扫码打开虎嗅APP
虎嗅注:原文来自 MIT Technology Review,作者 Joseph Cox 。本文由虎嗅编译。
“我们当时就觉得很可疑,”M女士指着一封匿名邮件说,这封邮件是2014年她和她的几个记者同事同时收到的。邮件里说现在有一个关于政府丑闻的线索,但是M女士怎么也没看明白。不久,她的电脑就开始出现奇怪的问题。“我清楚地记得我当时要做一个关于酷刑的采访,但却连不上Skype,”她说,“我的电脑好像受到了干扰,于是只好借别人的电话用。”
随后M女士将这封邮件转给了安全专家,她才得知,她和她的同事都被远程控制系统(RCS)操控了,这是由意大利公司Hacking Team开发的一款黑客软件。不久后,M女士或许会发现,操纵这款软件攻击她的,正是她的政府,这大约是她举报时不曾想到的。因为害怕报复,M女士要求不公开姓名。
M女士只是被RCS攻击的千万人之一,而购买这款软件的,有情报机构,也有政府执法部门。未来,当政府和警察局也开始越来越多地使用这样的工具后,我们要担心的就不只是犯罪分子和反对政府的人了。
在最近发生的巴黎恐袭事件后,像CIA局长John Brennan和纽约市警察局长Bill Bratton这样的一干人,就开始抱怨加密技术对常规搜查和监管工作的妨碍。欧洲一些官方机构也表达了类似的观点,而这种观点很可能会让RCS销量大涨,因为RCS正是Hacking Team视为攻克加密术的绝佳方案。其他像Hacking Team一样的企业同样也会得益。熟悉这家公司业务的专家说,Hacking Team是做黑客工具的同类公司中最出色的,他们的产品使得黑客技术不再是情报机构的专利,连普通的地方警察局都能使用。
现在我们所知道的是,当Hacking Team的产品被日益广泛地使用,这种行为也越来越受到技术、道德以及法律层面的考量。当越来越多的执法部门也成为他们的用户,滥用的问题就开始浮现。“在FBI、州政府和地方政府的执法部门也操练起黑客技术之前,我们非常有必要来讨论下,这些监控工具到底应该如何使用。”美国人权协会的核心技术员Christopher Soghoian说。
“黑客轴心”
Hacking Team由现任CEO David Vincenzetti创立于2003年,起初更像是一家传统的网络安全公司。Hacking Team孵化于上世纪90年代一个由密码专家和业余爱好者组成的社区,Wikileaks的朱利安·阿桑奇也诞生于此。当时一些公司请Hacking Team来测试他们的计算机网络并找出弱点,而这批最早的顾客就包括德意志银行和巴克莱银行。
然而几年后,Vincenzetti就将公司的业务重心由“防御”转向“攻击”。Hacking Team开始出售可以侵入他人电脑并盗取数据的软件,而他们最主要的产品就是RCS,也就是黑客用来攻击M女士的工具。
RCS既可攻击PC,也可攻击移动设备。它可以从被攻击者的硬盘上拷贝文件,窃取Skype通话和信息,在邮件加密前偷看邮件,获取用户在浏览器中输入的密码,甚至是打开麦克风和摄像头对直接本人进行监视。
这种程序利用系统或其他软件的安全漏洞入侵设备,而获知漏洞的途径,要么是Hacking Team自己去发掘,要么是由付钱给第三方公司换取情报。在M女士的案件中,RCS就是通过附带恶意程序的邮件侵入电脑,此外,派人直接秘密将软件拷到设备上也是一种入侵方式。还有些客户是这样使用RCS的:由一家网络服务供应商为他们安装一款叫做Network Injection Appliance的设备,然后通过将攻击对象引向一个钓鱼页面,把RCS偷偷装入对方系统。顾客会就软件本身、帮助他们和Hacking Team保持联系的代理服务以及Hacking Team所做的调查向其支付报酬,同时他们也可以获得全面的技术支持。“Hacking Team创造的额外价值就在于提供咨询培训,让不懂电脑的人都可以轻松成为代理,”国际隐私机构长期关注监控领域的研究员Edin Omanovic说。
意大利政府机构是RCS的早期用户,而最早的攻击对象就是黑手党老大。但是Hacking Team很快扩张,走出了本地市场,他们用浮夸的视频广告告诉顾客,他们的拿手好戏就是“攻克加密术、获取有用数据”。
2006年,Hacking Team和西班牙情报机构CNI签约,两年后新加坡、匈牙利的情报机构也紧随其后。不久前,沙特阿拉伯、墨西哥、埃及、苏丹、俄罗斯、哈萨克斯坦都给本国的安全机构购买了Hacking Team的产品。FBI和其他美国政府机构也购买了RCS的使用许可。还有一大批地方警察局,甚至高校的保安部门都请Hacking Team来展示他们的产品。新闻调查组织MuckRock通过《信息自由法案》获取的邮件显示,弗洛里达州一个普通的警察局在看了Hacking Team的展示之后,认为如果不使用RCS,他们简直都“活不下去”,尽管这家警察局后来也没有购买Hacking Team的产品。
然而,Hacking Team某些客户使用RCS的方式,已经开始引来争议。2012年,一直以来关注计算机安全对人权影响的多伦多大学公民实验室发现,Hacking Team的软件被阿拉伯联合酋长国政府用来攻击政见不同者的个人计算机,埃塞俄比亚政府则侵入了在美国工作的记者的电脑。“我们发现了许多肮脏的勾当,”为公民实验室撰写了数份报告的安全研究员Claudio Guarnieri说。
