执法部门正在大力投资骇客技术,用于攻击他们想要的一切人

in #tech6 years ago

网络战,你已经没有退出的选项

十年前,一名联邦调查局官员冒充美联社记者,引诱和追踪一名涉嫌向其学校发送恶作剧炸弹的少年。为了找到这个孩子,联邦调查局特工冒充记者,使用社交工程学发送钓鱼邮件,链接上充斥着恶意软件,一旦点击就会迅速曝光少年所在的位置。

最近,联邦调查局对钓鱼网站进行了大规模升级,以便向所有访问者发送恶意软件,不分青红皂白地针对访问这些网站的个人进行识别和跟踪

当谈到美国政府使用复杂的骇客工具进行监视追踪时,这些例子可能只是冰山一角。

这些技术引起了严重的担忧,尤其是因为它们具有明显的破坏性威胁,对手机、电脑和其他所有电子设备,这些设备提供了一个人生命中最私密的细节。

也很容易想象这些工具会如何被滥用。仅仅以邻国墨西哥为例:墨西哥政府向政治异议的支持者发送携带受恶意软件的短信,以追踪和恐吓人们。

9月10日,隐私国际组织(PI)、美国公民自由联盟(ACLU)、以及布法罗大学法学院(CLTC)的公民自由与透明诊所,提交了一系列信息自由法案(FOIA),请求寻求美国联邦执法机构使用此类骇客工具的基本记录。信息自由法案的要求旨在揭示管理这些技术使用的基本规则,有关使用频率的信息、以及对潜在滥用的任何内部调查。

执法官员已经开始使用商业和定制的骇客工具来干扰计算机系统,以便访问和收集高度敏感的信息,包括个人的位置、互联网活动、通信和私密文件等。虽然其中一些骇客工具是内部开发的,但在许多情况下,美国政府已从私营公司购买这些技术

已经有越来越多的报告显示,美国执法部门正在大力投资骇客技术。 

联邦调查局已花费超过 100 万美元获取软件以破解锁定的 iPhone,并表示将继续投资此类技术;移民和海关执法局(ICE)从以色列监视公司 Cellebrite 购买了 200 万美元的骇客技术,此外还记录了从其他监视技术公司购买骇客软件的情况;同样,缉毒机构(DEA)已经花费了近 100 万美元用于从臭名昭著的 Hacking Team 意大利监控技术公司购买骇客技术,并表示对 另一个臭名昭著的以色列 NSO 集团生产的骇客工具感兴趣。

政府这些对骇客技术的大举投资引起了人们的严重关注,因为入侵行为对我们的隐私和安全构成了独特而严重的威胁。骇客攻击是非常具有侵入性的,既可以远程访问系统,也可以实时监控。

骇客技术也严重缺乏针对性和最小化使用指标,特别是当它们被用于同时获得与许多个人有关的信息时 —— 也就是说,即便目标人很有可能是毒贩,但其电子设备中的私密信息与其他许多无辜的人相关联,这种入侵将危害所有人。

并且,骇客攻击同样具有严重的安全风险,因为它涉及利用数百万设备可能使用的系统中的安全漏洞;骇客技术也会破坏网络信任,因为它们经常依赖社交工程学、或彻头彻尾的欺骗(就如 FBI 官员假扮记者),以便获得对目标系统的访问权限。

出于这些原因还有其他更多原因,政府使用骇客行为明显违反宪法、法律和国际人权标准

同时,就目前而言,公众对于政府如何看待管理这些工具用于执法目的的规则一无所知。第四修正案通常要求在搜查或扣押之前根据可能原因的结果给出保证。但目前还不清楚执法机构是否想到过司法授权,或者根本没有事先授权。此外,对执法机构为规范骇客攻击技术的部署所采用的内部规则知之甚少。一切都是不透明的。

因此,Privacy International 组织及其合作伙伴正在寻求有关管理骇客技术使用的内部规则、协议和政策的信息,以及政府对适用的法律或宪法条款的解释。“信息自由法案” 还可以寻求有关执法部门使用这些技术入侵公民的频率、以及在何种情况下使用的基本信息。

如果没有关于政府如何使用骇客工具的更多信息,公众就无法了解并有效地规范政府对这些技术的使用。公众应该知道执法部门正在使用什么骇客技术,可以从中获取哪些信息,管理这些技术使用的规则,以及可以采取哪些保护措施来限制从骇客行为中收集的信息的保留和使用。通过这些 FOIA 请求,国际隐私组织、ACLU 和 CLTC 正在寻求填补这一空白。◾️