近期的一些教训提醒了美国五角大楼官员，使用商业云时需要采取额外的安全措施。为此，他们决定自己亲自动手进行查验。 五角大楼代理正职的副首席信息官大卫·麦考恩（David McKeown）在上周三AFCEA TechNet网络会议的小组讨论中表示，“近期发生的一系列事件表明，我们可能需要解决某些可见性问题，也许应该从外部视角来观察服务商为我们建造的云环境。” 美国国防部采购的云服务商会使用“一套严格的检查”，包括建立持续监控，并定期向国防部上报检查结果。 但泄露事件仍时有发生。为了防患于未然，国防部希望能够定期检查服务商代表客户运营的云基础设施。 麦考恩向外媒Defense One表示，“我们希望能了解基础设施周边发生了什么，甚至以内部的红队角度开展深入研究。” “因为一旦有人侵入云服务的管理程序…就相当于掌握了打开王国大门的钥匙。我们想确保服务商所拥有的一切都安全可靠，并且随着时间推移始终保持稳定。” 这个概念本身并不新鲜。2023年国防授权法案中的一项条款就授权五角大楼对保存机密级数据的云基础设施开展威胁评估。麦考恩表示，国防部一直在与云服务商合作，为定制的（而非商用的）云系统探索安全路径，并且迄今为止“还没有遇到过太大的阻力”。 麦考恩还提到，新的检查将采取“主动防御”形式，例如扫描IP地址以查找各类系统上的漏洞。 “我们可以开展外部扫描，看看有什么被暴露在了互联网上。如果确实易受攻击而且我们发现了问题，就会提醒供应商立即着手处理。在云端，我们也会采取同样的措施。” 近年来，五角大楼经历了多起数据泄露事件，包括今年2月美国特种作战司令部服务器的敏感邮件暴露事件，该服务器没有设置保护密码。 麦考恩在小组讨论中指出，“每当看到事件发生，都会出现我们把所有鸡蛋都放进云服务这个篮子里的批评声音。但我想用亲身经历向大家证明：我们也曾在部门之内构建并保护过各种系统，其实际水平远无法与云服务商的方案相提并论。” 总之，“我们双方必须在网络安全领域取得成功，这样才能携手并进、共赴未来。”     转自 安全内参，原文链接：https://www.secrss.com/articles/54472 封面来源于网络，如有侵权请联系删除

从按键和屏幕截图到录音和GPS定位追踪，据估计，到2025年，每10家美国公司中至少有7家会对员工进行数字监控，以观察衡量员工的生产力。 这项研究是由位于英国的在线简历制作商StandoutCV所建立的，他将2023年大流行后的监控趋势与该公司在2021年收集的相同统计数据进行了比较。据数据显示：每三个雇主中就有一个会使用追踪员工确切位置的工具，这个比例在过去两年中增加了44.85%。 通过研究这两年来近50种最受欢迎的监控工具，他们发现相比2021年，如今近25%的boss软件已经具有更多入侵性功能。 Fennell说，Covid-19大流行开始的时候远程工作还处于起步阶段，但如今的各类工具已经变得更精进了。例如，可以将截图设置为随机截取，在一天中的固定时间截取，或者基于触发动作截取，例如访问娱乐网站。 而在这些各大监控程序中，最受雇主欢迎的监控功能包括： 时间跟踪(96%) 截取员工电脑屏幕的截图(78%) 视频监控(42%) keylogging (40%) GPS定位追踪(34%) 通过员工设备内部麦克风录制员工的音频(8%) 比较可怕的是，这些工具中其实有38%是在没有员工意识到或明确许可的情况下秘密运行的。而且，超过80%的员工都受到实时监控。 Fennell表示：员工最私人的谈话可能会在他们没有事先同意或不知情的情况下在家中被录音。 尽管该研究确实显示，自2023年以来，隐形模式的使用略有减少，但这些“生产力”工具中有78%是基于雇主设定的条件。 这意味着没有标准；监控工具可以为每个员工、每个部门设置不同的监控工具，或者在没有理由或警告的情况下进行更改，这可能会导致工作场所的歧视、报复和打压工会活动。 转自 Freebuf，原文链接：https://www.freebuf.com/news/365937.html 封面来源于网络，如有侵权请联系删除

