美国当地时间12日凌晨2点，佛罗里达州“脉动奥兰多”夜总会发生美国30年来最惨烈的大规模枪击案，已经造成包括枪手在内的50人死亡，53人受伤。当地执法部门官员称，29岁的阿富汗裔美国人奥马尔·马丁在进行袭击之前拨打了911，并宣誓效忠极端组织“伊斯兰国（ISIS）”。

美国联邦调查局和奥兰多警方在随后举行的新闻发布会上，将这起枪击案定性为“恐怖袭击”。据英媒消息，极端组织ISIS已宣称对这起枪击案负责。美国官员则表示，并未发现IS制造该袭击案的直接证据。但此前FBI曾两次调查马丁，怀疑其参与恐怖活动。

近几年，从巴黎恐怖袭击、布鲁塞尔爆炸案到美国奥兰多枪击案，与ISIS组织有关的恐怖袭击案件频频令世人震惊。人们在强烈谴责IS的暴力血腥背后也不免思考，在全球情报机构、安全组织严密防护下，ISIS的圣战分子究竟是如何进行线上交流，并策划执行恐怖袭击的。

来自BuzzFeed的国际新闻女记者Sheera Frenkel曾在伊拉克、印度、约旦等中东国家进行实地探访，并专门对ISIS的线上沟通进行了调研采访，完成了一篇深度调查报道。全媒派（qq_qmp）为您独家编译。

突如其来的恶意软件袭击：ISIS变身职业黑客？

Frenkel曾经采访了一位名叫Abu Majad（化名）的34岁男子。他大约3年前离开叙利亚，现在住在土耳其南部。几年来，他总是在网络和叙利亚北部的家乡直言不讳地表达反对ISIS的立场，他知道这已经让他上了恐怖组织的敌人名单。Majad也意识到自己可能面对的危险，在他的想象中，如果ISIS冲着他来，肯定是这样的场景——黑暗的街道上拿刀威胁他，或者直接往他车里丢一颗炸弹。但让Majad万万没想到的是，3月29日，他一觉醒来，发现了一封ISIS植入的看似无害的病毒邮件附件。

“这一切看起来都很正常，从我自己的网站管理地址发出。看起来很安全，但实际并非如此。他们想盗取我的登录信息和密码，试图获取一些可以威胁到现实生活的东西。”Majad说，“ISIS的这种做法很聪明，当我看到这封病毒邮件的时候，我在心里骂了一句，shit，他们已经是职业黑客了吗？”

监控ISIS的网络安全专家和情报机构说，这些恶意软件表明，ISIS利用互联网达到目的的手段越来越有经验了。

“就全球恐怖运动的发展来看，如果有人说互联网是ISIS如此成功、如此让人担忧的主要原因，我不认为这是危言耸听。”一位美国情报局官员告诉BuzzFeed新闻，“他们一直很擅长使用互联网，知道运用哪些策略。现在，他们更聪明了。”

世界各国的很多重要情报机构都在试图弄清楚ISIS如何使用互联网。随着圣战组织持续不断地在全球各地吸引支持者，他们越来越需要一个安全的在线交流环境。尽管伊拉克和叙利亚的大多数圣战组织成员只会用网络在WhatsApp的家庭群组里发发照片，但美国情报机关始终坚信：ISIS内部有一个小团队带领着他们实现网络野心，他们与黑客一起发动对敌人的网络袭击，出版手册指导支持者们如何在线伪装、保护自己不被发现。

Majad三月份收到的那封邮件看起来像来自他自己的网站，让他登陆进去核实信息。邮件中其实有一款被称作“滴管”（dropper）的恶意软件，它可以在用户不知情的情况下把其他软件安装在用户电脑中。

“如果我打开了这个链接，他们就能获得关于我的所有信息。”Majad说，他的电脑中有很多反ISIS积极分子的机密信息，其中就包括记录了在ISIS统治下的叙利亚人民艰难生活的照片和视频资料。Majad坚称自己没有点开那个链接，但是他拒绝解释如何知道这是一个恶意软件。“我习惯于在咖啡厅看到伊斯兰国成员不知道怎么登录并查看邮件，从没想到他们现在已经如此精通网络技术。”

Dlshad Othman是工业安全委员会（ISC）的网络安全工程师，他们为公民自由团体提供信息安全援助，并且研究ISIS。他最近发现有恶意软件袭击叙利亚和库尔德那些反ISIS线上宣传的记者和网站。

“ISIS已经开始攻击那些公然反对他们的网站，”Othman说。他举了一个叫“拉卡正被悄悄宰杀”的组织为例，这个组织致力于从ISIS首都拉卡向外部传递实时消息。“ISIS把目标对准那些揭露他们在叙利亚言行的人，因为这对他们的招募和宣传不利。”

