传美情报局与数千公司互通数据:微软谷歌均参与

2015-06-09 14:26:39　来源: 博智官方网站

　   据两位熟悉内幕的人士称，世界上最大的软件公司微软会向情报机构提前提供操作系统的漏洞信息，之后再发布修复补丁。
　　导语：彭博社今天发表署名迈克尔·莱利(Michael Riley)的文章称，美国NSA、CIA和FBI等情报机构与美国数千家私有企业保持着紧密的合作关系，它们会从这些企业获得敏感情报，同时也会向合作企业提供机密信息。
　　以下是文章全文：
　　据四位熟悉内幕的消息人士称，成千上万家科技、金融和制造领域的公司与美国国家安全机构合作紧密，它们向后者提供敏感信息，作为回报它们会获得后者提供的机密情报。
　　这些项目的参与公司都是可信赖的合作伙伴，它们的所作所为远远超出在美国国家安全局(NSA)从事电脑技术员工作的爱德华·斯诺登(Edward Snowden)所披露出来的那些内容。自从斯诺登本月披露NSA收集数百万美国居民的电话记录以及与谷歌等互联网企业合作监控外国人的计算机通信信息以来，那些涉事的私有企业受到了公众密切的关注。
　　上述四位消息人士称，除了用户的私人通信信息外，许多互联网和通信公司自觉自愿地为美国情报组织提供额外的数据，例如设备规格。
　　软硬件制造商、银行、互联网安全服务商、卫星通信公司以及其它许多公司也参与了美国政府的这些项目。某些时候，这些项目所收集的信息不仅仅是出于自我保护，还被用来作为攻击手段，侵入竞争对手的计算机系统。
　　据上述四位消息人士中一位曾在美国政府及其合作企业都工作过的人透露，除NSA外，美国中央情报局(CIA)、联邦调查局(FBI)以及美国军方的情报机构也与上述公司保持合作，收集那些普通人看起来无害，但在美国情报人员或网络战部队看来非常有用的信息。
　　微软漏洞
　　据两位熟悉内幕的人士称，世界上最大的软件公司微软会向情报机构提前提供操作系统的漏洞信息，之后再发布修复补丁。这些信息可被用来保护美国政府的计算机，以及用来访问恐怖分子或军事对手的电脑系统。
　　据两位美国官员透露，微软等软件公司、互联网和安全企业提前提供的这些信息可以帮助政府好好利用这些出售到海外的软件的脆弱性。这两位不愿具名的消息人士表示，微软没有问、也不可能被告知政府将如何使用这些信息。
　　微软一位发言人弗兰克·肖(Frank Shaw)表示，微软会向多个合作机构提前提供漏洞信息，目的是让政府能够“尽早启动”风险评估和减少灾难带来的损失。
　　乐意合作
　　上述四位消息人士之一透露，一些美国通信公司非常愿意向情报机构提供访问海外基础设施和通信数据的权利。而在美国本土，这样事情必须得到法官的批准才能进行。在美国“外国情报监视法”(Foreign Intelligence Surveillance Act)的庇佑下，美国的通信公司可以不经监管，自愿地向情报机构提供信息。
　　情报机构和私有企业之间展开的这类广泛合作是非法的，它存在于人们生活的方方面面，但只有很少一部分律师、企业主和间谍人员才会审慎地看待这个问题。一位熟悉情报机构和公司间协议内容的消息人士称，私有企业的高管们乐于与政府合作，博得协助国防的美名，同时公司本身也会从中获益。
　　一位熟悉流程的人士表示，大多数协议都属于高度机密，公司只有少数高层能够访问这些信息。很多时候，这样的机密信息只有企业的CEO和间谍机构的负责人知晓，其他人根本无从得知。
　　“感谢他们”
　　曾先后担任NSA和CIA一把手的迈克尔·海登(Michael Hayden)这样描述与合作公司间的关系：“如果我是情报机构负责与合作企业接洽的主管，当我的伙伴向我提供了对公共防卫非常有价值的信息时，我要以我的方式感谢他们，让他们意识到自己的所作所为的必要性和有用性。”
