【文匯網訊】美國彭博新聞社15日援引消息人士說法稱,上千家科技、金融和製造業公司正與美國國家安全部門緊密合作,向其提供敏感信息,同時獲得機密情報。這些項目的參與者被稱作「可信合作夥伴」,範圍遠超「稜鏡」計劃。彭博社指出在一些情況下,政府部門收集的信息不僅用於國家安全,也用於入侵敵對國家的計算機。
社交網站「臉譜」(Facebook)同日稱,去年下半年收到來自美政府部門的9000至1萬次對用戶數據的請求,鎖定賬號達1.8萬到1.9萬個。
範圍遠超「稜鏡」計劃
這些項目的參與者被稱作「可信合作夥伴」,範圍則遠遠超出愛德華·斯諾登所曝光的「稜鏡」計劃。斯諾登只是一名為美國國家安全局(NSA)工作的技術人員。根據斯諾登本月曝光的機密信息,NSA通過谷歌等互聯網公司持續收集上千萬美國居民的電話記錄,以及美國國外人士的計算機通信數據。民間公司在這一事件中扮演的角色引發了密切關注。
消息人士稱,許多類似的互聯網和電信公司也自願向美國情報機構提供額外數據,例如設備參數,不過這些數據中並不包含用戶的私人通信記錄。
硬件和軟件公司、銀行、互聯網安全服務提供商、衛星通信公司,以及其他一些行業的公司均參與了政府項目。在一些情況下,政府部門收集的信息不僅用於國家安全,也用於入侵敵對國家的計算機。
與NSA類似,美國中央情報局(CIA)、聯邦調查局(FBI)和軍方的一些部門也與民間公司有著此類合作協議。消息人士稱,這些數據看起來可能是無害的,但對情報機構和信息戰部隊而言非常有用。
微軟提前通報漏洞
根據兩名消息人士的說法,作為全球最大的軟件公司,微軟在公開發佈補丁修復漏洞之前,就會向情報部門提供這些漏洞信息。這些信息可用於保護政府計算機,併入侵恐怖分子或敵對方的計算機。
兩名匿名的美國官員則表示,微軟等軟件公司,以及互聯網安全公司知道,這樣的早期預警能幫助美國相關部門利用軟件漏洞,攻擊使用這些軟件的外國政府計算機。微軟不會詢問政府部門如何利用這些漏洞,即使有這樣的疑問也不會被告知。
微軟發言人弗蘭克·肖表示,微軟與多個政府部門合作提供這樣的早期預警,幫助政府部門盡早開始風險評估和風險減輕。他在一封電子郵件公告中表示,微軟通過「多個項目」向政府部門提供此類信息。他提到了兩個項目的名字,這兩個公開項目由微軟負責,用於國防目的。
涉事企業表態
「臉譜」稱僅有很少用戶受影響
受美國「監控門」風波纏繞的社交網站「臉譜」在15日表示,2012年下半年,「臉譜」收到了來自美國政府部門的9000至一萬次對用戶數據的請求,涉及1.8萬至1.9萬個用戶賬戶。但「臉譜」並未透露他們回復了多少個請求。
美聯社報道,「臉譜」網法律顧問泰德·尤約特在聲明中稱,「臉譜」僅會公佈總數,不會公佈細節。他說,美國有關政府部門在2012年下半年要求用戶數據的次數達9000至一萬次之間。要求涵蓋的議題從失蹤兒童、輕罪到恐怖威脅都有,鎖定的賬號達1.8萬到1.9萬個。「臉譜」並沒有說明他們回應了多少要求。
尤約特還表示,「臉譜」網積極保護使用者資料。他說:「臉譜屢次當場拒絕這類要求,或請政府大幅縮小他們的要求。有時臉譜乾脆交出比政府要求少很多的資料,我們只提供依法有據的量。」
尤約特稱,希望這份聲明能讓公眾明白,「臉譜」網的11億用戶中,僅有很小一部分用戶受到了影響。美聯社稱,「臉譜」希望通過此種方式擺脫美國國家安全局「監控門」的渾水。
多家媒體此前曝光,美國國家安全局和聯邦調查局2007年啟動「稜鏡」監控項目,直接進入美國互聯網公司的中心服務器裡挖掘數據、收集情報,包括微軟、雅虎、谷歌、蘋果、「臉譜」等在內的9家互聯網巨頭皆參與其中。
