彭博社援引消息人士的說法稱,數千家科技、金融和製造業公司正與美國國家安全部門緊密合作,向其提供敏感信息,同時獲得機密情報。
這些項目的參與者被稱作「可信合作夥伴」,範圍則遠遠超出愛德華·斯諾登(Edward Snowden)所曝光的「稜鏡」計劃。斯諾登只是一名為美國國家安全局(NSA)工作的技術人員。根據斯諾登本月曝光的機密信息,NSA通過谷歌等互聯網公司持續收集上千萬美國居民的電話記錄,以及美國國外人士的計算機通信數據。民間公司在這一事件中扮演的角色引發了密切關注。
消息人士稱,許多類似的互聯網和電信公司也自願向美國情報機構提供額外數據,例如設備參數,不過這些數據中並不包含用戶的私人通信記錄。
硬件和軟件公司、銀行、互聯網安全服務提供商、衛星通信公司,以及其他一些行業的公司均參與了政府項目。在一些情況下,政府部門收集的信息不僅用於國家安全,也用於入侵敵對國家的計算機。
與NSA類似,美國中央情報局(CIA)、聯邦調查局(FBI)和軍方的一些部門也與民間公司有著此類合作協議。消息人士稱,這些數據看起來可能是無害的,但對情報機構和信息戰部隊而言非常有用。
微軟的漏洞
根據兩名消息人士的說法,作為全球最大的軟件公司,微軟在公開發佈補丁修復漏洞之前,就會向情報部門提供這些漏洞信息。這些信息可用於保護政府計算機,併入侵恐怖分子或敵對方的計算機。
兩名匿名的美國官員則表示,微軟等軟件公司,以及互聯網安全公司知道,這樣的早期預警能幫助美國相關部門利用軟件漏洞,攻擊使用這些軟件的外國政府計算機。微軟不會詢問政府部門如何利用這些漏洞,即使有這樣的疑問也不會被告知。
微軟發言人弗蘭克·肖(Frank Shaw)表示,微軟與多個政府部門合作提供這樣的早期預警,幫助政府部門盡早開始風險評估和風險減輕。他在一封電子郵件公告中表示,微軟通過「多個項目」向政府部門提供此類信息。他提到了兩個項目的名字。這兩個公開項目由微軟負責,用於國防目的。
自願的合作
一名消息人士表示,美國一些電信運營商自願向情報部門開放美國國外的設施和數據。在美國,這樣做通常需要法庭的許可。但在這些情況下,根據《國外情報監視法》,相關的監督不是必需的,而企業可以自願提供信息。
商業性公司和情報部門的廣泛合作是合法的,並深入到人們日常生活的方方面面,但只有很少一些律師、企業領導者和間諜知曉其情況。消息人士表示,企業高管出於協助國防的目的而參與合作,這樣做也能幫助他們自己的公司。
消息人士稱,由於許多合作非常敏感,因此一家公司中只有很少人知道這樣的合作存在。這些人通常為企業CEO和美國情報部門主管直接牽線搭橋。
NSA和CIA前主管邁克爾·海登(Michael Hayden)談到了情報部門對重要企業合作夥伴的關注。他表示:「如果我是主管,與一家企業擁有合作關係,這家企業的做法不僅受法律監督,也對國家防務很有價值,那麼我會毫不猶豫地感謝他們,讓他們知道這樣的做法是必要且有用的。」海登同時表示:「你需要在公司內部嚴格保密,只有很少人知情。」
根據斯諾登曝光的信息,美國9家互聯網公司與NSA的「特殊來源行動組」合作,從事秘密的「稜鏡」項目。斯諾登表示,NSA通過這一項目收集外國監控目標的電子郵件、視頻和其他隱私數據,而各家公司有著不同的安排,項目整體受到一個秘密法官小組的監督。
不過,隨著全球信息流動的快速發展,其中使用的許多交換機、線纜和網絡設備均由美國公司維護,因此美國情報部門收集數據的手段遠遠不止於此。除個人通信數據之外,有關設備參數的信息,以及維持互聯網運轉的數據對情報機構、執法部門和軍方同樣有用。
「負責人」
消息人士表示,通常情況下,一家公司的一名關鍵高管和幾名技術人員會與不同政府部門,或一個部門內部的不同項目合作。如果有必要,這名被稱作「負責人」的公司高管將獲得一份文件,從而可以豁免數據轉移行為可能帶來的民事訴訟。
消息人士稱,英特爾旗下信息安全公司McAfee就經常與NSA、FBI和CIA合作。McAfee被視為有價值的合作夥伴,因為該公司能通觀惡意互聯網流量的情況,包括外國勢力的間諜活動。
消息人士表示,這樣的合作通常從與McAfee的CEO接觸開始,他隨後將任命專門人員負責與情報部門合作,向其提供所需數據。對於政府部門所尋求的幫助,公眾在知曉後將會非常驚訝。
一些黑客利用合法服務器從事黑客活動,而McAfee防火牆能收集到這些黑客的信息。此外,McAfee的數據還能表明一些網絡攻擊源自哪裡。McAfee同時也瞭解全球的信息網絡架構,這對情報部門來說很有意義。
McAfee和谷歌的參與