近日，Finish 报纸 Helsingin Sanomat 创建了一张定制的反恐精英：全球攻势 (CS:GO) 地图，明确用于绕过俄罗斯新闻审查并向俄罗斯玩家走私有关乌克兰战争的信息。   从 2022 年 3 月开始，在俄乌战争之后，俄罗斯开始封锁国际新闻媒体，以更严格地控制向俄罗斯受众传播的有关正在进行的战争的新闻。 CS:GO 是世界上最受欢迎的第一人称射击游戏之一，是 Steam 上玩得最多的游戏。CS:GO 尤其受到俄罗斯玩家的喜爱，据报道 ，俄罗斯玩家约占该游戏玩家总数的十分之一。 到目前为止，它还逃脱了俄罗斯的审查机器，允许来自该国的用户登录 CS:GO 服务器并不受限制地享受他们的比赛。 正如PC Gamer首次报道的那样 ，一张名为“ de_voyna ”的自定义 CS:GO 地图类似于斯拉夫城市的废墟，其中有一个秘密地下掩体，玩家可以访问该掩体以获取有关乌克兰战争的信息。 游戏地图的描述中写道：“从表面上看，它似乎是一座普通的斯拉夫城市。然而，可能隐藏着一些东西。” “de_voyna” 地图（上）和秘密掩体（下） 地下室以英语和俄语提供有关战争的一系列关键数据。这些信息包括来自可靠来源的俄罗斯军队死亡统计数据、导弹袭击和对平民实施的其他暴行的详细信息、图像和事件地点。 “目的是让俄罗斯人看到战争的恐怖正在他们看起来非常熟悉的地方发生。”该报纸在关于推出特殊 CS:GO 地图的专门页面上解释道。 突出事件地图 当玩家在“de_voyna”地图上死亡时，地堡也可以进入并变得更加明显，因为秘密房间在“飞行视图”模式下突出显示，对于那些不知道它存在的人来说很难错过。 该地图于 2023 年 5 月 3 日发布，恰逢世界新闻自由日，它刚刚开始获得关注，拥有超过 10,000 名订阅者。但是，不幸的是，它变得越流行，俄罗斯当局禁止 CS:GO 的可能性就越大。 那些有兴趣在他们的 CS:GO 安装中下载“ de_voyna ”的人可以通过游戏中的“Workshop Maps”部分或 Steam 桌面或 Web 应用程序进行下载。 Helsingin Sanomat 呼吁西方国家的玩家玩这张地图，并努力让俄罗斯玩家也玩这张地图，这就实现了它存在的主要目的。 从 Steam 获取“de_voyna” 去年，一个旨在向俄罗斯人“走私”有关乌克兰战争的信息的类似项目使用电影和游戏种子来实现。 该计划名为“真相洪流”，在盗版内容档案中植入视频和文本，共享有关如何使用 VPN 保持俄罗斯 ISP 匿名的信息以及可靠新闻来源列表。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/BERm_hAQCdu9_ZeKMwXvFQ 封面来源于网络，如有侵权请联系删除  

据观察，朝鲜 Kimsuky 黑客组织在全球范围的网络间谍活动中使用了新版本的侦察恶意软件，现在称为“ReconShark”。 Sentinel Labs 报告称，威胁行为者扩大了目标范围，现在瞄准美国、欧洲和亚洲的政府组织、研究中心、大学和智库。 2023年3月，韩国和德国当局警告说，Kimsuky（也称为 Thallium 和 Velvet Chollima）开始传播针对 Gmail 帐户的恶意 Chrome 扩展程序和充当远程访问木马的 Android 间谍软件。 此前，在 2022 年 8 月，卡巴斯基披露了另一项针对韩国政治家、外交官、大学教授和记者的 Kimsuky 活动，该活动使用多阶段目标验证方案，确保只有有效目标才会感染恶意负载。 钓鱼攻击 在Microsoft默认禁用下载的Office文档的宏后，大多数威胁参与者在网络钓鱼攻击中切换到新的文件类型，例如ISO文件和最近的OneNote文档。 Sentinel Labs 的高级威胁研究员Tom Hegel说：“攻击者可能希望轻松战胜过时版本的Office，或者只是希望用户启用宏。Kimsuky在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。”   Kimsuky 攻击中使用的恶意文档(Sentinel Labs) Microsoft在默认情况下对下载的 Office 文档禁用宏后，大多数威胁参与者转而使用新的文件类型进行网络钓鱼攻击，例如ISO文件，以及最近的OneNote文档。 