安全內參4月18日消息,繼去年美軍被曝光秘密采購基于網絡日志的大規模監控工具后,日前又有多個美國聯邦政府機構遭曝光,向私人數據公司購買互聯網流量日志,或存在侵犯公民隱私嫌疑。

美軍秘密采購大規模監控工具

2022年有報道稱,美國海軍刑事調查局、國防情報局、國防反情報與安全局、海關與邊境保護局等多個軍事情報單位花費數百萬美元向數據經紀機構購買互聯網流量日志。

美國參議員羅恩·懷登稱,上述部門購買的互聯網流量日志,“能夠展示民眾的個人身份,以及人們在網上的閱讀內容等極其敏感的信息。”這意味著政府機構可能會繞過憲法的保護,從見不得光的數據經紀機構和其他私營企業那邊獲得公民的隱私數據。

美國公民自由聯盟等主要權利組織對此事件表達了擔憂,稱有必要以更高的透明度關注政府機構如何使用這些信息。多位聯邦議員也在努力調查美國政府在未獲授權的情況下獲取互聯網數據的行為,要求有關部門頌涉嫌購買數據的細節,以確定是否侵犯了公民隱私。

FBI也被曝出多次采購Netflow數據

但美國聯邦機構對議員和權利組織對此質疑置若罔聞,近日又被曝出向私人數據公司購買互聯網流量日志,繼續表現出對互聯網數據和產品的極大興趣。

據外媒Motherboard報道,美國聯邦調查局(FBI)內部文件顯示,FBI分別于2009、2011、2013和2017年向私人公司購買了互聯網流量日志(netflow),其中最新一次交易(2017年)花費了76450美元。所謂“互聯網流量日志”包括服務器之間的通信、本應只能夠被服務器所有者或互聯網服務提供商獲取的信息等流量數據。

文件顯示,FBI是為其下屬的網絡部門進行上述交易的。據悉,FBI網絡部門的主要職責,是調查網絡犯罪和國家安全領域的黑客。

但按照參議員羅恩·懷登的說法,對這些數據進行分析可以識別黑客所用的基礎設施,更能夠“揭示美國人訪問的網站以及其他敏感信息,比如一個人看什么醫生、他們的宗教信仰或他們使用的約會網站”等等,所以“政府這種在未得到法院授權的情況下購買私人數據是不可接受的”。

Team Cymru公司為核心供應商

值得注意的是,向FBI提供“貨品”的,仍然是出現在2022年報道中的Team Cymru公司(或其子公司),這表明該公司在去年的曝光事件后并未收斂,美國政府部門也未終止與它的合作。Team Cymru公司的產品優勢由此可見一斑。

Motherboard稱,這家公司的上市產品主打“通過虛擬專用網絡跟蹤流量的能力”,并可顯示訪問流量來自哪個服務器。另外,Team Cymru公司的產品清單上還包括URL訪問數據、cookie和PCAP數據等。盡管被曝光的內部文件顯示FBI并未購買或獲得此類數據,但在2022年的報道中,一名舉報人曾明確表示海軍犯罪調查處涉嫌在沒有授權的情況下使用了這些數據。

Motherboard稱,Team Cymru公司是通過“交換服務”的方式從互聯網服務提供商處獲取上述數據和信息的——前者承諾向后者提供威脅情報做為回報。但很有可能的是,兩者之間的交易是在互聯網用戶不知情的情況下進行的。羅恩·懷登毫不客氣地指出,FBI從Team Cymru公司手里購買這樣的數據,“欠美國人民一個解釋。”

國稅局也被曝光采購Netflow數據

然而,FBI的解釋還沒等到,美國聯邦政府機構向Team Cymru公司購買互聯網流量日志的另一筆交易新聞卻先到了。這次的主角是美國國稅局(IRS)。

公開采購記錄顯示,國稅局希望向Team Cymru公司購買一款互聯網監控工具,并從其他網絡安全公司購買定制服務。據悉,國稅局尋求購買的互聯網監控工具,是Team Cymru公司出品的“Recon—Advanced”。公司官網介紹稱,Recon—Advanced具備“互聯網流量遙感”功能,可通過主動向采集器上送監測數據的方式采集類型豐富的互聯網數據,該網站將這些數據描述為“世界上最大的威脅情報數據海洋”。所以使用Recon—Advanced產品,就能夠“通過十多個代理和VPN追蹤惡意活動,以確定網絡威脅的來源”。

綜合上述信息,國稅局購買Recon—Advanced產品的目的似乎是防御性的,可以幫助本部門網絡安全專業人員監控本部門網絡之外的活動,并對互聯網上正在發生的事情進行觀察。如果真的如此,那么這可能有利于防御者對黑客進行識別。

眾多行業人士表達懷疑和擔憂

但是,多名網絡安全專業人士對此表示了懷疑和擔憂。

首先,Team Cymru公司互聯網監控工具的數據收集對象不僅僅針對黑客或疑似黑客,而是無差別式的。一位消息人士表示,他在Team Cymru收集到的數據倉庫中甚至看到了一個自己熟識的組織的流量,當時大吃了一驚。言下之意,即誰也不能保證Team Cymru公司收集的數據不會侵犯公民或社會團體的隱私。

其次,國稅局或其他政府部門從Team Cymru公司購買的數據將用于何處無法得到有效監督。正如網絡大數據分析公司Kentik總裁艾唯·弗里德曼(Avi Freedman)所說,盡管Team Cymru公司宣稱本公司出售的數據將用于網絡安全,但仍有些人想將這些數據用于其他目的。所以最好的辦法是取消互聯網數據交易。他舉例稱,曾有一家對沖基金試圖以研究經濟的名義從Kentik公司獲取網絡數據流量,但遭到了自己的拒絕。他表示,對沖基金求購的數據“是我們客戶的數據,不是我們的。所以我們的回答是‘不’”。

Team Cymru公司一再向政府部門出售流量數據的行為已引起不滿和懷疑。參議員羅恩·懷登在表示此類行為“不可接受”的同時,還強調自己已提出出臺《禁止出售法》的建議,禁止政府部門或相關機構購買此類私人數據。

旨在為用戶提供繞過審查匿名訪問網站服務的非營利性項目Tor Project則表示,將對Team Cymru公司捐贈的基礎設施敬而遠之。該組織稱,遠離Team Cymru公司基礎設施的遷移工作預計將在今年春天完成。

上帝之眼 流量 網絡安全 科技新聞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接