周三，一名著名的英国安全研究员在拉斯维加斯机场被拦截，并被联邦拘留。根据执法部门的说法，马库斯·哈钦斯（Marcus Hutchins，俗称MalwareTech）开发了一个大型银行特洛伊木马——这一严重指控可能导致数年监禁。哈钦斯最近因为在遏制WannaCry恶意软件（一种勒索软件蠕虫，在全球范围内锁定了近75000个系统）方面的关键作用而引起了广泛关注。哈钦斯被捕前几天，他刚刚参加了世界上最大的黑客大会Defcon，在那里他一直高举自己新获得的英雄声誉。

这些指控令哈钦斯的朋友和同事震惊，但仍不清楚有多少证据支持他们。起诉书主要集中在一名共同被告人身上，他的名字仍被封存，而这份文件对哈钦斯的涉案几乎没有任何线索。逮捕发生后，大部分安全团体都为哈钦斯辩护，挖掘有关指控的间接证据。但由于缺乏来自**的信息，再加上发现哈钦斯青少年时期的一些不太有趣的活动，使得社区陷入混乱状态。

白帽子还是黑帽子？

被捕后，观察人员发现了与哈钦斯先前用户名有关的IRC旧日志。这些日志将当时18岁左右的年轻哈钦斯人描绘成一个玩机器人和脚本的低级黑帽黑客。不过，尽管他夸大其词地暗示自己参与了恶意代码市场，但他从未明确表示自己**任何恶意代码，也没有任何日志将他与银行特洛伊木马Kronos联系起来。

一个年轻、不成熟的黑帽子多年来变成合法的故事已经不是什么新鲜事了。凯文·米尼克是《计算机欺诈和滥用法案》最早也是最突出的目标之一，目前担任安全顾问。白帽子一开始是青少年戴的黑帽子，这是很自然的，这种想法在社区里很流行。模糊的指控和对哈钦斯过去的揭露给观察者造成了一种罗夏式的污点：在没有更多事实的情况下，把哈钦斯看作烈士和把他看作罪犯一样容易。

在被捕后的几天里，23岁的哈钦斯一直穿梭在拉斯维加斯的一系列联邦设施之间。上周五，哈钦斯的保释金定为3万美元，条件是他交出护照，继续软禁，不使用互联网。哈钦斯周末仍在狱中，不过他的保证金预计将在周一支付。他的朋友们已经发起了一场众筹活动，为他的法律辩护筹款。哈钦斯的公设辩护人在早些时候的一次听证会上指出，他“在被起诉前曾与**合作”，不过目前还不清楚这种合作到底意味着什么。

哈钦斯的朋友们的主要反应是不相信。虽然哈钦斯最初因为在遏制WannaCry恶意软件方面发挥的关键作用而引起了公众的关注，但多年来他一直是安全界的宠儿，以好奇心和才华著称。引渡安全部门的杰克·威廉姆斯（Jake Williams）在起诉书中提到的同一时期与哈钦斯共事，他说很难相信这位年轻的研究人员在这几个月里可能在协调一个犯罪企业。

“我们交换了恶意软件样本和研究，”威廉姆斯告诉《边缘报》他通过提供一些代码帮助我完成了一个教育项目。他当时不愿接受任何付款，这与现在征收的费用不符。”

毫无疑问，Kronos本身就是恶意软件。该计划于2014年7月首次出现在俄罗斯网络犯罪论坛上，旨在获取银行凭证——等待目标登录银行网站，并在传输过程中拦截密码。这种被称为银行特洛伊木马的恶意软件在网络罪犯中非常流行，而Kronos远不是第一个或最大的。该计划最初出现在规模更大的宙斯银行特洛伊木马之后，当局认为该木马造成的损失高达7000万美元。