6月11日,被牽涉進「監控門」的9家IT公司中的谷歌、微軟和「臉譜」等相繼發表聲明,呼籲美國政府採取更透明態度,披露安全機構要求企業提供相關數據的情況,以證明這些企業的「清白」。
谷歌「臉譜」或正與美政府談判
據彭博社15日報道,知情人士透露,谷歌和「臉譜」正與美國政府談判,以公開更多有關國家安全數據請求的信息。
此次談判,是繼谷歌致美國司法部部長埃裡克·霍德爾和聯邦調查局局長羅伯特·穆勒公開信後最新舉措。谷歌在這封公開信中要求公佈有關調查用戶數據的請求信息。
目前,微軟和「臉譜」也已加入谷歌行列,要求披露相關信息,以告知用戶當局並未肆無忌憚地接觸他們私人信息。知情人士透露,儘管這些公司表示並未向政府機構直接提供訪問自家系統權限,但上千家科技、金融、製造業公司都與美國情報機構交換了數據。
截至目前,谷歌以及司法部均拒絕對此置評,「臉譜」方面則暫未予以答覆。
上周,有關美國國家安全局(NSA)以及聯邦調查局(FBI)收集民眾信息的報道引起公眾嘩然。根據斯諾登公開的機密文檔,美政府這項監視工作代號為「稜鏡」,可令其直接從包括微軟、谷歌、雅虎、「臉譜」、PalTalk、AOL、Skype、YouTube以及蘋果在內的這9家公司服務器收集信息。
谷歌首席法律官員大衛·德魯蒙德表示:「谷歌公佈的數據可以清楚顯示我們在遵從這類要求的數量上,遠比發起的量低。谷歌沒什麼可隱藏的。」
其他科技公司也表示,只有在法律要求下,才會向政府提交相關數據。而 AOL、蘋果以及PalTalk則聲明稱從未聽過「稜鏡」項目,也未在沒有法庭命令下提供數據訪問權限。
揭秘
「愛因斯坦3」軟件可能洩露私人信息
美國的電信運營商、互聯網公司和能源公司向情報部門提供系統架構和設備信息,以便情報部門分析潛在隱患。但即使嚴格意義上的國防系統也有可能導致用戶隱私信息的意外洩露。
由NSA開發的一個名為「愛因斯坦3」的軟件旨在保護政府系統不受黑客攻擊。這一軟件會自動分析每年發送給政府部門計算機的數十億封電子郵件,以檢測是否包含間諜工具或惡意軟件。根據知情人士的說法,在某些情況下,「愛因斯坦3」可能會洩露電子郵件中的私人內容。
在同意將「愛因斯坦3」部署在各自網絡之前,美國五大互聯網服務提供商,包括AT&T、Verizon、SprintNextel、Level3和CenturyLink要求,不承擔美國反竊聽法所規定的責任。消息人士稱,這些公司要求獲得美國司法部長簽字的文件,確認這樣的信息披露與竊聽無關,從而豁免任何相關的民事訴訟。
AT&T和Verizon發言人均拒絕對這一消息置評。Sprint和Level3發言人尚未發表評論。而CenturyLink發言人琳達·約翰遜則表示,該公司參與了「增強信息安全服務」和「入侵防護信息安全服務」項目,其中包含了「愛因斯坦3」軟件。這兩個項目均由美國國土安全部負責。除此之外,「CenturyLink不會評論任何與國家安全相關的事宜」。
自願合作並不違法
一名消息人士表示,美國一些電信運營商自願向情報部門開放美國國外的設施和數據。在美國,這樣做通常需要法庭的許可。但在這些情況下,根據《國外情報監視法》,相關的監督不是必須的,而企業可以自願提供信息。
商業性公司和情報部門的廣泛合作是合法的,並深入到人們日常生活的方方面面,但只有很少一些律師、企業領導者和間諜知曉其情況。消息人士表示,企業高管出於協助國防的目的而參與合作,這樣做也能幫助他們自己的公司。
消息人士稱,由於許多合作非常敏感,因此一家公司中只有很少人知道這樣的合作存在。這些人通常為企業CEO和美國情報部門主管直接牽線搭橋。
NSA和CIA前主管邁克爾·海登表示:「如果我是主管,與一家企業擁有合作關係,這家企業的做法不僅受法律監督,也對國家防務很有價值,那麼我會毫不猶豫地感謝他們,讓他們知道這樣的做法是必要且有用的。」
