原标题:斯诺登透露大批商业巨头配合美国政府搜集用户信息 “棱镜”幕后:你被谁窥探?
随着隐身香港的美国互联网工程师爱德华 斯诺登(Edward Snowden)近日将美国政府长期通过互联网窃取情报的“棱镜”(PRISM)项目公之于众,描写政府对个体公民的侵害而闻名的小说《1984》再次热销。
“棱镜”,在光学中是一种透明的光学元件,抛光与平坦的表面能折射光线。无疑,对于利用各种商业公司的渠道来窃取本国和外国个人、机构的信息为手段的情报搜集项目来说,这是一个再贴切不过的代号。
“老大哥在看着你。”英国作家乔治 奥威尔在《1984》中写道。
“老大哥”并不仅仅是美国政府那么简单,其后面还涉及到一系列声名显赫的商业公司和财团。如果斯诺登的指控属实,这些商业公司已经取代了世人熟悉的FBI和CIA成为第一手的情报收集者。
美IT巨头集体上黑名单
根据斯诺登向英国《卫报》和美国《华盛顿邮报》披露的信息,多家知名国际IT公司先后加入了棱镜项目,分别是微软(2007年)、雅虎(2008年)、Google(2009年)、Facebook(2009年)、Paltalk(2009年)、YouTube(2010年)、Skype(2011年)、美国在线(2011年)以及苹果公司(2012年)。此外,Dropbox也被指控“即将加入”。根据被披露的“棱镜”项目细节,美国情报部门从上述互联网服务提供商的服务器直接进行信息收集。
一石激起千层浪,斯诺登爆出的这些信息引发了外界的高度关注和对相关公司的指责。
各大公司随后纷纷发表声明,否认参与到“棱镜”项目中。Facebook表示:“我们不向任何政府机构提供对服务器的直接访问。当收到有关个人信息的请求时,我们会审慎地审查这类请求以确保其符合所有适用法律,并只在法律要求的限度内提供信息。”
而谷歌表态说,谷歌深切地关心用户数据的安全性,其依据法律向政府透露用户数据,并认真评估所有的这类要求。“人们有时声称我们在自己的系统内设置了政府后门,但谷歌并没有为政府访问用户私人数据而设置的后门。”
谷歌互联网工程师林文(化名)对时代周报记者表示,谷歌公司内部已经对此事下了封口令,目前比较敏感,他不愿多说。但是在技术上他透露,对于谷歌的GMAIL系统来说,至少除美国以外的一些大国的情报机构无法攻破。
著名的美国网络安全公司Triton的一名技术工程师甄明(化名)告诉时代周报:“即便这些公司没有配合政府,但是一般国家的骨干网络都是政府管理的,所有政府完全可以在骨干网络上进行监听,而且难度不大。”
“实时监控大量的数据很困难,但截流数据有可能。在没有相关公司的配合下,美国政府直接攻入私人邮箱可能性并不大。如果没有互联网巨头的配合,监控可以通过在普通人接收端设置木马或者病毒,同样可以取得信息。如果有互联网巨头的配合,直接在中央服务器上监控,效率会高很多。”林文透露。
苹果也声称从未听说过“棱镜”项目。“我们不对任何政府机构提供对我们服务器的直接访问,任何针对客户数据的请求都必须得到法庭的核准。”
“谷歌和Facebook否认曾参与NSA的数据采集项目‘混淆了视听’,但它们的说法使事件更加清晰。”在这些互联网巨头否认参与项目后,斯诺登进行了反驳。
“通过对一些电讯公司的电话短讯监控,这是十分简单以及传统的方法。”一家涉及网络安全的著名外资公司在香港工程师LK告诉时代周报,“通过对一些大型互联网公司的服务器直接接入,这个技术难度也非常低,但是难在对大型数据的分析处理。即便互联网巨头愿意提供数据,分析这些数据也需要很多非常优秀的工程师来做,这需要庞大的政府预算。”
“我们频繁地被要求提供数据”