今年7月,Hacking Team终于把自己也搭了进去,黑客曝光了Hacking Team及其顾客的许多内幕。一份日期为2015年5月的电子表格显示,自2008年以来,至少有6,550台独立设备(包括手机和电脑)遭到RCS攻击。Hacking Team总共将设备卖给了70多个客户,政府部门也包括其中,而且为Hacking Team带去了超过4000万欧元(大约4400万美元)的收入。
但是内幕被晒到网上似乎也没对Hacking Team造成多大影响,也没有客户公开宣布与公司决裂。“客户都选择和我们站在一起,我想是因为他们看到了我们带来的价值,以及我们产品的优越性,”公司发言人Eric Rabe说。(CEO Vincenzetti拒绝接受采访。)
不过Hacking Team面临的竞争也很激烈,除了小型的黑客工作坊,还要应对大型的政府承包商。伽玛国际(Gamma International)是一家在德国和英国都设有办事处的公司,他们提供的产品FinFisher和RCS十分类似,已经被澳大利亚、比利时和意大利的政府机构购买。FinFisher还被巴林岛政府用来攻击激进主义分子,根据国际隐私组织的报道,它还被乌干达政府用来勒索政敌。和Hacking Team一样,伽玛国际在2014年也遭到黑客攻击,内部文件同样被曝光,但公司照样也是全身而退。公民实验室报道,伽玛国际的顾客甚至反而增加了。
Omanovic说,据他所知,大约还有16家公司在销售和Hacking Team类似的产品。在我们采访他前两周,他刚刚发现了一家以色列公司,两个月前发现的则是南非的一家公司。公民实验室研究员Guarnieri认为,这类公司恐怕还有更多。“就业务规模和客户数量来看,还有一些重量级的公司没有被发现,”他说,“他们不怎么受到关注,但或许正是因此他们才能好过。”
不受约束的权力
在美国,像RCS这样的软件如果想要获取个人数据,那么必须服从宪法第四修正案及刑事案件的有关规定,这意味着FBI如果要黑你的电脑,也必须要先获得许可。但是,美国司法部却在设法扭曲有关获取“远程”搜查许可的法律规定,此举同时遭到了美国公民自由联盟和谷歌的反对,称这将导致权力的滥用。
每当新型的监控技术可用时,它们总是在没有任何管制之前,就被警察利用起来了。在美国,Stingrays——一种可以从一定区域内的手机上搜刮信息的设备早已普及开来。比如洛杉矶附近圣贝纳迪诺城的警察局,在没有任何许可的情况下,仅仅2年内就使用这款设备超过300次。可见这个问题由来已久,只是在最近才被重视起来,现在,FBI使用Stingrays也需要获取许可,地方政府也将逐渐受到法律的约束。之所以这样做,是因为黑客工具很容易被滥用,而其威力和危害都远大于警察目前所使用的监控技术。
美国公民自由协会的技术员Soghoian认为,公众及政界必须尽快对黑客工具的威力及其逐渐广泛的使用进行讨论。“我觉得,如果知道政府可以劫持电脑或手机上摄像头(在提示灯不亮的情况下),或者远程开启麦克风,许多美国人都会大吃一惊,”他说。
但是,美国议会或者其他西方国家的任何类似机构,都不可能发起Soghoian所说的这样一场讨论。最近,在遭到伊斯兰国及其同情者的袭击后,一些政府只会更加迫切地希望将他们的情报机构和执法部门武装起来。而一些企图限制人权记录很差的国家购买RCS这类工具的尝试,也步步维艰。2013年下半年,美国与其他40个国家签订的武器管制条约《瓦森纳协定》更新了内容,限制了部分国家政府引入监控技术。但是相关规定却在美国遭到了搁置,一群安全研究员抗议说这些规定过于宽泛,反而会妨碍保障网络安全的必要工作。
黑客工具的提供商、国家情报机构和犯罪组织或许也会开个会研究下如何抵制这些条约。Hacking Team被曝光的邮件显示,意大利政府出于人权考虑禁止RCS出口后,该公司人员与军方官员进行了接洽,禁令很快就解除了。
Guarnieri担心的事情是,我们可能会在浑浑噩噩中走向一个可以随意买卖黑客工具的世界。“如果10年内意大利出现了50个Hacking Team……他们不断地破坏操作系统的安全性,不断使安全软件失去意义,那么我们就会面临一堆永远无法解决的问题,因为到那时,这些事情都是合法的了,”他说。
我们似乎站在一个十字路口,而社会对监控似乎还处于无感状态,也就谈不上该选择哪条道路了。即使是生活在人权状况较好的地区的人,也难逃这种现象带来的阴暗面。像M女士这样的人,只因说出了政府不愿面对的事实,就遭到攻击,恐怕只能期望像Hacking Team这样的公司能对自己的客户有所筛选。
Hacking Team发言人Rabe是这样看的:“社会总是期待执法部门来履行监控嫌疑人的职能,使得人们可以不受诈骗、偷窃、人身攻击、恐怖主义以及其他犯罪行为的伤害,”他在一份申明中说道,“而Hacking Team只会向政府提供我们的产品,同时配以恰当的保护措施,使得罪犯和恐怖分子用以对抗我们的加密技术变得不堪一击。”
但是安全研究员们并不买账。“我相信是有公司可以负责任地出售他们的黑客方案,”公民实验室的资深研究员Bill Marczak说,“但是这样一家公司会不会有顾客,我就不知道了。”