據知名科技媒體Motherboard報道,Team Cymru公司的“Augury”工具收集了高度敏感的網絡數據,此數據正在向美國軍方出售。
1、事件
美國軍方多個部門已經購買了一個強大的互聯網監控工具,該工具聲稱可以覆蓋全球90%以上的互聯網流量,甚至在某些情況下可以訪問用戶的電子郵件數據、瀏覽歷史記錄等其他敏感信息,例如 cookie數據、合同和其他文件。
美參議員Ron Wyden表示,一位舉報人已經與他的辦公室聯系,涉及海軍刑事調查局(NCIS)非授權購買和使用網絡流量數據,此前他已就這份舉報材料向美國國防部提出了投訴。這些數據涉及的工具名為 Augury,由網絡安全公司Team Cymru開發,將大量數據打包在一起,作為付費服務提供給政府和企業客戶。私營行業的網絡安全分析師會使用Augury工具跟蹤黑客的活動或溯源,政府領域的專家和刑事調查機構也購買過該工具。軍事機構沒有披露該工具的使用情況。然而,Team Cymru如何獲得這些有爭議的數據,并將其作為業務出售?事實真相或許會令人擔憂。
Motherboard對一份美國政府采購記錄中Augury工具的數據來源進行了調研:Augury工具的網絡數據來自全球550多個采集點,包括歐洲、中東、南北美洲、非洲和亞洲的采集點,并且每天更新至少1000億條新記錄。Augury工具提供對PB量級的當前和歷史數據的訪問。美國海軍、陸軍、網絡司令部和國防反間諜與安全局已經支付了至少350萬美元來訪問 Augury工具。這使得軍方可以利用大量敏感信息追蹤互聯網數據及使用情況。大多數此類交易圍繞著從智能手機收集的地理位置信息開展,購買Augury工具的行為表明,這類數據也延伸到了與互聯網使用更直接相關的信息。
分析采購記錄可以得知,Augury工具向用戶提供各種不同類型的互聯網數據,包括與電子郵件、遠程桌面和文件共享協議相關的數據包捕獲數據 (PCAP)。PCAP 通常包含對數據的完整捕獲,并包含有關網絡活動的非常詳細的信息。比如,從一臺服務器發送到另一臺服務器的請求,以及后者對前者的響應。密切關注數據交易的網絡安全研究員扎克·愛德華茲表示:PCAP數據包含了網絡流量的一切。Team Cymru透露,它確實限制了提供給使用者的數據,但沒有說明實際上向平臺的用戶提供了哪些數據。與政府采購記錄中列出的數據相比,一些私營行業用戶對 Augury工具中某些數據類型的訪問權限似乎更少。Augury工具的數據還包括Web瀏覽器活動,例如訪問的URL和cookie的使用情況。Cookie是網站在人們訪問它們時植入計算機的敏感文件。鑒于其獨特性,cookie可以有效地對用戶活動進行跟蹤。例如,Facebook和Google使用cookie來跟蹤特定用戶從一個網站到另一個網站的活動,然后,美國國家安全局隨后利用這些 cookie來確定黑客攻擊目標。Augury工具面板的截圖顯示了包含 cookie、訪問的 URL 和電子郵件數據的結果。Augury工具還包含了網絡流量數據,它創建了整個網絡的流量和流量圖。這可以包括服務器之間的通信,這些信息通常只對服務器所有者自己或承載流量的互聯網服務提供商可用。該網絡流量數據可用于跟蹤通過VPN訪問的流量,并顯示它們最終連接的服務器,因此可用于識別黑客正在使用的基礎設施。Team Cymru從互聯網服務提供商(ISP)獲取此網絡流量數據,作為回報,Team Cymru為ISP提供威脅情報。這種數據傳輸很可能在未經ISP的用戶同意的情況下發生。用戶幾乎不知道他們的數據被提供給 Team Cymru,隨后出售訪問權限。目前尚不清楚Team Cymru究竟從何處獲得PCAP和其他更敏感的信息。Team Cymru并未直接回答Augury工具是否包含采購記錄顯示的cookies、訪問的URL和PCAP數據,而是在一封電子郵件中透露:“Augury工具的設計不針對特定用戶或用戶活動。不擁有將數據記錄與任何用戶關聯起來所需的信息。”“Augury工具不提供用戶/訂戶信息,也不提供顯示任何生活模式的結果,防止其被用于針對個人。Augury工具只捕獲有限的可用數據樣本,只允許對有限的樣本和有限的數據進行查詢,這些數據都來自于惡意軟件、惡意活動、蜜罐、掃描的第三方。”不過,一些組織使用Team Cymru的數據作為調查的一部分來識別特定的計算機。