除了棱镜项目以外,斯诺登还披露了另外一个“上行”(Streaming)项目,其在承载互联网骨干通信内容的光缆上安装分光镜,复制其通信内容,涉及的公司包括著名的维赛和美国电话电报公司(AT&T)。
“上行的监控方法是在互联网公司运营的基础—网络供应商的基础设施层面进行监控,即光缆、电线都在网络运营商比如AT&T那里。所有的数据如果到了美国,只要经过AT&T的设备都是可以拿出来的,所以只要运营商和政府合作,‘拿到数据’的难度并不高。”LK表示,“但是和棱镜项目的问题类似,分析大数据很难。”
“无论是棱镜还是上行,两个项目的技术难度都不高。简单理解就是通过‘网络监听’把数据包用网络设备进行复制,转发到监听部门进行分析,这是一种非常常见的网络技术,也是非常常用的黑客手段。”甄明谈道。
除了互联网与有线电话,手机也看起来很不安全。时代周报请教一位颇有影响力的军事专家,尽管他拒绝谈相关问题,但还是表示,因为过去受过的训练,他从来不用智能手机。而且他认为,这件事其实没什么大不了,各国都在做。
“安卓系统开放性高,所以谷歌自己安插‘后门’可能性不高,不同品牌的安卓系统基本都是厂家自己修改定制的,所以使用安卓系统不一定会被监听。但是安卓的安全性较差,软件平台审核制度不完善,容易受到恶意软件的攻击,从而泄露用户信息给软件开发商或者制作者。”针对智能手机,甄明分析,“苹果手机严格的软件审核制度使用户不容易受到恶意软件侵害,不过苹果公司依然可以通过远程控制实现用户信息的上传。”
目前,被斯诺登曝光的美国互联网巨头转变了态度。
6月14日,Facebook称:“我们在继续追求更高的透明度,这样我们全世界各地的用户才会明白,政府是多么频繁地以国家安全名义要求我们提供用户数据。”
苹果公司在随后的声明中称,自2012年12月至2013年5月的6个月内,该公司收到4000-5000次数据请求,涉及9000至1万个账号或设备。这些请求来自联邦、州和地方当局,涉及刑事和国家安全事务。
“最常见的请求来自警方,他们在调查抢劫和其他犯罪、寻找失踪儿童、查找阿尔茨海默病患者的下落,或希望防止自杀。”苹果声明称。
业内人士认为,即使不使用Facebook、谷歌等服务器在美国的互联网服务,也很难保证信息不被美方情报部门获取。“所有的因特网数据走向都是用各个路由器连接的,运行一个叫做shortest的运算法则。目前的互联网运用都是共通的,你很难知道你是否用到了美国的互联网公司服务,也很难避免你的email发给对方国家的友人不经过美国的线路根据以上的算法原则。”LK表示。
“理论上来说,如果不使用美国公司的服务,通讯范围只局限于国内,通讯是不会被监控的。但是如果中国的骨干网络被入侵了,加上了‘后门’,这些通讯依然可能被美国监听。”甄明表示。
香港中文大学成为目标
除了这些IT公司涉嫌侵犯用户利益外,斯诺登还爆料说NSA在全球进行超过61000个入侵电脑行动,其中数以百计目标针对中国内地和香港,范围涵盖政商学界。他指出香港中文大学是目标之一。
“香港中文大学一直严格确保校内资讯保安系统和网络的高度安全。大学的主干网络,以及由中大资讯科技服务处管理的‘香港互联网交换中心’(HKIX)皆由专人密切监控,以确保正常运作及防止入侵。大学现时未有发现网络受到入侵,一切运作正常。”香港中文大学在给时代周报的官方回应这样表示。
“香港互联网交换中心”成为媒体关注的一个热点,被认为是引发美国情报窃取的诱因。根据香港中文大学向时代周报提供的资料,香港互联网交换中心成立于1995年,为当时的互联网服务供应商打开方便之门,使本地网络通讯毋须绕道外地,从而提供更快捷的上网服务,十多年来,其仍然是区内互联网的枢纽,各大互联网服务供应商及内容供应商都是通过其来发送和收取区内信息。