Sentinel Labs 的高级威胁研究员 Tom Hegel 说：“攻击者可能希望轻松战胜过时版本的 Office，或者只是希望用户启用宏。Kimsuky 在这里并没有太多创新——特别是因为他们仍在发展 BabyShark 恶意软件系列。” 侦察鲨鱼 ReconShark 被 Sentinel Labs 分析师认为是 Kimsuky 的“BabyShark”恶意软件的演变，APT43也部署了该恶意软件，APT43是一个针对美国组织的重叠朝鲜网络间谍组织。 ReconShark 滥用 WMI 收集有关受感染系统的信息，如正在运行的进程、电池数据等。 它还检查机器上是否运行安全软件，Sentinel Labs 提到了针对 Kaspersky、Malwarebytes、Trend Micro 和 Norton Security 产品的特定检查。 检查安全工具进程（Sentinel Labs） 侦察数据的泄露是直接的，恶意软件通过 HTTP POST 请求将所有内容发送到 C2 服务器，而不在本地存储任何内容。 “ReconShark泄露有价值信息的能力，例如已部署的检测机制和硬件信息，表明 ReconShark 是 Kimsuky 精心策划的侦察行动的一部分，该行动可实现后续精确攻击，可能涉及专门为逃避防御和利用平台弱点而定制的恶意软件。”Sentinel One 警告说。 ReconShark 的另一个功能是从 C2 获取额外的有效载荷，这可以让 Kimsuky 在受感染的系统上更好地立足。 Sentinel Labs 报告中写道，“除了窃取信息外，ReconShark 还以多阶段方式部署更多有效载荷，这些有效载荷以脚本（VBS、HTA 和 Windows Batch）、启用宏的 Microsoft Office 模板或 Windows DLL 文件的形式实现。ReconShark 根据在受感染机器上运行的检测机制进程来决定部署哪些有效负载。” 有效载荷部署阶段涉及编辑与 Chrome、Outlook、Firefox 或 Edge 等流行应用程序关联的 Windows 快捷方式文件 (LNK)，以便在用户启动这些应用程序之一时执行恶意软件。 ReconShark 编辑快捷方式文件(Sentinel Labs) 另一种方法是将默认的 Microsoft Office 模板 Normal.dotm 替换为托管在 C2 服务器上的恶意版本，以便在用户启动 Microsoft Word 时加载恶意代码。 加载恶意 Office 模板(Sentinel Labs) 这两种技术都提供了一种隐蔽的方式来更深入地渗透到目标系统中，保持持久性，并作为威胁参与者多阶段攻击的一部分执行额外的有效负载或命令。 Kimsuky的复杂程度和变形策略要求提高警惕，并模糊其行动与开展更广泛活动的其他朝鲜团体的界限。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/06SDfqaEBb-iuok473eoKQ 封面来源于网络，如有侵权请联系删除

苹果与谷歌在5月3日提交了一份新草案，旨在阻止蓝牙定位追踪设备滥用行为。 在两家公司发布的联合新闻稿中表示，首创的规范将允许蓝牙位置跟踪设备与跨 iOS 和安卓平台的未经授权的跟踪检测和警报兼容。目前三星、Tile、Chipolo、eufy Security 和 Pebblebee 已表示支持该草案。 这预示着，如果制造商采用了基于该草案制定的技术标准，安卓和iOS系统都将支持对未授权的追踪进行报警，比如这两个系统的设备都将能够提醒用户，某个位置的追踪器正被用来通过 蓝牙众包、GPS/GNSS定位、WiFi定位、蜂窝定位或通过其他一些方式来监控他们的活动。 此前，基于苹果AirTags、三星SmartTag+等实现的追踪设备功能主要用于监控钥匙、钱包、行李和其他个人物品，但这些设备也被不法分子滥用于犯罪，包括跟踪、骚扰和盗窃。 目前，苹果已经允许用户通过iOS平台内置的功能和专用的安卓应用找到附近的AirTag或AirPod设备，这些设备可能被滥用来追踪个人。