根據斯諾登曝光的信息,美國9家互聯網公司與NSA的「特殊來源行動組」合作,從事秘密的「稜鏡」項目。斯諾登表示,NSA通過這一項目收集外國監控目標的隱私數據,而各家公司有著不同的安排,項目整體受到一個秘密法官小組的監督。
不過,隨著全球信息流動的快速發展,其中使用的許多交換機、線纜和網絡設備均由美國公司維護,因此美國情報部門收集數據的手段遠遠不止於此。有關設備參數的信息,以及維持互聯網運轉的數據對情報機構、執法部門和軍方同樣有用。
合作免擔民事責任
消息人士表示,通常情況下,一家公司的一名關鍵高管和幾名技術人員會與不同政府部門,或一個部門內部的不同項目合作。如果有必要,這名被稱作「負責人」的公司高管將獲得一份文件,從而可以豁免數據轉移行為可能帶來的民事訴訟。
消息人士稱,英特爾旗下信息安全公司McAfee就經常與NSA、FBI和CIA合作。McAfee被視為有價值的合作夥伴,因為該公司能通觀惡意互聯網流量的情況,包括外國勢力的間諜活動。
消息人士表示,這樣的合作通常從與McAfee的CEO接觸開始,他隨後將任命專門人員負責與情報部門合作,向其提供所需數據。對於政府部門所尋求的幫助,公眾在知曉後將會非常驚訝。
一些黑客利用合法服務器從事黑客活動,而McAfee防火牆能收集到這些黑客的信息。此外,McAfee的數據還能表明一些網絡攻擊源自哪裡。McAfee同時也瞭解全球的信息網絡架構,這對情報部門來說很有意義。
參與可獲情報支持
McAfee全球首席技術官邁克爾·費伊表示,該公司提供的數據和分析並不包含任何個人信息。他表示:「我們不會與政府情報合作夥伴分享任何個人信息。McAfee扮演的角色是向政府部門提供安全技術、培訓和威脅情報。這樣的威脅情報包括新出現威脅的趨勢數據、信息安全攻擊模式及活動情況,以及對軟件完整性、系統漏洞和黑客組織活動的分析。」
消息人士稱,作為回報,公司領導者將可以獲得來自情報部門的信息,瞭解情報部門當前的關注重點。在另一些情況下,對於可能不利於業績的信息安全威脅,公司將獲得快速預警,從而及早知曉嚴重的互聯網攻擊事件,以及幕後者是誰。
2010年,谷歌表示該公司遭到黑客攻擊。消息人士表示,谷歌聯合創始人謝爾蓋·布林從美國情報機構處獲得了高度機密的相關信息,從而知曉了攻擊來源。當時布林獲得了臨時的機密情報授權,得以瞭解相關情況。
根據斯諾登曝光的信息,谷歌參與「稜鏡」計劃已有一年多時間。谷歌CEO拉裡·佩奇在6月7日的一篇博客文章中表示,他並未聽說過「稜鏡」項目的存在,谷歌並不允許美國政府部門直接進入其服務器,或利用後門進入其數據中心。而谷歌依法向政府提供用戶數據。谷歌發言人萊絲莉·米勒尚未對最新消息做出回應。
巧言計劃意在國外情報
斯諾登提供的信息還曝光了NSA另一個秘密的「巧言(Blarney)」計劃。根據《華盛頓郵報》的報道,在這一計劃中,NSA收集了通過骨幹網收發電子郵件或瀏覽互聯網的計算機和設備的元數據。
這些元數據包含全球大量計算機操作系統、瀏覽器和Java的版本。美國情報機構可以利用這些數據去攻擊計算機和手機,刺探用戶信息。
澳大利亞主要電信運營商之一Telstra的前首席信息官格倫·吉斯霍姆表示:「這是高度攻擊性的信息。」這些信息並非用於保護計算機不受攻擊的防禦目的。《華盛頓郵報》援引斯諾登的說法稱,「巧言」計劃的目的是「獲取及利用國外的情報」。
目前尚不清楚,美國的互聯網服務提供商是否參與了「巧言」計劃,向NSA提供信息。如果事實如此,那麼也不清楚數據轉移是否得到了法庭的批准。
信息監控缺乏法律監督
