北京时间6月15日消息,据国外媒体报道,消息人士周五透露,美国数千家科技、金融和制造企业与美国国家安全机构进行着密切合作,通过向后者提供敏感信息,换取包括机密信息在内的诸多好处。
这些项目的参与者被称作“可信合作伙伴”,范围则远远超出曾为美国国家安全局工作的计算机技术人员爱德华·斯诺登(Edward Snowden)所曝光的“棱镜”计划。自斯诺登在本月曝光,美国国家安全局依据法庭命令,从谷歌和其它网络公司收集数以百万计的美国公民与外国人的通话记录和计算机通信数据之后,私有公司所扮演的角色便引发了外界的密切关注。
消息人士称,众多的互联网公司和电信公司主动向美国情报机构提供额外的数据,如设备参数等,不过上述数据并不包括用户的私人通信数据。据悉,众多的美国硬件和软件制造商、银行、互联网安全服务提供商、卫星通信公司和其它一些企业,同样也参与了政府的项目。在某些情况下,美国情报机构收集到的数据可能不仅被用户包围国家,而且也用于入侵敌对国家的计算机。
除美国国家安全局之外,中央情报局、联邦调查局和美军情报机构都同类似企业签署了协议,用户收集数据。虽然这些数据看似普通,但却对情报机构和信息战部队非常有用。
微软的漏洞
消息人士透露,作为全球最大的软件制造商,在发布软件漏洞补丁之前,微软会向美国情报机构提供漏洞的相关信息。这些信息能够被用于保护政府计算机,并进入到恐怖分子或敌对国家的计算机当中。
两名美国官员透露,微软和其它软件公司,以及互联网安全公司一直非常清楚,这种早期预警能够帮助美国相关部门利用软件漏洞,攻击使用这些软件的外国政府的计算机。该消息称,微软从未询问、也没有被告知政府如何使用上述信息。
微软发言人弗兰克·肖(Frank Shaw)对此表示,向政府众多机构提供上述信息,主要是让政府“提前进行”风险的评估和缓解。该发言人在声明中称,微软通过“多个项目”向政府部门提供此类信息。他提到了两个公开项目的名称,上述项目均由微软负责,用于国防目的。
消息人士透露,部分美国电信公司只要获得法官命令,便愿意向情报机构开放设施和数据。在这种情况下,根据美国《国外情报监视法》,并不需要相关的监督,而且企业可以自愿提供信息。
商业公司与情报机构间广泛的合作属合法行为,并触及了日常生活的方方面面,只不过很少一部分律师、企业领导者和间谍清楚其中的情况。消息人士称,之所以选择参与此项目,企业高管通常是受到愿意帮助国防事业,以及帮助自己企业的推动。消息人士称,情报机构与企业签署的绝大多数协议均属于机密,很少有人清楚其中的情况。通常情况下,这些人通常为企业首席执行官和美国情报部门主官直接牵线搭桥。
感谢他们
曾在国家安全局和中央情报局任职的迈克尔·海登(Michael Hayden)表示,情报部门对重要企业合作伙伴非常关注。他说,“如果我是情报部门主管,且与一家企业有着联系。如果这家企业的做法不仅受法律监督,也对国家防务很有价值,那么我会毫不犹豫地感谢他们,让他们知道这样的做法是必要且有用的。”海登说,“情报机构与企业的关系应当保密,很少有人会知晓此事。
根据斯诺登披露的信息,美国互联网公司与国家安全局“特殊来源行动组”(Special Source Operations)共同从事一个名为“凌镜”的秘密项目。通过此项目,美国国家安全局可以监控外国人的电子邮件、视频和其它私有数据。
随着全球信息流动的快速发展,其中使用的许多交换机、线缆和网络设备均由美国公司维护,因此美国情报部门收集数据的手段远远不止于此。美国执法和军方官员表示,除去私人通讯信息之外,有关设备规格、用于网络工作的数据都对情报机构非常有用。
负责人
通常情况下,一家公司的主要高管和数名技术人员,会同不同的情报机构进行合作,某些时候甚至同同一情报机构的多个部门进行合作。如果有必要,这个被称为“负责人”的企业高管将获得一份文件,从而可以豁免数据转移行为可能带来的民事诉讼。企业会定期向情报机构提供信息,内容可能涉及到信息使用情况这样的参数。
消息人士透露,举例来说,英特尔旗下的安全软件部门McAfee,便定期与美国国家安全局、中央情报局和联邦调查局进行合作。McAfee是很有价值的合作伙伴,是因为该公司能通观恶意互联网流量的情况,包括外国势力的间谍活动。
消息人士称,这样的合作通常从与McAfee的首席执行官接触开始,他随后任命专门人员负责与情报部门合作,向他们提供所需要的数据。消息人士称,对于政府部门寻求什么样的帮助,公众知晓后会大吃一惊。
McAfee的防火墙手机使用合法服务器从事黑客工作的黑客信息,然后这家公司的数据能够被用于精确定位黑客在哪里发动攻击。这家公司也了解全球的信息网络架构,这对情报部门来说很有意义。
McAfee的数据
