前情回顾·大数据新安全
安全内参4月18日消息,继去年美军被曝光秘密采购基于网络日志的大规模监控工具后,日前又有多个美国联邦政府机构遭曝光,向私人数据公司购买互联网流量日志,或存在侵犯公民隐私嫌疑。
美军秘密采购大规模监控工具
2022年有报道称,美国海军刑事调查局、国防情报局、国防反情报与安全局、海关与边境保护局等多个军事情报单位花费数百万美元向数据经纪机构购买互联网流量日志。
美国参议员罗恩·怀登称,上述部门购买的互联网流量日志,“能够展示民众的个人身份,以及人们在网上的阅读内容等极其敏感的信息。”这意味着政府机构可能会绕过宪法的保护,从见不得光的数据经纪机构和其他私营企业那边获得公民的隐私数据。
美国公民自由联盟等主要权利组织对此事件表达了担忧,称有必要以更高的透明度关注政府机构如何使用这些信息。多位联邦议员也在努力调查美国政府在未获授权的情况下获取互联网数据的行为,要求有关部门颂涉嫌购买数据的细节,以确定是否侵犯了公民隐私。
FBI也被曝出多次采购Netflow数据
但美国联邦机构对议员和权利组织对此质疑置若罔闻,近日又被曝出向私人数据公司购买互联网流量日志,继续表现出对互联网数据和产品的极大兴趣。
据外媒Motherboard报道,美国联邦调查局(FBI)内部文件显示,FBI分别于2009、2011、2013和2017年向私人公司购买了互联网流量日志(netflow),其中最新一次交易(2017年)花费了76450美元。所谓“互联网流量日志”包括服务器之间的通信、本应只能够被服务器所有者或互联网服务提供商获取的信息等流量数据。
文件显示,FBI是为其下属的网络部门进行上述交易的。据悉,FBI网络部门的主要职责,是调查网络犯罪和国家安全领域的黑客。
但按照参议员罗恩·怀登的说法,对这些数据进行分析可以识别黑客所用的基础设施,更能够“揭示美国人访问的网站以及其他敏感信息,比如一个人看什么医生、他们的宗教信仰或他们使用的约会网站”等等,所以“政府这种在未得到法院授权的情况下购买私人数据是不可接受的”。
Team Cymru公司为核心供应商
值得注意的是,向FBI提供“货品”的,仍然是出现在2022年报道中的Team Cymru公司(或其子公司),这表明该公司在去年的曝光事件后并未收敛,美国政府部门也未终止与它的合作。Team Cymru公司的产品优势由此可见一斑。
Motherboard称,这家公司的上市产品主打“通过虚拟专用网络跟踪流量的能力”,并可显示访问流量来自哪个服务器。另外,Team Cymru公司的产品清单上还包括URL访问数据、cookie和PCAP数据等。尽管被曝光的内部文件显示FBI并未购买或获得此类数据,但在2022年的报道中,一名举报人曾明确表示海军犯罪调查处涉嫌在没有授权的情况下使用了这些数据。
Motherboard称,Team Cymru公司是通过“交换服务”的方式从互联网服务提供商处获取上述数据和信息的——前者承诺向后者提供威胁情报做为回报。但很有可能的是,两者之间的交易是在互联网用户不知情的情况下进行的。罗恩·怀登毫不客气地指出,FBI从Team Cymru公司手里购买这样的数据,“欠美国人民一个解释。”
国税局也被曝光采购Netflow数据
然而,FBI的解释还没等到,美国联邦政府机构向Team Cymru公司购买互联网流量日志的另一笔交易新闻却先到了。这次的主角是美国国税局(IRS)。
公开采购记录显示,国税局希望向Team Cymru公司购买一款互联网监控工具,并从其他网络安全公司购买定制服务。据悉,国税局寻求购买的互联网监控工具,是Team Cymru公司出品的“Recon—Advanced”。公司官网介绍称,Recon—Advanced具备“互联网流量遥感”功能,可通过主动向采集器上送监测数据的方式采集类型丰富的互联网数据,该网站将这些数据描述为“世界上最大的威胁情报数据海洋”。所以使用Recon—Advanced产品,就能够“通过十多个代理和VPN追踪恶意活动,以确定网络威胁的来源”。
综合上述信息,国税局购买Recon—Advanced产品的目的似乎是防御性的,可以帮助本部门网络安全专业人员监控本部门网络之外的活动,并对互联网上正在发生的事情进行观察。如果真的如此,那么这可能有利于防御者对黑客进行识别。
众多行业人士表达怀疑和担忧
但是,多名网络安全专业人士对此表示了怀疑和担忧。
首先,Team Cymru公司互联网监控工具的数据收集对象不仅仅针对黑客或疑似黑客,而是无差别式的。一位消息人士表示,他在Team Cymru收集到的数据仓库中甚至看到了一个自己熟识的组织的流量,当时大吃了一惊。言下之意,即谁也不能保证Team Cymru公司收集的数据不会侵犯公民或社会团体的隐私。
其次,国税局或其他政府部门从Team Cymru公司购买的数据将用于何处无法得到有效监督。正如网络大数据分析公司Kentik总裁艾唯·弗里德曼(Avi Freedman)所说,尽管Team Cymru公司宣称本公司出售的数据将用于网络安全,但仍有些人想将这些数据用于其他目的。所以最好的办法是取消互联网数据交易。他举例称,曾有一家对冲基金试图以研究经济的名义从Kentik公司获取网络数据流量,但遭到了自己的拒绝。他表示,对冲基金求购的数据“是我们客户的数据,不是我们的。所以我们的回答是‘不’”。
Team Cymru公司一再向政府部门出售流量数据的行为已引起不满和怀疑。参议员罗恩·怀登在表示此类行为“不可接受”的同时,还强调自己已提出出台《禁止出售法》的建议,禁止政府部门或相关机构购买此类私人数据。
旨在为用户提供绕过审查匿名访问网站服务的非营利性项目Tor Project则表示,将对Team Cymru公司捐赠的基础设施敬而远之。该组织称,远离Team Cymru公司基础设施的迁移工作预计将在今年春天完成。
参考资料:https://www.vice.com/en/article/dy3z9a/fbi-bought-netflow-data-team-cymru-contract、https://www.vice.com/en/article/93kwd7/irs-wants-to-buy-internet-mass-monitoring-tool-team-cymru-netflow
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。