2013年,前中情局雇员爱德华·斯诺登将美国的棱镜计划公诸于世,其监视范围之广,监视资料之深引发全世界轰动,奥巴马政府辩解称棱镜计划是为了打击恐怖主义和国家安全需要。
斯诺登曾说不想生活在一个一言一行都被记录的世界,但近十年来,美国的窃取数据行动不断被曝光,中国的数据安全又将走向何方?
数据监视又被曝光
近期,一份由新媒体“安在”披露的报告显示,美国国家安全局利用“无界线人”(BOUNDLESSINFORMANT)系统在30天内远程窃取970亿条全球互联网数据记录 (DNI) 和1240亿条电话数据记录 (DNR)。
这些被窃数据来自全球范围504个独立的 DNR 和 DNI被控“信息源”或 SIGAD 的数据记录。其攻击对象有中国、石油输出国组织等 。同时,其盟友也通过美国国家安全局的网络攻击武器进行监控。
无界线人(Boundless Informant)是美国国家安全局(NSA)专属的大数据汇总分析和数据可视化工具系统,它具备对全球范围内受美国国家安全局(NSA)远程控制窃密系统的数据回收、管理、分析能力,为美国国家安全局( NSA) 管理人员提供了全球化大数据支撑。
报告表明,美国对全球互联网用户进行无差别数据窃密,涉及世界各国的大量公民个人隐私。
美国的窃取数据丑闻不止于此,自2013年斯诺登曝光棱镜计划开始,美国的数据窃取行为就如同浮出的冰山一角,其水下的庞大组织逐渐曝光。
2019年,华为在深圳总部发布会上向外界透露,美国政府涉嫌攻击华为的服务器,窃取邮件和源代码。
图源:华为发布会截图
2020年,台湾联电公司在美国承认其窃取商业机密罪名,他们以调查被美方指控的福建晋华集成电路有限公司为由,与美国政府达成合作协议,侵犯了福建晋华的知识产权。
仅2022年,美国就被爆出使用“蜂巢”平台、Quantum(量子)攻击平台、“NOPEN”远程木马对全球互联网进行无差别攻击,对用户和设备数据进行窃取。
在这次披露的数据窃取事件中,美国国家安全局下属的网络战情报搜集部门接入技术行动处(也译为TAO,The Office of Tailored Access Operations)发挥了重要作用。
TAO的主要职责是利用互联网秘密获取对手的内幕情报,同时当美国总统命令对他国通讯或网络信息系统实施瘫痪或摧毁行动时,由接入技术行动处(TAO)将相关网络攻击武器提供给到美国网络战司令部(U.S. Cyber Command),由该司令部具体组织实施网络攻击行动。
TAO分为远程作战中心(ROC)、数据网络技术分部(DNT)、电信网络技术分部(TNT)、任务基础设施分部(MIT)、远程访问行动分部(ATO)以及战略需求部门。
TAO的架构,图源:《揭秘TAO:美国国家安全局APT-C-40黑客组织幕后黑手》报告
为了实施网络攻击行动,TAO开发了一系列攻击武器,例如上文提到的“蜂巢”平台和Quantum(量子)攻击武器平台。Quantum发起的攻击本质上是在合法服务器响应前抢先做出应答,接管后续通讯进程,达成攻击。蜂巢平台则是对代码发起恶意攻击。TAO的不同攻击武器承担着不同的攻击行为,编织起一张严密的全球监控网。
Quantum(量子)攻击武器平台攻击方式示意图 图源:《揭秘TAO:美国国家安全局APT-C-40黑客组织幕后黑手》报告
据《环球时报》消息,世界各地的任何重要信息基础设施只要包含美国互联网公司提供的硬件、操作系统和应用软件,极可能成为美国情报机构的攻击窃密目标。
早在2015年,美国参议院就通过了《网络安全信息共享法案》。该法案将允许私营企业将其用户信息与国土安全部共享。而国土安全部有义务将其数据分享至所有相关政府机构,包括联邦调查局和国家安全局。
