冰箱只是一个指代。
如今,可以连接到互联网的日常物品和设备已经越来越多 —— 那些被称为物联网(IoT)的玩意,它们在“犯罪现场”中发挥着越来越大的作用,作为执法目标。
⚠️你家的电灯、电视、门铃、恒温器、冰箱、微波炉…… 如今都作为了刑事调查和取证的一部分,这一趋势提出了尚未被充分探索的新挑战和风险。
执法部门对物联网的利用,这一讨论必须听取从技术人员到刑事律师、法医专家到民间社会的广泛声音和意见。
隐私国际组织的报告列出了一些初步问题。
在这里下载《监视资本主义时代》本书的电子版:https://t.me/iyouport/6559
问题是什么?
如今这个世界充满了连接互联网的设备和物体。
从家用物品,如门、灯泡、发刷、吸尘器、割草机 ……到可穿戴设备,如手表、Fitbits 和耳机……以及更复杂的物体,如汽车,全部都是联网状态。
这是监视资本主义最肆无忌惮的延伸。
这些所谓的智能物体可以使用传感器、麦克风和相机收集大量的私密数据,这些数据不仅关乎你自己的私密生活,还包括你的家人和朋友的一切。
如下面的Nest恒温器解剖图所示,传感器可以包括温度、湿度、光、超声波、罗盘、加速度计、陀螺仪和GPS接收器…… James Bond 上班时也不会带这么多家伙的。
人们对这些设备的功能了解甚少,往往没有意识到它们有多么的不安全。
这都不是新鲜事。Barbie在2015年发布的联网智能娃娃就配备了麦克风、语音识别软件和人工智能,允许儿童用户和玩偶之间的呼叫和响应功能。
挪威消费者委员会于2016年12月发布的报告声明,“在联网设备方面,儿童是特别容易受到攻击的人群”,严重问题包括缺乏安全性、非法用户条款、数据被秘密共享、以及被隐藏营销。
⚠️一个所谓的智能灯泡,仅仅通过收集和分析它关闭和开启的时间规律,就可以掌握你全家的作息规律并识别“特殊行为”。
早在2017年就有报道,⚠️Roomba 980 扫地机器人不仅可以吸尘,还同时会向制造商报告房屋的大小和家具的数量。
你我不可能了解遍布在我们周围的各种设备的全部功能,因为像 Google 的 Nest Secure 中的麦克风一样,它们一直都是保密的。除非被内部人士揭露。
呈堂证供
随着这些设备每天都在激增和渗透,大多数人很少考虑传感器、摄像头和麦克风收集的数据的特定用途究竟意味着什么 —— ⚠️意味着政府在刑事调查中寻求和使用这些数据,并将其作为刑事诉讼中的证据。
简单说,你家的生活用品正在作为呈堂证供。
你的冰箱和吸尘器在决定你是不是“有罪”。
在大多数情况下,这些设备*本身*可能不是导致无罪释放或被定罪的关键证据。
更常见的情况可能是,它们将发挥某种作用 —— 引导出其他一些证据,用于证实或反驳原有的证据,以支持或诋毁证人。
情报机构和执法机构已经开始瞄准这些设备收集的数据;⚠️国家安全局(NSA)已经在深入探索联网设备的潜在用途,包括生物医学设备,如心脏起搏器和胰岛素泵 —— 以监测个人。
英国内政部通知隐私国际组织,他们计划开发相关技术和技能,以利用物联网作为刑事调查的一部分。
2017年1月,苏格兰场数字取证主管 Mark Stokes 宣称,“物联网”设备可能会彻底改变犯罪现场调查。
有什么影响?