他给Buzzfeed看了一封正在研究的邮件，这封邮件也包含恶意软件。Othman追踪到发送这封邮件的IP地址，在土耳其和卡塔尔。他说，这又是一个迹象，表明ISIS正在接受伊拉克和叙利亚之外的人的网络援助，正是这些外界帮助让他们能够实行网络攻击。

“恶意软件、网络钓鱼以及分布式拒绝服务（DDoS）攻击是我过去知道的一些方式。”他说，“现在，这些‘滴管’攻击是全新的，而且更复杂。这个组织的网络技能在不断进步，我们看到的事实很令人担忧。”

另一个战场：ISIS成员的网络游击战

下面这段对话，是一个周六下午，记者Frenkel在消息应用Telegram上一个ISIS个人频道发现的：

“兄弟，你用VPN吗？”

“不用，VPN太垃圾了，用Tor吧”

“Tor是中央情报局的东西，不要用它。”

“那还是要用VPN？”

“哈哈，不是，我们还有别的东西可以用。”

这种交流每天都能在Telegram上看到，这是俄罗斯最大社交网络VK的创始人帕维尔·杜洛夫建立的消息应用。2015年秋天，ISIS支持者中使用Telegram的人数飙升，因为杜洛夫在2015年9月对科技博客（TechCrunch）说：“对隐私权的保护远比对发生坏事情的恐惧重要。”这份声明被解读为Telegram不会把ISIS频道排除在外。

尽管在那之后的几个月，几十个ISIS频道被取缔，但是ISIS支持者在Telegram上的交流比在其他App还是自由得多。除了斩首视频、古兰经以及哈里发的思想教义，我们能看到大量关于如何使用互联网的建议。这些指导通过法语、西班牙语、德语、英语、阿拉伯语以及土耳其语四处传播，一步步指导他们如何隐藏上网足迹、用户位置以及个人身份信息。

这些建议的目的是确保ISIS支持者的安全，但是大多数呈现出来的是错综复杂的互相矛盾的意见。

ISIS支持者也被称为“星战迷友”，一个昵称为Abu Jihad的ISIS成员告诉记者，他们用昵称从一个网站跳到另一个网站，互相交流、分享。他们现在的主要基地是Twitter和Telegram，但是Jihad告诉记者，Twitter现在对ISIS越来越不友好了，因为它们关掉了与ISIS有关联的账号。在不同时期，他还用过WhatsApp和Kik，但是后来因为这些程序因“不够安全”而被弃用。他也放弃了Zello，这是一个可以发送群组语音短消息的应用，类似于一个无线对讲机，但Jihad发现太多人用这个应用读古兰经，他果断放弃使用。他还听说一个叫Alwari的应用，据说是ISIS支持者开发的，但是他也不知道到哪里下载。

“匿名在线非常重要，这样我们才能在圣战之时安全地提供帮助。”Jihad在Telegram上私信告诉Buzzfeed记者。“卡菲尔人（“非穆斯林人”的贬义词）让匿名变得很困难，但我们总能找到方法。”

如何与其他ISIS支持者取得联系是ihad近乎痴迷的一件事。他住在西方国家，这使他具备语言技能和完美的时差。像很多其他ISIS支持者一样，他们用诸如“圣战之父”或“父亲的战争”等假名，但是他们从来没有看过真正的战争，他们在安全的电脑屏幕前崇拜着ISIS。

一周至少有一次，Jihad认为他在Telegram发现了中央情报局特工的踪迹。“网络上到处都是美国和以色列的间谍，而且众所周知，大多数记者是间谍。”Jihad说。

美国情报机构也暗示，他们的成员在ISIS频道中很活跃。在Buzzfeed最近的一次账号清理活动中，国防部的一位官员开玩笑说，“很多我们的美人计被识破，这也是一个耻辱。”

“不管ISIS在哪里聊天，我们都试图出现。”一位不愿透露姓名的官员说。

但是网络安全专家说，美国做的不仅仅是监控这些频道。国防部副部长Robert说：“现在，伊斯兰国很差劲。”“我们在扔网络炸弹，以前从来没这么做过。”他告诉记者，“这就像我们在进行空中竞赛，我想有一个网络竞赛，我会发起所有我具备的能力。”这句话指的是美国情报机构试图往ISIS论坛中植入恶意软件，如果ISIS支持者安装了这个软件，美国情报机构就可以追踪这台电脑。

在加利福尼亚，美国国防部长Ashton Carter告诉记者：“在我们彻底摧毁伊斯兰国网络之前，我们会中断、愚弄、破坏它们。”

