到底都是誰在使用黑客工具監控公民隱私?-虎嗅網

2021-01-09 虎嗅APP

虎嗅註:


「我們當時就覺得很可疑,」M女士指著一封匿名郵件說,這封郵件是2014年她和她的幾個記者同事同時收到的。郵件裡說現在有一個關於政府醜聞的線索,但是M女士怎麼也沒看明白。不久,她的電腦就開始出現奇怪的問題。「我清楚地記得我當時要做一個關於酷刑的採訪,但卻連不上Skype,」她說,「我的電腦好像受到了幹擾,於是只好借別人的電話用。」


隨後M女士將這封郵件轉給了安全專家,她才得知,她和她的同事都被遠程控制系統(RCS)操控了,這是由義大利公司Hacking Team開發的一款黑客軟體。不久後,M女士或許會發現,操縱這款軟體攻擊她的,正是她的政府,這大約是她舉報時不曾想到的。因為害怕報復,M女士要求不公開姓名。


M女士只是被RCS攻擊的千萬人之一,而購買這款軟體的,有情報機構,也有政府執法部門。未來,當政府和警察局也開始越來越多地使用這樣的工具後,我們要擔心的就不只是犯罪分子和反對政府的人了。


在最近發生的巴黎恐襲事件後,像CIA局長John Brennan和紐約市警察局長Bill Bratton這樣的一干人,就開始抱怨加密技術對常規搜查和監管工作的妨礙。歐洲一些官方機構也表達了類似的觀點,而這種觀點很可能會讓RCS銷量大漲,因為RCS正是Hacking Team視為攻克加密術的絕佳方案。其他像Hacking Team一樣的企業同樣也會得益。熟悉這家公司業務的專家說,Hacking Team是做黑客工具的同類公司中最出色的,他們的產品使得黑客技術不再是情報機構的專利,連普通的地方警察局都能使用。


現在我們所知道的是,當Hacking Team的產品被日益廣泛地使用,這種行為也越來越受到技術、道德以及法律層面的考量。當越來越多的執法部門也成為他們的用戶,濫用的問題就開始浮現。「在FBI、州政府和地方政府的執法部門也操練起黑客技術之前,我們非常有必要來討論下,這些監控工具到底應該如何使用。」美國人權協會的核心技術員Christopher Soghoian說。


「黑客軸心」


Hacking Team由現任CEO David Vincenzetti創立於2003年,起初更像是一家傳統的網絡安全公司。Hacking Team孵化於上世紀90年代一個由密碼專家和業餘愛好者組成的社區,Wikileaks的朱利安·阿桑奇也誕生於此。當時一些公司請Hacking Team來測試他們的計算機網絡並找出弱點,而這批最早的顧客就包括德意志銀行和巴克萊銀行。


然而幾年後,Vincenzetti就將公司的業務重心由「防禦」轉向「攻擊」。Hacking Team開始出售可以侵入他人電腦並盜取數據的軟體,而他們最主要的產品就是RCS,也就是黑客用來攻擊M女士的工具。


RCS既可攻擊PC,也可攻擊行動裝置。它可以從被攻擊者的硬碟上拷貝文件,竊取Skype通話和信息,在郵件加密前偷看郵件,獲取用戶在瀏覽器中輸入的密碼,甚至是打開麥克風和攝像頭對直接本人進行監視。


這種程序利用系統或其他軟體的安全漏洞入侵設備,而獲知漏洞的途徑,要麼是Hacking Team自己去發掘,要麼是由付錢給第三方公司換取情報。在M女士的案件中,RCS就是通過附帶惡意程序的郵件侵入電腦,此外,派人直接秘密將軟體拷到設備上也是一種入侵方式。還有些客戶是這樣使用RCS的:由一家網絡服務供應商為他們安裝一款叫做Network Injection Appliance的設備,然後通過將攻擊對象引向一個釣魚頁面,把RCS偷偷裝入對方系統。顧客會就軟體本身、幫助他們和Hacking Team保持聯繫的代理服務以及Hacking Team所做的調查向其支付報酬,同時他們也可以獲得全面的技術支持。「Hacking Team創造的額外價值就在於提供諮詢培訓,讓不懂電腦的人都可以輕鬆成為代理,」國際隱私機構長期關注監控領域的研究員Edin Omanovic說。


