意大利公司專門向多國政府機(jī)構(gòu)出售黑客軟件,能竊取用戶電腦中的個(gè)人信息。
7月7日,一家專門向政府出售黑客軟件的公司剛剛被黑了,而入侵者周日晚些時(shí)候曝光的文件顯示,該公司將監(jiān)控技術(shù)出售給了數(shù)十個(gè)國家或地區(qū),包括蘇丹、埃及、俄羅斯和美國。
這家意大利公司名為Hacking Team,又稱HTS.r.l.,是為數(shù)不多的幾家向全世界執(zhí)法機(jī)構(gòu)出售監(jiān)控工具的公司之一。該公司的技術(shù)與犯罪分子使用的“惡意軟件”相似,后者專門竊取用戶電腦中的個(gè)人信息。
包括監(jiān)控軟件在內(nèi),現(xiàn)成的監(jiān)控技術(shù)市場(chǎng)已經(jīng)實(shí)現(xiàn)了大幅增長(zhǎng)。2011年,一位行業(yè)老兵曾經(jīng)估計(jì)該市場(chǎng)的規(guī)模已經(jīng)達(dá)到50億美元。
Hacking Team表示,該公司的工具可以幫助調(diào)查人員獲取各種信息,甚至也包括加密通訊信息。
由于監(jiān)控對(duì)象可能包括異見人士和記者,因此該行業(yè)廣受詬病。HackingTeam在官方網(wǎng)站上表示,倘若有可信消息表明其產(chǎn)品會(huì)被用于“侵犯人權(quán)”,他們便不會(huì)向某些國家或地區(qū)出售產(chǎn)品。
Hacking Team聯(lián)合創(chuàng)始人馬考·瓦勒里(MarcoValleri)2011年接受采訪時(shí)表示,該公司“完全遵守”國際法。“歐洲和美國都有專門的黑名單,將不友好的國家列入其中。我們只能向友好的國家出售軟件。”他說。
多倫多大學(xué)公民實(shí)驗(yàn)室2014年發(fā)布的報(bào)告顯示,埃塞俄比亞、蘇丹、阿曼、埃及等國家或地區(qū)都在使用HackingTeam的產(chǎn)品。這些研究人員表示,在美國的埃塞俄比亞記者就遭到了該公司軟件的監(jiān)控。但HackingTeam當(dāng)時(shí)表示,他們并沒有將服務(wù)出售給專制政權(quán)。
上周日發(fā)布的文件包括了一些發(fā)票和賬目,表明該公司曾經(jīng)向蘇丹、阿塞拜疆和埃及等國家或地區(qū)出售過監(jiān)控軟件。
這些國家的官員尚未發(fā)表評(píng)論。
Hacking Team駐美國發(fā)言人埃里克·拉比(EricRabe)表示,該公司“正在調(diào)查”此事,但不會(huì)“證實(shí)客戶身份或其所在地區(qū)”。他并未直接對(duì)上述文件的真實(shí)性作出回應(yīng)。
拉比說:“我們認(rèn)為這是一種非法監(jiān)控和盜竊行為,肯定觸犯了法律。”他還表示,由于該公司的系統(tǒng)遭受攻擊,因此他們已經(jīng)建議客戶暫停調(diào)查活動(dòng),直到徹底查明狀況為止。
上 述文件是通過新西蘭文件托管服務(wù)分享的,其中包含了一份2012年由Hacking Team開具給InfoTeCSJSC的發(fā)票,后者是一家俄羅斯電腦安全公司。InfoTeCS網(wǎng)站上的信息顯示,該公司獲得了俄羅斯聯(lián)邦安全局和國防部 的授權(quán),負(fù)責(zé)開發(fā)加密技術(shù)和保護(hù)國家機(jī)密。
InfoTeCS似乎支付了這筆費(fèi)用。2013年11月,Hacking Team發(fā)送了一份一年期的續(xù)約文件。但I(xiàn)nfoTeCS并未對(duì)此置評(píng)。
其他文件則表明,HackingTeam似乎向蘇丹出售了監(jiān)控軟件,該國一直因?yàn)檎纹群Χ獾絿H社會(huì)的譴責(zé),聯(lián)合國過去10年也一直對(duì)該國實(shí)施武器禁運(yùn)措施。這些文件中包含兩張2012年開具給蘇丹國家情報(bào)和安全局的發(fā)票,以及與聯(lián)合國制裁委員會(huì)的溝通信件。
聯(lián)合國代表在這些信件中表示,這類軟件可能被視作武器設(shè)備,因此應(yīng)當(dāng)禁止向蘇丹出售。HackingTeam則表示,該公司的軟件并非武器或軍事裝備,因此不應(yīng)當(dāng)受到武器禁運(yùn)政策的約束。
Hacking Team表示,該公司目前與蘇丹不存在任何聯(lián)系,但拒絕討論之前的行為。
拉比稱,HackingTeam之前認(rèn)為自家軟件與戰(zhàn)斗機(jī)、火箭和炸彈不同。從今年1月開始,該公司已經(jīng)受到新的國際協(xié)議的監(jiān)管,這項(xiàng)協(xié)議對(duì)科技產(chǎn)品在民用和軍用領(lǐng)域的使用方式作出了規(guī)定。
“我們已經(jīng)與意大利政府展開了合作,并且全面落實(shí)了該協(xié)議。”拉比說。
聯(lián)合國代表尚未對(duì)上述文件發(fā)表評(píng)論。
電腦安全研究人員表示,此次被黑事件可能加劇有關(guān)此類監(jiān)控工具的爭(zhēng)議。“我不認(rèn)為任何一個(gè)出售監(jiān)控軟件的人會(huì)不了解人權(quán)問題。”公民實(shí)驗(yàn)室高級(jí)研究員摩根·馬奎斯-鮑伊爾(MorganMarquis-Boire)說。
但他表示,如果就此限制黑客工具交易,也有可能引發(fā)爭(zhēng)議,因?yàn)檫@也會(huì)導(dǎo)致電腦安全人員無法跨境分享信息。
此 次披露的文件也表明,Hacking Team曾經(jīng)向美國政府出售過黑客工具。HackingTeam在美國馬里蘭州設(shè)立了一個(gè)辦事處,專門為北美和南美的客戶提供服務(wù)。一份“客戶概覽列表” 顯示,該公司在2011至2015年間向美國聯(lián)邦調(diào)查局(FBI)和緝毒局(DEA)出售了100多萬美元的軟件授權(quán)和維護(hù)服務(wù)。2013年,DEA收到 了17萬美元的帳單,涉及軟件續(xù)約和升級(jí),以及“在波哥大的培訓(xùn)”。
美國司法部尚未對(duì)此置評(píng)。