　　海登补充道：“作为公司负责人你有义务做这样的事，很少有人会置身事外。”
　　根据斯诺登披露的一张幻灯片显示，美国互联网公司与NSA“特别来源行动”(Special Source Operations)小组之间有一个命名为Prism(棱镜)的秘密计划，该计划专门收集海外侦查目标的电子邮件、视频以及其它数据信息。每家互联网企业监控的数据不同，具体类别由一个秘密的评委会决定。
　　由于全球的信息呈现爆炸式增长，以及更多地通过由美国公司提供的交换机/路由器、线缆及其它网络设备传输，美国情报机构越来越依赖与私有企业间的这种合作关系。
　　设备规格
　　除了私人通信外，支撑互联网运行的设备的规格信息也在美国政府及其合作企业的收集之列。理论上，这些设备规格信息与私人通信信息之间没多大联系，不属于情报机构关心的范畴。但是，这些信息对企业、美国执法官员和军方很重要。
　　接洽官员
　　如果必要，与情报机构合作的公司高管，会被授予可以免除因转移数据而遭受的民事诉讼的豁免权。情报机构还会定期向公司接洽人更新他们将如何使用收集到的数据信息。
　　上述四位熟悉内幕的消息人士之一称，英特尔旗下从事互联网安全软件业务的McAfee部门，会定期与NSA、FBI以及CIA合作。McAfee是美国情报机构一个非常有价值的合作伙伴，因为它生产的互联网软件可以掌握大量的恶意互联网流量，包括来自外国的间谍行动等。
　　该消息人士表示，美国情报机构与McAfee的合作过程可能是：先与McAfee CEO接洽，后者会指派特别的员工来负责向调查员提供数据。他还表示，美国公众如果得知政府居然要寻求这么多帮助，一定会大吃一惊。McAfee的防火墙可以收集使用正版服务器从事间谍活动的数据，从而找出攻击发起的位置。此外，McAfee还熟知全球信息网络的体系结构，这些信息对合作情报机构非常有用。
　　企业高管获关照
　　McAfee全球首席技术执行官迈克尔·菲(Michael Fey)表示，McAfee的数据和相关分析并不涉及个人信息。他在一份声明中写道：“我们不与政府机构合作伙伴分享任何类型的个人信息。McAfee的任务是向政府机构提供安全技术、教育信息和威胁情报。这种情报包括有关新威胁、网络攻击模式、矢量活动的趋势数据，以及对软件系统漏洞和黑客组织活动真实性的分析。”
　　上述知情人士透露，作为交换，美国安全机构会给予合作企业高管特别关照和相关信息，以维持这种合作关系。有时候，合作企业还会提前获得相关威胁的警告，这些威胁可能会影响他们的营收，如大规模网络攻击以及幕后操纵者等信息。
　　据一位熟悉美国政府调查的知情人士透露，2010年，在谷歌遭受中国黑客攻击后，谷歌联合创始人塞吉·布林(Sergey Brin)获得了一份高度机密的政府情报，称此次攻击的主使是中国军方下属秘密机构。根据斯诺登透露的信息，作为全球第一大搜索引擎，谷歌当时已经参与“棱镜”计划一年有余。
　　谷歌CEO拉里·佩奇(Larry Page)本月7日在一份博文中写道，在斯诺登曝料之前，他从未听说过“棱镜”计划，而谷歌并不允许美国政府直接接入其服务器，或是数据中心的“后门”系统。佩奇称，谷歌只有在不违反法律的情况下，才向政府提供用户数据。谷歌发言人莱斯利·米勒(Leslie Miller)暂未对这一报道发表评论。
　　搜集设备元数据
　　斯诺登提供的信息还曝光了一个名为的“Blarney”秘密计划。根据《华盛顿邮报》对“Blarney”计划的描述，美国安全机构会搜集一些电脑和设备的元数据(Metadata)，这些电脑和设备被用于通过主数据线路发送电子邮件，浏览互联网信息。
