联邦调查局和整个情报界花了数月时间试图说服唐纳德·特朗普和美国公众，俄罗斯入侵了DNC——但昨晚，BuzzFeed的一份报告似乎进一步削弱了该局的案情。经过该局与DNC数月的合作，现在看来FBI从未对参与黑客攻击的DNC服务器进行过实际检查。DNC**的响应小组CrowdStrike对服务器进行了检查，但FBI从未回去确认调查结果。由于当选总统特朗普和其他许多人公开挑战情报界关于俄罗斯**指挥袭击的说法，这一消息对该局来说似乎是一个明显的黑眼。如果代理不直接看服务器，他们能知道多少？

答案可能比你想象的要多。最初的法医分析通常由CrowdStrike这样的外部公司进行，一旦数据被复制，通常就不需要再复制了。BuzzFeed称FBI对DNC的服务器不感兴趣是不寻常的，引用了一些不愿透露姓名的回应公司的话。但这并不是一个一致的意见，两个专家接触的边缘不同意这是不寻常的。

“这是正常的做法，”Capital Alpha Security创始人兼首席执行官马特•泰特（Matt Tait）表示在这样的情况下，数字取证的责任在于与公司签订合同的第三方，该第三方召集了事件响应团队，在这种情况下，是众创。”

这是私营公司和执法部门长期分工的一部分，在这种分工中，事件应对公司负责初步分析和网络清理，将更广泛的法律问题留给执法部门。这种分工节省了时间，但也保护了公司免受可能被视为侵犯隐私的行为。将一家公司的整个网络移交给执法机构可能是一个尴尬的提议，尤其是在妥协的性质尚未明确之前。

这对DNC来说尤其如此，因为FBI当时正在积极调查希拉里·克林顿（Hillary Clinton）处理机密信息的不当行为——很明显，该机构对在无关案件中寻找这些罪行的证据毫无保留。类似的尴尬在公司违规行为中也很常见，其结果让CrowdStrike这样的事件应对公司成为公司和执法部门之间的中介机构。

《****》在2013年也遵循了类似的协议，当时该报检测到一次数字入侵，最终追查到中国军方。《****》与FBI和AT&amp；在追踪黑客的过程中，该报聘请了Mandiant进行即时的网络分析工作，并让Mandiant与执法部门协调后续的归属。

一旦进行了事件应对，关键的证据就可以直接交给官员，而不必提出更广泛接触的政治棘手问题。我们不知道CrowdStrike到底交出了什么（该公司拒绝置评），但这些数据可以是完整的磁盘图像，也可以是经过编辑的可疑文件摘要和记录的连接。如果CrowdStrike真的对服务器进行了镜像，任何后续的分析都只是确认公司没有搞砸。

执法部门有时会对这些数据进行双重检查，但不太可能改变归因本身。即使CrowdStrike想把结果偏向某个特定的党派，FBI也可以对照直接从网络中获取的数据来检查他们的工作。”“集成电路肯定能够检查恶意软件和相关的技术数据从DNC网络本身恢复，”泰特说FBI可能依靠CrowdStrike在DNC网络上发现恶意软件，但他们并不需要CrowdStrike的分析。”

我们还知道，早在CrowdStrike介入之前，FBI就怀疑俄罗斯参与了DNC的入侵。据《****》报道，FBI和DNC的第一次接触发生在2015年9月，距离“众袭”合同签订整整7个月。《****》的文章没有详细说明究竟是什么向联邦调查局（FBI）透露了这一漏洞，但可以公平地假设，这是NCCIC和类似中心使用的某种版本的威胁共享系统。即使在9月份，联邦调查局也将俄罗斯视为首要嫌疑人，将入侵事件与F-Secure先前确认的一组恶意软件工具联系起来。虽然联邦调查局最终得出了与众袭相同的结论，但它所获得的信息远比众袭多得多，所依据的数据只有联邦执法部门才能获得。

这并不是说联邦调查局的工作是完美的。对最新的报告仍有一些有效的批评，特别是它的恶意IP地址列表，结果证明其中既包括Tor出口节点，也包括Microsoft调试器程序的主IP。报告的其余部分对细节只字不提，几乎没有说服那些不愿意相信情报机构的人。

但这些故障都与DNC服务器的初步检查无关，也没有理由认为再次检查该服务器会对FBI有所帮助。即使对那些怀疑与俄罗斯有联系的人来说，怀疑的焦点还是关于恶意软件背后的组织的结论，而不是恶意软件本身的识别。从相同的驱动器中提取相同的恶意软件样本并不能说明这个问题。

也有理由认为，在这种地面取证中，crowdsteike比FBI更好。该局长期以来一直在努力留住网络安全人才，在一长串私营安全公司的名单中，有一大批特工流失到利润更丰厚的职位。这份名单包括CrowdStrike本身：该公司的服务部门由Shawn Henry管理，他是一名联邦调查局（FBI）的终身雇员，许多人对该局最近对网络安全的关注表示赞赏。其结果是持续的人才流失，也是FBI将精力集中在更高层次的归因问题上的一个正当理由。如果FBI决定复制CrowdStrike的工作，不清楚他们能做得更好。

不过，虽然最终结果可能不会损害联邦调查局的归责理由，但对该局的公信力几乎没有帮助。最直接的问题不是建立证据，而是说服总统和公众接受这些证据。情报机构在明天与总统会谈时将有机会这样做，并将在下周早些时候公布另一份有关俄罗斯参与的非机密报告。如果两人都不履行职责，情报界将不得不面对一些关于将网络攻击归责的非常严峻的事实——外国可能会对自己能逃脱的惩罚感到惊讶。