该公司还提供了关于停用未知的AirTag、AirPods或第三方Find My网络配件的信息，这样用户就不会再收到位置更新。 但即便苹果努力使用户更容易发现利用设备进行的人身追踪，却因为标准并不统一，无法在其他系统平台起到作用。此外，在用户的实际运用中发现追踪设备往往存在滞后性，等用户真正察觉时可能已经被追踪了数小时甚至更长的时间。 据悉，该草案的一个关键方面是使用配对注册表，其中包含配件所有者已混淆的可验证份信息（例如电话号码或电子邮件地址）以及配件的序列号。此外，如果追踪器不再靠近所有者的配对设备超过 30 分钟，则追踪器从“靠近所有者”模式转换为“分离”模式。 苹果和谷歌将在未来三个月内就该草案征求相关方的反馈意见，之后预计将在年底前在二者系统上发布具体的生产实践。     转自 Freebuf，原文链接：https://www.freebuf.com/news/365423.html 封面来源于网络，如有侵权请联系删除  

APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织，据美国和英国政府称，黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中，美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞，目的是针对欧洲组织和美国政府机构。 咨询报告说，黑客还入侵了”大约250名乌克兰受害者”，这些机构没有透露姓名。APT28也被称为Fancy Bear，以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。 根据联合公告，黑客利用了思科在2017年修补的一个可远程利用的漏洞，部署了一个被称为”美洲豹牙”的定制恶意软件，该软件旨在感染未打补丁的路由器。 为了安装该恶意软件，威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。 SNMP，即简单网络管理协议，允许网络管理员远程访问和配置路由器，以代替用户名或密码，但也可能被滥用来获取敏感的网络信息。一旦安装，该恶意软件就会从路由器中渗出信息，并提供对设备的隐秘后门访问。 思科Talos的威胁情报总监Matt Olney在一篇博文中说，这次活动是”一个更广泛的趋势，即复杂的对手将网络基础设施作为目标，以推进间谍活动的目标或为未来的破坏性活动做准备”的一个例子。 “思科对网络基础设施的高精尖攻击率的增加深感担忧–我们已经观察到了，并且看到了由各种情报组织发布的许多报告所证实的情况–表明国家支持的行为者正在瞄准全球的路由器和防火墙，”奥尔尼补充说，除了俄罗斯之外，还有其他国家支持的黑客被发现在一些活动中攻击网络设备，例如利用Fortinet设备的一个零日漏洞，对政府组织进行了一系列攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7223790451927548420/ 封面来源于网络，如有侵权请联系删除

欧盟委员会发布内部争议巨大的《网络团结法案》提案，希望促进欧盟范围内合作，为重大网络攻击做好应对准备。 该提案是本周二（4月18日）提出的更广泛的网络安全一揽子计划的组成部分，旨在促进跨境与公私部门在预测和应对网络攻击方面的协调工作，相关预算为11亿欧元（约合人民币83亿元）。 此类立法建议最早出现于2022年3月，即俄乌战争爆发后不久，部分原因是欧盟委员会考虑到重大网络攻击的威胁正在持续增加。 该提案希望公共部门和私营实体能够相互配合，学习乌克兰已经实践的企业与政府当局合作应对网络威胁的模式。 但提案的某些内容引起了欧盟成员国的激烈争论和反对，特别是涉及情报共享以及私营企业认证和责任的条款。 欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在提案发布会上表示，“近30%的欧洲中小企业在过去12个月中，至少经历过一次网络犯罪。”她补充称，《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图，开始具备可操作性。 “我们将首次共同投资运营能力。