,不仅仅要谨慎规划主机及备份(即数据的物理位置),域名的种类和注册商也需要考虑。

另外,之前看到有人讨论有没有可能通过掌握ICANN Root Zone根服务器,强行关掉任意互联网域名。看过简介就能知道答案是不可能,因为Root Zone只负责TLD到TLD Manager的解析,没有任何单个域名的资料。

信息安全信息安全与法律安全合规安全监管
Previous