另外还有媒体关注到香港中文大学里的卫星遥感接收站,这个接收站主要用于捕捉和处理来源于卫星的遥感数据,对香港、华南及周边国家和地区进行全天候的环境监测,接收范围包括以香港为中心约半径超过2500公里范围的卫星图片,东至太平洋,南至印度尼西亚,西至孟加拉,北至北京以北。
但是据该校一位内部人士向时代周报记者透露,学校设有的当代中国研究中心,也可能是诱发国外情报机构对中文大学下手的原因。“这个研究中心积累了大量资料,一直是国际上研究中国问题的一个重要资料和数据来源。可以说是研究中国问题绕不开的地方。”
时代周报试图联系获得专访斯诺登机会的香港《南华早报》记者Sara Lam,但是未获成功。事实上南华早报上下早已下了封口令。在时代周报记者获得一封《南华早报》内部通知里,明确写着严禁向外界透露Sara Lam的联系方式和家庭地址。
神秘的情报外包巨头
这次斯诺登事件,也让其背后的情报公司博思艾伦浮出了水面。长期以来,这家成立于1914年、总部在弗吉尼亚州的管理咨询公司一直被认为是全世界最好的科技咨询公司。该公司在全球拥有1.8万名专业管理及技术咨询顾问,并在六大洲70多个国家设有200多处分支机构。
2008年,博思艾伦的主要业务一分为二,其中Booz Allen Hamilton Holding主要负责政府咨询业务,也就包括现在被大家关注的情报分析和搜集这块。商业咨询由Booz & Company负责。政府咨询业务主要由私募公司凯雷集团(Carlyle Group)控制,并且在2010年上市。
从公开资料显示,该公司的客户包括美国陆军、空军、海军、海军陆战队、美国国家航空航天局、国土安全部、内政部及多个情报机构。博思艾伦和美国军方的服务始于1940年的太平洋战争前夜,深感即将与日本开战的美国海军雇其负责各种战争情报分析和战局评估。
与美国政府的良好关系为博思艾伦带来了滚滚财源,2013财年,其收入高达57.6亿美元,其中国防业务总收入为32亿美元,占总收入55%,为情报部门的服务占收入的23%。而从2010财年至2012财年,博思艾伦的收入中分别有98%、97%和98%的收入来自为美国政府部门提供的外包服务。
与政府部门的密切联系,也让博思艾伦的雇员有更多机会接触到机密信息,年报显示,该公司2.45万名雇员中,76%持有政府安全许可,其中27%可接触最高或敏感机密,28%可接触最高机密(除敏感信息),21%可接触一般机密信息。该公司高管也和美国政府关系密切,现任副总裁的John McConnell在2007年任布什政府的第二任美国国家情报总监。
当然除了军事、情报服务外,博思艾伦也有很多其他的政府服务,比如在1998年其帮助美国国家税务局重新设计和升级了其陈旧的客服系统。1988年,该公司帮助澳大利亚新南威尔士州政府设计了一份改组其州立铁道系统的方案。此外,对大众还有一个知名贡献,那就是在1960年,该公司帮助建立了大名鼎鼎的美国国家橄榄球联盟(NFL)。自从20世纪90年代以来,博思艾伦进入中国地区,目前在上海、北京、香港和台北都设立有办事处。
目前斯诺登已经被博思艾伦解雇,该公司发表了一份官方申明,声称“由于违反了公司的道德守则及公司政策,斯诺登自2013年6月10日起被解雇。”斯诺登事件也让博思艾伦股价应声下跌,6月12日,博思艾伦的股价下跌逾3%。
“9·11后,中情局为了大量处理信息,把很多机密业务交给外包公司,才有这次重大泄密。这是各国类似部门都应该吸取的教训。”前述的那位军事专家表示。
“美国历史上的确偏爱使用未经严格训练的情报人员,只因为所谓一技之长。比如二战期间的所谓语学兵,其实多数是些高中生。招来临时训练几个月就用上了。他们所谓的特长也就是外语。现在这个斯诺登也有点类似,他的特长也就是网络技术。”他补充道。