McAfee全球首席技術官邁克爾·費伊(Michael Fey)表示,該公司提供的數據和分析並不包含任何個人信息。他表示:「我們不會與政府情報合作夥伴分享任何個人信息。McAfee扮演的角色是向政府部門提供安全技術、培訓和威脅情報。這樣的威脅情報包括新出現威脅的趨勢數據、信息安全攻擊模式及活動情況,以及對軟件完整性、系統漏洞和黑客組織活動的分析。」
消息人士稱,作為回報,公司領導者將可以獲得來自情報部門的信息,瞭解情報部門當前的關注重點。在另一些情況下,對於可能不利於業績的信息安全威脅,公司將獲得快速預警,從而及早知曉嚴重的互聯網攻擊事件,以及幕後者是誰。
2010年,谷歌表示該公司遭到了來自中國黑客的攻擊。消息人士表示,谷歌聯合創始人謝爾蓋·布林(Srgey Brin)從美國情報機構處獲得了高度機密的相關信息,從而知曉了攻擊來源。當時布林獲得了臨時的機密情報授權,得以瞭解相關情況。
根據斯諾登曝光的信息,谷歌參與「稜鏡」計劃已有1年多時間。谷歌CEO拉裡·佩奇(Larry Page)在6月7日的一篇博客文章中表示,他並未聽說過「稜鏡」項目的存在,谷歌並不允許美國政府部門直接進入其服務器,或利用後門進入其數據中心。而谷歌依法向政府提供用戶數據。谷歌發言人萊絲莉·米勒(Leslie Miller)尚未對最新消息做出回應。
「巧言」計劃
斯諾登提供的信息還曝光了NSA另一個秘密的「巧言(Blarney)」計劃。根據《華盛頓郵報》的報道,在這一計劃中,NSA收集了通過骨幹網收發電子郵件或瀏覽互聯網的計算機和設備的元數據。
這些元數據包含全球大量計算機操作系統、瀏覽器和Java的版本。美國情報機構可以利用這些數據去攻擊計算機和手機,刺探用戶信息。
澳大利亞主要電信運營商之一Telstra的前首席信息官格倫·吉斯霍姆(Glenn Chisholm)表示:「這是高度攻擊性的信息。」這些信息並非用於保護計算機不受攻擊的防禦目的。《華盛頓郵報》援引斯諾登的說法稱,「巧言」計劃的目的是「獲取及利用國外的情報」。
目前尚不清楚,美國的互聯網服務提供商是否參與了「巧言」計劃,向NSA提供信息。如果事實如此,那麼也不清楚數據轉移是否得到了法庭的批准。
監督的缺失
NSA前總法律顧問斯泰沃特·貝克(Stewart Baker)表示,如果元數據包含兩台美國國外電腦通過位於美國的光網絡的通信,那麼當情報部門從中提取通信數據時,很可能不需要太多的法律監督。
美國參議員約翰·洛克菲勒(John D. Rockefeller IV)的前信息安全助理雅克布·奧爾科特(Jacob Olcott)表示,負責美國情報機構的國會議員可能並不瞭解情報部門收集的元數據有多少。他表示:「這導致監督極具挑戰性。目前的情況是,技術和技術政策的發展速度遠遠超過大部分國會議員及其幕僚的背景和專業性。」奧爾科特目前是華盛頓Good Harbor信息安全風險管理公司的負責人。
消息人士表示,儘管情報部門向合作者提供了許多有吸引力的回報,但大部分公司高管仍是出於愛國主義,或保護國家安全的責任感而與情報部門合作。
「愛因斯坦3」軟件
美國的電信運營商、互聯網公司和能源公司向情報部門提供系統架構和設備信息,以便情報部門分析潛在隱患。吉斯霍姆表示:「政府希望瞭解國家的關鍵基礎設施,這是很自然的。」他目前是加州一家公司Cylance的首席信息安全官。
即使嚴格意義上的國防系統也有可能導致用戶隱私信息的意外洩露。由NSA開發的一個名為「愛因斯坦3」的軟件旨在保護政府系統不受黑客攻擊。這一軟件會自動分析每年發送給政府部門計算機的數十億封電子郵件,以檢測是否包含間諜工具或惡意軟件。根據知情人士的說法,在某些情況下,「愛因斯坦3」可能會洩露電子郵件中的私人內容。
在同意將「愛因斯坦3」部署在各自網絡之前,美國五大互聯網服務提供商,包括AT&T、Verizon、Sprint Nextel、Level 3和CenturyLink要求,不承擔美國反竊聽法所規定的責任。消息人士稱,這些公司要求獲得美國司法部長簽字的文件,確認這樣的信息披露與竊聽無關,從而豁免任何相關的民事訴訟。
AT&T和Verizon發言人均拒絕對這一消息置評。Sprint和Level 3發言人尚未發表評論。而CenturyLink發言人琳達·約翰遜(Linda Johnson)則表示,該公司參與了「增強信息安全服務」和「入侵防護信息安全服務」項目,其中包含了「愛因斯坦3」軟件。這兩個項目均由美國國土安全部負責。除此之外,「CenturyLink不會評論任何與國家安全相關的事宜」。
[轉貼] 美國與數千家公司合作獲取情報棱鏡僅為冰山一角
沒有留言:
張貼留言