一、国外范例特工软件及其运用
目前,美国、以色列、俄罗斯、德国等发达国家的诸多公司均推出了特工软件,特工软件被天下某些情报、司法机构广泛运用。近年来,一些国外特工软件公司,如德国FinFisher公司、意大利黑客团队公司的特工软件的运用情形不断被曝光,引发了众人的高度关注。
早在2013年,加拿大多伦多大学公民实验室发布报告称,FinFisher软件的指令和掌握做事器在澳大利亚、巴林、孟加拉、文莱、加拿大、捷克、爱沙尼亚、埃塞俄比亚、德国、印度、印度尼西亚、日本、拉脱维亚、马来西亚、墨西哥、蒙古、荷兰、卡塔尔、塞尔维亚、新加坡、土库曼斯坦、阿联酋、英国、美国、越南25个国家均得以被创造。
2015年7月6日,意大利黑客团队公司的400GB内部文件被匿名黑客上传至互联网,引发业内一片哗然。文件显示,黑客团队公司向环球36个国家和地区***特工软件。例如,在一些看起来像是客户名单的文件中,创造了阿塞拜疆、巴林、埃及、埃塞俄比亚、哈萨克斯坦、摩洛哥、尼日利亚、阿曼、沙特阿拉伯、苏丹等国家,以及美国缉毒署、联邦调查局和国防部等机构;在一些看起来像是购买条约的文件中,表露了黑客团队公司分别向埃塞俄比亚、苏丹的情报机构开具的代价100万美元和48万美元的特工软件发票。
二、国外特工软件有关法律
国外与特工软件有关的法律较少,目前已知德国和意大利分别立法进行了规制。德国《联邦刑事警察法》规定,司法机构在节制详细侦查线索的条件下,可以向犯罪嫌疑人的打算机发送特工软件,以监控犯罪嫌疑人的电子邮件,监听犯罪嫌疑人网络电话通话的内容,阅读嫌疑人在网络谈天室的谈天记录等。意大利《刑事诉讼法细则》第226条规定了一种分外的监听办法情报预警监听,司法机构在履行此种监听时,可利用特工软件,但其得到的全部资料均不得用于刑事诉讼。与此同时,《刑事诉讼法细则》对情报预警监听的申请与审批、适用的犯罪种别等进行了详细规定。
此外,在特工软件的国际贸易规制方面,2012年以前,一些欧洲国家基于欧盟两用物品掌握目录中的“种别5A002(密码学)”来掌握特工软件的出口。例如,2012年,英国政府开始对英国伽马国际公司特工软件的出口进行牵制。目前,特工软件的出口由修订后的欧盟出口牵制政策和《瓦森纳协定》牵制。
三、美国情报机构利用的特工软件
自斯诺登事宜发生以来,有关美国国家安全局、中心情报局、联邦调查局等情报机构利用特工软件的情形逐渐得到表露。美国情报机构一方面利用国外公司研发的特工软件(如联邦调查局被曝采购意大利黑客团队公司特工软件),另一方面还利用自主开拓的特工软件。
1.美国国家安全局利用的特工软件
2013年12月30日,德国《明镜》周刊表露了一份长达50页的ANT产品文件,该文件表露了一个名为ANT的秘密组织为美国国家安全局下属的“获取特定情报行动办公室”(TAO)供应的48种秘密监控技能产品。在这些产品中,可以看出国家安全局所利用的一些特工软件,如“源头”(HEADWATER)和“退学吉普”(DROPPUTJEEP)。
“源头”是为某公司的路由器而设置的特工软件的统称,美国国家安全局/中心情报局已经在其互助项目中采取特工软件对其网络设备进行入侵。“源头”的特工软件植入器可通过远程运作中央职员操作,利用互联网远程转移到特定目标路由器。当转移过程结束时,特工软件将通过一个升级指令而植入路由器的勾引ROM当中。在系统重新启动时,特工软件就被激活。一旦被激活,远程运作中央职员就能在特工软件捕捉和检讨通过路由器的所有IP包时,对特工软件进行掌握。
“退学吉普”是植入苹果手机的特工软件,可供应专门的旗子暗记情报网络功能。这些功能包括远程向设备推送文件或取出设备中的文件,以及检索短信、检索联系人列表、获取措辞邮件、获取地理位置、掌握麦克风、掌握摄像头等。掌握命令和数据传输可以通过短信或者GPRS数据连接进行,所有这些通信将被隐蔽和加密。
2.美国中心情报局利用的特工软件
2017年3月7日,维基解密(Wiki Leaks)曝光了美国中心情报局代号为“Vault7”的文件,表露了该局从2013年至2016年的大量机密文件以及大批有分量的特工软件,包括“哭泣天使”(Weeping Angel)、DerStarke和RickyBobby等。
“哭泣天使”是针对三星智能电视的木马植入工具组件。该***传染智能电视后,会挟制电视的关机操作,保持程序的后台运行,让用户误以为已经关机了,之后它会启动麦克风,开启录音功能,然后将录音内容回传至中心情报局的后台做事器。
DerStarke针对苹果OSX系统的启动驱动级(Boot-level)的rookit植入木马。
RickyBobby以电影《塔拉德加之夜》中的角色RickyBobby命名,是包含多种DLL攻击文件和实行脚本的一款特工软件,可以实现对目标系统的端口监听、上传和下载,以及命令实行等功能。
3.美国联邦调查局利用的特工软件
近年来,美国新闻媒体也多次表露了美国联邦调查局利用的特工软件,包括“幻灯”“互联网通信协议地址校验器”(CIPAV)等。
“幻灯”是美国联邦调查局研发的“击键记录”软件,它可以通过邮件附件或利用操作系统漏洞进行远程安装。联邦调查局利用“幻灯”时,可以通过嫌疑人所信赖的人的名义发送给他,也能通过常见的系统漏洞潜入系统。“幻灯”会自动安装在他人的打算机上。当嫌疑人利用电子邮件时,程序就会被激活。此时,“幻灯”会记录打算机的击键情形,并将网络到的加密信息发回联邦调查局,这样联邦调查局职员就可以解密嫌疑人的通信内容。
“互联网通信协议地址校验器”可以安装在嫌疑人打算机上,用以监控嫌疑人的打算机活动。
此外,2015年7月6日意大利黑客团队公司的被透露文件显示,联邦调查局也购买了该公司的特工软件。
(原载于《保密科学技能》杂志2018年10月刊)