谜一样的信息加密技术：有效or无效？

上个月，ISIS用法语编辑的线上杂志《Dar Al-Islam》发行了第九期。16页关于网络安全的内容详细地指导人们如何使用应用程序安全地接触到ISIS，与ISIS的支持者联系。这不是圣战组织第一次指导人们使用互联网，但是此前的内容仅仅是翻译现有的网络安全指南，而这期刊物展示了组织对于网络安全更深入的理解。

在过去，他们仅仅是简单地提到程序的名字，复制粘贴程序的简介。而这本法语杂志以及发布在ISIS线上论坛上的类似信息，详细介绍了如何区别不同级别的程序，例如使用VPN隐藏位置信息、发送加密邮件、隐藏邮件内容等等。

这期《Dar Al-Islam》还兜售一种名为“Tails”的操作系统，这是一种由Edward Snowden制作且受到隐私拥护者支持的安全上网的首选方式。另外还有一种较受追捧的上网方式，名为“Tor”，在这个平台上可以选择通过很多随机的服务器发送加密信息。但是杂志对“Tor”这种方式进行了抨击，因为它曾被怀疑有“间谍”潜伏其中监控信息。确实，“Tor”的前任开发者Matt Edman承认他曾帮联邦调查局研发恶意软件用以揭露用户的信息，因此ISIS组织不信任它。

但是，这些手册内容是否真的有效？在网上，安全专家通常以“the grugq”的代号出现，网络安全研究员广泛阅读专家们的博客和微博内容，用以研究ISIS的线上交流。浏览完杂志，安全专家认为ISIS对于加密技术如何工作的认识还非常有限。“作者认为信息加密是解决所有问题的万能钥匙，”在一封给BuzzFeed的邮件中“grugq”写到。另外，安全专家注意到这种技术不同于那些教用户如何避免暴露自己名字、出生日期、国籍等个人信息，隐藏自己身份的技术。

“作者并不清楚圣战分子面临的真正威胁，对于加密技术绝对信任，认为它是他们所有危险的灵丹妙药，这些想法暴露了作者对于网络安全的理解是多么肤浅。”他认为圣战分子在这本隐私保护手册中的知识是“表面的，基础的，很普通的”。“在这本手册中，作者非常信任信息加密技术，认为它可以解决所有的事情，这是一种非常愚昧的思想。在现实世界中，伊斯兰国家的对手不会因为这一点加密技术就被击退。”他说。

伦敦国王学院战争研究所的教授Thomas Rid说：“尽管我对杂志中的某些结论感到疑惑，但杂志中对细节描写的详尽程度让我感到非常震惊。比如其中关于ISIS不信任Tor的论述。”

“通常来说，有关技术方面细节的论述都会让人印象深刻——也不是说没有任何误差。但是对于一个为圣战分子服务的大众杂志来说，这确实是值得注意的。”Rid补充道。

美国司法部和联邦调查局的人强调ISIS的信息加密技术非常危险，但国防部和军队中研究ISIS的情报官员却认为，尽管ISIS的论坛上充斥着关于如何使用加密技术的建议，然而很少有人使用它们，更别提能够正确使用它们。一名军官说：“即使我们担忧激进组织的成员使用加密技术隐藏他们在网络上策划活动的痕迹，但我们还是要认识到发送加密邮件的过程非常复杂，而且常常会出错。”

“ISIS描述的使用程序的步骤并不直观，所以即使是每天使用这些程序的人也可能会出错。他们使用程序的频率越高，就越有可能出错，越有可能暴露自己。”一名军队官员在华盛顿的发布会上对BuzzFeed透露，“在某种程度上，他们尽可能多地出现在网络上对我们来说是有利的。他们在网络上越活跃，我们就越有可能追踪到他们的痕迹。”“在巴黎和布鲁塞尔袭击案之前，ISIS通过网络进行了大量沟通。”他补充说，“情报机构有可能已经知道足够多的信息，用以阻止他们。”

此前，巴黎和布鲁塞尔袭击案激起了全球对于信息加密技术和恐怖活动的热烈争论。

一方面，某些情报机构和政府解释说由于ISIS使用“dark web”技术发送加密信息进行交流，英特尔公司无法破解，以至于他们错过了网络上关于袭击案的蛛丝马迹；另一方面，网络安全活跃人士和专家说几乎没有证据表明，恐怖袭击者使用了复杂的技术掩饰他们的网上交流，恰恰相反，他们认为袭击者住在同一个公寓，用多台老式的一次性手机进行交流。

此外，还有一些媒体因报道这起事件遭到了严密监视。这些媒体称网络上一些未知的资源证明ISIS在他们发出公告的第二天就通过网络发送加密邮件进行交流，网络上应该有他们的踪迹，这与官方的论述相矛盾。

