“我們當(dāng)時就覺得很可疑，”M女士指著一封匿名郵件說，這封郵件是2014年她和她的幾個記者同事同時收到的。郵件里說現(xiàn)在有一個關(guān)于政府丑聞的線索，但是M女士怎么也沒看明白。不久，她的電腦就開始出現(xiàn)奇怪的問題。“我清楚地記得我當(dāng)時要做一個關(guān)于酷刑的采訪，但卻連不上Skype，”她說，“我的電腦好像受到了干擾，于是只好借別人的電話用。”

隨后M女士將這封郵件轉(zhuǎn)給了安全專家，她才得知，她和她的同事都被遠(yuǎn)程控制系統(tǒng)（RCS）操控了，這是由意大利公司Hacking Team開發(fā)的一款黑客軟件。不久后，M女士或許會發(fā)現(xiàn)，操縱這款軟件攻擊她的，正是她的政府，這大約是她舉報時不曾想到的。因為害怕報復(fù)，M女士要求不公開姓名。

M女士只是被RCS攻擊的千萬人之一，而購買這款軟件的，有情報機(jī)構(gòu)，也有政府執(zhí)法部門。未來，當(dāng)政府和警察局也開始越來越多地使用這樣的工具后，我們要擔(dān)心的就不只是犯罪分子和反對政府的人了。

在最近發(fā)生的巴黎恐襲事件后，像CIA局長John Brennan和紐約市警察局長Bill Bratton這樣的一干人，就開始抱怨加密技術(shù)對常規(guī)搜查和監(jiān)管工作的妨礙。歐洲一些官方機(jī)構(gòu)也表達(dá)了類似的觀點，而這種觀點很可能會讓RCS銷量大漲，因為RCS正是Hacking Team視為攻克加密術(shù)的絕佳方案。其他像Hacking Team一樣的企業(yè)同樣也會得益。熟悉這家公司業(yè)務(wù)的專家說，Hacking Team是做黑客工具的同類公司中最出色的，他們的產(chǎn)品使得黑客技術(shù)不再是情報機(jī)構(gòu)的專利，連普通的地方警察局都能使用。

現(xiàn)在我們所知道的是，當(dāng)Hacking Team的產(chǎn)品被日益廣泛地使用，這種行為也越來越受到技術(shù)、道德以及法律層面的考量。當(dāng)越來越多的執(zhí)法部門也成為他們的用戶，濫用的問題就開始浮現(xiàn)。“在FBI、州政府和地方政府的執(zhí)法部門也操練起黑客技術(shù)之前，我們非常有必要來討論下，這些監(jiān)控工具到底應(yīng)該如何使用。”美國人權(quán)協(xié)會的核心技術(shù)員Christopher Soghoian說。

“黑客軸心”

Hacking Team由現(xiàn)任CEO David Vincenzetti創(chuàng)立于2003年，起初更像是一家傳統(tǒng)的網(wǎng)絡(luò)安全公司。Hacking Team孵化于上世紀(jì)90年代一個由密碼專家和業(yè)余愛好者組成的社區(qū)，Wikileaks的朱利安·阿桑奇也誕生于此。當(dāng)時一些公司請Hacking Team來測試他們的計算機(jī)網(wǎng)絡(luò)并找出弱點，而這批最早的顧客就包括德意志銀行和巴克萊銀行。

然而幾年后，Vincenzetti就將公司的業(yè)務(wù)重心由“防御”轉(zhuǎn)向“攻擊”。Hacking Team開始出售可以侵入他人電腦并盜取數(shù)據(jù)的軟件，而他們最主要的產(chǎn)品就是RCS，也就是黑客用來攻擊M女士的工具。

RCS既可攻擊PC，也可攻擊移動設(shè)備。它可以從被攻擊者的硬盤上拷貝文件，竊取Skype通話和信息，在郵件加密前偷看郵件，獲取用戶在瀏覽器中輸入的密碼，甚至是打開麥克風(fēng)和攝像頭對直接本人進(jìn)行監(jiān)視。

這種程序利用系統(tǒng)或其他軟件的安全漏洞入侵設(shè)備，而獲知漏洞的途徑，要么是Hacking Team自己去發(fā)掘，要么是由付錢給第三方公司換取情報。在M女士的案件中，RCS就是通過附帶惡意程序的郵件侵入電腦，此外，派人直接秘密將軟件拷到設(shè)備上也是一種入侵方式。還有些客戶是這樣使用RCS的:由一家網(wǎng)絡(luò)服務(wù)供應(yīng)商為他們安裝一款叫做Network Injection Appliance的設(shè)備，然后通過將攻擊對象引向一個釣魚頁面，把RCS偷偷裝入對方系統(tǒng)。顧客會就軟件本身、幫助他們和Hacking Team保持聯(lián)系的代理服務(wù)以及Hacking Team所做的調(diào)查向其支付報酬，同時他們也可以獲得全面的技術(shù)支持。“Hacking Team創(chuàng)造的額外價值就在于提供咨詢培訓(xùn)，讓不懂電腦的人都可以輕松成為代理，”國際隱私機(jī)構(gòu)長期關(guān)注監(jiān)控領(lǐng)域的研究員Edin Omanovic說。