当检察官在 James Bates 案的刑事调查期间寻求证据时,他们认为这些证据是通过使用亚马逊Echo存储在亚马逊服务器上的 —— 人们已经准备好了对亚马逊的角色发表意见,但很少有人能阐述联网设备作为呈堂证供所存在的问题。
2015年11月,Bates 在他的家里和朋友一起看足球。次日早上,他的一个朋友被发现死在浴缸里。
阿肯色州本顿维尔的警方向亚马逊发出搜查令,要求亚马逊交出嫌疑人家中的 Echo 语音助理可能记录下的任何数据。
本顿维尔警方出示了两份搜查令,要求亚马逊提供所有关于 James Bates 的“录音、转录、文本记录和亚马逊 Echo 设备上包含的其他数据”。
当时 Bates 的律师 Kimberly Weber 表示,法院的命令“含糊不清,充满了假设”。
但是当嫌犯自己声称他会自愿将数据交给警方时,争议就结束了。而后亚马逊在同一天晚些时候翻录了录音。
联网设备之危险提出的问题范围包括:数据保护、消费者保护、和阴暗的数据代理行业等等。
⚠️知道您所在位置的牙刷、或记录您的睡前活动的智能床垫,这些东西现在都被用于调查和起诉您,与此同时对它们的可靠性完全缺乏公正的审查,并且可能伴随着过时法律程序的挑战。
信息不对称
在刑事调查中,警察很可能获得比证人、受害者或嫌疑人更多的信息和更好的工具。
在民事诉讼中,通常情况是,一方与另一方相比具有明显的 财务和资源方面的优势,无论是国家还是富有的个人或公司。
这不是与“数字证据”相关的独特问题。
个人通常没有专业知识去分析例如指纹、鞋印、纤维、血液或唾液等物理或生物学证据,同样,他们也没有提取和解释数字证据的技能。
然而,鉴于联网设备本质上所存在的问题,这使得信息不对称非常令人不安。
⚠️特别是当你围绕这一问题进行辩论时你会发现,受害者、证人或嫌疑人可能没有意识到他们曾经带入家中或工作环境中的设备所具备的潜在能力。
这些设备一直在记录、处理和传输你我私密生活中大量的信息数据;设备的所有者可能完全不知道这些设备正在收集、共享和存储哪些数据。
虽然用户可以通过屏幕界面看到一些数据,但是,⚠️大量的、特别是发送到第三方服务器(即云存储)的数据,在很大程度上是不可见的。
就如你已经从新闻中广泛看到的那样,例如,一家性玩具公司因未经用户知情而秘密收集私密数据而被起诉。
作为用户,你不可能知道这些联网设备所生成的全部数据都包括什么,也不会知道服务器收集的数据以及设备本身持续存在的数据都有什么 —— 这些数据都可以通过技术手段被提取。
除非我们具备必要的技能,否则很难获得洞察力;并且,数据保护法的主题访问请求等机制不太可能提供全面的信息。
为了说明这一点,隐私国际组织向亚马逊提出了与 Echo Dot 相关的主题访问请求,想知道设备本身存储的是什么,而不是亚马逊的服务器储存了什么。
亚马逊是这样回答的:
“Echo Dot 设备在本地存储有限数量的数据。虽然我们没有义务向您提供设备本地保存的数据以及我们未处理的数据,但由于您已明确要求,我们可以从您的设备中提取这些少量数据……”
就是这样 —— ⚠️警察可以访问的内容与受害者、证人或被告能访问的内容之间不仅存在严重的信息不对称,并且,调查或起诉的人员对联网设备的能力也没有足够的了解。
证据的质量和可靠性
警察知道他们自己在做什么吗?—— 很难说。
取证是一个复杂的领域,特别是进行数字取证时,正如我们在移动电话取证方面所强调的那样 —— ⚠️负责取证的警察很少甚至根本没有接受过专业培训,而他们正在依赖他们基本无法理解的设备给人们定罪。
