虎嗅註:
「我們當時就覺得很可疑,」M女士指著一封匿名郵件說,這封郵件是2014年她和她的幾個記者同事同時收到的。郵件裡說現在有一個關於政府醜聞的線索,但是M女士怎麼也沒看明白。不久,她的電腦就開始出現奇怪的問題。「我清楚地記得我當時要做一個關於酷刑的採訪,但卻連不上Skype,」她說,「我的電腦好像受到了幹擾,於是只好借別人的電話用。」
隨後M女士將這封郵件轉給了安全專家,她才得知,她和她的同事都被遠程控制系統(RCS)操控了,這是由義大利公司Hacking Team開發的一款黑客軟體。不久後,M女士或許會發現,操縱這款軟體攻擊她的,正是她的政府,這大約是她舉報時不曾想到的。因為害怕報復,M女士要求不公開姓名。
M女士只是被RCS攻擊的千萬人之一,而購買這款軟體的,有情報機構,也有政府執法部門。未來,當政府和警察局也開始越來越多地使用這樣的工具後,我們要擔心的就不只是犯罪分子和反對政府的人了。
在最近發生的巴黎恐襲事件後,像CIA局長John Brennan和紐約市警察局長Bill Bratton這樣的一干人,就開始抱怨加密技術對常規搜查和監管工作的妨礙。歐洲一些官方機構也表達了類似的觀點,而這種觀點很可能會讓RCS銷量大漲,因為RCS正是Hacking Team視為攻克加密術的絕佳方案。其他像Hacking Team一樣的企業同樣也會得益。熟悉這家公司業務的專家說,Hacking Team是做黑客工具的同類公司中最出色的,他們的產品使得黑客技術不再是情報機構的專利,連普通的地方警察局都能使用。
現在我們所知道的是,當Hacking Team的產品被日益廣泛地使用,這種行為也越來越受到技術、道德以及法律層面的考量。當越來越多的執法部門也成為他們的用戶,濫用的問題就開始浮現。「在FBI、州政府和地方政府的執法部門也操練起黑客技術之前,我們非常有必要來討論下,這些監控工具到底應該如何使用。」美國人權協會的核心技術員Christopher Soghoian說。
「黑客軸心」
Hacking Team由現任CEO David Vincenzetti創立於2003年,起初更像是一家傳統的網絡安全公司。Hacking Team孵化於上世紀90年代一個由密碼專家和業餘愛好者組成的社區,Wikileaks的朱利安·阿桑奇也誕生於此。當時一些公司請Hacking Team來測試他們的計算機網絡並找出弱點,而這批最早的顧客就包括德意志銀行和巴克萊銀行。
然而幾年後,Vincenzetti就將公司的業務重心由「防禦」轉向「攻擊」。Hacking Team開始出售可以侵入他人電腦並盜取數據的軟體,而他們最主要的產品就是RCS,也就是黑客用來攻擊M女士的工具。
RCS既可攻擊PC,也可攻擊行動裝置。它可以從被攻擊者的硬碟上拷貝文件,竊取Skype通話和信息,在郵件加密前偷看郵件,獲取用戶在瀏覽器中輸入的密碼,甚至是打開麥克風和攝像頭對直接本人進行監視。
這種程序利用系統或其他軟體的安全漏洞入侵設備,而獲知漏洞的途徑,要麼是Hacking Team自己去發掘,要麼是由付錢給第三方公司換取情報。在M女士的案件中,RCS就是通過附帶惡意程序的郵件侵入電腦,此外,派人直接秘密將軟體拷到設備上也是一種入侵方式。還有些客戶是這樣使用RCS的:由一家網絡服務供應商為他們安裝一款叫做Network Injection Appliance的設備,然後通過將攻擊對象引向一個釣魚頁面,把RCS偷偷裝入對方系統。顧客會就軟體本身、幫助他們和Hacking Team保持聯繫的代理服務以及Hacking Team所做的調查向其支付報酬,同時他們也可以獲得全面的技術支持。「Hacking Team創造的額外價值就在於提供諮詢培訓,讓不懂電腦的人都可以輕鬆成為代理,」國際隱私機構長期關注監控領域的研究員Edin Omanovic說。
義大利政府機構是RCS的早期用戶,而最早的攻擊對象就是黑手黨老大。但是Hacking Team很快擴張,走出了本地市場,他們用浮誇的視頻廣告告訴顧客,他們的拿手好戲就是「攻克加密術、獲取有用數據」。
2006年,Hacking Team和西班牙情報機構CNI籤約,兩年後新加坡、匈牙利的情報機構也緊隨其後。不久前,沙烏地阿拉伯、墨西哥、埃及、蘇丹、俄羅斯、哈薩克斯坦都給本國的安全機構購買了Hacking Team的產品。FBI和其他美國政府機構也購買了RCS的使用許可。還有一大批地方警察局,甚至高校的保安部門都請Hacking Team來展示他們的產品。新聞調查組織MuckRock通過《信息自由法案》獲取的郵件顯示,弗洛裡達州一個普通的警察局在看了Hacking Team的展示之後,認為如果不使用RCS,他們簡直都「活不下去」,儘管這家警察局後來也沒有購買Hacking Team的產品。
然而,Hacking Team某些客戶使用RCS的方式,已經開始引來爭議。2012年,一直以來關注計算機安全對人權影響的多倫多大學公民實驗室發現,Hacking Team的軟體被阿拉伯聯合大公國政府用來攻擊政見不同者的個人計算機,衣索比亞政府則侵入了在美國工作的記者的電腦。「我們發現了許多骯髒的勾當,」為公民實驗室撰寫了數份報告的安全研究員Claudio Guarnieri說。
