窃听、泄密、公民隐私和政策角力:NSA“棱镜门”给互联网带来了什么?

虎嗅网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
窃听、泄密、公民隐私和政策角力:NSA“棱镜门”给互联网带来了什么?

(原文来自 Wired ,由投稿作者翻译)

2013年6月6日,华盛顿邮报的记者给Apple、Facebook、GoogleYahoo及其它互联网公司的公关部门打了电话。此前一天,英国卫报一篇报道披露了电信巨头Verizon曾经自愿将在其网络上每一个通话数据交给NSA。报道是由卫报的记者Glen Greenwald写的,信息来自Edward Snowden,一名携带了成百上千NSA秘密资料离开美国的29岁IT咨询人员,这些资料详细披露了NSA的秘密监听程序。

Greenwald是第一个Snowden接触的记者,但不是唯一一个。华盛顿邮报的Barton Gellman也联系了Snowden。而之后在纪录片制作人、Snowden的志同道合者Laura Poitras的帮助下,事情蔓延到了硅谷。Gellman是第一个披露NSA顶级秘密项目Prism的记者。Snowden泄密的资料显示一些大型互联网公司曾授权NSA及FBI直接进入他们的服务器,让这些机构有能力获取到一个人的音频、视频、照片、电邮、文档。之后政府要求Gellman不要将给出这些公司的具体名称,但是Gellman认为这一点很重要的。Gellman说到“指出这些公司的名字会让事实真相面向美国人。”

危在旦夕

这只是威胁互联网行业基础的一串连锁反应的开始。这个话题占据头版头条达几个月,并成为科技圈讨论的热点话题。多年来,科技公司的隐私政策在维持用户隐私与将这些个人数据提供给政府机构之间保持着极其微妙的平衡。这个领域很新,且处于争议之中,有时候会处在现有法律的模糊地带,过去这些公司在推进这些政策时取得了艰难的平衡。当来自记者电话的立即打到这些公司的时候,这种平衡消失了。技术公司突然发现自己陷入了一场比Facebook过度分享、Gmail广告问题更大的战斗。过去几个月,他们发现他们自己要与他们的政府战斗,以争取到互联网的未来。

不止是公司营收收入面临危险,更是自互联网诞生以来技术世界所坚持的那些重要的信念危在旦夕。

但首先他们需要计划出该向华盛顿邮报告诉什么。Facebook的安全主管Joe Sullivan说“我们花了九十分钟去响应。”公司的人没有人听过Prism这个项目。而最糟糕的是Facebook及其它的科技公司被指责授权了NSA直接进入他们的服务器,以获取巨量的信息,这似乎完全的错了。CEO Mark Zuckerberg 被这种声称吓了一跳,并询问了他的高管此事是否是真的。他们都回答:NO。

相似的恐慌对话也发生在Apple、Google及Microsoft。Google的法律顾问Kent Walker说:“我们询问周围的公司:是否有任何秘密的获取信息的方式?”他们都说:NO。

虽然如此,华盛顿邮报在那天还是发发表文章描述了Prism项目。(一小时后卫报也做了类似的报道。)报道包括了泄密自NSA的41页PPT中的若干P,其中一个P上面列出了参与到Prism项目的科技公司,以及他们表面上开始参与合作的日期。Microsoft最早是2007年9月,然后雅虎是第二年。Google及Facebook是在2009年参与进来。最近的是Apple,2012年10月参与进来。PPT上使用到了每一家公司的LOGO。这就如一个销售人员在自夸其签约成功的合同。而一天之前,公众了解到Verizon和其它的电信公司都很可能将他们的所有通话记录转给政府。现在,似乎同样的事情发生了,电子邮件、搜索历史、甚至Instagram的图片都转给了政府。

科技公司迅速发表声明否定他们授权美国政府直接进入他们的用户数据库。由于有时候秘密法庭会下令要求科技公司参与到政府的程序中,这些程序要求他们分享数据,他们常常不情愿的参与了进去,而这样的事实让科技公司的声明变的复杂化。Google和他们的伙伴们对此没有谈论所有的细节,部分原因是法律禁止他们完全披露,部分原因是因为他们不了解政府这些程序实际的运作细节。因此他们的回应被视作只是口舌之词,不是发自真心。

在Obama总统介入进来前,他们几乎没有时间策划出如何回应Gellman的指控。总统在回应泄密问题时隐含的肯定了Prism项目(同时谴责了泄密),他说:“在互联网及电子邮件方面,此事并未涉及到美国公民,也未涉及到居住在美国的人。”这个答复可能缓和了一些公众的愤怒,但他并未对科技业起到帮助作用。Apple、Facebook、Microsoft及Yahoo的大部分用户都是非美国公民。现在这些用户以及像欧盟的监管机构被导向相信使用基于美国的这些服务就意味着将他们的数据直接给到了NSA。