尽管苹果、谷歌、推特等企业表明反对该法案,但这些互联网巨头之后不断被曝光其向美国政府提供用户数据。据《纽约时报》报道,2018年2月6日,在苹果公司收到美国司法部的传票后,便按照传票要求提供了与109份电子邮件地址和电话号码相关的用户姓名和电话记录信息。而这仅仅是苹果公司当时平均每周收到美国执法部门发出的250多份数据信息请求之一。
数据,21世纪的“石油”争夺战
正如未来学巨擘阿尔文·托夫勒(Alvin Toffler)在上世纪八十年代的预言一样,人类社会正处于以信息科技为代表的第三次浪潮,云计算、区块链等新兴技术的出现正在塑造一种新的人类文明——信息文明。而数据正是当前信息最主要的存储和传播方式,人类社会逐步被数字化,在“数字世界”中搭建起一个现实的副本。
2020年3月,中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,首次将“数据”这一新型要素与土地、劳动力、资本、技术等传统要素并列,数据成为一种新的资产。马云也将数据称为21世纪的石油。
而数据的珍贵之处在于对其所蕴含的内在逻辑和规律的提取,这种分析的过程对数据也有着两方面的要求。
一方面,能够用来进行分析的数据一般需要从原始数据中净化而来,即消除噪声,数据的纯净程度直接决定了数据分析的结果。
另一方面,数据的类别越全面,内容越复杂,便会获得更有价值的结果。以至于在人工智能的训练中,内容越丰富和数量越庞大的数据,就能获得越接近“人类智能”的程序。例如,当需要训练判断亚洲市场销量的数据分析模型,研究人员一定要有足够的亚洲数据来支撑分析和训练,以保证最后的精度。
尽管人类依托互联网实现了部分数据的共通,但在现实的各种竞争中,数据是极其重要的资产,甚至是高度的机密,对外流通会造成巨大的风险。
因而大量的数据依旧在有限的范围流通,对数据的保护也为实体的健康运行筑起一道围墙。
多方挑战并存
根据曝光的“无界线人”截图,中国是美国国家安全局的重点监控对象之一。在已公布的资料中,中国目前主要面临三种数据窃取风险。
图源:维基百科
首先是技术上的攻击,不同的技术将针对不同的通信环节。
根据2013年德国新闻杂志《Der Spiegel》公开的美国国家安全局于2008至2009年编写的一份长达50页的机密网络攻击武器产品目录,美国国家安全局会采用多种网络攻击武器进行攻击,这其中既有向基站装备发起攻击的代号“糖果产品”的攻击武器,也有代号为“棉花嘴”的USB 硬件植入设备。上文中提到的量子攻击武器、无界线人系统也属于攻击武器,只不过针对的攻击方式不同。
“糖果产品”详情,图源:《揭秘TAO:美国国家安全局APT-C-40黑客组织幕后黑手》报告
同时,美国还曾被曝光使用植入电脑的远程木马程序“NOPEN”、“永恒之蓝”等控制全球各地的互联网设备,秘密执行多种窃密、破坏等控制指令。根据我国国家计算机病毒应急处理中心的报告,美国国家安全局利用“NOPEN”远程木马控制了全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据,造成难以估量的严重损失。
而这些技术的使用不仅会对数据安全造成了巨大的威胁,它的使用也正如打开了潘多拉魔盒,一旦被不法分子利用就会造成严重的社会问题。2017年5月12日,就有不法分子改造“永恒之蓝”木马程序勒索中国和整个欧洲的多个内网,机构必须支付高额赎金才能解锁文件。
其次是商业上的潜在攻击,数据成为商业角斗的工具。
在上文提到的机密网络攻击武器产品目录中,其包含的网络攻击武器主要为针对苹果、斯克和戴尔等美国互联网巨头研发的专用网络攻击器,研发过程中得到了相关互联网巨头的参与和全力支持。
如前文所述,14年美国众议院通过的《网络安全信息共享法案》,将为那些在彼此之间或向政府部门共享网络威胁信息的公司提供保障,企业尽管对此持谴责的态度,但依据后续的新闻报道可以发现,企业依旧会向美国政府提供想要的数据。