上个月，法国《世界报》和《纽约时报》基于法国的情报文件发布文章称，一位名叫Reda Hame的29岁巴黎IT专家，曾前往叙利亚加入ISIS。他在接受培训课程后返回法国，着手策划实行一起袭击案。去年八月，他被法国警方逮捕，交代了他接触到的培训课程的细节。他说他在那学习了如何使用名为TruCrypt的信息加密应用程序，并在返回法国之前，得到了一个装有这个程序的USB驱动器。

这个报道代表西方情报机构首次确认ISIS特工正在使用信息加密技术。但随着网络安全专家开始研究Hame提供的细节，文章中描述的方法是否真的可行又成了一个问题，毕竟这种方法需要一整个磁盘完成加密工作然后上传文件，而且在上传的时候特别容易出现人工错误，并会在互联网上留下大量的痕迹。

之后《纽约时报》上的一篇报道更是令专家陷入了疑惑。报道中的关键段落称：“根据警方的报告和对专业人士的采访来看，我们从未在网上发现任何袭击者的邮件或其他形式的交流文件。这促使当局确认ISIS使用了信息加密技术，虽然并不知道他们使用的是哪一种加密技术。”

网络安全专家指出，关键的问题在于，加密行为留下的痕迹随处可见。当一个加密的电子邮件发送后，除非你有解开文本内容的钥匙，或者类似美国情报机构所拥有的技术去破坏文件，否则你看到的都是乱码。但文件本身应该仍然存在在收件箱和已发送文件夹中。如果说巴黎袭击案的作案者发送了加密邮件给他们在伊拉克和叙利亚的上司，那些乱码文件应该都还存在着。

因为法国和比利时的研究人员从未向公众公开他们对于袭击者的研究，所以不可能说他们的研究会给袭击者的计划造成启发。直到后来，有研究人员开始制作一个实时更新的清单，记录与ISIS有关的袭击案件，以及当时的报道是否将不法分子计划实行的袭击案和加密式交流相联系。研究人员试图通过这种方法从泄露给媒体的信息中检测出线索。

无孔不入的“ISIS招募”

最近，谷歌称每个月都有超过5万人搜索“加入ISIS”。

约旦的官员表示，平均每个礼拜都有超过100个约旦人谷歌搜索“加入ISIS”的词条。“排在顶部的结果就是用阿拉伯语说明的加入组织的详细步骤，包括什么时候收拾行李，怎样通知你的父母等。”一名约旦情报官员说。

“ISIS的危险之处在于，如果你想明天加入它但不知道该如何开始，谷歌会提供给你想要的答案。”一名官员通过电话向BuzzFeed透露，特别是ISIS威胁要暗杀官员的时候，他在约旦就经历过类似的事件。“即使我关闭每一家清真寺，打压每一个在约旦支持ISIS的人，仍然会有Youtube视频招募参与枪战的年轻人，仍然会有人在Twitter形容他们活在天堂般拥有大房子和三个妻子的生活，仍然会有WhatsApp、Telegram和其他社交软件让他们可以随心所欲地与任何人进行私密交流。”

这名情报官员说，只要线上平台存在，ISIS就会想出利用它们的办法。“去年年底，我们接触到一个居住在约旦Zarqa市附近的家庭，家里的人认为他们的女儿正在通过网络与危险分子交流。”“我告诉他们，‘关闭她的Twitter和Telegram账户’，但是他们说‘不，他们是通过一个交友网站交流’。”

通过一个为虔诚的穆斯林服务的阿拉伯语交友网站，一个声称住在叙利亚Raqqa市的年轻人企图接近并引诱他们的女儿。

“这名男性和她谈论她会拥有大房子和仆人，她的丈夫会是一个英勇的战士。他甚至发送很多漂亮珠宝的照片给她，并说他会在她的婚礼夜晚送给她。”情报官员说。这位年轻女性及时停止了行动，没有去叙利亚，但官员拒绝透露是否是约旦警方扣留了她。“她的案例说明即使在交友网站上，你也有可能遇到ISIS正在招聘。”

看完BuzzFeed记者的深度调查，我们或许可以对ISIS的恐怖传播链有了更加深入的了解：这个组织就像苍蝇一样，在互联网平台上寻找缝隙，他们无孔不入，并且不断“提高信息安全技能”。而ISIS对于互联网的运用越娴熟，他们隐藏的威胁就越大。

如今，信息安全专家和正义之士的使命，就是要面对前所未有的复杂局面。传播链条和网络传播的斗争，也远比我们预想的复杂、深重得多。