科技巨头们花费多年时间辛苦建立起来的信任处在了破灭的风险中,而他们似乎无力就此做些什么。法律上的限制等,以致他们不能随意去提供他们与政府合作的完整文档或就只能否定。即使最坚决的否定——来自Google CEO Larry Page及首席法律顾问David Drummond——都不能压制对他们的质疑。NSA的PPT表面任何人的个人信息就只一点击的时刻,就被传给NSA,那么事情还能怎样否定。在当月晚些时候Drummond在卫报网站上参与问答的时候,他的提问者就变的有敌意了:

“这个问答活动是否只是你们被发现与NSA串通后的表面功夫?”
“如果Google对我们撒谎,那我们能怎么说?”
“Google,我们给予你们十多年的信赖都丧失了。“
”我将停止使用Google邮箱。”
其它公司也面临如此的围攻。一个公司的高管说:“每次我们谈及它时,似乎事情变的更糟。我们不止是不被信任了。“

Facebook的全球传播主管MichaelBuckley说:”事实是政府没能将妖怪放回到瓶子中。我们可以拿出任何声明或统计数据,就像政府每周的例行情况披露一样,但之后问题是有谁相信我们了?”

在去年9月份Facebook的Zuckerberg出席一个科技会议时表达了他的厌恶。他说到“政府搞砸了”。但在政府之后的行动,以及世界知道了更广的泄密信息后,Zuckerberg、Page、Tim Cook、Marissa Mayer、Steve Ballmer及其它只要在他们的服务器上储存用户信息的公司的高管都陷入了麻烦中。

“互联网的巴尔干化“(SPLINTERNETS)

不止收入危在旦夕。维持科技世界的理念都变的危在旦夕了,曾经的互联网来自美国国防部的一个项目,如今变成一个激发出文明新纪元的互联全球的万维网。Snowden的泄密质疑了以自由表达与授权为特征的互联网地位。如果网络被视为是扩展了的监听手段,那么带来的偏执行为就会影响人们使用互联网的方式。对美国情报机构搜集信息很愤怒的国家借助Snowden披露的信息更有理由要求美国政府停止收集信息,而美国情报机构又不会轻易放弃在这些国家收集信息。企业在执行商业活动的时候就会面临网络巴尔干化,破坏它的开放本质,从而显著提升操作成本。

硅谷在摇晃,就如反恐战争中的附带伤害。而事情只会走向更糟。

六月份之前科技公司们都不知道Prism项目,他们知道有一个已有若干年历史的程序,即为了国家安全在没有正式文件的情况下向政府提供一些特定数据。这个程序的法律正当性来源于一系列含增补及扩展的法律条款。1978年《外国情报安全法》,简称为FISA,创造了一个秘密法庭,以便可以下令进行信息获取请求。2008年FISA的修正案修增加了一个新的法律部分,即702节,该修正案给予布什总统可以在完全隐秘的情况下进行没有书面许可的监听计划。查询常常被称为702s。NSA引述FISA修正案作为Prism项目的具体法律基础。(Prism之外)更隐秘的监控操作都基于里根时代12333行政命令,该命令授权NSA可以收集需要关注的美国之外的外国人的各种信息。

有些公司似乎对于将客户的信息交给NSA感觉是十分得当的。Verizon从来没有拒绝将它成千上亿用户的关键账单信息、电话号码、每次的通话时长信息给予NSA。总之,这并没啥让人震惊的。因为电信公司不需要基于信赖向客户推销自己,客户也很少期望能从这些垄断寡头那里获得什么。在迎合消费者与政府上,电信公司似乎会优先考虑监管他们的政府。

在科技行业对于“互联网的巴尔干化“(SPLINTERNETS)甚是忧虑。Facebook首席执行官Mark Zuckerberg说到”我们大家需要帮助去修复这个问题。”

相比电信公司,科技公司们是另一番情况。科技公司的CEO们一直在反复强调声称如果没有用户的信赖,他们就没有业务可做。他们依赖于用户分享信息的意愿,这些用户从而就可以获取到更多更好的服务,而同时期望科技公司能够确保他们个人信息的隐秘及安全,并且希望对任何例外都是透明的。用户没有理由认为可以在无书面许可的情况下将他们的信息交给政府。