意大利政府機(jī)構(gòu)是RCS的早期用戶，而最早的攻擊對象就是黑手黨老大。但是Hacking Team很快擴(kuò)張，走出了本地市場，他們用浮夸的視頻廣告告訴顧客，他們的拿手好戲就是“攻克加密術(shù)、獲取有用數(shù)據(jù)”。

2006年，Hacking Team和西班牙情報機(jī)構(gòu)CNI簽約，兩年后新加坡、匈牙利的情報機(jī)構(gòu)也緊隨其后。不久前，沙特阿拉伯、墨西哥、埃及、蘇丹、俄羅斯、哈薩克斯坦都給本國的安全機(jī)構(gòu)購買了Hacking Team的產(chǎn)品。FBI和其他美國政府機(jī)構(gòu)也購買了RCS的使用許可。還有一大批地方警察局，甚至高校的保安部門都請Hacking Team來展示他們的產(chǎn)品。新聞?wù){(diào)查組織MuckRock通過《信息自由法案》獲取的郵件顯示，弗洛里達(dá)州一個普通的警察局在看了Hacking Team的展示之后，認(rèn)為如果不使用RCS，他們簡直都“活不下去”，盡管這家警察局后來也沒有購買Hacking Team的產(chǎn)品。

然而，Hacking Team某些客戶使用RCS的方式，已經(jīng)開始引來爭議。2012年，一直以來關(guān)注計算機(jī)安全對人權(quán)影響的多倫多大學(xué)公民實驗室發(fā)現(xiàn)，Hacking Team的軟件被阿拉伯聯(lián)合酋長國政府用來攻擊政見不同者的個人計算機(jī)，埃塞俄比亞政府則侵入了在美國工作的記者的電腦。“我們發(fā)現(xiàn)了許多骯臟的勾當(dāng)，”為公民實驗室撰寫了數(shù)份報告的安全研究員Claudio Guarnieri說。

今年7月，Hacking Team終于把自己也搭了進(jìn)去，黑客曝光了Hacking Team及其顧客的許多內(nèi)幕。一份日期為2015年5月的電子表格顯示，自2008年以來，至少有6,550臺獨立設(shè)備（包括手機(jī)和電腦）遭到RCS攻擊。Hacking Team總共將設(shè)備賣給了70多個客戶，政府部門也包括其中，而且為Hacking Team帶去了超過4000萬歐元（大約4400萬美元）的收入。

但是內(nèi)幕被曬到網(wǎng)上似乎也沒對Hacking Team造成多大影響，也沒有客戶公開宣布與公司決裂。“客戶都選擇和我們站在一起，我想是因為他們看到了我們帶來的價值，以及我們產(chǎn)品的優(yōu)越性，”公司發(fā)言人Eric Rabe說。（CEO Vincenzetti拒絕接受采訪。）

不過Hacking Team面臨的競爭也很激烈，除了小型的黑客工作坊，還要應(yīng)對大型的政府承包商。伽瑪國際（Gamma International）是一家在德國和英國都設(shè)有辦事處的公司，他們提供的產(chǎn)品FinFisher和RCS十分類似，已經(jīng)被澳大利亞、比利時和意大利的政府機(jī)構(gòu)購買。FinFisher還被巴林島政府用來攻擊激進(jìn)主義分子，根據(jù)國際隱私組織的報道，它還被烏干達(dá)政府用來勒索政敵。和Hacking Team一樣，伽瑪國際在2014年也遭到黑客攻擊，內(nèi)部文件同樣被曝光，但公司照樣也是全身而退。公民實驗室報道，伽瑪國際的顧客甚至反而增加了。

Omanovic說，據(jù)他所知，大約還有16家公司在銷售和Hacking Team類似的產(chǎn)品。在我們采訪他前兩周，他剛剛發(fā)現(xiàn)了一家以色列公司，兩個月前發(fā)現(xiàn)的則是南非的一家公司。公民實驗室研究員Guarnieri認(rèn)為，這類公司恐怕還有更多。“就業(yè)務(wù)規(guī)模和客戶數(shù)量來看，還有一些重量級的公司沒有被發(fā)現(xiàn)，”他說，“他們不怎么受到關(guān)注，但或許正是因此他們才能好過。”

