北京時間6月15日消息,據國外媒體報道,消息人士周五透露,美國數千家科技、金融和制造企業與美國國家安全機構進行著密切合作,通過向后者提供敏感信息,換取包括機密信息在內的諸多好處。
這些項目的參與者被稱作“可信合作伙伴”,范圍則遠遠超出曾為美國國家安全局工作的計算機技術人員愛德華·斯諾登(Edward Snowden)所曝光的“棱鏡”計劃。自斯諾登在本月曝光,美國國家安全局依據法庭命令,從谷歌(微博)和其它網絡公司收集數以百萬計的美國公民與外國人的通話記錄和計算機通信數據之后,私有公司所扮演的角色便引發了外界的密切關注。
消息人士稱,眾多的互聯網公司和電信公司主動向美國情報機構提供額外的數據,如設備參數等,不過上述數據并不包括用戶的私人通信數據。據悉,眾多的美國硬件和軟件制造商、銀行、互聯網安全服務提供商、衛星通信公司和其它一些企業,同樣也參與了政府的項目。在某些情況下,美國情報機構收集到的數據可能不僅被用戶包圍國家,而且也用于入侵敵對國家的計算機。
除美國國家安全局之外,中央情報局、聯邦調查局和美軍情報機構都同類似企業簽署了協議,用戶收集數據。雖然這些數據看似普通,但卻對情報機構和信息戰部隊非常有用。
微軟的漏洞
消息人士透露,作為全球最大的軟件制造商,在發布軟件漏洞補丁之前,微軟會向美國情報機構提供漏洞的相關信息。這些信息能夠被用于保護政府計算機,并進入到恐怖分子或敵對國家的計算機當中。
兩名美國官員透露,微軟和其它軟件公司,以及互聯網安全公司一直非常清楚,這種早期預警能夠幫助美國相關部門利用軟件漏洞,攻擊使用這些軟件的外國政府的計算機。該消息稱,微軟從未詢問、也沒有被告知政府如何使用上述信息。
微軟發言人弗蘭克·肖(Frank Shaw)對此表示,向政府眾多機構提供上述信息,主要是讓政府“提前進行”風險的評估和緩解。該發言人在聲明中稱,微軟通過“多個項目”向政府部門提供此類信息。他提到了兩個公開項目的名稱,上述項目均由微軟負責,用于國防目的。
愿意合作
消息人士透露,部分美國電信公司只要獲得法官命令,便愿意向情報機構開放設施和數據。在這種情況下,根據美國《國外情報監視法》,并不需要相關的監督,而且企業可以自愿提供信息。
商業公司與情報機構間廣泛的合作屬合法行為,并觸及了日常生活的方方面面,只不過很少一部分律師、企業領導者和間諜清楚其中的情況。消息人士稱,之所以選擇參與此項目,企業高管通常是受到愿意幫助國防事業,以及幫助自己企業的推動。消息人士稱,情報機構與企業簽署的絕大多數協議均屬于機密,很少有人清楚其中的情況。通常情況下,這些人通常為企業首席執行官和美國情報部門主官直接牽線搭橋。
感謝他們
曾在國家安全局和中央情報局任職的邁克爾·海登(Michael Hayden)表示,情報部門對重要企業合作伙伴非常關注。他說,“如果我是情報部門主管,且與一家企業有著聯系。如果這家企業的做法不僅受法律監督,也對國家防務很有價值,那么我會毫不猶豫地感謝他們,讓他們知道這樣的做法是必要且有用的。”海登說,“情報機構與企業的關系應當保密,很少有人會知曉此事。”
根據斯諾登披露的信息,美國互聯網公司與國家安全局“特殊來源行動組”(Special Source Operations)共同從事一個名為“凌鏡”的秘密項目。通過此項目,美國國家安全局可以監控外國人的電子郵件、視頻和其它私有數據。
隨著全球信息流動的快速發展,其中使用的許多交換機、線纜和網絡設備均由美國公司維護,因此美國情報部門收集數據的手段遠遠不止于此。美國執法和軍方官員表示,除去私人通訊信息之外,有關設備規格、用于網絡工作的數據都對情報機構非常有用。
負責人
通常情況下,一家公司的主要高管和數名技術人員,會同不同的情報機構進行合作,某些時候甚至同同一情報機構的多個部門進行合作。如果有必要,這個被稱為“負責人”的企業高管將獲得一份文件,從而可以豁免數據轉移行為可能帶來的民事訴訟。企業會定期向情報機構提供信息,內容可能涉及到信息使用情況這樣的參數。
消息人士透露,舉例來說,英特爾旗下的安全軟件部門McAfee,便定期與美國國家安全局、中央情報局和聯邦調查局進行合作。McAfee是很有價值的合作伙伴,是因為該公司能通觀惡意互聯網流量的情況,包括外國勢力的間諜活動。
消息人士稱,這樣的合作通常從與McAfee的首席執行官接觸開始,他隨后任命專門人員負責與情報部門合作,向他們提供所需要的數據。消息人士稱,對于政府部門尋求什么樣的幫助,公眾知曉后會大吃一驚。
McAfee的防火墻手機使用合法服務器從事黑客工作的黑客信息,然后這家公司的數據能夠被用于精確定位黑客在哪里發動攻擊。這家公司也了解全球的信息網絡架構,這對情報部門來說很有意義。
McAfee的數據
