週三，一名著名的英國安全研究員在拉斯維加斯機場被攔截，並被聯邦拘留。根據執法部門的說法，馬庫斯·哈欽斯（Marcus Hutchins，俗稱MalwareTech）開發了一個大型銀行特洛伊木馬——這一嚴重指控可能導致數年監禁。哈欽斯最近因為在遏制WannaCry惡意軟體（一種勒索軟體蠕蟲，在全球範圍內鎖定了近75000個系統）方面的關鍵作用而引起了廣泛關註。哈欽斯被捕前幾天，他剛剛參加了世界上最大的駭客大會Defcon，在那裡他一直高舉自己新獲得的英雄聲譽。

這些指控令哈欽斯的朋友和同事震驚，但仍不清楚有多少證據支援他們。起訴書主要集中在一名共同被告人身上，他的名字仍被封存，而這份檔案對哈欽斯的涉案幾乎沒有任何線索。逮捕發生後，大部分安全團體都為哈欽斯辯護，挖掘有關指控的間接證據。但由於缺乏來自**的資訊，再加上發現哈欽斯青少年時期的一些不太有趣的活動，使得社群陷入混亂狀態。

白帽子還是黑帽子？

被捕後，觀察人員發現了與哈欽斯先前使用者名稱有關的IRC舊日誌。這些日誌將當時18歲左右的年輕哈欽斯人描繪成一個玩機器人和指令碼的低階黑帽駭客。不過，儘管他誇大其詞地暗示自己參與了惡意程式碼市場，但他從未明確表示自己**任何惡意程式碼，也沒有任何日誌將他與銀行特洛伊木馬Kronos聯絡起來。

一個年輕、不成熟的黑帽子多年來變成合法的故事已經不是什麼新鮮事了。凱文·米尼克是《計算機欺詐和濫用法案》最早也是最突出的目標之一，目前擔任安全顧問。白帽子一開始是青少年戴的黑帽子，這是很自然的，這種想法在社群裡很流行。模糊的指控和對哈欽斯過去的揭露給觀察者造成了一種羅夏式的汙點：在沒有更多事實的情況下，把哈欽斯看作烈士和把他看作罪犯一樣容易。

在被捕後的幾天裡，23歲的哈欽斯一直穿梭在拉斯維加斯的一系列聯邦設施之間。上週五，哈欽斯的保釋金定為3萬美元，條件是他交出護照，繼續軟禁，不使用網際網路。哈欽斯週末仍在獄中，不過他的保證金預計將在週一支付。他的朋友們已經發起了一場眾籌活動，為他的法律辯護籌款。哈欽斯的公設辯護人在早些時候的一次聽證會上指出，他“在被起訴前曾與**合作”，不過目前還不清楚這種合作到底意味著什麼。

哈欽斯的朋友們的主要反應是不相信。雖然哈欽斯最初因為在遏制WannaCry惡意軟體方面發揮的關鍵作用而引起了公眾的關註，但多年來他一直是安全界的寵兒，以好奇心和才華著稱。引渡安全部門的傑克·威廉姆斯（Jake Williams）在起訴書中提到的同一時期與哈欽斯共事，他說很難相信這位年輕的研究人員在這幾個月裡可能在協調一個犯罪企業。

“我們交換了惡意軟體樣本和研究，”威廉姆斯告訴《邊緣報》他透過提供一些程式碼幫助我完成了一個教育專案。他當時不願接受任何付款，這與現在徵收的費用不符。”

毫無疑問，Kronos本身就是惡意軟體。該計劃於2014年7月首次出現在俄羅斯網路犯罪論壇上，旨在獲取銀行憑證——等待目標登入銀行網站，併在傳輸過程中攔截密碼。這種被稱為銀行特洛伊木馬的惡意軟體在網路罪犯中非常流行，而Kronos遠不是第一個或最大的。該計劃最初出現在規模更大的宙斯銀行特洛伊木馬之後，當局認為該木馬造成的損失高達7000萬美元。