義大利政府機構是RCS的早期用戶,而最早的攻擊對象就是黑手黨老大。但是Hacking Team很快擴張,走出了本地市場,他們用浮誇的視頻廣告告訴顧客,他們的拿手好戲就是「攻克加密術、獲取有用數據」。


2006年,Hacking Team和西班牙情報機構CNI籤約,兩年後新加坡、匈牙利的情報機構也緊隨其後。不久前,沙烏地阿拉伯、墨西哥、埃及、蘇丹、俄羅斯、哈薩克斯坦都給本國的安全機構購買了Hacking Team的產品。FBI和其他美國政府機構也購買了RCS的使用許可。還有一大批地方警察局,甚至高校的保安部門都請Hacking Team來展示他們的產品。新聞調查組織MuckRock通過《信息自由法案》獲取的郵件顯示,弗洛裡達州一個普通的警察局在看了Hacking Team的展示之後,認為如果不使用RCS,他們簡直都「活不下去」,儘管這家警察局後來也沒有購買Hacking Team的產品。


然而,Hacking Team某些客戶使用RCS的方式,已經開始引來爭議。2012年,一直以來關注計算機安全對人權影響的多倫多大學公民實驗室發現,Hacking Team的軟體被阿拉伯聯合大公國政府用來攻擊政見不同者的個人計算機,衣索比亞政府則侵入了在美國工作的記者的電腦。「我們發現了許多骯髒的勾當,」為公民實驗室撰寫了數份報告的安全研究員Claudio Guarnieri說。


今年7月,Hacking Team終於把自己也搭了進去,黑客曝光了Hacking Team及其顧客的許多內幕。一份日期為2015年5月的電子表格顯示,自2008年以來,至少有6,550臺獨立設備(包括手機和電腦)遭到RCS攻擊。Hacking Team總共將設備賣給了70多個客戶,政府部門也包括其中,而且為Hacking Team帶去了超過4000萬歐元(大約4400萬美元)的收入。


但是內幕被曬到網上似乎也沒對Hacking Team造成多大影響,也沒有客戶公開宣布與公司決裂。「客戶都選擇和我們站在一起,我想是因為他們看到了我們帶來的價值,以及我們產品的優越性,」公司發言人Eric Rabe說。(CEO Vincenzetti拒絕接受採訪。)


不過Hacking Team面臨的競爭也很激烈,除了小型的黑客工作坊,還要應對大型的政府承包商。伽瑪國際(Gamma International)是一家在德國和英國都設有辦事處的公司,他們提供的產品FinFisher和RCS十分類似,已經被澳大利亞、比利時和義大利的政府機構購買。FinFisher還被巴林島政府用來攻擊激進主義分子,根據國際隱私組織的報導,它還被烏幹達政府用來勒索政敵。和Hacking Team一樣,伽瑪國際在2014年也遭到黑客攻擊,內部文件同樣被曝光,但公司照樣也是全身而退。公民實驗室報導,伽瑪國際的顧客甚至反而增加了。


Omanovic說,據他所知,大約還有16家公司在銷售和Hacking Team類似的產品。在我們採訪他前兩周,他剛剛發現了一家以色列公司,兩個月前發現的則是南非的一家公司。公民實驗室研究員Guarnieri認為,這類公司恐怕還有更多。「就業務規模和客戶數量來看,還有一些重量級的公司沒有被發現,」他說,「他們不怎麼受到關注,但或許正是因此他們才能好過。」


不受約束的權力


在美國,像RCS這樣的軟體如果想要獲取個人數據,那麼必須服從憲法第四修正案及刑事案件的有關規定,這意味著FBI如果要黑你的電腦,也必須要先獲得許可。但是,美國司法部卻在設法扭曲有關獲取「遠程」搜查許可的法律規定,此舉同時遭到了美國公民自由聯盟和谷歌的反對,稱這將導致權力的濫用。


每當新型的監控技術可用時,它們總是在沒有任何管制之前,就被警察利用起來了。在美國,Stingrays——一種可以從一定區域內的手機上搜刮信息的設備早已普及開來。比如洛杉磯附近聖貝納迪諾城的警察局,在沒有任何許可的情況下,僅僅2年內就使用這款設備超過300次。可見這個問題由來已久,只是在最近才被重視起來,現在,FBI使用Stingrays也需要獲取許可,地方政府也將逐漸受到法律的約束。之所以這樣做,是因為黑客工具很容易被濫用,而其威力和危害都遠大於警察目前所使用的監控技術。