至少有一家公司挑战了那些违宪的信息查询请求。雅虎在FIFA法庭为抵制交出用户信息发动了一场秘密战斗。但努力失效了。在2008年8月22日,法庭裁定为了国家安全支持政府的手段,并给予程序上的保障,在某种形式实现与法律一致而排除了雅虎关心的用户隐私问题。随后雅虎就无处申诉,雅虎挑战的失败为之后可能的抵抗树立了一个案例:FISA的请求是合法的,任何不予以合作的公司都可能面临在法律上被轻易起诉的风险。

这些查询请求可能已经侵犯了一些大型技术公司,但还不足以形成对其业务上的挑战。也没有人说他们为了应对数据查询被迫做出一些基础架构上明显的修改。通常他们是将查询的数据传递给政府所拥有的特殊设备上。某些情况下,他们甚至将这些设备列为他们公司的资产。

对于一些小公司,遵从并不总是容易的。例如,Lavabit是一家安全邮箱初创公司,该公司允许用户包括Snowden在内对邮件信息加密,政府曾要求他们将涉及Snowden事件传播的重要信息交给政府。Lavabit不能这么做,因为如果服从,将它所有的用户信息完全曝光给政府就会导致公司关门。

虽然如此但可以有一些小的措施进行抵抗。Twitter的法律顾问Vijaya Gadde说到:“政府能够请求信息,但他们不能强迫你给出信息。你可以让这事容易或简单。“Google也说当一个请求是”十分宽广“的时候Google会将其推后。这些小的事情表明了对政府查询的微妙抵制。FISA要求政府给予这些被索取了信息的企业进行补偿。Google说他们不想麻烦跟政府去要钱。但是有一家公司说它使用了这个条款,以此希望限制政府请求的程度。这个公司的高管说:“起初,我们认为我们不应当为此要钱,但我们认识到这是好事,这能迫使政府停下来思考一下。”

然而最后,与政府合作也是有巨大的财务动机存在的。一名科技公司的高级主管说到:“大公司都与政府有业务往来,这些大公司的人不可能给政府官员说:‘我们正在跟你们战斗,——我们能拿到那份4亿美金的合约吗?’“

科技公司对于收到的FISA信息请求次数的公开也逐渐变的越加含糊其辞。他们仅被许可发布那些符合政府要求的报告,包括民事法庭及其法律要求执行的信息请求。(粗略来看,这些数字常常一两千,似乎不可怕,但他们缺乏背景说明。)Google、Yahoo、Facebook及微软都曾向FISA法庭请求去放松这些限制,一大帮的技术公司,也包括Apple及LinkedIn都提交了相同的诉求。但政府却只是将这些热情请愿材料存档,政府还是打败了他们。

纷争看上去似乎是一场难以解决的冲突。在许多方面硅谷必须透明,而情报机构又必须在严格隐秘之下。保持隐秘也肯定是有理由的。使用互联网服务的恶人如果意识到服务提供商将信息分享给NSA,那么将不太可能继续使用这个服务。但秘密项目被曝光后的一个结果就是使用者对他们所有接触的一切进行的破坏性怀疑。Snowden泄密之后的几个月,基础的事实是Prism仍旧很难被搞清楚。该项目实际上有多少信息被收集?自NSA在PPT上所标注的那些日期之后那些公司确实提供了哪种类型的合作?但这些公司声称除了不能说的,很多他们也不知道。

Google的信息安全及法律执行总监Richard Salgado说:”我们仍旧在猜测。我们不是这些PPT的作者。我们不知道他们从哪里得来这些信息的。”

“棱镜门”余波

整个夏天,科技公司们都试图去处理来自Prism的余波,而同时NSA试图想出如何应对Snowden的泄密。事情让双方都变得丑陋。

十月份,Snowden再次披露NSA在未获得那些科技公司配合或知晓的情况下,收集了数以百万计的用户邮箱地址。华盛顿邮报报道到,单就普通的一天NSA就收集到“444743份来自雅虎的、105068份来自Hotmail的,82857来自Facebook的、33697来自Gmail的,还有22881来自不能确定的提供商处的”用户通讯录。这个操作在NSA内部被归属为一种收集信息的上游方法,这种方式覆盖整个互联网,相对应的是下游方法,像Prism计划,信息是由信息所有者直接提供的。(在有关Prism的一篇早期报道中,邮报刊登了PPT的一页,这一页详细讲述了这两种方式,并告知情报分析师:“你应当两种方式都用。”)

之后Gellman和他的邮报团队披露了NSA和它的英国合作机构GCHQ(英国政府通讯总部)是如何黑进分别连接Yahoo及Google数据中心私有光纤的专属数据流的。这个上游项目的代码名字叫做Muscular。

在一种意义上,新闻报道让整个事情丧失了神秘性,神秘性曾经很困惑科技公司。Microsoft的法律顾问Brad Smith说:”它为我们最终理解所发生的的事情提供了一个钥匙,我们一直在阅读有关NSA数据收集的报道。我们感到我们及在科技行业的其它公司一直只是提供了很小部分的数据。它是很难调和的,我们这么说也是一个逻辑上合理的解释。”