不受約束的權(quán)力

在美國，像RCS這樣的軟件如果想要獲取個人數(shù)據(jù)，那么必須服從憲法第四修正案及刑事案件的有關(guān)規(guī)定，這意味著FBI如果要黑你的電腦，也必須要先獲得許可。但是，美國司法部卻在設(shè)法扭曲有關(guān)獲取“遠(yuǎn)程”搜查許可的法律規(guī)定，此舉同時遭到了美國公民自由聯(lián)盟和谷歌的反對，稱這將導(dǎo)致權(quán)力的濫用。

每當(dāng)新型的監(jiān)控技術(shù)可用時，它們總是在沒有任何管制之前，就被警察利用起來了。在美國，Stingrays——一種可以從一定區(qū)域內(nèi)的手機(jī)上搜刮信息的設(shè)備早已普及開來。比如洛杉磯附近圣貝納迪諾城的警察局，在沒有任何許可的情況下，僅僅2年內(nèi)就使用這款設(shè)備超過300次。可見這個問題由來已久，只是在最近才被重視起來，現(xiàn)在，F(xiàn)BI使用Stingrays也需要獲取許可，地方政府也將逐漸受到法律的約束。之所以這樣做，是因為黑客工具很容易被濫用，而其威力和危害都遠(yuǎn)大于警察目前所使用的監(jiān)控技術(shù)。

美國公民自由協(xié)會的技術(shù)員Soghoian認(rèn)為，公眾及政界必須盡快對黑客工具的威力及其逐漸廣泛的使用進(jìn)行討論。“我覺得，如果知道政府可以劫持電腦或手機(jī)上攝像頭（在提示燈不亮的情況下），或者遠(yuǎn)程開啟麥克風(fēng)，許多美國人都會大吃一驚，”他說。

但是，美國議會或者其他西方國家的任何類似機(jī)構(gòu)，都不可能發(fā)起Soghoian所說的這樣一場討論。最近，在遭到伊斯蘭國及其同情者的襲擊后，一些政府只會更加迫切地希望將他們的情報機(jī)構(gòu)和執(zhí)法部門武裝起來。而一些企圖限制人權(quán)記錄很差的國家購買RCS這類工具的嘗試，也步步維艱。2013年下半年，美國與其他40個國家簽訂的武器管制條約《瓦森納協(xié)定》更新了內(nèi)容，限制了部分國家政府引入監(jiān)控技術(shù)。但是相關(guān)規(guī)定卻在美國遭到了擱置，一群安全研究員抗議說這些規(guī)定過于寬泛，反而會妨礙保障網(wǎng)絡(luò)安全的必要工作。

黑客工具的提供商、國家情報機(jī)構(gòu)和犯罪組織或許也會開個會研究下如何抵制這些條約。Hacking Team被曝光的郵件顯示，意大利政府出于人權(quán)考慮禁止RCS出口后，該公司人員與軍方官員進(jìn)行了接洽，禁令很快就解除了。

Guarnieri擔(dān)心的事情是，我們可能會在渾渾噩噩中走向一個可以隨意買賣黑客工具的世界。“如果10年內(nèi)意大利出現(xiàn)了50個Hacking Team……他們不斷地破壞操作系統(tǒng)的安全性，不斷使安全軟件失去意義，那么我們就會面臨一堆永遠(yuǎn)無法解決的問題，因為到那時，這些事情都是合法的了，”他說。

我們似乎站在一個十字路口，而社會對監(jiān)控似乎還處于無感狀態(tài)，也就談不上該選擇哪條道路了。即使是生活在人權(quán)狀況較好的地區(qū)的人，也難逃這種現(xiàn)象帶來的陰暗面。像M女士這樣的人，只因說出了政府不愿面對的事實，就遭到攻擊，恐怕只能期望像Hacking Team這樣的公司能對自己的客戶有所篩選。

Hacking Team發(fā)言人Rabe是這樣看的：“社會總是期待執(zhí)法部門來履行監(jiān)控嫌疑人的職能，使得人們可以不受詐騙、偷竊、人身攻擊、恐怖主義以及其他犯罪行為的傷害，”他在一份申明中說道，“而Hacking Team只會向政府提供我們的產(chǎn)品，同時配以恰當(dāng)?shù)谋Ｗo(hù)措施，使得罪犯和恐怖分子用以對抗我們的加密技術(shù)變得不堪一擊。”

但是安全研究員們并不買賬。“我相信是有公司可以負(fù)責(zé)任地出售他們的黑客方案，”公民實驗室的資深研究員Bill Marczak說，“但是這樣一家公司會不會有顧客，我就不知道了。”