今年7月,Hacking Team終於把自己也搭了進去,黑客曝光了Hacking Team及其顧客的許多內幕。一份日期為2015年5月的電子表格顯示,自2008年以來,至少有6,550臺獨立設備(包括手機和電腦)遭到RCS攻擊。Hacking Team總共將設備賣給了70多個客戶,政府部門也包括其中,而且為Hacking Team帶去了超過4000萬歐元(大約4400萬美元)的收入。
但是內幕被曬到網上似乎也沒對Hacking Team造成多大影響,也沒有客戶公開宣布與公司決裂。「客戶都選擇和我們站在一起,我想是因為他們看到了我們帶來的價值,以及我們產品的優越性,」公司發言人Eric Rabe說。(CEO Vincenzetti拒絕接受採訪。)
不過Hacking Team面臨的競爭也很激烈,除了小型的黑客工作坊,還要應對大型的政府承包商。伽瑪國際(Gamma International)是一家在德國和英國都設有辦事處的公司,他們提供的產品FinFisher和RCS十分類似,已經被澳大利亞、比利時和義大利的政府機構購買。FinFisher還被巴林島政府用來攻擊激進主義分子,根據國際隱私組織的報導,它還被烏幹達政府用來勒索政敵。和Hacking Team一樣,伽瑪國際在2014年也遭到黑客攻擊,內部文件同樣被曝光,但公司照樣也是全身而退。公民實驗室報導,伽瑪國際的顧客甚至反而增加了。
Omanovic說,據他所知,大約還有16家公司在銷售和Hacking Team類似的產品。在我們採訪他前兩周,他剛剛發現了一家以色列公司,兩個月前發現的則是南非的一家公司。公民實驗室研究員Guarnieri認為,這類公司恐怕還有更多。「就業務規模和客戶數量來看,還有一些重量級的公司沒有被發現,」他說,「他們不怎麼受到關注,但或許正是因此他們才能好過。」
不受約束的權力
在美國,像RCS這樣的軟體如果想要獲取個人數據,那麼必須服從憲法第四修正案及刑事案件的有關規定,這意味著FBI如果要黑你的電腦,也必須要先獲得許可。但是,美國司法部卻在設法扭曲有關獲取「遠程」搜查許可的法律規定,此舉同時遭到了美國公民自由聯盟和谷歌的反對,稱這將導致權力的濫用。
每當新型的監控技術可用時,它們總是在沒有任何管制之前,就被警察利用起來了。在美國,Stingrays——一種可以從一定區域內的手機上搜刮信息的設備早已普及開來。比如洛杉磯附近聖貝納迪諾城的警察局,在沒有任何許可的情況下,僅僅2年內就使用這款設備超過300次。可見這個問題由來已久,只是在最近才被重視起來,現在,FBI使用Stingrays也需要獲取許可,地方政府也將逐漸受到法律的約束。之所以這樣做,是因為黑客工具很容易被濫用,而其威力和危害都遠大於警察目前所使用的監控技術。
美國公民自由協會的技術員Soghoian認為,公眾及政界必須儘快對黑客工具的威力及其逐漸廣泛的使用進行討論。「我覺得,如果知道政府可以劫持電腦或手機上攝像頭(在提示燈不亮的情況下),或者遠程開啟麥克風,許多美國人都會大吃一驚,」他說。
但是,美國議會或者其他西方國家的任何類似機構,都不可能發起Soghoian所說的這樣一場討論。最近,在遭到伊斯蘭國及其同情者的襲擊後,一些政府只會更加迫切地希望將他們的情報機構和執法部門武裝起來。而一些企圖限制人權記錄很差的國家購買RCS這類工具的嘗試,也步步維艱。2013年下半年,美國與其他40個國家籤訂的武器管制條約《瓦森納協定》更新了內容,限制了部分國家政府引入監控技術。但是相關規定卻在美國遭到了擱置,一群安全研究員抗議說這些規定過於寬泛,反而會妨礙保障網絡安全的必要工作。
黑客工具的提供商、國家情報機構和犯罪組織或許也會開個會研究下如何抵制這些條約。Hacking Team被曝光的郵件顯示,義大利政府出於人權考慮禁止RCS出口後,該公司人員與軍方官員進行了接洽,禁令很快就解除了。
Guarnieri擔心的事情是,我們可能會在渾渾噩噩中走向一個可以隨意買賣黑客工具的世界。「如果10年內義大利出現了50個Hacking Team……他們不斷地破壞作業系統的安全性,不斷使安全軟體失去意義,那麼我們就會面臨一堆永遠無法解決的問題,因為到那時,這些事情都是合法的了,」他說。
我們似乎站在一個十字路口,而社會對監控似乎還處於無感狀態,也就談不上該選擇哪條道路了。即使是生活在人權狀況較好的地區的人,也難逃這種現象帶來的陰暗面。像M女士這樣的人,只因說出了政府不願面對的事實,就遭到攻擊,恐怕只能期望像Hacking Team這樣的公司能對自己的客戶有所篩選。
Hacking Team發言人Rabe是這樣看的:「社會總是期待執法部門來履行監控嫌疑人的職能,使得人們可以不受詐騙、偷竊、人身攻擊、恐怖主義以及其他犯罪行為的傷害,」他在一份申明中說道,「而Hacking Team只會向政府提供我們的產品,同時配以恰當的保護措施,使得罪犯和恐怖分子用以對抗我們的加密技術變得不堪一擊。」
但是安全研究員們並不買帳。「我相信是有公司可以負責任地出售他們的黑客方案,」公民實驗室的資深研究員Bill Marczak說,「但是這樣一家公司會不會有顧客,我就不知道了。」