然而,政府对数据中心数据流的侵袭就如洗劫了一个人的家一样震破了整个行业。来自NSA PPT一页内容显示了NSA是如何绕过Google的加密方式,在数据从Google的服务器走向外部互联网的路径上插入监控程序的,这是最令人震惊的敌对。在两个大型云——一个是公共互联网、另一个“Google云”——之间,有一个小的手绘笑脸、一个快乐Gotcha表情符号,但绝不意味着被它的牺牲者即Google能看到。Google的Drummond在写给邮报的即时声明中,将公司的情况描述为“愤怒”。Yahoo的安全总监Ramses Martinez支持这一表述。它说到Muscular监控项目:“它对我们就是新闻,我们花了很大功夫去确保数据安全。”

人们相信这是违宪的,需要抵制这种法律行为。但从另一方面,一家美国公司,在努力保护用户的隐私时,却发现从虚拟的马其诺网络安全防线上跨过你的竟然是美利坚合众国的那些政府机构。

Google的安全主管Eric Grosse说:“早期我们主要是与高技术犯罪分子进行着技术竞赛,之后我们发现我们要与特定的国家机构进行技术竞赛,他们发起一些带着国家目的的网络攻击。而现在你要与最难对付的机构进行竞赛。”指的就是美国联邦政府。

但最真实的感觉被背叛了的表述可能是来自Google的安全工程师Brand Downey在其个人Google+账户上所发的帖子。在帖子序言中他声明只是讲给自己的,但实际上他也将其传达给了科技行业的同行:

让这些家伙去死吧。在Google工作的十年时间中,我一直在努力确保Google用户信息的安全,对抗各种威胁确保公司不受到伤害。我看到了无数针对Google的DOS攻击。看到携带有DOS蠕虫病毒的Google在其他人软件上找到漏洞。看到间谍软件伪装成工具栏,在与其它间谍软件共同作用下突破电脑防火墙。看到有些政府机构资助黑客攻击异议人士的资料……。保护数据安全是互联网最伟大的事情之一。但是这么多年的努力之后,你回头突然发现NSA在搞攻击,这种感觉就如人们与索隆大战,摧毁了魔戒,回到家后却发现NSA在夏尔让半兽人砍倒了宴会树,拿着鞭子奴役着霍比特人。
自从有这些攻击开始,科技公司就一直在提升他们的网络安全。Google的Grosse就一直在推进对公司的包括流经公共网络和数据中心的数据进行加密,这个策略也是Google早已开始努力的。Grosse说到:”当我们了解到NSA的技术能力时,我们就开始进行了部署。但我们所担忧的这些事情最终还是发生了。

在采取附加加密问题上,一直走的迟缓的雅虎发誓要在今年三月底之前加强网络安全,包括数据中心之间的数据流安全。Yahoo CEO Marissa Mayer在声明中说:”对于我们没有什么比保护用户隐私更重要的事情。“Facebook及Microsoft计划实施一个完美远期保密(Perfect Forward Secrecy)技术,这个技术将大幅限制情报机构使用数量庞大的密钥去解码数据而获取用户隐私数据的能力。(Google及Twitter已经使用这一手段)。之前,只要破解一个单独的加密密钥就就能打开信息宝库的大门,但在远期保密技术下,即使再先进的密码分析也只能获取到一小部分数据。Microsoft的Smith在博客中写到,这些措施的要点,即就是要确保政府要获得数据”是由法庭来决定的,而非通过技术强权来获得的。”

但即使强加密也不一定能将NSA赶出去。另一篇由ProPublica和纽约时报合作进行的报道显示,情报机构NSA近期在破解主流的密码形式上取得了巨大的成功。新的手段包括使用窃取或公司提供的密钥去解码一个主要互联网服务的所有信息,并利用软件系统未曾发现的漏洞。一些文档揭示(在加密社区已经有人怀疑)NSA有可能帮助推广弱加密标准,而NSA知道怎么破解他们。网络安全方面有一条信条是任何瑕疵最终都会被发现与利用。实际上如果NSA不披露它知道的安全漏洞,那么它也就存在国内信息及秘密被恶人发现。甚至有可能让外国政府获取到高价值的企业秘密。

安全专家Bruce Schneier说:“NSA是愿意在一切的安全问题上让步以获得他们想要的。”