NSA前總法律顧問斯泰沃特·貝克表示,如果元數據包含兩台美國國外電腦通過位於美國的光網絡的通信,那麼當情報部門從中提取通信數據時,很可能不需要太多的法律監督。
美國參議員約翰·洛克菲勒的前信息安全助理雅克布·奧爾科特表示,負責美國情報機構的國會議員可能並不瞭解情報部門收集的元數據有多少。他表示:「這導致監督極具挑戰性。目前的情況是,技術和技術政策的發展速度遠遠超過大部分國會議員及其幕僚的背景和專業性。」奧爾科特目前是華盛頓一家信息安全風險管理公司的負責人。
消息人士表示,儘管情報部門向合作者提供了許多有吸引力的回報,但大部分公司高管仍是出於愛國主義,或保護國家安全的責任感而與情報部門合作。
聲明
梁振英就斯諾登事件發表聲明
香港特區行政長官梁振英15日晚就斯諾登事件發表聲明說,在斯諾登一事上,當相關機制啟動後,特區政府將按香港的法律和既定程序處理。同時,特區政府亦會跟進任何香港機構或香港人的私隱或其他權利被侵犯的事件。
關注
英國發出警告嚴防斯諾登入境
中國內地及香港航企暫不知情
據英國媒體14日報道,英國政府向全球各大航空公司發出警告,要求這些航空公司拒絕美國情報機構監控事件揭秘者斯諾登搭乘飛機飛往英國。京華時報記者15日致電有直飛英國航線的中國內地及香港航空公司相關部門,均得到「暫時不知情」的答覆。
據英國媒體報道,英國內政部邊境署下屬部門10日就向有關的航空公司發出了公函,上面有斯諾登的照片、他的出生日期和他的護照號碼。這份旅遊警示說,如果讓斯諾登乘坐它們的飛機到英國,不僅斯諾登不會被允許入境,航空公司還將被罰款2000英鎊,並且還必須負擔拘留遣返斯諾登的相關費用。身在英國的「維基揭秘」網站創始人阿桑奇14日說,英國政府試圖阻止斯諾登入境,因為不希望出現「第二個阿桑奇」。
馬來西亞航空公司一名女發言人14日以短信方式向法新社證實,該公司收到英國邊境署通知,並已通過內部系統傳達。泰國航空和新加坡航空也向媒體確認,稱已收到了英國內政部的這份警告。
現年29歲的斯諾登現身處香港。香港國際機場管理局說,尚未收到有關禁止斯諾登登機的指示。昨天京華時報記者致電有直飛英國航線的中國航空公司宣傳部,均得到「暫時不知情」的答覆。某大型國有航企表示,已從新聞上看到相關信息,但英方警告通知涉及國家間外交,「應該看外交部的口徑」。
目前擁有中國境內直飛英國航線的航空公司主要是國航、南航、東航、英國航空和維珍航空。飛往倫敦的航線去程始發地主要是北京、上海、廣州三個樞紐機場。
香港基地航空公司、在香港直飛倫敦航線上有重要市場份額的國泰航空方面稱,已經留意到斯諾登事件,會密切關注。香港另一基地航空公司——香港航空直飛倫敦的航線,因國際航空市場不景氣而於去年停航,目前沒有飛英國的航班。
鏈接
美調查記者電腦數次「被黑」
美國哥倫比亞廣播公司14日說,該公司一名調查報道記者的電腦去年數次遭到「非法入侵」。
女發言人索尼婭·麥克奈爾在一份聲明中說,公司常駐華盛頓女記者謝裡爾·阿特金森的電腦2012年下半年多次遭到「未經授權、外部不明人員入侵」。
麥克奈爾說,司法分析結果顯示,黑客看似搜索並獲取數據,用「高級手段掩蓋未經授權的活動」。公司正在採取步驟,確認黑客身份和入侵方式。
路透社說,阿特金森因報道名為「飛快」的反槍支走私行動和美國駐利比亞班加西領事館遇襲事件出名。「飛快」行動非但沒有達到減緩非法武器從美國亞利桑那州流入墨西哥速度的目的,反而造成一些武器被走私。
阿特金森今年5月接受電台採訪時說,黑客入侵她的電腦始於2011年2月她發表批評貝拉克·奧巴馬政府的文章。這些報道包括「飛快」行動。她的工作和家用電腦都可能已成為黑客的目標。
路透社說,多家媒體曾報告其員工電腦遭到攻擊。
| 
