美國安部門追蹤全球黑客活動的新利器:私企全網日志數據
責編:gltian |2023-10-31 11:00:32數字媒體調查網站404 Media近日報道稱,《信息自由法案》從美國國防安全局(DSS,現名“國防反情報和安全局”,DCSA)獲取的內部文件顯示,這家聯邦反情報機構正從一家私營互聯網公司手中購買數據,以便對黑客活動進行更快速、更便捷的追蹤。
與私企打交道更快更方便
文件顯示,DSS是從附屬于Team Cymru公司的某個承包商手中獲取所需數據的。Team Cymru是一家互聯網安全公司,雖然在整體情報能力方面不如NSA等全球最強大的情報機構,但在數據獲取和提供方面卻也有上述聯邦部門無法比擬的優勢。
比如他們可以在未獲同意的情況下,借助與互聯網服務提供商(ISP)之間的關系對使用該ISP的個人或團隊敏感數據進行收集。這些數據被稱為“互聯網流量日志”,可以顯示用戶在網絡上的通信情況,還可以幫助分析人員借助虛擬專用網絡對網絡活動進行追蹤。通常情況下,此類連接數據只有運營服務器的公司或個人,以及他們的互聯網服務提供商才有權限獲取。不過Team Cymru能侵入某個大多數人不可見但互聯網運行又不可或缺的重要網絡節點,對這些數據進行收集并把讀取權限出售給其他私人企業甚至政府部門。
更重要的是,從Team Cymru公司購買數據要遠比從政府部門手中申請數據更快速、更便捷。404 Media網站獲取的文件抱怨,走流程向NSA等政府部門申請數據需要的時間要以“天”為單位計算,而向私營企業購買則“立即可取”。
其中一份文件指出,網絡安全分析人員要花費大量時間對發生在聯邦政府范圍內的網絡攻擊進行IP地址和域名解析,有時需要向US-CERT(美國計算機應急響應小組)、NSA和其他各類“網絡安全國家隊”申請所需要的數據。但“這些部門并非查找機構,經常會讓一個需要決定性回應的申請陷入長達數天的等待,”文件稱。“等待時間越長,國家安全遭到破壞的可能性就越大。”
使用是否合法合規遭質疑
向政府部門和機構出售網絡流量日志是互聯網行業內的公開秘密。比如美國國稅局、海軍、陸軍和網絡司令部都曾是Team Cymru公司的客戶。FBI和特勤局(Secret Service)也曾向Team Cymru的分公司Argonne Ridge Group進行過相關采購。DSS在文件中為自己向私人企業購買數據的行為進行了辯解,稱是為了“通常情況下,外國情報實體往往會對他們的(網絡黑客)行為進行深度隱藏”,向私營互聯網企業采購數據的目的,是為了“獲得對外國情報實體(網絡)惡意活動進行追蹤的能力”。
據悉,DSS的數據采購被歸類為“商業行為”,在采購清單中列支的名目,是“向網絡威脅情報公司Team Cymru購買技術”,數年中所花費的金額已高達幾百萬美元。專家認為,DSS的花費在某種程度上是“物有所值”,因為其購買的互聯網流量日志等數據對網絡安全分析人員來說是一款得心應手的工具,可以對黑客發起網絡攻擊的源頭進行追蹤。
雖然DSS和專家的解釋向外界說明了反情報機構使用互聯網流量日志的合法性,但部分互聯網人士仍然擔心DSS可能會非法使用從私營公司采購的數據,或超出宣稱的使用范圍(指追蹤黑客)。這不是沒有先例的。早前參議員羅恩·懷登就曾收到一封舉報信,稱海軍罪案調查處(NCIS)向Team Cymru公司非法采購和使用網絡數據。
他們的擔心是出于兩個方面的原因。一方面是Team Cymru公司獲取數據的手段并不完全合法,因為這些數據是在大多數人并不知情的情況下收集并出售的,而且有些數據(比如位置信息)的收集并未得到應有的授權。另一方面是DSS使用這些數據時可能超出了追蹤黑客的范圍。DSS曾表示,該部門希望獲得的數據服務,可以幫助自己鎖定“謀劃攻擊、內部威脅、洗錢、破壞系統或嘗試利用網絡漏洞”的人群。這些目標顯然超出了追蹤黑客活動的范圍,不由得不引起外界對反情報部門可能會濫用權力的焦慮。
與Team Cymru合作更節約成本
在被披露的文件中,DSS也闡述了不向Team Cymru公司的替代方案,即在全球范圍內布設傳感器,自己收集所需要的數據。
“我們也曾考慮過另外的數據獲取方案,即在全球范圍內設置可覆蓋整個互聯網的流量監視和收集傳感器,”文件稱。“但其設計、采購、部署、運行和支持是一個大工程,耗費的資金量將(比采購Team Cymru數據)更巨大。”
所以DSS最終決定不再做重復工作,因為Team Cymru公司已經擁有了一整套可供利用的全球網絡傳感器。“(Team Cymru公司)收集的網絡數據來自全球范圍內超過550個收集點位。這些收集點位遍布歐洲、中東、南北美洲、非洲和亞洲,每天都能產生至少1000億條更新數據。”
參考資料:https://www.404media.co/us-counterintel-buys-netflow-data-team-cymru-track-vpns/
來源:安全內參