上千公司被曝向美国提供情报 范围超棱镜计划

□揭秘

“爱因斯坦3”软件可能泄露私人信息

美国的电信运营商、互联网公司和能源公司向情报部门提供系统架构和设备信息，以便情报部门分析潜在隐患。但即使严格意义上的国防系统也有可能导致用户隐私信息的意外泄露。

由NSA开发的一个名为“爱因斯坦3”的软件旨在保护政府系统不受黑客攻击。这一软件会自动分析每年发送给政府部门计算机的数十亿封电子邮件，以检测是否包含间谍工具或恶意软件。根据知情人士的说法，在某些情况下，“爱因斯坦3”可能会泄露电子邮件中的私人内容。

在同意将“爱因斯坦3”部署在各自网络之前，美国五大互联网服务提供商，包括AT&T、Verizon、SprintNextel、Level3和CenturyLink要求，不承担美国反窃听法所规定的责任。消息人士称，这些公司要求获得美国司法部长签字的文件，确认这样的信息披露与窃听无关，从而豁免任何相关的民事诉讼。

AT&T和Verizon发言人均拒绝对这一消息置评。Sprint和Level3发言人尚未发表评论。而CenturyLink发言人琳达·约翰逊则表示，该公司参与了“增强信息安全服务”和“入侵防护信息安全服务”项目，其中包含了“爱因斯坦3”软件。这两个项目均由美国国土安全部负责。除此之外，“CenturyLink不会评论任何与国家安全相关的事宜”。

自愿合作并不违法

一名消息人士表示，美国一些电信运营商自愿向情报部门开放美国国外的设施和数据。在美国，这样做通常需要法庭的许可。但在这些情况下，根据《国外情报监视法》，相关的监督不是必须的，而企业可以自愿提供信息。

商业性公司和情报部门的广泛合作是合法的，并深入到人们日常生活的方方面面，但只有很少一些律师、企业领导者和间谍知晓其情况。消息人士表示，企业高管出于协助国防的目的而参与合作，这样做也能帮助他们自己的公司。

消息人士称，由于许多合作非常敏感，因此一家公司中只有很少人知道这样的合作存在。这些人通常为企业CEO和美国情报部门主管直接牵线搭桥。

NSA和CIA前主管迈克尔·海登表示：“如果我是主管，与一家企业拥有合作关系，这家企业的做法不仅受法律监督，也对国家防务很有价值，那么我会毫不犹豫地感谢他们，让他们知道这样的做法是必要且有用的。”

根据斯诺登曝光的信息，美国9家互联网公司与NSA的“特殊来源行动组”合作，从事秘密的“棱镜”项目。斯诺登表示，NSA通过这一项目收集外国监控目标的隐私数据，而各家公司有着不同的安排，项目整体受到一个秘密法官小组的监督。

不过，随着全球信息流动的快速发展，其中使用的许多交换机、线缆和网络设备均由美国公司维护，因此美国情报部门收集数据的手段远远不止于此。有关设备参数的信息，以及维持互联网运转的数据对情报机构、执法部门和军方同样有用。

合作免担民事责任

消息人士表示，通常情况下，一家公司的一名关键高管和几名技术人员会与不同政府部门，或一个部门内部的不同项目合作。如果有必要，这名被称作“负责人”的公司高管将获得一份文件，从而可以豁免数据转移行为可能带来的民事诉讼。

消息人士称，英特尔旗下信息安全公司McAfee就经常与NSA、FBI和CIA合作。McAfee被视为有价值的合作伙伴，因为该公司能通观恶意互联网流量的情况，包括外国势力的间谍活动。

消息人士表示，这样的合作通常从与McAfee的CEO接触开始，他随后将任命专门人员负责与情报部门合作，向其提供所需数据。对于政府部门所寻求的帮助，公众在知晓后将会非常惊讶。

一些黑客利用合法服务器从事黑客活动，而McAfee防火墙能收集到这些黑客的信息。此外，McAfee的数据还能表明一些网络攻击源自哪里。McAfee同时也了解全球的信息网络架构，这对情报部门来说很有意义。

参与可获情报支持

McAfee全球首席技术官迈克尔·费伊表示，该公司提供的数据和分析并不包含任何个人信息。他表示：“我们不会与政府情报合作伙伴分享任何个人信息。McAfee扮演的角色是向政府部门提供安全技术、培训和威胁情报。这样的威胁情报包括新出现威胁的趋势数据、信息安全攻击模式及活动情况，以及对软件完整性、系统漏洞和黑客组织活动的分析。”

消息人士称，作为回报，公司领导者将可以获得来自情报部门的信息，了解情报部门当前的关注重点。在另一些情况下，对于可能不利于业绩的信息安全威胁，公司将获得快速预警，从而及早知晓严重的互联网攻击事件，以及幕后者是谁。

2010年，谷歌表示该公司遭到黑客攻击。消息人士表示，谷歌联合创始人谢尔盖·布林从美国情报机构处获得了高度机密的相关信息，从而知晓了攻击来源。当时布林获得了临时的机密情报授权，得以了解相关情况。

根据斯诺登曝光的信息，谷歌参与“棱镜”计划已有一年多时间。谷歌CEO拉里·佩奇在6月7日的一篇博客文章中表示，他并未听说过“棱镜”项目的存在，谷歌并不允许美国政府部门直接进入其服务器，或利用后门进入其数据中心。而谷歌依法向政府提供用户数据。谷歌发言人莱丝莉·米勒尚未对最新消息做出回应。

巧言计划意在国外情报

斯诺登提供的信息还曝光了NSA另一个秘密的“巧言(Blarney)”计划。根据《华盛顿邮报》的报道，在这一计划中，NSA收集了通过骨干网收发电子邮件或浏览互联网的计算机和设备的元数据。

这些元数据包含全球大量计算机操作系统、浏览器和Java的版本。美国情报机构可以利用这些数据去攻击计算机和手机，刺探用户信息。

澳大利亚主要电信运营商之一Telstra的前首席信息官格伦·吉斯霍姆表示：“这是高度攻击性的信息。”这些信息并非用于保护计算机不受攻击的防御目的。《华盛顿邮报》援引斯诺登的说法称，“巧言”计划的目的是“获取及利用国外的情报”。

目前尚不清楚，美国的互联网服务提供商是否参与了“巧言”计划，向NSA提供信息。如果事实如此，那么也不清楚数据转移是否得到了法庭的批准。

信息监控缺乏法律监督

NSA前总法律顾问斯泰沃特·贝克表示，如果元数据包含两台美国国外电脑通过位于美国的光网络的通信，那么当情报部门从中提取通信数据时，很可能不需要太多的法律监督。

美国参议员约翰·洛克菲勒的前信息安全助理雅克布·奥尔科特表示，负责美国情报机构的国会议员可能并不了解情报部门收集的元数据有多少。他表示：“这导致监督极具挑战性。目前的情况是，技术和技术政策的发展速度远远超过大部分国会议员及其幕僚的背景和专业性。”奥尔科特目前是华盛顿一家信息安全风险管理公司的负责人。

消息人士表示，尽管情报部门向合作者提供了许多有吸引力的回报，但大部分公司高管仍是出于爱国主义，或保护国家安全的责任感而与情报部门合作。