美國公民自由協會的技術員Soghoian認為,公眾及政界必須儘快對黑客工具的威力及其逐漸廣泛的使用進行討論。「我覺得,如果知道政府可以劫持電腦或手機上攝像頭(在提示燈不亮的情況下),或者遠程開啟麥克風,許多美國人都會大吃一驚,」他說。


但是,美國議會或者其他西方國家的任何類似機構,都不可能發起Soghoian所說的這樣一場討論。最近,在遭到伊斯蘭國及其同情者的襲擊後,一些政府只會更加迫切地希望將他們的情報機構和執法部門武裝起來。而一些企圖限制人權記錄很差的國家購買RCS這類工具的嘗試,也步步維艱。2013年下半年,美國與其他40個國家籤訂的武器管制條約《瓦森納協定》更新了內容,限制了部分國家政府引入監控技術。但是相關規定卻在美國遭到了擱置,一群安全研究員抗議說這些規定過於寬泛,反而會妨礙保障網絡安全的必要工作。


黑客工具的提供商、國家情報機構和犯罪組織或許也會開個會研究下如何抵制這些條約。Hacking Team被曝光的郵件顯示,義大利政府出於人權考慮禁止RCS出口後,該公司人員與軍方官員進行了接洽,禁令很快就解除了。


Guarnieri擔心的事情是,我們可能會在渾渾噩噩中走向一個可以隨意買賣黑客工具的世界。「如果10年內義大利出現了50個Hacking Team……他們不斷地破壞作業系統的安全性,不斷使安全軟體失去意義,那麼我們就會面臨一堆永遠無法解決的問題,因為到那時,這些事情都是合法的了,」他說。


我們似乎站在一個十字路口,而社會對監控似乎還處於無感狀態,也就談不上該選擇哪條道路了。即使是生活在人權狀況較好的地區的人,也難逃這種現象帶來的陰暗面。像M女士這樣的人,只因說出了政府不願面對的事實,就遭到攻擊,恐怕只能期望像Hacking Team這樣的公司能對自己的客戶有所篩選。


Hacking Team發言人Rabe是這樣看的:「社會總是期待執法部門來履行監控嫌疑人的職能,使得人們可以不受詐騙、偷竊、人身攻擊、恐怖主義以及其他犯罪行為的傷害,」他在一份申明中說道,「而Hacking Team只會向政府提供我們的產品,同時配以恰當的保護措施,使得罪犯和恐怖分子用以對抗我們的加密技術變得不堪一擊。」


但是安全研究員們並不買帳。「我相信是有公司可以負責任地出售他們的黑客方案,」公民實驗室的資深研究員Bill Marczak說,「但是這樣一家公司會不會有顧客,我就不知道了。」