网络安全能否成功将取决于我们是否能够携手并进，只有在整个欧洲的共同努力下才有可能实现。” 欧盟网络护盾 此次提案的首个核心要点，是建立起由欧盟各国和跨境安全运营中心（SOC）组成的欧洲网络护盾（Cyber Shield）。 提案目标是让安全运营中心明年投入运营，并与波罗的海和比荷卢经济联盟等近邻建立起区域网络合作中心。安全运营中心将使用AI等多项技术监控与识别网络威胁，并提醒政府当局注意即将发生的攻击活动。 在提案发布会上，负责欧盟内部市场的执行委员Thierry Breton表示，网络护盾将被用于检测、缓解和应对网络威胁。 与此同时，他试图向欧洲各国政府保证，这些措施将以成员国现有的网络安全运营中心为基础并展开配合，而非取代关系。 Breton指出，“各国可以继续保留原有设施，只是会在整个欧洲层面上来匹配这些现有网络安全设施。” “各个国家都将有自己的中心，它们将充当对接原有设施的接口，并由此建立起覆盖整个欧洲的护盾或者护罩。” 网络安全预备队 该提案的第二大要点，是通过建立网络应急机制，提高欧盟在危机中的准备和应对能力。这项机制将测试能源和交通等关键部门的漏洞，并为欧盟各成员国间的互助工作提供财政支持。 该机制还将建立欧盟“网络安全预备队”，由可信赖和经过认证的私营企业参与，并随时准备应对重大网络事件。 Breton表示，虽然最初的计划是建立一支“网络军队”，但事实证明这项工作太过复杂。于是委员会选择建立储备力量，随时待命并在危机时刻进行干预。乌克兰已经采取了这样的制度。 该计划内容也引起了一些争议。据英国《金融时报》日前看到的一份文件，有24个欧洲国家政府（即除现任和之前连续两任欧盟主席国外的其他所有国家）呼吁欧盟委员会放缓这份网络团结提案，希望能将预备队的认证和部署维持在本国范围之内。 这一问题的症结在于，网络威胁情报可以被用来侵入任何一方的IT系统，不会区分目标具体是地缘政治对手、犯罪网络还是经济竞争对手。因此，各国政府都将威胁情报视为必须严密保护的信息。 欧盟委员会内部机构对公私合作问题也存在分歧。欧盟外交部门欧洲对外行动署（EEAS）目前在修订网络外交工具箱（Cyber Diplomacy Toolbox），该工具箱也会依靠私营企业来处理恶意网络活动。 《网络团结法案》的最后一个要素，是建立起网络安全事件审查机制。该机制要求对重大网络安全事件开展事后审查和分析，以指引欧盟网络防御方法的未来发展方向。 在提案发布会上，还公布了成立欧盟网络安全技能学院（EU Cybersecurity Skills Academy）的消息。该学院旨在提高网络技能，弥合现有网络人才缺口，帮助普通民众掌握必要网络安全能力，并培训该领域的专家。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/WHBY8Z83pRTALmjVWIMyZA 封面来源于网络，如有侵权请联系删除

推特首席执行官埃隆·马斯克近日在采访中表示，他上任之前得知美国政府可以完全访问推特用户的私聊信息，这让他感到非常震惊。 马斯克此前在接受塔克·卡尔森(Tucker Carlson)采访的片段中表示，之前推特管理层一直和政府机构有所联系，因为政府机构有时候会安排他们直接禁止推特上的一些内容。该采访将于周一和周二晚间播出。 马斯克告诉卡尔森:“政府机构几乎能访问推特上的任何信息，这个监管的程度让我感到震惊。”2022年10月27日，马斯克以440亿美元的价格收购了推特，之后他解雇了该公司超过70%的员工。 据The Verge报道，马斯克之前一再强调，他认为推特的政策应该设定的符合国家法律标准。并且他也表示此前收购推特的目的就是最大程度的实现言论自由。所以近几个月，他一直在批评推特前领导层涉嫌与美国政府勾结，压制政治言论的这件事。 随后记者公布出了一个账户，该账户通过公共数据能自动跟踪马斯克的私人飞机的航班信息。该报道一出，推特立即改变了对所有用户的规定，禁止在未经他人同意的情况下分享他人的当前位置信息。 但对于《纽约邮报》来说，限制推特上的内容具有特殊意义。有几名记者很同情马斯克的遭遇，所以公布了一系列据称来自推特内部的文件。这些文件透露出此前《华盛顿邮报》刊登的关于亨特·拜登笔记本电脑的相关报道被限制发布。 