McAfee 全球首席技術官邁克爾·(Michael Fey)表示,該公司提供的數據和分析并不包括個人信息。他通過電子郵件聲明表示,“我們并未向政府情報機構伙伴分享任何個人信息。McAfee的作用是向政府提供安全技術、教育和危險信息。危險情報信息包括了新出現威脅的趨勢數據、信息安全攻擊模式及活動情況,以及對軟件完整性、系統漏洞和黑客組織活動的分析。”
消息人士稱,作為回報,公司領導者將可以獲得來自情報部門的信息,了解情報部門當前的關注重點,從而幫助維持雙方之間的關系。在其他一些情況下,對于可能影響企業底線的問題,企業將獲得快速預警,從而及早知曉嚴重的互聯網攻擊事件,以及幕后者是誰。
谷歌的參與
消息人士透露,谷歌聯合創始人塞吉·布林(Sergey Brin)2010年從美國情報機構那里獲得了高度機密的相關信息,從而知曉了攻擊來源。當時布林獲得了臨時的機密情報授權,得以了解相關情況。
根據斯諾登提供的信息,作為全球最流行的搜索引擎,谷歌參與“凌鏡”項目時間已超過一年。谷歌首席執行官拉里·佩奇(Larry Page)在6月7日曾表示,他并未聽說過“棱鏡”項目的存在,谷歌并不允許美國政府部門直接進入其服務器,或利用后門進入其數據中心。而谷歌依法向政府提供用戶數據。谷歌發言人萊絲莉·米勒(Leslie Miller)尚未對最新消息做出回應。
元數據
斯諾登提供的消息,同時還披露了美國國家安全局一個名為“花言巧語”(Blarney)的秘密項目。《華盛頓郵報》指出,該項目收集通過主要數據路由器發送電子郵件和瀏覽互聯網的計算機和設備上的元數據。這些元數據包含全球大量計算機操作系統、瀏覽器和Java的版本。美國情報機構可以利用這些數據去攻擊計算機和手機,監控用戶信息。
澳洲電信首席信息官格倫·吉斯霍姆(Glenn Chisholm)就此表示:“這是高度攻擊性的信息。這些信息并非用于保護計算機不受攻擊的防御目的。”《華盛頓郵報》援引斯諾登的說法稱,“花言巧語”計劃的目的是“獲取及利用國外的情報”。
目前尚不清楚美國互聯網服務商是否依據此計劃向美國國家安全局提供情報。如果確實如此,以及傳輸這樣的數據是否獲得了法官的命令。
缺少詳查
美國國家安全局前法律總顧問斯圖爾特·貝克(Stewart Baker)表示,如果元數據包含兩臺美國國外電腦通過位于美國的光網絡的通信,那么很有可能在情報部門從中提取通信數據時,不需要太多的法律詳查。
美國參議員、美國參議院商業委員會主席約翰·洛克菲勒(John D. Rockefeller IV)的前網絡安全顧問雅各布·奧爾科特(Jacob Olcott)表示,監管美國情報機構的立法者可能并不清楚收集這些元數據的重要性。他表示:“這導致監督極具挑戰性。技術和技術政策的發展速度遠遠超過大部分國會議員及其幕僚的背景和專業性。”奧爾科特目前擔任著華盛頓Good Harbor信息安全風險管理公司的負責人。
消息人士透露,在美國情報機構向企業提供足夠的誘因,讓它們與其合作的同時,許多企業高管受愛國主義或參與保護國家安全項目的推動,參與了與美國情報機構的合作。
愛因斯坦3
美國電信、互聯網、電力公司和其它一些公司向美國情報機構提供了他們系統架構或設備圖表的詳細內容,讓情報機構能夠分析潛在的缺陷。吉斯霍姆表示,“政府希望了解國家的關鍵基礎設施是一種很自然的行為。”
即使嚴格意義上的國防系統也有可能導致用戶隱私信息的意外泄露。美國國家安全局此前推出的一個代價高昂的項目“愛因斯坦3”,旨在保護政府系統不受黑客攻擊。此項目會自動分析每年發送給政府部門計算機的數十億封電子郵件,以檢測是否包含間諜工具或惡意軟件。消息人士透露,在某些情況下,“愛因斯坦3”可能會泄露電子郵件中的私人內容。
AT&T和Verizon
消息人士透露,在企業同意在網絡中安裝“愛因斯坦3”之前,美國五大互聯網服務提供商--AT&T、Verizon通訊、Sprint Nextel、Level 3和CenturyLink--要求不承擔美國反竊聽法所規定的責任。上述公司要求獲得一封由美國司法部長簽署的信件,表明披露類似的信息與竊聽無關,從而豁免任何相關的民事訴訟。截至目前,AT&T發言人馬克·西格爾(Mark Siegel)及Verizon通訊發言人愛德華·麥克法登(Edward McFadden)以及其它相關公司發言人均對此報道未置可否。
Centurylink 發言人琳達·約翰森(Linda Johnson)表示,Centurylink加入了名為“強化網絡安全服務”項目(Enhanced Cybersecurity Services)和“入侵防護安全服務”項目(Intrusion Prevention Security Services),后者就包括了“愛因斯坦3”項目。上述兩個項目均由美國國土安全部負責。約翰森說,除此之外,該公司不會對涉及國家安全的問題發表任何評論。