并且,那些取证设备也几乎没有经过科学的测试,测试被所谓的商业机密挡住了。忽视这些工具的运作方式对刑事司法系统的正常运作是非常危险的。
在法律诉讼的调查阶段,个人可能处于显著的劣势,因为没有任何程度的证据披露。
如果逮捕是基于数字证据,那么,用户可以从他们的设备上获得的信息与警察可以获得的信息之间的不对称是非常明显的 —— 用户认为自己已经删除的内容事实上并没有消失,依旧会被提取出来。
而且,警方不仅更有能力从联网设备的生产商那里获取数据,也能直接从设备中提取数据的工具。
现在警方正在获取更强大的工具,以从更广泛的联网设备中提取、解码和解释数据。例如 Oxygen Forensic Detective 就公开声称“数字助理可作为新的目击证人”:
“Oxygen Forensic Detective 通过工具从移动设备和相关云服务中提取 Google Home 数据,为调查人员提供支持。”
然而,对易于使用的工具的严重依赖也带来了新的风险。许多人认为这会使数字取证变得愚蠢,并造成误判的重大风险。
Discovery Forensics 的常务董事兼高级法医调查员 Jan Collie 博士告诉英国上议院科学技术委员会:
“我在现场看到的是,正规警察正试图成为数字取证分析师,他们正在获得这些相当狡猾的神奇工具,这些工具可以做任何事。一个普通的警察(尽管他可能是好警察)但他肯定不是数字取证分析师 …… 他们得出结论意味着什么?因为他们被迫这样做,他们没有资源或没有经过培训关于如何从这些结果中做出正确的推论。这种情况正在法庭前发生。”
物联网取证可以被视为一种特殊的专业,它根据物联网设备的多功能性和复杂性(如设备差异、专有硬件和软件)可能需要解决多种挑战;跨多个设备和平台的数据;存储数据的专有管辖区等等。
⚠️几乎没有人讨论那些没有取证专业知识的人去进行数字取证或从他们获得的数据中得出结论,这存在多大的风险。
这不仅与诸如移动电话之类的复杂设备有关,而且,已经与诸多支持WiFi的门铃之类的廉价联网设备有关。
归因分析就是其中一大风险 —— 这一分析颇具专业性。
归因很难,检查数字证据需要大量的专业知识。最近发生的多起案件都证明了这点。
⚠️数据利用造成的信息不对称可能会加剧防御不平等,从而为被告的自卫制造了不可逾越的障碍。
由于其可扩展性和可访问性,联网设备的数据存储主要在所谓的云中。美国商务部国家标准与技术研究所有一个取证科学云计算计划,旨在提高云取证学的准确性、可靠性、科学有效性和实用性。
他们指出,最棘手的新挑战之一是如何在各种类型的云计算环境中执行数字取证。
例如,数据收集挑战包括在大型分布式和动态系统中定位取证目标;从虚拟机中查找和收集易失性数据等等。
另一个必须考虑的因素是,警方收集的数据所构建的叙述很可能是不完整的,并且很可能集中在一个叙述的部分内容上,这个叙述完全可以煽动某人有罪但忽略了可能使他们无罪的证据。
警方调查人员需要接受严格的培训,如果没有适当的指导和明确的标准,警方就会对不完整的叙述和错误的结论进行刑事调查,从而导致司法不公。
陪审团在不完整的数字证据的基础上做出错误假设的风险已经非常大,特别是当辩方无法确定此类证据是否只是大数据海洋的一部分时。
我们是否被允许知道技术在做什么?——
个人无法获得与警察相同的昂贵技术。