Kronos被廣泛破解並重新釋出——和大多數編碼專案一樣，它大量利用了可用的程式碼，因此很難準確地判斷Hutchins被認為開發了哪些元素。根據卡巴斯基早期的研究，雖然克羅諾斯與宙斯大致相似，但他也借鑒了一個鮮為人知的叫做Carberp的程式的洩露原始碼。它還包括各種桌面共享元件，這些元件最初可能是為非惡意使用而開發的。如果哈欽斯負責開發這些系統，他可能在不知情的情況下編寫了一個惡意軟體元件。

“目前還不清楚他到底被指控寫了Kronos的哪些部分，”Errata安全研究員robertdavidgraham說，他過去曾從事過類似的軟體元件研究沒有人從頭開始構建整個惡意軟體套件。”

起訴書

當然，這都是猜測，因為大陪審團的起訴書在細節上太少了。對哈欽斯的刑事申訴仍在封存中，該申訴將提供有關指控的更多細節。起訴書提供的唯一細節是第一項指控，指控哈欽斯和他的共同被告共謀“故意導致傳輸”程式碼，故意“未經授權造成損害”超過十臺計算機，這是1986年《計算機欺詐和濫用法》規定的重罪。

但起訴書的這一部分主要集中在哈欽斯的共同被告的公開行為上，他的名字仍在封存之中“公開行為”是支援共謀指控的必要事實，意在表明被告參與共謀。目前知之甚少，但這可能表明共同被告正在與**合作，並提供了哈欽斯參與建立和銷售Kronos惡意軟體的證據。

起訴書指控，2014年7月，共同被告使用“公開網站”上的影片展示如何使用“Kronos銀行特洛伊木馬”。次月，共同被告提出以3000美元的價格在網際網路論壇上**該木馬。2015年4月，共同被告在最近被聯邦執法部門查獲的黑網路市場AlphaBay上釋出了該惡意軟體的廣告。同年6月，共同被告以大約2000美元的“數字貨幣”**了Kronos惡意軟體，併在7月為Kronos服務提供了“加密”服務，以幫助隱藏計算機系統上的特洛伊木馬。

在這一長串公開的行為中，哈欽斯只是被指控在2014年建立了Kronos軟體，然後在2015年晚些時候更新了該軟體，此前他沒有透露姓名的共同被告開始銷售該惡意軟體。

因此，一些人將哈欽斯視為針對一家匿名惡意軟體供應商的更大規模起訴的附帶損害。正如經常接手《計算機欺詐和濫用法案》案件的辯護律師託爾·埃克蘭（Tor Ekeland）在推特（Twitter）上所說，“（司法部）剛剛逮捕了那個幫助阻止萬納克裡的人，因為據稱與他共事的人透過**惡意軟體賺了2000美元。”

檢方將在威斯康星州東區提起訴訟，這一司法管轄區並不以管理備受關註的駭客案件而聞名，這可能表明神祕的共同被告居住在威斯康星州。起訴書中提到AlphaBay也表明，共同被告在上個月公開的市場調查中被掃蕩。聯邦調查局特工在7月4日將AlphaBay下線，就在對哈欽斯和他的共同被告提出起訴的七天前。

共同被告還可能被捲入對宙斯惡意軟體（Kronos的早期變種）的調查中。2010年，美國聯邦調查局逮捕了10名與宙斯有關的人，另有數十人涉嫌參與其中。哈欽斯部落格上的帖子顯示，他在2013年底研究了宙斯的變種，包括從Carberp原始碼編譯的變種。這項研究是公開的，而且事後似乎沒有人試圖刪除這些帖子。

奇怪的是，第一項罪名中的公開行為清單並沒有明確指控哈欽斯從利潤中分一杯羹或直接銷售軟體，儘管起訴書中的第二項和第四項罪名指控哈欽斯及其共同被告都曾廣告和銷售竊聽裝置(儘管Kronos軟體確實記錄了憑據，但從法律角度看，它是否算作“裝置”還不清楚。）

簡言之，起訴書對哈欽斯的涉案沒有多少線索。即使所有的具體指控都被認為是真的，哈欽斯可能是一個不幸的創造者，他的程式碼被**時，他幾乎沒有任何投入——甚至可能沒有任何經濟補償。他也有可能是一個老練的網路罪犯，從惡意軟體中獲利。