McAfee全球首席技术官迈克尔·(Michael Fey)表示,该公司提供的数据和分析并不包括个人信息。他通过电子邮件声明表示,“我们并未向政府情报机构伙伴分享任何个人信息。McAfee的作用是向政府提供安全技术、教育和危险信息。危险情报信息包括了新出现威胁的趋势数据、信息安全攻击模式及活动情况,以及对软件完整性、系统漏洞和黑客组织活动的分析。
消息人士称,作为回报,公司领导者将可以获得来自情报部门的信息,了解情报部门当前的关注重点,从而帮助维持双方之间的关系。在其他一些情况下,对于可能影响企业底线的问题,企业将获得快速预警,从而及早知晓严重的互联网攻击事件,以及幕后者是谁。
谷歌的参与
消息人士透露,谷歌联合创始人塞吉·布林(Sergey Brin)2010年从美国情报机构那里获得了高度机密的相关信息,从而知晓了攻击来源。当时布林获得了临时的机密情报授权,得以了解相关情况。
根据斯诺登提供的信息,作为全球最流行的搜索引擎,谷歌参与“凌镜”项目时间已超过一年。谷歌首席执行官拉里·佩奇(Larry Page)在6月7日曾表示,他并未听说过“棱镜”项目的存在,谷歌并不允许美国政府部门直接进入其服务器,或利用后门进入其数据中心。而谷歌依法向政府提供用户数据。谷歌发言人莱丝莉·米勒(Leslie Miller)尚未对最新消息做出回应。
元数据
斯诺登提供的消息,同时还披露了美国国家安全局一个名为“花言巧语”(Blarney)的秘密项目。《华盛顿邮报》指出,该项目收集通过主要数据路由器发送电子邮件和浏览互联网的计算机和设备上的元数据。这些元数据包含全球大量计算机操作系统、浏览器和Java的版本。美国情报机构可以利用这些数据去攻击计算机和手机,监控用户信息。
澳洲电信首席信息官格伦·吉斯霍姆(Glenn Chisholm)就此表示:“这是高度攻击性的信息。这些信息并非用于保护计算机不受攻击的防御目的。”《华盛顿邮报》援引斯诺登的说法称,“花言巧语”计划的目的是“获取及利用国外的情报”。
目前尚不清楚美国互联网服务商是否依据此计划向美国国家安全局提供情报。如果确实如此,以及传输这样的数据是否获得了法官的命令。
缺少详查
美国国家安全局前法律总顾问斯图尔特·贝克(Stewart Baker)表示,如果元数据包含两台美国国外电脑通过位于美国的光网络的通信,那么很有可能在情报部门从中提取通信数据时,不需要太多的法律详查。
美国参议员、美国参议院商业委员会主席约翰·洛克菲勒(John D. Rockefeller IV)的前网络安全顾问雅各布·奥尔科特(Jacob Olcott)表示,监管美国情报机构的立法者可能并不清楚收集这些元数据的重要性。他表示:“这导致监督极具挑战性。技术和技术政策的发展速度远远超过大部分国会议员及其幕僚的背景和专业性。”奥尔科特目前担任着华盛顿Good Harbor信息安全风险管理公司的负责人。
消息人士透露,在美国情报机构向企业提供足够的诱因,让它们与其合作的同时,许多企业高管受爱国主义或参与保护国家安全项目的推动,参与了与美国情报机构的合作。
爱因斯坦3
美国电信、互联网、电力公司和其它一些公司向美国情报机构提供了他们系统架构或设备图表的详细内容,让情报机构能够分析潜在的缺陷。吉斯霍姆表示,“政府希望了解国家的关键基础设施是一种很自然的行为。
即使严格意义上的国防系统也有可能导致用户隐私信息的意外泄露。美国国家安全局此前推出的一个代价高昂的项目“爱因斯坦3”,旨在保护政府系统不受黑客攻击。此项目会自动分析每年发送给政府部门计算机的数十亿封电子邮件,以检测是否包含间谍工具或恶意软件。消息人士透露,在某些情况下,“爱因斯坦3”可能会泄露电子邮件中的私人内容。
消息人士透露,在企业同意在网络中安装“爱因斯坦3”之前,美国五大互联网服务提供商–AT&T、Verizon通讯、Sprint Nextel、Level 3和CenturyLink–要求不承担美国反窃听法所规定的责任。上述公司要求获得一封由美国司法部长签署的信件,表明披露类似的信息与窃听无关,从而豁免任何相关的民事诉讼。截至目前,AT&T发言人马克·西格尔(Mark Siegel)及Verizon通讯发言人爱德华·麦克法登(Edward McFadden)以及其它相关公司发言人均对此报道未置可否。
Centurylink发言人琳达·约翰森(Linda Johnson)表示,Centurylink加入了名为“强化网络安全服务”项目(Enhanced Cybersecurity Services)和“入侵防护安全服务”项目(Intrusion Prevention Security Services),后者就包括了“爱因斯坦3”项目。上述两个项目均由美国国土安全部负责。约翰森说,除此之外,该公司不会对涉及国家安全的问题发表任何评论。