　　全球数以百万计的设备都在使用元数据，而美国情报机构则可以利用此类信息，向这些电脑或手机进行渗透，对用户实施监控。元数据还包括操作系统、浏览器和Java软件版本。澳大利亚大型电信运营商Telstra Corp前首席信息官格伦·奇斯霍尔姆(Glenn Chisholm)说：“这是一种具有高度进攻性的数据”。他这样讲，其实是在与保护而非渗透电脑的防御性信息做对比。
　　据《华盛顿邮报》报道，斯诺登称“Blarney”计划的目标是“接入和获取外国情报”。目前尚不清楚美国互联网服务提供商是否按照“Blarney”计划，向NSA提供了用户信息，如果确有此事，他们是否得到了法官批准。
　　NSA前法律总顾问斯图尔特·贝克(Stewart Baker)表示，如果元数据涉及两台碰巧穿越美国光缆的境外电脑之间的通讯，“那么相比正在逐一筛查的通信，前者并不需要太多的法律监督就可以获取。”
　　跟不上科技潮流
　　雅各布·奥尔库特(Jacob Olcott)表示，负责监督美国情报机关的议员们，或许并不清楚NSA所搜集的部分元数据的重要性。奥尔库特是美国参议院商业委员会主席约翰·洛克菲勒(John D. Rockefeller IV)的前任网络安全顾问，现为安全风险管理公司Good Harbor Security Risk Management高层。
　　他说：“这使得议员对此类问题的监察变得非常困难。现如今，科技和技术政策瞬息万变，大多数民选议员及其助手的背景和专长已经无法跟上这种潮流。”知情人士透露，虽然美国情报机构会向合作企业提供颇具吸引力的奖励，但许多高管参与此类计划主要是出于爱国情操，或是觉得他们是在保护国家安全。
　　美国电信运营商、互联网公司、电力公司和其他企业，向美国情报机构提供了他们系统的基础架构或相关设备的细节，以便情报机构可以分析潜在漏洞。美国加州数据安全公司Cylance首席安全官奇斯霍尔姆说：“政府想要知道国家重要基础设施的情况，这是自然而然的举动。”
　　不承担法律责任
　　即便是一些高度防御性系统，也会给用户隐私带来预想不到的后果。“Einstein 3”是最早由NSA制订的一个投入巨大的计划，旨在保护政府系统免遭黑客攻击。目前，该项目已经公诸于众，目前正处于安装阶段，它将会对每年发送至政府电脑的数十亿封电子邮件进行仔细分析，以确定它们是否包含间谍工具或恶意软件。据知情人士透露，在某些情况下，“Einstein 3”计划还可能使电子邮件的私密内容曝光。
　　据悉，在AT&T、Verizon Communications、Sprint Nextel、Level 3 Communications、CenturyLink等美国五家知名互联网同意在其网络中安装“Einstein 3”系统之前，有几家还要求政府必须保证，他们不会因违反美国反窃听法律而承担责任，结果他们收到了一封有美国总检察长亲笔签名的书信，信中称曝光此类信息并不符合美国法律对窃听的定义，同时给予这些公司以民事诉讼的豁免权。
　　AT&T发言人马克·西格尔(Mark Siegel)和Verizon发言人爱德华·麦克法登(Edward McFadden)均对这一报道不愿置评，而Sprint发言人斯科特·斯洛特(Scott Sloat)和Level 3发言人莫妮卡·马丁尼斯(Monica Martinez)则暂未对此发表评论。
　　Centurylink发言人琳达·约翰逊(Linda Johnson)表示，该公司参与了“网络安全增强服务”(Enhanced Cybersecurity Services)和“入侵预防安全服务”(Intrusion Prevention Security Services)等两个计划，后者还包括“Einstein 3”项目。这两个计划都由美国国土安全部直接负责。她说，除此之外，“Centurylink不会对国家安全相关事宜发表评论。”