Kronos被广泛破解并重新发布——和大多数编码项目一样，它大量利用了可用的代码，因此很难准确地判断Hutchins被认为开发了哪些元素。根据卡巴斯基早期的研究，虽然克罗诺斯与宙斯大致相似，但他也借鉴了一个鲜为人知的叫做Carberp的程序的泄露源代码。它还包括各种桌面共享组件，这些组件最初可能是为非恶意使用而开发的。如果哈钦斯负责开发这些系统，他可能在不知情的情况下编写了一个恶意软件组件。

“目前还不清楚他到底被指控写了Kronos的哪些部分，”Errata安全研究员robertdavidgraham说，他过去曾从事过类似的软件组件研究没有人从头开始构建整个恶意软件套件。”

起诉书

当然，这都是猜测，因为大陪审团的起诉书在细节上太少了。对哈钦斯的刑事申诉仍在封存中，该申诉将提供有关指控的更多细节。起诉书提供的唯一细节是第一项指控，指控哈钦斯和他的共同被告共谋“故意导致传输”代码，故意“未经授权造成损害”超过十台计算机，这是1986年《计算机欺诈和滥用法》规定的重罪。

但起诉书的这一部分主要集中在哈钦斯的共同被告的公开行为上，他的名字仍在封存之中“公开行为”是支持共谋指控的必要事实，意在表明被告参与共谋。目前知之甚少，但这可能表明共同被告正在与**合作，并提供了哈钦斯参与创建和销售Kronos恶意软件的证据。

起诉书指控，2014年7月，共同被告使用“公开网站”上的视频展示如何使用“Kronos银行特洛伊木马”。次月，共同被告提出以3000美元的价格在互联网论坛上**该木马。2015年4月，共同被告在最近被联邦执法部门查获的黑网络市场AlphaBay上发布了该恶意软件的广告。同年6月，共同被告以大约2000美元的“数字货币”**了Kronos恶意软件，并在7月为Kronos服务提供了“加密”服务，以帮助隐藏计算机系统上的特洛伊木马。

在这一长串公开的行为中，哈钦斯只是被指控在2014年创建了Kronos软件，然后在2015年晚些时候更新了该软件，此前他没有透露姓名的共同被告开始销售该恶意软件。

因此，一些人将哈钦斯视为针对一家匿名恶意软件供应商的更大规模起诉的附带损害。正如经常接手《计算机欺诈和滥用法案》案件的辩护律师托尔·埃克兰（Tor Ekeland）在推特（Twitter）上所说，“（司法部）刚刚逮捕了那个帮助阻止万纳克里的人，因为据称与他共事的人通过**恶意软件赚了2000美元。”

检方将在威斯康星州东区提起诉讼，这一司法管辖区并不以管理备受关注的黑客案件而闻名，这可能表明神秘的共同被告居住在威斯康星州。起诉书中提到AlphaBay也表明，共同被告在上个月公开的市场调查中被扫荡。联邦调查局特工在7月4日将AlphaBay下线，就在对哈钦斯和他的共同被告提出起诉的七天前。

共同被告还可能被卷入对宙斯恶意软件（Kronos的早期变种）的调查中。2010年，美国联邦调查局逮捕了10名与宙斯有关的人，另有数十人涉嫌参与其中。哈钦斯博客上的帖子显示，他在2013年底研究了宙斯的变种，包括从Carberp源代码编译的变种。这项研究是公开的，而且事后似乎没有人试图删除这些帖子。

奇怪的是，第一项罪名中的公开行为清单并没有明确指控哈钦斯从利润中分一杯羹或直接销售软件，尽管起诉书中的第二项和第四项罪名指控哈钦斯及其共同被告都曾广告和销售窃听设备(尽管Kronos软件确实记录了凭据，但从法律角度看，它是否算作“设备”还不清楚。）

简言之，起诉书对哈钦斯的涉案没有多少线索。即使所有的具体指控都被认为是真的，哈钦斯可能是一个不幸的创造者，他的代码被**时，他几乎没有任何投入——甚至可能没有任何经济补偿。他也有可能是一个老练的网络罪犯，从恶意软件中获利。