对美国利益的损害

美国国会议员新泽西州的民主党人Rush Holt说:“想想这些对美国的损害。NSA说:‘我们要确保那些加密方式有瑕疵,这样我们才能破解。’这不是极其的傲慢吗?意思是没有其它人知道这是怎么回事,除非跟NSA一样聪明,他们将不会认识到我们降低了产品的安全系数。但真相总会出现。因为它美国变得更糟。“这位国会议员是国会中罕有物理博士学位的人,也是寻求限制NSA活动的立法团议员之一。

科技公司实际上感觉更糟。在11月份,德国新闻周刊《明镜周刊》——另一个Snowden泄密资料的接受者——讲述了NSA/GCHQ联合进行的一个特定目标侵入事件。为了侵入总部在布鲁塞尔的电信公司比利时电信,两家机构建了假的Slashdot和LinkedIn网站。当比利时电信的雇员从他们公司的电脑试图去访问这些网站的时候,他们的请求就会被转到假网站上,然后趁机向这些雇员的电脑植入恶意软件。

LinkedIn的法律顾问Erika Rottenberg却对此相当的轻描淡写:”我们对于我们的知识产权被如此的使用不高兴。“不难看出这是为什么。如果外国用户不能辨识他们登陆的社交网站是正规的还是间谍机构伪造的,他们以后将都不会去登陆。

多年来,来自喜欢搞间谍活动国家的公司,如中国的公司,都受到海外买家的鄙视,因为买家不信赖这些公司的产品。而现在轮到美国了。

目前这些事情已经对在国际市场成长中的年轻公司产生了影响。Tumblr的创始人David Karp说:”现在我们的广告业务95%来自美国市场。在我们要开启海外业务的时候,我们面临如欧盟更严格的法律,尤其在用户隐私方面。这是欧盟对美国操控互联网的反应。“

Union Square Ventures投资公司的管理合伙人BradBurnham说:”有一天我做我的第一个推介演讲时,他们告诉我那是一个克隆的Dropbox,我们被利用了。‘我们在欧洲经商,我们需要一个不窥探的政府。‘“虽然大的公司一直以来未披露商业损失情况,但他们肯定认识到他们的海外客户很担忧。Forrester研究公司估计海外公司由于很大原因不能惠顾基于美国的云服务,美国公司商业损失可能高达1800亿美元。美国参议员Wyden说:“美国公司感觉他们被过度的监听打败了。在目前全球经济比较艰难的情况下,监听降低了我们的竞争力。“

即使这些,信赖下降,商业有损失,但都不是后Snowden时代科技公司最大的担心。Facebook CEO Mark Zuckerberg相信互联网天生的价值是使用户来到巨大的网络服务上来。但恐怕NSA泄密已经引发了来自其它国家的强烈反弹,这不仅伤害了那些科技公司,而且也伤害了互联网本身。Zuckerberg说到:”部分的理由是,由于美国的这些行为,世界上其它国家的政府则也发布他们自己的许可侵入互联网用户的法律,而这些法律正威胁着互联网的安全。”

Zuckerberg进一步指出这些行为使互联网巴尔干化——而这将长期性的缓慢破坏互联网本身。有一个基本的想法是一个国家公民的个人数据应当被储存在它边界内的服务器上。对于这一看法的支持者而言,这就是一保守主义,是为了让大家使用本国IT服务。另一方面,使用本国的IT服务会让政府更容易窥探公民的隐私。这一看法从来没形成什么太大的威胁,直到NSA泄密,他们引发了外国情报机构的恐惧,使一些国家开始认真去追随这个想法。巴西总统Dilma Rousseff在了解到NSA已经窃听了她之后,即推动了一项法律——要求巴西国民的个人数据必须储存在国内。马来西亚近来实施了一个类似的法律,印度也在寻求走数据保护主义之路。

对于大部分熟悉互联网协议的人来说,数据保护主义很疯狂。Google的Drummond指出这将导致会出现很多独立的互联网世界,这些世界彼此之间不能交流——即“互联网巴尔干化”。LinkedIn的Rottenberg说:“这不是现实主义,而是非常的短视。如果执行数据保护会怎样?如果我是一名巴西居民,我在旅行,而我不能获得我的数据?”

不止一些发展中国家在考虑这种数据保护主义的路由。在德国,由于NSA窃听了总理默克尔的电话,也在讨论一个类似的方案,称作申根路由(Schengen routing)。日耳曼巨头德国电信的CEO Renè Obermann在欧洲网络安全会议上支持了这种倡议。在前Snowden世界,如此的倡议肯定会被赶走。但现在聆听Obermann讲话的听众,全部拿起了干草叉,准备将美国的间谍监听驱逐走。

Yahoo的Mawakana说:“互联网的建立本身就是基于无国界的方式,正因为如此才有了巨大的创新,如果一个国家试图将云钉到地面上,那它这个执行后会怎样?例如如果印度尼西亚如此,布鲁塞尔、巴西都这样,是不是每个互联网服务在每个国家都必须一样的投资?”