虽然个人可能会被提供所提取的数据以及可能是检察官的专家报告,但是,个人没有自己的取证专家,他们不太可能有能力查询提取过程的严谨性。
并且,正如英国议会科学技术委员会所指出的那样,⚠️即使人们拥有资源并试图验证或质疑数字取证专家的结论,一些私营公司也不愿意“披露有关他们自己的开发和测试方法的信息” —— 这意味着许多数字取证方法之正确性的证据基础极其薄弱,或根本不存在。
设备不安全:证据不可靠
访问控制、安全通信和安全存储是物联网环境中的重大挑战。据 Motherboard 在2015年的报道,“如果你拥有一个所谓智能的假阳具,就应该假定它已经被入侵了”。
数据通常是在不安全和不稳定的技术基础上生成和处理的;例如,LG Smart 真空吸尘器允许一组研究人员以房屋内部的视角监视实时视频。
⚠️设备的设计本身就未考虑到安全性;相反,生产商主要关注的是最小化成本和尺寸。
⚠️即使是我们放入体内的设备也没有足够的安全性。美国食品和药物管理局(FDA)不得不召回一堆心脏起搏器,因为它们很容易受到黑客攻击。
寻求来自联网设备的证据将超越众所周知的产品,例如 Amazon echo 或 Fitbits 等等。
同时,对所谓的物联网的非理性渴望意味着会有过多的设备具有令人毛骨悚然的数据收集能力,同时,也会有越来越多的不安全设备会很容易受到操纵和扭曲。
如果必需在调查中依赖联网设备或以其作为证据,则必需询问有关其提供的“证据”的可靠性的重要问题。
⚠️想想看,如果你家的烤面包机含有你并不知道存在的麦克风和摄像头,并且可以通过123的默认管理密码访问……这意味着什么?当被骇客操纵的烤面包机指认你是杀人凶手时,结果会怎样?
现在你必需了解这一风险 —— 每个人都必需了解。因为即便您自己家中没有安置这类恐怖的联网设备,您工作的地方、休闲会所、您出入的大多数公共场所,几乎都存在这类东西。
如果这类设备本身不安全、可以轻松被入侵和操纵,并且入侵的成本很低,那么它们是否可以作为一种证据形式决定一个人是否有罪?这必需怀疑。
但是,显然,了解设备的不安全性也需要技术专业知识。虽然安全系统中的缺陷可能意味着数据已被泄露,但后果可能不会立即显现出来。
从另一个角度来看这个问题,还存在一个与设备的安全性和控制有关的人为因素。家庭成员可能随时使用这些设备,但他们不会意识到设备的控制器可以访问他们的每一次搜索、每一次移动、以及他们的每一个想法。这是当事人很可能无法控制的。
诉诸司法
为了能够将数据转换为证据,人们需要昂贵的设备来解码和分析数据,并且解释这些数据的人必需具备足够的专业知识。
⚠️当社会中最贫穷和最脆弱的人被指控犯有严重的罪行时,他们如何支付得起昂贵的专家证据?
他们或许可以在律师的帮助下从设备中寻找原始数据,但是必须由专家向法官或陪审团解释。
⚠️如果只有控方可以出示证据,被告怎么能有效地质疑他们知道的证据是不正确的?或者他们根本无法意识到的证据是不正确的?
如果案件中涉及数字证据,就需要获取、询问并理解其重要性。
这需要专业知识。对联网设备的数字证据的来源和完整性缺乏证明性挑战,有可能导致错误的定罪。
此外,司法科学不仅依赖于对相关材料的准确和可重复的检测和分析,而且还依赖于在特定背景下对这些材料的评估性解释。
专家可能不仅需要解释原始数据,还需要解决与设备安全性、被操纵可能性和证据的一般可靠性有关的诸多问题。
此外,许多设备不仅生成数据,而且公司收集数据并使用它们来分析用户行为并做出推断。⚠️如果这些推断也可被用于调查或作为呈堂证供呢?
