网络战,你已经没有退出的选项
十年前,一名联邦调查局官员冒充美联社记者,引诱和追踪一名涉嫌向其学校发送恶作剧炸弹的少年。为了找到这个孩子,联邦调查局特工冒充记者,使用社交工程学发送钓鱼邮件,链接上充斥着恶意软件,一旦点击就会迅速曝光少年所在的位置。
最近,联邦调查局对钓鱼网站进行了大规模升级,以便向所有访问者发送恶意软件,不分青红皂白地针对访问这些网站的个人进行识别和跟踪。
当谈到美国政府使用复杂的骇客工具进行监视追踪时,这些例子可能只是冰山一角。
这些技术引起了严重的担忧,尤其是因为它们具有明显的破坏性威胁,对手机、电脑和其他所有电子设备,这些设备提供了一个人生命中最私密的细节。
也很容易想象这些工具会如何被滥用。仅仅以邻国墨西哥为例:墨西哥政府向政治异议的支持者发送携带受恶意软件的短信,以追踪和恐吓人们。
9月10日,隐私国际组织(PI)、美国公民自由联盟(ACLU)、以及布法罗大学法学院(CLTC)的公民自由与透明诊所,提交了一系列信息自由法案(FOIA),请求寻求美国联邦执法机构使用此类骇客工具的基本记录。信息自由法案的要求旨在揭示管理这些技术使用的基本规则,有关使用频率的信息、以及对潜在滥用的任何内部调查。
执法官员已经开始使用商业和定制的骇客工具来干扰计算机系统,以便访问和收集高度敏感的信息,包括个人的位置、互联网活动、通信和私密文件等。虽然其中一些骇客工具是内部开发的,但在许多情况下,美国政府已从私营公司购买这些技术。
已经有越来越多的报告显示,美国执法部门正在大力投资骇客技术。
联邦调查局已花费超过 100 万美元获取软件以破解锁定的 iPhone,并表示将继续投资此类技术;移民和海关执法局(ICE)从以色列监视公司 Cellebrite 购买了 200 万美元的骇客技术,此外还记录了从其他监视技术公司购买骇客软件的情况;同样,缉毒机构(DEA)已经花费了近 100 万美元用于从臭名昭著的 Hacking Team 意大利监控技术公司购买骇客技术,并表示对 另一个臭名昭著的以色列 NSO 集团生产的骇客工具感兴趣。
延伸阅读:《以色列 NSO 生产的间谍软件 Pegasus 在45个国家被用于监视和攻击异议人士及活动家 — ⚠️ 亚洲有香港》
使用 NSO 的间谍软件,攻击者可以通过命令和 C2 服务器远程操控受害者手机,进行敏感信息窃取,回传包括密码、联系人列表、日历事件、短信和流行聊天 APP 的语音呼叫等信息,攻击者甚至还能远程受害者手机摄像头和麦克风来捕捉手机附近的活动行为。
2015 年间谍软件供应商 Hacking Team 似乎已经完了,内部电子邮件和间谍软件源代码在网上泄露,任何人都可以看到。但是,三年后的如今,该公司居然又活过来了。 这要归功于 2016 年一位神秘投资者的现金涌入 —— 该投资人是沙特皇家宫廷顾问 HE Saud Al-Qahtani
这篇文章有提到意大利监控技术公司 Hacking Team《 危险:监控技术公司正在推动对零日漏洞的利用 》
这里是最全的:Wikileaks 的 Hacking Team 档案馆
政府这些对骇客技术的大举投资引起了人们的严重关注,因为入侵行为对我们的隐私和安全构成了独特而严重的威胁。骇客攻击是非常具有侵入性的,既可以远程访问系统,也可以实时监控。
骇客技术也严重缺乏针对性和最小化使用指标,特别是当它们被用于同时获得与许多个人有关的信息时 —— 也就是说,即便目标人很有可能是毒贩,但其电子设备中的私密信息与其他许多无辜的人相关联,这种入侵将危害所有人。
并且,骇客攻击同样具有严重的安全风险,因为它涉及利用数百万设备可能使用的系统中的安全漏洞;骇客技术也会破坏网络信任,因为它们经常依赖社交工程学、或彻头彻尾的欺骗(就如 FBI 官员假扮记者),以便获得对目标系统的访问权限。
延伸阅读:在中国已经发生了同样的事《网络战:❗️社交工程学正被全球当权者利用来攻击活动家、异议人士和记者,如何抵御?》
出于这些原因还有其他更多原因,政府使用骇客行为明显违反宪法、法律和国际人权标准。
同时,就目前而言,公众对于政府如何看待管理这些工具用于执法目的的规则一无所知。第四修正案通常要求在搜查或扣押之前根据可能原因的结果给出保证。但目前还不清楚执法机构是否想到过司法授权,或者根本没有事先授权。此外,对执法机构为规范骇客攻击技术的部署所采用的内部规则知之甚少。一切都是不透明的。
因此,Privacy International 组织及其合作伙伴正在寻求有关管理骇客技术使用的内部规则、协议和政策的信息,以及政府对适用的法律或宪法条款的解释。“信息自由法案” 还可以寻求有关执法部门使用这些技术入侵公民的频率、以及在何种情况下使用的基本信息。
如果没有关于政府如何使用骇客工具的更多信息,公众就无法了解并有效地规范政府对这些技术的使用。公众应该知道执法部门正在使用什么骇客技术,可以从中获取哪些信息,管理这些技术使用的规则,以及可以采取哪些保护措施来限制从骇客行为中收集的信息的保留和使用。通过这些 FOIA 请求,国际隐私组织、ACLU 和 CLTC 正在寻求填补这一空白。◾️
Comments