2021年7月,Citizen Lab的研究人員發布的一份關于以色列間諜軟件供應商Candiru的報告中寫道,他們使用 Team Cymru的數據來識別疑似感染了Candiru惡意軟件的計算機,隨后基于這些數據關聯到了該計算機的所有者。Augury工具可以訪問PCAP數據、URL和cookies的消息可能與美國海軍部購買該工具的記錄有關。美國海軍部購買了一個“白金”級別Augury工具許可證。除此之外,尚不清楚Team Cymru的哪些美國政府客戶可以訪問更敏感的數據。美國陸軍、網絡司令部和國防反間諜與安全局的記錄雖然沒有明確包括白金許可證,但這些機構支付的金額與美國海軍支付的相同。這些與美國政府的交易是通過Argonne Ridge Group公司進行的,該公司與Team Cymru共享一個地址。事實上Argonne Ridge Group是Team Cymru的附屬機構,處理與公共機構的合同。盡管沒有明確提及Augury工具,但Motherboard發現Argonne Ridge Group與美國FBI和特勤局之間存在多份合同。聯邦調查局的一份合同稱,“它將獲得資金批準,以從一家商業供應商處購買網絡全流量,并將其整合到網絡情報分析師可用的現有網絡流量數據中。” 美國陸軍、國防部反間諜和安全局未就有關購買Augury工具一事發表聲明。美國海軍信息辦公室的 Charles E. Spitos表示,NCIS根據所有適用的法律和法規進行調查和行動,使用凈流量數據不需要搜查令。Spirtos補充道,NCIS在任何刑事調查期間都沒有使用網絡流量,但會將網絡流量數據用于各種反間諜目的。參議員Wyden表示他們收到的投訴特別涉及到NCIS的使用,后續發現該部門確實與Argonne Ridge集團有合同。參議員Wyden在致美國國土安全部、司法部和國防部監督部門的信中寫道:“我的辦公室最近接到了一項舉報,描述了他們對軍事指揮系統提出的一系列正式投訴,涉及海軍刑事調查局(NCIS)無授權購買和使用網絡流量數據。” 舉報人聲稱NCIS正在從Cymru購買數據,其中包括網絡流量記錄和一些通信內容。Wyden審查了美國政府訪問Augury工具的各種合同,并要求美國國土安全部、司法部和國防部的監督部門調查未經授權購買和使用互聯網瀏覽記錄的行為。對此,美國國防部監察長辦公室并未對此發表任何言論。除了擔任Team Cymru的CEO外,Rabbi Rob Thomas還擔任Tor的董事會成員,這是一個維護TOR軟件的專注于隱私的非營利組織。該軟件是TOR匿名網絡的基礎,該網絡由數千個志愿者運行的服務器組成,允許任何人匿名瀏覽互聯網。 TOR項目網站表示:“與TOR用戶一樣,開發者、研究者和創始人是一個多樣化的群體。但是,所有參與TOR的人都因為一個共同的信念而團結在一起:互聯網用戶應該能夠私下訪問一個不受監控的網絡。” 此外,Thomas同時還是一家互聯網活動溯源公司的首席執行官。Motherboard此前曾披露過美國軍方購買其他數據的行為。2020 年,Motherboard發現一款下載量超過 9800 萬次的穆斯林祈禱應用程序將其位置數據出售給了X-Mode。X-Mode的客戶也包括美國軍事承包商。Motherboard還發現美國特種作戰司令部購買了Locate X,一種基于從普通應用程序中獲取位置數據的監視工具。去年 3 月,一個執行無人機襲擊作戰任務的軍事單位也購買了Locate X。在 Motherboard公布調查結果后,參議員Wyden向美國國防部詢問了有關其數據購買的更多信息。由于美國國防部隨后的一些回應是以某種特殊形式(比如以密件形式)給出的,這意味著Wyden辦公室無法合法地公布有關監視的細節。Wyden在2021年5月給國防部的第二封信中寫道,“寫信是為了敦促向公眾公布有關國防部(DoD) 在無證據情況下對美國人進行監視的信息”,暗示五角大樓正在進行此類監視, Wyden 的一位助手表示,這個問題與美國國防部購買互聯網元數據有關。據Gizmodo當時報道,美國眾議院8月批準了對明年軍事預算的修正案,這將要求美國國防部開始披露任何通常需要授權的網絡瀏覽或智能手機數據購買行為,但尚未得到美國參議院的批準。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
【網絡安全監管部門】免費試用
本文來源:互聯網
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照