最糟糕的影响是挫伤初创公司的前景。如果Facebook或Youtube要在每个国家储存这些国家用户的数据,那他们早就要破产了。Karp说:“越来越多的市场,像巴西都在致力于通过一个法律,这些法律基本上会说:‘如果你不在我们的国家建立数据中心储存用户数据你就不能在此经商。对于Tumblr而言,这将是不可思议的昂贵。对于那些有抱负的年轻公司,要想建立一些东西让用户在全世界都能用肯定是不可能的。“

Zuckerberg说:“美国政府需要帮助解决这个问题。”但奥巴马政府担忧,如果美国政府尝试这么做,只会促使其它国家更加巴尔干化,并证明美国不会被相信。因此责任就落在科技行业自己身上了。

以前,科技公司们可以向用户说巴尔干化会给那些人为孤立的国家国民更少的选择,更多的审查及监听。但现在这一套说辞已经很难起作用,因为Snowden的泄密已经显示美国政府正在利用这些高科技公司监听世界其它国家。

“这不是科技公司们的错误。他们是被强迫这么做的。作为一个国家,我们有责任支持这些公司,无论是在国内还是国际上。这是我们国家最重要的利益。我们不想我们的公司丧失他们的经济能力及优势。这是我们国家的未来。”

上面的言辞可能来自一位政策发言人说给Google、Facebook、Microsoft、Yahoo,也可能来自立法议员对NSA手段的批评,或一名反对NSA的公民自由组织成员。但源头是来自NSA的局长Keith Alexander将军。他承认科技公司被迫陷入了一个艰难的位置,但他坚称他的程序是合法、必要且尊重隐私的。

探访 NSA

NSA是传奇性的三缄其口,以致几十年来它都拒绝承认它自己的存在。但在几乎没有预兆的Snowden泄密事件后,它认识到它必须站出来在新闻媒体面前捍卫自己。于是在11月早些时候明朗的一天,我被邀请去参观在马里兰州福特·米德堡的令人印象深刻的NSA玻璃幕墙总部。在提交了我个人信息,包括磁带录音机序列号等信息之后,通过三道安检,然后将车停在指定位置。最终在一个装饰有爱国海报的会议室坐了下来。NSA首先介绍了法律顾问Rajesh De、与私人部门合作的负责人Anne Neuberger、领导NSA媒体泄密处置小组(该组是在去年夏天为了应对Snowden损害而设立)的副局长Rick Ledgett。

之后NSA局长Alexander进来,意外的参与者,他是想为采访设定一个基调,讲述了20多分钟(新闻采访总共持续了超2个小时)。Alexander健朗的身体及高效的表达,强烈的自信,帮助他升任到最重要的国家安全主管一职。

Alexander说到:“这些程序,尤其FAA702[Prism]是情报机构反恐及反间谍最大的工具。所以,我们需要在我们前行时确保不破坏这些程序。”他尤其解释了“215”程序,该程序涉及对电话通话元数据的大规模收集。

Alexander说:“这个程序本身就是马蜂窝,这个马蜂窝使NSA能够看见来自巴基斯坦、阿富汗及世界其它地方的威胁,我们分享发现的信息给FBI,找出是否会有一些糟糕的事情要发生?”Alexander引述2009年一名极端伊斯兰分子Najibullah Zazi计划炸纽约地铁的例子,来表明在该程序下收集的信息引导他们抓捕了这名恐怖分子。

Alexander继续说到:“不了解事实的人会说:’扔掉马蜂窝吧。’我们肯定愿意避免碰触马蜂窝。我们愿意将它给其他人,其它任何人。但我们意识到,如果我们这么做了,现在我们的国家将面临一场恐怖袭击的巨大风险。因此我们需要做正确的事情;我们将继续使用它,让人们认识到这个选择的重要。如果有更好的选择,我们肯定愿意追寻。”

心里奇怪的是,NSA抱怨的这些声音听起来跟科技公司们很是相似,科技公司抱怨到:人们不理解我们。Ledgett说:”没有人了解NSA的运作,总是一个黑匣子,就如电影《全民公敌》里的那些NSA探员一样。人们不了解NSA的监测及平衡点。“