相關焦點

  • APP神探能定位多款主流聊天工具,侵犯公民隱私被警方破獲
    來源:經濟日報近日,江蘇南京警方破獲一起通過技術定位侵犯公民個人信息案。這起案件在全國屬首例。這款名叫「APP神探」的軟體能對多款主流聊天工具實時定位,成為侵犯公民隱私的新型工具。針對這起案件,本期主持人為大家普及信息保護相關常識。
  • 家用攝像頭被「反監控」,黑客入侵事件頻發
    從Ring錄製的視頻中可以看出,黑客遠程播放了一首恐怖片的主題曲,年僅8歲的Alyssa顯得異常害怕。「誰在那裡?」Alyssa問道。「我是你最好的朋友,我是聖誕老人。難道你不想成為我最好的朋友嗎?」黑客回答道。接著,該匿名黑客繼續在攝像頭的另一端騷擾Alyssa,並慫恿她破壞臥室的陳設。
  • 監控無處不在,我們還有隱私嗎?究竟是好是壞?
    個人監控設備的使用量也在激增,比如行車記錄儀、自行車手頭盔上的攝像頭。還比如,門鈴上監控攝像頭會記錄下小偷的體貌,這些工具很快成為了城市居民日常生活的一部分。更難以量化但更令人煩惱的是,數以十億計的不知情公民的照片被面部識別技術捕捉並儲存在執法部門和私人部門的資料庫中,而我們卻對此無能為力,這些數據根本不在我們的控制之下。上述種種的監控設備還不算什麼,因為我們至少可以看到監控攝像頭。
  • 到處都是人臉識別,我們如何保護個人隱私?
    2019年9月25日,北京大興國際機場正式投運,自此,大興機場背後的人工智慧技術也一一真相,刷臉登機、行李監控、刷臉問路、AR眼鏡旅客識別等應用紛紛落地,「一張臉走遍機場」將成為現實。大興國際機場的機務人員佩戴著AR眼鏡,用以識別旅客如今,大家對人臉識別都不再陌生,其功能已應用到生活的方方面面。
  • 斯諾登做了一個「反監控」App,想讓普通人也能保護隱私
    如果說還有誰把隱私看得比生命還重要,那斯諾登肯定算一個。2013 年 6 月,斯諾登將美國的稜鏡計劃監聽項目公之於眾,自己也因此遭到美國、英國兩國政府的通緝,被迫到俄羅斯尋求政治避難。世界上恐怕沒有多少人比他更清楚監聽有多可怕,得益於安全技術員的身份和逃亡經驗,他也是最懂反監聽技術的人之一。
  • 一旦所有個人隱私都洩漏公開將發生什麼?
    當所有的私人數據——每條簡訊、電子郵件、語音備忘錄都洩露出去的時候,我們之中有誰能避免此類麻煩,或許有個別人不受影響,但絕大多數的人都會因洩露個人隱私而陷入困境。當所有的私人數據——每條簡訊、電子郵件、語音備忘錄都洩露出去的時候,我們之中有誰能避免此類麻煩,或許有個別人不受影響,但絕大多數的人都會因洩露個人隱私而陷入困境。當人們陷入在一個完全透明的世界裡,將會發生什麼變化呢? 弗雷德·法恩伯格,美國密西根大學統計學教授、營銷學教授兼系主任,他研究調查了人們如何在不確定的環境中做出選擇。
  • 一次計算機「攻擊」,1500萬用戶「停跑」,到底什麼是「黑客」?
    不過,正所謂「槍打出頭鳥」,佳明公司竟然被「黑客組織」盯上了,成為攻擊的目標。據悉,攻擊佳明公司網絡的黑客來自俄羅斯,並且目的也很簡單,「勒索」,該黑客組織使用的病毒名為「WastedLocker」。個人隱私安全這些黑客,就是控制了佳明公司的用戶數據,去「勒索」佳明公司。
  • 黑客控制家庭賓館攝像頭 偷拍他人隱私刺探情報
    中專生痴迷遠控技術 帶著家人一起「創業」今年5月初,龍灣網警發現有人用QQ販賣公民個人信息,隨後趕赴重慶把QQ使用人張某抓獲,通過電子勘查,他們除了「查出54名下家」外,還有一項重大發現,嫌犯可以利用一款遠程控制軟體,控制數百臺電腦。
  • 網上存在大量買賣監控視頻現象
    這家人使用的攝像頭有回放功能,一個月來何時出門、何時回家、做了什麼,都被臥室裡的攝像頭,同步直播下來。  新京報記者調查發現,大量類似的監控視頻在網上傳播,其背後是一條非法破解攝像頭,買賣、傳播偷拍視頻的黑產鏈條,除家用攝像頭外,一些人還在酒店安裝了針孔攝像頭偷窺他人隱私。
  • 最受歡迎的20款黑客工具盤點
    今天,統計了全球各大網站數據(瀏覽量、下載量、使用量等等),為大家總結出了2019年最受歡迎的 20 款黑客工具。涉及範圍主要集中在 信息收集、Android黑客工具、自動化工具、網絡釣魚等。取前 20 款列出,排名不分先後!
  • 如何判斷自己的手機有沒有被人監控?