年輕的馬庫斯·哈欽斯

2014年7月，在起訴書稱他的共同被告開始**惡意軟體時，哈欽斯在推特上發帖詢問是否有人有克羅諾斯的樣本。有人說，既然哈欽斯在研究克羅諾斯，那就不太可能是他寫的。但哈欽斯很可能閱讀了IBM關於惡意軟體的初步報告，懷疑Kronos是否是他自己編寫的軟體，並找到了一個樣本來驗證他的假設。不太可能但仍有可能的假設是，他在推特上發出了一個請求，要求提供一個克羅諾斯樣本，以掩蓋他的蹤跡，並給自己當時看似合理的否認。

許多人還挖掘了IRC的舊日誌，這些日誌仍然可以透過網際網路檔案獲得，與他以前的使用者名稱TouchMe相連。IRC的日誌描述了大概18歲的哈欽斯，他是一個低階的黑帽子，玩弄著一些惡意程式碼。但是，儘管他吹噓地提到了惡意軟體市場，但他從來沒有說過這麼多的話，他真的銷售機器人。

[16:14] <TouchMe> if your bot is good

[16:14] <TouchMe> people will buy it

[16:14] <TouchMe> you don't need a 20mb image with stupid ****ing colors

一些安全界人士試圖將哈欽斯早期的活動最小化，認為這僅僅是年輕人的輕率行為。”一位安全研究人員在Twitter上寫道：“MalwareTech年輕時玩得很開心，我們都玩得很開心。”並不意味著他真的寫了Kronos機器人。”

雖然有人指著2013年的一條推特，對IRC日誌的可靠性和Hutchins是TouchMe的身份表示懷疑，但一位使用IPostYourInfo筆名的人士聲稱，他們透過IRC認識Hutchins。上週五，他們發表了一篇博文，其中包含了相當詳細和密集的間接證據，將這些日誌中的接觸點與馬庫斯·哈欽斯本人聯絡起來。不過，儘管IPostYourInfo將哈欽斯與一些令人討厭的行為聯絡起來，但他們並沒有聲稱哈欽斯寫了Kronos。儘管他們懷疑哈欽斯兜售惡意軟體，但他們當時並不認為他真的是自己寫的。

IPostYourInfo寫道：“我本以為他會參與銷售betabot（另一種惡意軟體），而沒有主動權和動力編寫自己的惡意軟體。”。

cfaa面臨的新挑戰

即使哈欽斯直接參與了克羅諾斯程式碼的開發，對他的法律訴訟也遠不是無懈可擊的。前聯邦檢察官、喬治華盛頓大學法學院教授奧林·克爾認為，檢察官將面臨一場艱苦的戰鬥。六項罪名中有四項來自反竊聽法規，科爾說，這一法規的適用性值得懷疑。由於哈欽斯本人沒有被指控使用這些工具，因此以共謀實施計算機欺詐和濫用行為為依據的指控也不可靠。

儘管存在這些問題，但檢察官對過去面臨類似事實的被告提出類似指控並無困難。最近的一個例子是2015年Blackshades案，該案針對的是一個間諜軟體出租計劃。惡意軟體開發者通常會將實際的駭客攻擊外包給規模較小的玩家，新的惡意軟體會被市場營銷、分析，最終被盜版並被競爭對手逆向工程。隨著執法部門接手更多的網路犯罪案件，重點已從僵屍網路和分銷商轉移到開發商本身，他們往往獲得更大份額的利潤。如果這些法律，如克爾所說，不適用於惡意軟體開發者的起訴，這就提出了一個問題：在這個世界從未如此依賴互聯的、易受攻擊的計算機系統的時代，檢察官究竟應該如何阻止駭客攻擊的浪潮。

由於這些惡意軟體開發者的案件大多已經結束，而不是去審判，科爾提出的法律異議是未經考驗的。這些起訴中很少有人必須面對強有力的法律辯護。即使在安全界陷入混亂的喧囂中，哈欽斯仍然是一個非常受歡迎的人物，據說一項合法的籌款工作正在進行。如果哈欽斯反對這些指控，這很可能會改變美國對惡意軟體開發的起訴方式。