2021年,全球市值TOP30互联网企业中,美国上榜17家,市值6.1万亿美元,市值占比77.72%。中国上榜9家,市值1.5万亿美元,市值占比18.65%。全球互联网行业的发展呈现出极其不平衡的格局,在相关的技术和数据获取中也易产生马太效应。
2021年全球市值TOP30互联网企业分布情况,图源:网络
中国出海最为成功的字节跳动,凭借Tik Tok将全球的媒介市场一举进化至短视频时代,成为全球社交产品新秀。Tik Tok在2021年9月底已经全球拥有超过10亿活跃用户,成为第七个达到这个数字的社交媒体平台,并且仅仅用了5年完成10亿用户的增长。
2021年全球社交平台用户量排名,图源:Hootsuite
但在2020 年 8 月 6 日,美国前任总统特朗普发布行政命令,以Tik Tok存在安全风险为由要求字节跳动在 45 天内将 TikTok 美国业务出售给一家美国公司,否则将面临美国地区的禁令。在长达两年的拉锯战后,TikTok在今年6月已完成将美国用户的数据信息迁移到甲骨文公司 (Oracle)的服务器上,这些数据将由专门的美国数据安全管理团队进行管理,不再受Tik Tok的控制或监督。
最后是法理上的矛盾,长臂管辖权的滥用和政府行为规制的缺少都为美国的事后辩解留有余地。
美国常常以长臂管辖作为对外管辖的依据,因而为自己的制裁行为辩解。
《布莱克法律词典》将“长臂管辖权”解释为法院对不在法院地居住、但与法院具有某种联系的被告享有的管辖权。
我国国务院新闻办公室2018年9月发布的《关于中美经贸摩擦的事实与中方立场》白皮书指出:“‘长臂管辖’是指依托国内法规的触角延伸到境外,管辖境外实体的做法。近年来,美国不断扩充‘长臂管辖’的范围,涵盖了民事侵权、金融投资、反垄断、出口管制、网络安全等众多领域,并在国际事务中动辄要求其他国家的实体或个人必须服从美国国内法,否则随时可能遭到美国的民事、刑事、贸易等制裁。”
武汉大学国际法研究所的肖永平认为,美国行驶“长臂管辖权”的实践,其适用范围不断扩大,适用方式不断翻新,主要表现在从解决美国国内州际问题发展到解决国际问题,从长臂司法管辖权延伸到长臂立法管辖权,从长臂司法管辖权扩展到长臂执法管辖权,从主要适用民事案件发展到刑事案件四个方面。
长臂管辖权也常常延伸到我国企业的数据使用,无论是中兴被制裁,还是Tik Tok数据获取受限,都因长臂管辖权获得合法的法理支持。
另一方面,美国又在政府收集信息方面缺乏相关立法,棱镜计划曝光后,奥巴马政府用反恐作为监控隐私的理由,但实际上却无法对棱镜行动在反恐中的作用进行合理量化与分析。
图源:网络
此后的十年内,美国对被曝光的数据窃取行为也只是用保护国家安全草草解释,无论是对其公民,还是对世界上受到监控的每一个人来说,都是一种政府权力的过度使用。
今年6月3日,美国两院联合发布了《美国数据隐私和保护法案》草案文本,这是首个获得两党、两院支持的全面的关于国家数据隐私和数据安全框架的立法草案。该法案明确了对未成年人和个人数据的保护,同时对“大型数据持有者”设置了个人信息保护方面的特殊义务。
但是在以上提到的政府对数据处理权力的规制以及对其余国家的监听行为并未提出要求。或许它能在数字时代个人隐私的保护上起到作用,但此前对他国造成的数据风险并未有明显的降低作用。
这种长臂管辖权的延伸和对政府管制法律缺失的矛盾给了美国政府极其“合理”的权力和理由做出监控行为,法律上结构性的缺失给中国乃至世界的数据安全造成了无法预估的危险。
中国的数据安全走向何方
在网络攻击中,技术成为核心要素。
美国的网络攻击武器针对通信的各个环节逐一击破,可根据目标网络的硬件、软件配置和存在后门、漏洞情况自主确定攻击方式并发起网络攻击,可依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制。
