美国安部门追踪全球黑客活动的新利器:私企全网日志数据

数字媒体调查网站404 Media近日报道称,《信息自由法案》从美国国防安全局(DSS,现名“国防反情报和安全局”,DCSA)获取的内部文件显示,这家联邦反情报机构正从一家私营互联网公司手中购买数据,以便对黑客活动进行更快速、更便捷的追踪。

与私企打交道更快更方便

文件显示,DSS是从附属于Team Cymru公司的某个承包商手中获取所需数据的。Team Cymru是一家互联网安全公司,虽然在整体情报能力方面不如NSA等全球最强大的情报机构,但在数据获取和提供方面却也有上述联邦部门无法比拟的优势。

比如他们可以在未获同意的情况下,借助与互联网服务提供商(ISP)之间的关系对使用该ISP的个人或团队敏感数据进行收集。这些数据被称为“互联网流量日志”,可以显示用户在网络上的通信情况,还可以帮助分析人员借助虚拟专用网络对网络活动进行追踪。通常情况下,此类连接数据只有运营服务器的公司或个人,以及他们的互联网服务提供商才有权限获取。不过Team Cymru能侵入某个大多数人不可见但互联网运行又不可或缺的重要网络节点,对这些数据进行收集并把读取权限出售给其他私人企业甚至政府部门。

更重要的是,从Team Cymru公司购买数据要远比从政府部门手中申请数据更快速、更便捷。404 Media网站获取的文件抱怨,走流程向NSA等政府部门申请数据需要的时间要以“天”为单位计算,而向私营企业购买则“立即可取”。

其中一份文件指出,网络安全分析人员要花费大量时间对发生在联邦政府范围内的网络攻击进行IP地址和域名解析,有时需要向US-CERT(美国计算机应急响应小组)、NSA和其他各类“网络安全国家队”申请所需要的数据。但“这些部门并非查找机构,经常会让一个需要决定性回应的申请陷入长达数天的等待,”文件称。“等待时间越长,国家安全遭到破坏的可能性就越大。”

使用是否合法合规遭质疑

向政府部门和机构出售网络流量日志是互联网行业内的公开秘密。比如美国国税局、海军、陆军和网络司令部都曾是Team Cymru公司的客户。FBI和特勤局(Secret Service)也曾向Team Cymru的分公司Argonne Ridge Group进行过相关采购。DSS在文件中为自己向私人企业购买数据的行为进行了辩解,称是为了“通常情况下,外国情报实体往往会对他们的(网络黑客)行为进行深度隐藏”,向私营互联网企业采购数据的目的,是为了“获得对外国情报实体(网络)恶意活动进行追踪的能力”。

据悉,DSS的数据采购被归类为“商业行为”,在采购清单中列支的名目,是“向网络威胁情报公司Team Cymru购买技术”,数年中所花费的金额已高达几百万美元。专家认为,DSS的花费在某种程度上是“物有所值”,因为其购买的互联网流量日志等数据对网络安全分析人员来说是一款得心应手的工具,可以对黑客发起网络攻击的源头进行追踪。

虽然DSS和专家的解释向外界说明了反情报机构使用互联网流量日志的合法性,但部分互联网人士仍然担心DSS可能会非法使用从私营公司采购的数据,或超出宣称的使用范围(指追踪黑客)。这不是没有先例的。早前参议员罗恩·怀登就曾收到一封举报信,称海军罪案调查处(NCIS)向Team Cymru公司非法采购和使用网络数据。

他们的担心是出于两个方面的原因。一方面是Team Cymru公司获取数据的手段并不完全合法,因为这些数据是在大多数人并不知情的情况下收集并出售的,而且有些数据(比如位置信息)的收集并未得到应有的授权。另一方面是DSS使用这些数据时可能超出了追踪黑客的范围。DSS曾表示,该部门希望获得的数据服务,可以帮助自己锁定“谋划攻击、内部威胁、洗钱、破坏系统或尝试利用网络漏洞”的人群。这些目标显然超出了追踪黑客活动的范围,不由得不引起外界对反情报部门可能会滥用权力的焦虑。

与Team Cymru合作更节约成本

在被披露的文件中,DSS也阐述了不向Team Cymru公司的替代方案,即在全球范围内布设传感器,自己收集所需要的数据。

“我们也曾考虑过另外的数据获取方案,即在全球范围内设置可覆盖整个互联网的流量监视和收集传感器,”文件称。“但其设计、采购、部署、运行和支持是一个大工程,耗费的资金量将(比采购Team Cymru数据)更巨大。”

所以DSS最终决定不再做重复工作,因为Team Cymru公司已经拥有了一整套可供利用的全球网络传感器。“(Team Cymru公司)收集的网络数据来自全球范围内超过550个收集点位。这些收集点位遍布欧洲、中东、南北美洲、非洲和亚洲,每天都能产生至少1000亿条更新数据。”

参考资料:https://www.404media.co/us-counterintel-buys-netflow-data-team-cymru-track-vpns/

来源:安全内参

上一篇:北京市网信办对三家企业未履行数据安全保护义务作出行政处罚

下一篇:2023SACC中国系统架构师大会·上海站诚邀您参加