NSA的官员谈话要点中有一点要表明的是:NSA可能收集了众多的数据资料,但NSA管理监督着隐私泄露的尺度。在Alexander较早的演讲中,他说到:“你需要在干草堆中发现针。”官方声称简单的收集干燥堆只是开始,因为很多的保护措施的存在限制了任何信息的收集。他提到语音通话元数据的复杂收集工作,称其是“整个联邦政府中最高规范的程序。”他讲述说在细节上这个程序需要获得国会及法庭多次的再授权,并有限的人才可以接触到,并监督使用以确保直接使用这些元数据而非用到其它地方。(在12月,2名联邦法官对政府的电话元数据收集进行了是否合乎宪法的评估。美国地区法院法官Richard Leon裁定这个程序很可能违反了宪法第四修正案,但因为对此裁决要上诉,他的命令还不能执行。然而11天后,在一个单独的案件中,法官William H.Pauley III破天荒宣布:“是否这个程序要被执行的问题由联邦政府另外的两个分支机构决定。”)

被NSA视为最重要工具的Prism类似控制也是存在的。一名官员说到:“Gmail是世界上最流行的恐怖分子邮箱服务。其次是雅虎。不是因为Google和Yahoo邪恶,而是因为他提供了伟大的服务。“

NSA通过Prism最终收集了多少的信息它没说。根据2014年4月5日Snowden披露的信息来看,在Prism的数据库有117675个“记录“。如果将这些目标与美国国内的人或有关的人进行联系,Prism能够收集到数吨有关美国人的信息。在Prism与上流收集程序像Muscular之间,NSA收获了非常丰富的信息。

Ledgett指出了NSA筛选数据的若干步骤,包括排除美国人的邮箱、搜索查询以及自己人。他说:”我们一直是负责的,在最小化收集美国个人信息。“虽然这个程序截止目前受到巨大的自我约束,然而近期解密的FISA法庭文档显示,NSA在多个方面没有做到位,法庭批评NSA的过度信息收集及对信息内容的失败过滤。

虽然官方将NSA系统的运作描述的很美好。但他们有一套极其严格的培训流程。他们告诉我,从雇员被雇佣的那天起,边缘人员就被逐渐的培养成NSA的核心。(至于尴尬的事情,例如雇员追踪到他的情人这种情况,官方强调这种事情很罕见,指出这种滥用会被NSA自己频繁的测谎系统扑捉到。)Ledgett提供了一个某人的信息被错误分析时发生的例子。他说NSA在南亚追踪一个高价值目标长达超过10年,但后来了解到他曾经申请过绿卡,并且在NSA的规则下,他成为了一个“美国人”。“一旦我们发现这个之后,我们就按照行政命令12333授权放弃了所有收集来的信息,取消了14年的报告。”

虽然目前没有NSA收集来的数据被大规模滥用的证据,但是批评意见指出也不能保证一个未来的政权忽视这些被标榜的很严格的数据保护措施。目前这些官员在执行中已经打折,也就是说NSA的绝大部分雇员不会严格执行这个政策。Ledgett说:“如果发生,将会接受检察长调查,国会调查,被调查人的队伍将比迪斯尼乐园排的队还长。”(若干NSA泄密雇员的命运显示任何被调查的人都将获得极其悲惨的命运。)

NSA承认,近期有关NSA活动的新闻使美国科技公司牵扯了进来。即使表面上看起来容易的问题,像让科技公司分享他们接收到的有关国家安全更多的信息,但实际上解决起来是比较难的。法律顾问De说到:”在透明度上我们有着共识。”NSA正在准备一个自己的报告,以公布完整的向所有的科技公司进行的数据请求次数及请求到的用户账号数量,这些数据都是汇总合并在一起的。NSA仍旧反对公布分解开的数据:因为这样的话会给敌人提供一个指引使他们去使用审查最少的服务。

官员们显示出不担心科技公司们使用更强的密码技术以保护用户信息避免被侵入——包括来自福特·米德堡的。Neuberger说:“我们欢迎加密技术的使用,我们支持更好的安全措施。”但他们暗示如果科技公司使NSA的工作变的更困难,NSA可能错过至关重要的线索。

NSA坚持说尽管有Snowden泄密文档的影响,但他们并未弱化信息加密技术的行业标准。Ledgett说:“我们所建议的标准仍旧是我们目前使用的标准,我们不会用我们认为脆弱的标准。否则那是发疯。”官员们不否定NSA利用了软件的漏洞,但说他们的这种普遍行为是为了保护的目的。

Ledgett说到:“我们是极其偏向防卫的。“它引述一个案子,说NSA发现了一个公司软件的严重漏洞,这个漏洞可能影响全世界的用户,“我们内部对此问题讨论了很多天,最后考虑到这个问题对整个美国政府以及绝大部分美国人都是至关重要的,我们做出了决定,我们向那家公司告知了漏洞。我们本可以借助此漏洞获得巨大的目标信息资源。“

