FBI 指紋分析軟件被曝含有俄羅斯開發的代碼

據外媒報道，根據文件和兩名爆料者的說法，FBI 及美國 18000 個執法機構所用的指紋分析軟件都含有由跟克里姆林宮關系密切的俄羅斯公司開發的代碼。這引發了人們的擔憂，他們擔心俄羅斯黑客將會獲得數百萬名美國人的敏感生物信息甚至可能還會危機到更加廣泛的國家安全問題和執法部門計算機系統。 據爆料者透露，被植入俄羅斯代碼的指紋分析軟件由一家法國公司開發，他們此前都曾為這家公司工作過。兩名爆料者稱，這家公司系巴黎大企業 Safran 的子公司，而它刻意向FBI隱瞞了其購買了俄羅斯代碼的秘密交易一事。 根據美國有關部門的說法，近些年，俄羅斯黑客獲取了包括民主黨全國委員會郵件服務器、核能源公司系統、美國參謀長聯席會議非機密計算機等訪問權限。

今年 9 月，美國國土安全局下令所有聯邦機構停止使用由俄羅斯公司卡巴斯基實驗室開發的產品。據媒體報道稱，俄羅斯黑客利用該軟件盜取了美國情報項目的敏感信息。不過這家公司的創始人 Eugene V. Kaspersky 否認了這一指控，公司甚至還提交了軟件和未來更新的代碼。但即便如此，美方仍認為他們做的還不夠。 針對最新曝出的指紋分析軟件，網絡安全專家們表示，如果不檢查代碼本身就將無法評估俄羅斯代碼將帶來的危害。美國 NSA 精英網絡情報部門營運政策主任 Tim Evans 表示，使用這款跟俄羅斯聯邦安全局( FSB )存有聯系的軟件讓他感到緊張。 FBI 指紋識別技術于 2011 年公布，它被視為是下一代身份識別的一部分。美國運輸安全管理局 ( TSA ) 同樣也依靠 FBI 的這套指紋數據庫。 爆料者稱，為了贏得 FBI 的這份合同，Safran 子公司 Sagem Sécurité 將名字改成 Morpho 。這兩位爆料者都為 Morpho 工作過，他們是曾是公司在俄羅斯的負責人 Philippe Desbois 、公司在俄羅斯的業務開發團隊負責人 Georges Hala 。 另外，Desbois 和 Hala 還向外媒提供了一份在 Morpho 工作期間獲得的一份法國公司跟俄羅斯公司 Papillon AO 之間簽下的許可協議副本。這份協議簽署時間為 2008 年 7 月 2 日，正好是 Morpho 打敗全球最大生物識別公司的一年前。文件授予了那時候的 Sagem Sécurité 將 Papillon 代碼合并到其公司軟件再以公司自己的名義銷售產品的權力。另外，文件還規定，Papillon 將為 Sagem Sécurité 提供為期五年的更新和改進服務，也就是說，雙方的合同在 2013 年截止。作為回報，Sagem Sécurité 向 Papillon 支付了 380 萬歐元的初始使用費，隨后每年則要提供維護費。 此外，協議還規定，雙方都不能向第三方泄露任何關于這筆交易的信息。 雖然 Desbois 和 Hala 都沒有參與 Papillon 代碼整合至公司產品的工作以及將產品銷售給 FBI 的工作，但他們跟參與過代碼整合的工程師談過話。Desbois 稱，多位高層都告訴他，公司賣給 FBI 的技術產品含有 Papillon 算法。 來源：cnbeta