网络安全领域有一个公开的秘密:某些互联网服务提供商(ISP)会违规将计算机之间进行通信的详细信息泄露给不法机构,然后不法机构将该数据的访问权出售给第三方。
这些被兜售的信息称为Netflow(网络流量)数据,尽管数字取证调查人员可以使用这类数据来识别黑客正在使用的服务器,或者在数据被盗时跟踪数据,但一位熟悉Netflow数据的消息人士表示:“Netflow数据的商业变现正变成一条通往黑暗的道路。”
Netflow是网络流量的元数据,可以创建流量图。它可以显示哪台服务器与另一台服务器通信,这些信息通常只对服务器所有者或承载流量的ISP可用。这些数据还可用于跟踪VPN流量,后者用于掩盖某人从何处连接到服务器,进而掩盖其大致物理位置。
消息人士称,威胁情报公司Team Cymru与ISP合作访问Netflow数据。参议员Ron Wyden 办公室的通讯主管Keith Chu一直在对敏感数据的销售进行独立调查,他透露,Cymru团队告诉办公室“它从第三方获取Netflow数据以换取威胁情报。”
Team Cymru的Netflow数据买家包括受雇应对数据泄露或主动追捕黑客的网络安全公司。在其网站上,Cymru团队表示,他们与公共和私营部门安全团队合作,帮助识别、跟踪和阻止网络空间和物理空间的不良行为者。
敏感数据的持续销售可能会带来其自身的隐私和安全问题,并且ISP可能在未经其用户知情同意的情况下向第三方大规模提供这些数据。用户几乎不知道他们的数据被提供给了Team Cymru,也不知道后者正在出售对这些数据的访问权。
Chu表示:“Cymru团队的客户可以查询数据集,并可以有效地查询几乎任何IP,以及给定的时间段中进出该IP的网络流量。”Team Cymru则表示:“它限制了返回的数据量,因此任何一个客户端只能访问其netflow数据库中的一小部分数据。”
在产品描述中,Team Cymru为用户提供了跟踪VPN流量的能力。“通过跟踪十几个或更多代理和VPN中的恶意活动,可以确定网络威胁的来源。”Team Cymru 的Pure Signal Recon的产品手册写道。从本质上讲,访问netflow数据可以让安全团队观察更广泛的互联网上正在发生的事情,并可以观测到其他组织正在发生的事情,而这些已经超出他们自己的网络或公司边界。其中一位消息人士表示,他们之前在Team Cymru的数据集中看到了一个来自他认识的组织的流量。
“netflow数据的可见性和洞察力是全球性的。”描述补充道。宣传册中的一张图片展示了 Team Cymru的产品,它让用户可以比其他数据集(例如DNS查询)更深入地跟踪与伊朗黑客组织相关联的服务器活动。
(来源:TEAM CYMRU 的 PURE SIGNAL RECON 产品介绍资料)
在最近对一家名为 Candiru 的以色列间谍软件供应商的研究报告中,Citizen Lab 对 Team Cymru 公开表示感谢:“感谢 Team Cymru 提供对他们 Pure Signal Recon 产品的访问。他们的工具能够显示过去三个月的互联网流量遥测数据,为我们从 Candiru 的基础设施中识别最初的受害者提供了突破信息,”报告中写道。
Team Cymru 没有回应多家媒体的置评请求,这些请求涉及哪些 ISP 向其提供数据、围绕此类数据的收集和分发采取了哪些隐私保护措施,以及各个 ISP 用户是否已同意共享其数据。
Palo Alto Networks 威胁通信主管 Jim Finkle 也在一封电子邮件声明中表示,“Palo Alto Networks可以为企业客户提供进出他们自己网络的 Netflow 数据,以识别违反安全策略、安全监控漏洞和其他高风险客户网络上的活动。” 但Palo Alto Networks 拒绝透露它从哪些 ISP 获取数据,或者是否直接从 ISP 购买数据。
ISP Cogent Communications 的首席执行官戴夫·谢弗 (Dave Schaeffer) 表示,该公司处理着全球约 22% 的互联网流量,但作为一家 ISP,他的公司不会向任何人提供他们的网络流量数据。
“从根本上说,人们有一定程度的匿名权,作为运营商,以任何形式窃听不是我们的工作,”他在电话中说。Schaeffer 表示,Cogent 96% 的流量来自向大型批发客户销售产品,例如 Vodafone、Cox、Spectrum 和 BT。Schaeffer 说 Cogent 为 Team Cymru 提供服务,但不与该公司共享 Netflow 数据。
“我不知道人们是否可以用 (netflow)数据做很多真正有用的事情,”他补充道。“但如果这些数据可被获取,我可能会想到一些不好的事情。”有安全人士同时表示,尽管Team Cymru “也使安全组织能够做一些非常棒的工作。但我担心出于商业目提供 netflow 数据会是一条通往黑暗的道路。”
不仅仅是netflow,大量互联网公司和网络安全公司也在出售有争议的数据集。例如一家名为 HYAS 的公司如何采购智能手机位置数据,以追踪人们的行踪。而智能手机上的大量APP都可能在采集敏感隐私数据,然后在用户不知情或未授意的情况下将其出售给第三方。