年轻的马库斯·哈钦斯

2014年7月，在起诉书称他的共同被告开始**恶意软件时，哈钦斯在推特上发帖询问是否有人有克罗诺斯的样本。有人说，既然哈钦斯在研究克罗诺斯，那就不太可能是他写的。但哈钦斯很可能阅读了IBM关于恶意软件的初步报告，怀疑Kronos是否是他自己编写的软件，并找到了一个样本来验证他的假设。不太可能但仍有可能的假设是，他在推特上发出了一个请求，要求提供一个克罗诺斯样本，以掩盖他的踪迹，并给自己当时看似合理的否认。

许多人还挖掘了IRC的旧日志，这些日志仍然可以通过互联网档案获得，与他以前的用户名TouchMe相连。IRC的日志描述了大概18岁的哈钦斯，他是一个低级的黑帽子，玩弄着一些恶意代码。但是，尽管他吹嘘地提到了恶意软件市场，但他从来没有说过这么多的话，他真的销售机器人。

[16:14] <TouchMe> if your bot is good

[16:14] <TouchMe> people will buy it

[16:14] <TouchMe> you don't need a 20mb image with stupid ****ing colors

一些安全界人士试图将哈钦斯早期的活动最小化，认为这仅仅是年轻人的轻率行为。”一位安全研究人员在Twitter上写道：“MalwareTech年轻时玩得很开心，我们都玩得很开心。”并不意味着他真的写了Kronos机器人。”

虽然有人指着2013年的一条推特，对IRC日志的可靠性和Hutchins是TouchMe的身份表示怀疑，但一位使用IPostYourInfo笔名的人士声称，他们通过IRC认识Hutchins。上周五，他们发表了一篇博文，其中包含了相当详细和密集的间接证据，将这些日志中的接触点与马库斯·哈钦斯本人联系起来。不过，尽管IPostYourInfo将哈钦斯与一些令人讨厌的行为联系起来，但他们并没有声称哈钦斯写了Kronos。尽管他们怀疑哈钦斯兜售恶意软件，但他们当时并不认为他真的是自己写的。

IPostYourInfo写道：“我本以为他会参与销售betabot（另一种恶意软件），而没有主动权和动力编写自己的恶意软件。”。

cfaa面临的新挑战

即使哈钦斯直接参与了克罗诺斯代码的开发，对他的法律诉讼也远不是无懈可击的。前联邦检察官、乔治华盛顿大学法学院教授奥林·克尔认为，检察官将面临一场艰苦的战斗。六项罪名中有四项来自反窃听法规，科尔说，这一法规的适用性值得怀疑。由于哈钦斯本人没有被指控使用这些工具，因此以共谋实施计算机欺诈和滥用行为为依据的指控也不可靠。

尽管存在这些问题，但检察官对过去面临类似事实的被告提出类似指控并无困难。最近的一个例子是2015年Blackshades案，该案针对的是一个间谍软件出租计划。恶意软件开发者通常会将实际的黑客攻击外包给规模较小的玩家，新的恶意软件会被市场营销、分析，最终被盗版并被竞争对手逆向工程。随着执法部门接手更多的网络犯罪案件，重点已从僵尸网络和分销商转移到开发商本身，他们往往获得更大份额的利润。如果这些法律，如克尔所说，不适用于恶意软件开发者的起诉，这就提出了一个问题：在这个世界从未如此依赖互联的、易受攻击的计算机系统的时代，检察官究竟应该如何阻止黑客攻击的浪潮。

由于这些恶意软件开发者的案件大多已经结束，而不是去审判，科尔提出的法律异议是未经考验的。这些起诉中很少有人必须面对强有力的法律辩护。即使在安全界陷入混乱的喧嚣中，哈钦斯仍然是一个非常受欢迎的人物，据说一项合法的筹款工作正在进行。如果哈钦斯反对这些指控，这很可能会改变美国对恶意软件开发的起诉方式。