这就要求我们必须在相关技术方面有所突破,实现技术上的反制,同时使用自主可控的国产化设备,避免数据的泄露。
在《环球时报》对360政企安全集团追日实验室负责人边亮的专访中,他表示应将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,鼓励相关机构主动上报风险。这要求建立区域、行业级安全大脑,打造国家级的防御体系——国家级的分布式安全大脑,为“看见”网络攻击提供能力基础。大数据分析是目前唯一证明有效看见攻击的方法,可以从大数据中建立攻击行为的全局视角,看到网络攻击行为的全貌。
而对于数字安全防范应急体系的建设,中国已经有了长足进步,但仍需要提升网络意识和安全意识,提升本单位网络安全防护能力,降低破坏性网络入侵的可能性,并确保企业或组织在被入侵事件时及时响应。
此外,打开企业数据使用的黑箱,让数据的流向和用途清晰可见也是降低数据风险的关键一步。不少外企收集中国数据后未明确数据用途,却又常常陷入数据泄露丑闻,这对我国的数据安全造成了极大威胁。
马斯克曾在2021年世界互联网大会乌镇峰会开幕式上表示,特斯拉已在中国建立数据中心,所有中国业务所产生的所有数据完全存储在中国境内,车主所有个人身份信息不会转移到海外。
马斯克在互联网大会上的讲话,图源:中新网
因而,完善境内可以安全使用的信创产业也是数据保护的重要一环。
信创产业的IT基础设置、基础软件、应用软件与信息安全有着紧密的联系,甚至也是数字经济的基座和发展核心驱动力。
但目前国内重要信息系统、关键基础设施中使用的核心信息技术产品和关键服务大多依赖国外,全球网络根域名服务器为美国掌控;我国90%以上的高端芯片依赖美国企业提供;智能操作系统的90%以上由美国企业提供。我国在金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。
而全球大流行新冠疫情之后,国际矛盾更为尖锐,悬在我国信创产业头上的达摩克利斯之剑不断逼近。以芯片为例,仅拜登政府上台以来,大大小小制裁了二十几次芯片公司,对芯片的出口和关键技术的使用都作出不同程度的限制,中芯国际就曾以“军事相关”为由被制裁。
我国自2016年以来不断出台政策推动信创产业的发展,从顶层规划、技术攻关和减税降费三个方面打破信创产业的技术壁垒,并培养起产业生态。
中国信创产业政策
可以预见,接下来围绕数据安全的全球攻防战,将愈发激烈。美国系统性攻击他国网络、窃取他国数据的行为,将会持续进行。为了保障我国的数据安全,一方面需要加强网络安全技术研发,有针对性的应对美国的网络攻击和数据窃取行为;另一方, 需要加快推进信创产业,尤其是在金融、政务、军工、能源、交通等关系国计民生的重点行业领域,构建可信软硬件IT环境。
文:妖妖 / 数据猿
部分参考资料
1、Boundless Informant https://en.wikipedia.org/wiki/Boundless_Informant
2、肖永平.【J】《“长臂管辖权”的法理分析与对策研究》
3、《环球时报》对360政企安全集团追日实验室负责人边亮的专访 https://weibo.com/1974576991/Ll1vM4Paq
4、揭秘TAO:美国国家安全局APT-C-40黑客组织幕后黑手 http://www.anzerclub.com/yuedu/tuijian/2080.html
5、《信创产业发展研究》 https://kns.cnki.net/kcms/detail/detail.aspx?dbcode=CJFD&dbname=CJFDAUTO&filename=INCI202205021&uniplatform=NZKPT&v=KGppHG7O4SEZ1snxBks4412Lz22GbuEmKf0rwvJk-bOfqxN2AsIIk290AySSvh_q