    x6ZEETC-電子工程專輯6月6日,美國《華盛頓郵報》緊接著拋出第二顆炸彈:過去6年間,美國國家安全局和聯邦調查局通過進入微軟、谷歌、蘋果、雅虎等九大網絡巨頭的伺服器,監控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。x6ZEETC-電子工程專輯至此,美國輿論一片譁然。
  • 家庭活動變現場直播 攝像頭成洩露隱私「黑洞」
    麗水法院審理新型網絡「黑客」犯罪案家庭攝像頭被不法分子侵入專家建議  加大打擊力度堵住洩露隱私「黑洞」資料圖:浙江杭州一主人在家中放置可移動的監控攝像頭,記錄家中萌寵畫面。但在安全監控的同時,隨時可能成為別人偷窺的眼睛,讓家裡的活動變成現場直播。  近日,浙江省麗水市景寧畲族自治縣人民法院審理了此例新型網絡「黑客」犯罪案,判決被告人王某犯提供侵入、非法控制計算機信息系統程序、工具罪,非法控制計算機信息系統罪和販賣淫穢物品牟利罪,數罪併罰,決定執行有期徒刑1年6個月,並處罰金人民幣1.3萬元。
  • Axis 大量攝像頭現連環漏洞,黑客:你的隱私是我的
    Axis 產品專注於安全監視和遠程監控應用領域,在全球的20個國家和地區開設有分支機構,並與超過 70個國家和地區的合作夥伴展開合作。據華順信安 FOFA 系統數據顯示,目前全網共有  25908 個系統對外開放。Axis 的使用受眾數量龐大,該漏洞將影響眾多的企業單位使用者,相關企業、使用者需要高度重視。
  • 被指侵犯公民隱私堪比「稜鏡計劃」,英情報部門:反恐需要
    被指侵犯公民隱私堪比「稜鏡計劃」,英情報部門:反恐需要 澎湃新聞記者 孫夢文 實習生 邵景楷 2016-07-27 18:48
  • 你的手機正在被人悄悄的監控,別人能看到屏幕顯示的所有內容
    對於這些場景,大家可能只在影視作品中看過,那現實生活中到底存不存在這種類似的監聽設備呢? 說起個人隱私安全,在月初的時候,吉利董事李書福就說過:「現在人的隱私和信息安全很透明,好比微信,馬化騰肯定天天在看我們的微信。」
  • 對不起,你的隱私可能是一隻薛丁格的貓-虎嗅網
    似乎永遠都在和「隱私」「用戶數據」糾纏不清的頭條又卷進了一場新的風波。6月20日上午,用戶劉先生訴今日頭條侵犯其隱私權一案在北京市海澱區人民法院開庭審理。劉先生認為,他在下載註冊使用今日頭條App後閱讀過《用戶協議及隱私條款》,被告知該App會涉及「日誌信息」「設備或應用信息」「位置信息」等用戶個人信息,但並沒有提到會讀取或上傳用戶通訊錄信息。但在劉先生更換手機並再次安裝今日頭條App後卻發現,它卻依然推送原手機通訊錄中的聯繫人帳號。於是,劉先生判定今日頭條未經他同意上傳並保存了他的通訊錄。
  • 百度、google都搜不到的網站,暗藏著黑客都害怕的秘密……
    看過關於斯諾登洩密影片《第四公民》,或者其他諜戰片的同學都知道網絡監控有多可怕。比如遠程打開你的電腦,甚至打開攝像頭來窺探你的生活。為此許多人選擇貼上攝像頭,比如Facebook的CEO扎克伯格:《碟中諜5》,2015《暗網》裡的黑客就牛了,它給了黑客新的定義:黑客一定要是黑的,而且是黑到他親媽都認不出來的那種黑
  • -虎嗅網
    為了探究Mitre到底如何地無處不在,我們進行了一項調查,把該公司各種悄無聲息的工作放到閃光燈下。通過調查,我們看到的是一個精英機構。而且事實證明,這個精英機構對美國政府真真是一個天大的恩賜:為監控犯罪分子、疾病和非法進入美國的移民提供各種工具。只是,其中有一些項目引起了人權組織和隱私倡導組織的注意。
  • 生物黑客:人們如何「侵入」自己的身體?
    「生物黑客」(biohacking)便是這種改進和幹預措施的科學實踐。那麼,究竟什麼是生物黑客?生物黑客,也被稱為「公民科學」(citizen science)或「DIY生物學」,是一個內容寬泛的術語,包括控制或修改個體生物學特徵的方法。它涵蓋了各種可以優化一個人身心健康的實踐。
  • 生物黑客:人們如何「侵入」自己的身體?
    生物黑客,也被稱為「公民科學」(citizen science)或「DIY生物學」,是一個內容寬泛的術語,包括控制或修改個體生物學特徵的方法。它涵蓋了各種可以優化一個人身心健康的實踐。  約西亞·澤納(Josiah Zayner)是一位擁有分子生物學博士學位的生物黑客,致力於讓每個人都能夠接觸到基因工程。他的公司「THE ODIN」就主要從事DIY基因工程工具包的開發。他的產品之一是「預先設計的螢光釀造和發酵酵母」,用於在家裡製作夜光啤酒。