前《滚石》杂志记者马特·泰比透露，2021年1月6日国会大厦骚乱造成5人死亡的事件发生后，推特曾向几个政府机构征求指导意见，询问是否在推特上禁止前总统唐纳德·特朗普的相关言论。泰比表示，这些年来，中情局其实一直都有参与推特的内容审核工作。 而近日，马斯克又与独立新闻机构美国国家公共广播电台(NPR)发生了争执，因为他在推特上给该机构错贴了“国家附属媒体”的标签。这个月月初，白宫已经就该事件为这家公共广播电台和出版商进行了辩护。 NPR上周表示，其后面将停止在推特上发帖。因为这个打标签的行为暗示了该媒体机构不具备编辑独立性，损害了其信誉。目前，据最新报道推特已经将美国国家公共广播电台和其他接受公共资金的媒体标签由“国家附属媒体”改为了“政府资助”。 4月5日，白宫新闻秘书卡琳·让·皮埃尔(Karine Jean-Pierre) 公开表示，NPR的记者一直都工作很努力，并始终致力于让政府官员负起责任。她表示任何关注NPR报道的人都十分清楚，他们的确是一家独立的新闻机构。 转自 Freebuf，原文链接：https://www.freebuf.com/news/364090.html 封面来源于网络，如有侵权请联系删除

美国高级安全官员表示，俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头，借此收集援助车队经过时的动向情报。 美国国家安全局网络安全主管罗伯·乔伊斯（Rob Joyce）称，作为乌克兰战争的一部分，俄罗斯政府和政府支持黑客一直在攻击乌克兰的信息技术系统。 而黑客攻击的一大重点，正是乌克兰地方当局和私营企业用于监控周边环境的闭路电视摄像头。 乔伊斯在华盛顿国际与战略研究中心表示，“乌克兰的利益正不断受到侵害，包括试图破坏其金融、政府、个人和个体企业。” “俄方采取了种种创造性的攻击手段。我们观察到，俄罗斯黑客开始登入面向公众的联网摄像头，希望借此观察运送援助物资的车队和列车。” “他们入侵了这些网络摄像头……并且选择的目标并非网上公开的城镇广场监控，而是咖啡厅安装的安保摄像头。” 他表示，俄罗斯方面还将黑客攻击的重点放在美国国防制造商和物流运输企业身上，希望了解关于乌克兰武器供应链的更多信息。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/JOMDRDIgNKsnNlBFxkYRVg 封面来源于网络，如有侵权请联系删除

继去年美军被曝光秘密采购基于网络日志的大规模监控工具后，日前又有多个美国联邦政府机构遭曝光，向私人数据公司购买互联网流量日志，或存在侵犯公民隐私嫌疑。 美军秘密采购大规模监控工具 2022年有报道称，美国海军刑事调查局、国防情报局、国防反情报与安全局、海关与边境保护局等多个军事情报单位花费数百万美元向数据经纪机构购买互联网流量日志。 美国参议员罗恩·怀登称，上述部门购买的互联网流量日志，“能够展示民众的个人身份，以及人们在网上的阅读内容等极其敏感的信息。”这意味着政府机构可能会绕过宪法的保护，从见不得光的数据经纪机构和其他私营企业那边获得公民的隐私数据。 美国公民自由联盟等主要权利组织对此事件表达了担忧，称有必要以更高的透明度关注政府机构如何使用这些信息。多位联邦议员也在努力调查美国政府在未获授权的情况下获取互联网数据的行为，要求有关部门颂涉嫌购买数据的细节，以确定是否侵犯了公民隐私。 FBI也被曝出多次采购Netflow数据 但美国联邦机构对议员和权利组织对此质疑置若罔闻，近日又被曝出向私人数据公司购买互联网流量日志，继续表现出对互联网数据和产品的极大兴趣。 据外媒Motherboard报道，美国联邦调查局（FBI）内部文件显示，FBI分别于2009、2011、2013和2017年向私人公司购买了互联网流量日志（netflow），其中最新一次交易（2017年）花费了76450美元。所谓“互联网流量日志”包括服务器之间的通信、本应只能够被服务器所有者或互联网服务提供商获取的信息等流量数据。 文件显示，FBI是为其下属的网络部门进行上述交易的。据悉，FBI网络部门的主要职责，是调查网络犯罪和国家安全领域的黑客。 