在诉讼中,如果决定要取消一个人的自由、给他们一个犯罪记录或者处以罚款,就必须有效地审核证据。平等武装原则和对抗性听证权是公平审判权的固有组成部分。这要求每一方都有合理的机会在类似的条件下陈述案情。
包括各方都有机会了解所有提出的证据或提出的意见,以便影响法院的决定。任何限制都应该是在严格意义上合理的,并且应该采取保护措施来保护被告免受这些限制造成的不平衡。
在涉及 Fitbit 数据的一些广泛被报道的案例中考虑这个问题。
以受害者的 Fitbit 数据为证据,一名男子被指控在康涅狄格州谋杀他的妻子,而在另一起案件中,Fitbit 数据被用来调查一名90岁的老人是否谋杀了他的继女。
在前一案件中,被告告诉警方,2015年12月23日上午9点左右,一对蒙面的袭击者进入了这对夫妇在郊区的住宅,杀死了被告的妻子。
然而,死者的健身追踪应用程序却讲述了一个完全不同的故事。该设备使用数字计步器跟踪佩戴者的步数,根据该设备的数据,受害者在她丈夫说谋杀发生后的一小时时间内依旧在房子周围移动。
但这真的能证明被告撒谎吗?不要忘记数字证据的复杂性。
⚠️即使案件正在审判,获取专家证据的能力也不能得到保证,并且取决于司法管辖区以及个人是否可以获得法律援助。
与其他类型的司法科学一样,如果检方可以依赖个人无法获得的专业知识,就注定会对平等武装原则产生影响。
为了在法庭上有用,数字证据通常需要专家的解释。
检察官依赖数字证人的一个众所周知的案例涉及心脏起搏器 —— 个人身体内的联网装置。
一名来自俄亥俄州米德尔敦的男子于2018年1月遭到严重纵火和保险诈骗罪的起诉(据称他烧了自己的住所)。俄亥俄州当局获得并查看了心脏起搏器上记录的数据。为了在法庭上能作为证据使用,心脏病专家必须发表专家声明。监管链证人还有其他问题。
英国议会科学和技术委员会最近的一份报告指出,在许多刑事案件中,司法科学证据至关重要,司法公正取决于该证据的完整性和准确性。
尽管数字取证技术已经迅速增长,但没有可辨别的战略来应对这种情况对刑事司法系统带来的挑战。
该报告警告说,“辩方必须有机会在证据有争议的情况下委托自己的取证检验。”
⚠️警察、检察机关和私人资助的客户可以支付的费用,与那些没有钱的底层人相比,存在巨大差异。
在每个司法管辖区内,个人都没有权利获得国家资助的专家。即使他们能获得,由于资金限制,也很可能会影响他们可以获得的专家的类型和质量。
相反,⚠️国家总有机会获得丰富的资源,以起诉那些无法支配这些资源的个人,他们没有能力质疑国家的证据或为自己开脱。
自动分析和描绘
数据越来越多地通过自动分析来解释和描述。
公司和政府较少依赖我们提供的数据,而是查看他们自己可以观察、推导和推断的数据。加上机器学习的幽灵,失控甚至疯狂都难以避免。
数据可以说明一个人的几乎一切,并且,通过剖析和机器学习,当局可以掌握模式、预测行为并做出推论,这些都是普通人无法访问的结论。
更不用说以审讯为目的的调查了。无论是存储在设备上的还是存储在所谓云中的数据,警方都可以访问。
并且,⚠️所有技术寡头都根据他们可以访问的数据对您进行了分析。如果这些数据被用作对您定罪的证据,这对您的辩护意味着什么?
这些形式的分析是否可以被用作证据,严重值得怀疑。
但是,随着被收集的数据越来越多,所进行的分析也越来越多,当局是否会寻求基于用户行为的推论来谴责某人的性格?……
结论
人们不断购买那些能够将数据连接到手机、云端以及相互传输数据的新东西。随着你周围数字间谍的激增,它们制作的数据将不断增加。根据所谓的保守计算,到2020年将有大约250亿台设备被联网。
⚠️警方当局从你身边的任何设备中寻找数据,寡头公司开发了易于提取数据的工具,人们继续购买那些联网产品,却很少考虑这些东西如何背叛你并导致未来的司法不公。
我们急需退一步考虑这个问题,对风险和挑战采取广泛的评估,并为每个人的未来寻求基本保障。
这件事已经非常紧迫了。⚪️
在这里下载完整版报告。