意大利公司專門向多國政府機構出售黑客軟件,能竊取用戶電腦中的個人信息。
7月7日,一家專門向政府出售黑客軟件的公司剛剛被黑了,而入侵者周日晚些時候曝光的文件顯示,該公司將監控技術出售給了數十個國家或地區,包括蘇丹、埃及、俄羅斯和美國。
這家意大利公司名為Hacking Team,又稱HTS.r.l.,是為數不多的幾家向全世界執法機構出售監控工具的公司之一。該公司的技術與犯罪分子使用的“惡意軟件”相似,后者專門竊取用戶電腦中的個人信息。
包括監控軟件在內,現成的監控技術市場已經實現了大幅增長。2011年,一位行業老兵曾經估計該市場的規模已經達到50億美元。
Hacking Team表示,該公司的工具可以幫助調查人員獲取各種信息,甚至也包括加密通訊信息。
由于監控對象可能包括異見人士和記者,因此該行業廣受詬病。HackingTeam在官方網站上表示,倘若有可信消息表明其產品會被用于“侵犯人權”,他們便不會向某些國家或地區出售產品。
Hacking Team聯合創始人馬考·瓦勒里(MarcoValleri)2011年接受采訪時表示,該公司“完全遵守”國際法。“歐洲和美國都有專門的黑名單,將不友好的國家列入其中。我們只能向友好的國家出售軟件。”他說。
多倫多大學公民實驗室2014年發布的報告顯示,埃塞俄比亞、蘇丹、阿曼、埃及等國家或地區都在使用HackingTeam的產品。這些研究人員表示,在美國的埃塞俄比亞記者就遭到了該公司軟件的監控。但HackingTeam當時表示,他們并沒有將服務出售給專制政權。
上周日發布的文件包括了一些發票和賬目,表明該公司曾經向蘇丹、阿塞拜疆和埃及等國家或地區出售過監控軟件。
這些國家的官員尚未發表評論。
Hacking Team駐美國發言人埃里克·拉比(EricRabe)表示,該公司“正在調查”此事,但不會“證實客戶身份或其所在地區”。他并未直接對上述文件的真實性作出回應。
拉比說:“我們認為這是一種非法監控和盜竊行為,肯定觸犯了法律。”他還表示,由于該公司的系統遭受攻擊,因此他們已經建議客戶暫停調查活動,直到徹底查明狀況為止。
上 述文件是通過新西蘭文件托管服務分享的,其中包含了一份2012年由Hacking Team開具給InfoTeCSJSC的發票,后者是一家俄羅斯電腦安全公司。InfoTeCS網站上的信息顯示,該公司獲得了俄羅斯聯邦安全局和國防部 的授權,負責開發加密技術和保護國家機密。
InfoTeCS似乎支付了這筆費用。2013年11月,Hacking Team發送了一份一年期的續約文件。但InfoTeCS并未對此置評。
其他文件則表明,HackingTeam似乎向蘇丹出售了監控軟件,該國一直因為政治迫害而遭到國際社會的譴責,聯合國過去10年也一直對該國實施武器禁運措施。這些文件中包含兩張2012年開具給蘇丹國家情報和安全局的發票,以及與聯合國制裁委員會的溝通信件。
聯合國代表在這些信件中表示,這類軟件可能被視作武器設備,因此應當禁止向蘇丹出售。HackingTeam則表示,該公司的軟件并非武器或軍事裝備,因此不應當受到武器禁運政策的約束。
Hacking Team表示,該公司目前與蘇丹不存在任何聯系,但拒絕討論之前的行為。
拉比稱,HackingTeam之前認為自家軟件與戰斗機、火箭和炸彈不同。從今年1月開始,該公司已經受到新的國際協議的監管,這項協議對科技產品在民用和軍用領域的使用方式作出了規定。
“我們已經與意大利政府展開了合作,并且全面落實了該協議。”拉比說。
聯合國代表尚未對上述文件發表評論。
電腦安全研究人員表示,此次被黑事件可能加劇有關此類監控工具的爭議。“我不認為任何一個出售監控軟件的人會不了解人權問題。”公民實驗室高級研究員摩根·馬奎斯-鮑伊爾(MorganMarquis-Boire)說。
但他表示,如果就此限制黑客工具交易,也有可能引發爭議,因為這也會導致電腦安全人員無法跨境分享信息。
此 次披露的文件也表明,Hacking Team曾經向美國政府出售過黑客工具。HackingTeam在美國馬里蘭州設立了一個辦事處,專門為北美和南美的客戶提供服務。一份“客戶概覽列表” 顯示,該公司在2011至2015年間向美國聯邦調查局(FBI)和緝毒局(DEA)出售了100多萬美元的軟件授權和維護服務。2013年,DEA收到 了17萬美元的帳單,涉及軟件續約和升級,以及“在波哥大的培訓”。
美國司法部尚未對此置評。
京公網安備 11010502049343號