但按照参议员罗恩·怀登的说法，对这些数据进行分析可以识别黑客所用的基础设施，更能够“揭示美国人访问的网站以及其他敏感信息，比如一个人看什么医生、他们的宗教信仰或他们使用的约会网站”等等，所以“政府这种在未得到法院授权的情况下购买私人数据是不可接受的”。 Team Cymru公司为核心供应商 值得注意的是，向FBI提供“货品”的，仍然是出现在2022年报道中的Team Cymru公司（或其子公司），这表明该公司在去年的曝光事件后并未收敛，美国政府部门也未终止与它的合作。Team Cymru公司的产品优势由此可见一斑。 Motherboard称，这家公司的上市产品主打“通过虚拟专用网络跟踪流量的能力”，并可显示访问流量来自哪个服务器。另外，Team Cymru公司的产品清单上还包括URL访问数据、cookie和PCAP数据等。尽管被曝光的内部文件显示FBI并未购买或获得此类数据，但在2022年的报道中，一名举报人曾明确表示海军犯罪调查处涉嫌在没有授权的情况下使用了这些数据。 Motherboard称，Team Cymru公司是通过“交换服务”的方式从互联网服务提供商处获取上述数据和信息的——前者承诺向后者提供威胁情报做为回报。但很有可能的是，两者之间的交易是在互联网用户不知情的情况下进行的。罗恩·怀登毫不客气地指出，FBI从Team Cymru公司手里购买这样的数据，“欠美国人民一个解释。” 国税局也被曝光采购Netflow数据 然而，FBI的解释还没等到，美国联邦政府机构向Team Cymru公司购买互联网流量日志的另一笔交易新闻却先到了。这次的主角是美国国税局（IRS）。 公开采购记录显示，国税局希望向Team Cymru公司购买一款互联网监控工具，并从其他网络安全公司购买定制服务。据悉，国税局寻求购买的互联网监控工具，是Team Cymru公司出品的“Recon—Advanced”。公司官网介绍称，Recon—Advanced具备“互联网流量遥感”功能，可通过主动向采集器上送监测数据的方式采集类型丰富的互联网数据，该网站将这些数据描述为“世界上最大的威胁情报数据海洋”。所以使用Recon—Advanced产品，就能够“通过十多个代理和VPN追踪恶意活动，以确定网络威胁的来源”。 综合上述信息，国税局购买Recon—Advanced产品的目的似乎是防御性的，可以帮助本部门网络安全专业人员监控本部门网络之外的活动，并对互联网上正在发生的事情进行观察。如果真的如此，那么这可能有利于防御者对黑客进行识别。 众多行业人士表达怀疑和担忧 但是，多名网络安全专业人士对此表示了怀疑和担忧。 首先，Team Cymru公司互联网监控工具的数据收集对象不仅仅针对黑客或疑似黑客，而是无差别式的。一位消息人士表示，他在Team Cymru收集到的数据仓库中甚至看到了一个自己熟识的组织的流量，当时大吃了一惊。言下之意，即谁也不能保证Team Cymru公司收集的数据不会侵犯公民或社会团体的隐私。 其次，国税局或其他政府部门从Team Cymru公司购买的数据将用于何处无法得到有效监督。正如网络大数据分析公司Kentik总裁艾唯·弗里德曼（Avi Freedman）所说，尽管Team Cymru公司宣称本公司出售的数据将用于网络安全，但仍有些人想将这些数据用于其他目的。所以最好的办法是取消互联网数据交易。他举例称，曾有一家对冲基金试图以研究经济的名义从Kentik公司获取网络数据流量，但遭到了自己的拒绝。他表示，对冲基金求购的数据“是我们客户的数据，不是我们的。所以我们的回答是‘不’”。 Team Cymru公司一再向政府部门出售流量数据的行为已引起不满和怀疑。参议员罗恩·怀登在表示此类行为“不可接受”的同时，还强调自己已提出出台《禁止出售法》的建议，禁止政府部门或相关机构购买此类私人数据。 旨在为用户提供绕过审查匿名访问网站服务的非营利性项目Tor Project则表示，将对Team Cymru公司捐赠的基础设施敬而远之。该组织称，远离Team Cymru公司基础设施的迁移工作预计将在今年春天完成。     转自 安全内参，原文链接：https://www.secrss.com/articles/53850 封面来源于网络，如有侵权请联系删除