在谈话期间,官员们几乎无法掩饰他们的沮丧,后Snowden时代,他们感受到了全世界及美国人怎么看他们。他们有读到Brandon Downey看到他的政府侵入了他的数据中心之后心碎的痛骂。他们理解新闻行业定期会举办会议讨论如何阻止政府窃取信息,好像我们有点生活在前苏联时代。他们意识到国家的这些顶尖的科技公司中的安全专家现在都考虑将美国政府列为他们首要的对手。

但是他们并不将这些问题中的任何一点视为要停止信息收集的理由。一个单独泄密者引发了里程碑式的误解,以及新闻行业的敌意,他们变的脸色苍白。NSA的雇员将自己视为在应对国家的真正致命威胁,当人们认定福特·米德堡的间谍在有目的的偷取他们的隐私时,他们变的疯狂。

Ledgett说:”这几乎是乱想。我希望我跑到山巅去大叫。‘你们不是目标’。“

数据,政策与角力

当前的问题不仅仅是一个误解的问题。更重要的是对迅猛发展的数字世界的影响。某种意义上,科技公司更像NSA,胜过他们自己所认为的。科技公司与NSA都在获取计算机、通讯、存储上进步的技术以提升他们各自的使命。(你会想到,Google原初的使命描述——”收集、组织世界上的信息“——可能也适合福特·米德堡的活动。)双方一直以来都寻求通过积攒巨大的个人信息数据来充实他们的使命——似乎双方都可以自圆其说。Google、Facebook及其它公司都声称他们能用这些信息更好的提升用户生活,这种改善也可能来自这些公司对数据的分享。NSA相信获取信息以阻止911事件或更糟糕事件的发生是必要的。双方都建立了详细的信息处理政策以最小化信息滥用,都声称严格遵循限制他们活动的外部规定。当有一方发生错误的时候,他都发誓要做的更好——但至少错误要被曝光。对比就到这里。如果NSA没有从这些科技公司获取数据,恐怖袭击的大门就是打开的。

整个秋季以来,议员们发起了一些列要求更多透明与监管的议案,甚至要取缔大规模信息收集工作。科技公司们也一直在游说国会至少使一些提案变成法律。十二月份,在一份公开信中他们具体化了他们的目标——包括停止对互联网通讯的大规模信息收集,之后在与总统奥巴马的一次会议中给予了有力的陈述。第二天,白宫发布了一份来自顾问团队的300页的评估NSA工作的报告。报告写到:”自由国家必须保护自己,保护自己的国家必须保持自由。”报告的第46项建议呼吁限制NSA的活动以适应对隐私的关切,披露更多NSA的执行情况给外部审查。只有当有具体的国家安全问题时才进行大规模数据收集,并约束克制侵入私营技术公司的不透明黑客行动。

但公民自由团体对这个报告里没有坚决停止大规模收集信息表示失望。至少有一项建议——大量的个人用户信息企业可以保留而非政府——对科技公司可能是头疼的。Google、Facebook及相似的公司会因为间谍而只被视为档案存储着吗?

总统已经表示在今年早些时候他将表明他将支持那些提议。(有一些要求立法。)问题是有些程序在上届政府就已经开始了,奥巴马已经表明他不会放弃他的702s节。国家安全委员会发言人Caitlin Hayden写给《连线》的声明中说:“就如总统说的,FISA是我们破坏恐怖分子阴谋的一个重要工具,总统相信我们能够采取一些步骤,如包括置于更大的审查之下,更大的透明度,对授权使用的进一步约束,使美国人相信我们会增加对信息滥用的监管。”

政府副首席技术官,曾是Google的首席隐私律师Nicole Wong强调政府的良好目标:“我们是要阻止另一场波士顿爆炸。在一个我们有各种威胁的世界,我们在与什么居住在一起,更多的透明,而却更少的收集?”

另外有一些人认为我们会后悔于对NSA的仅是适度的限制。前Microsoft研究主管Nathan Myhrvold近来写了一个毛骨悚然的文章,认为考虑到恐怖分子可能消灭人类绝大部分这种生物级别的威胁,强硬的监听措施可能不是坏事。科技公司一直提议NSA应当停止在国家安全名义下的信息窃取,但Myhrvold呼吁科技公司放弃伪善。在守住他们底线的情况下他们会更开心做同样的事情。对于更多的限制,他说:“在找到恐怖分子方面事情将变的更低效,而成本就是血。“

这种论调也是政府希望看到的。在去年夏天一个白皮书中,奥巴马政府指出收集每个人的电话行为信息是正当的,因为这个程序将”更前瞻性的预防生命损失,包括潜在的大灾难。“

但即使监听程序是正当的,是否他们应当缓和或反之都是次要的,因为Snowden的泄密,我们仍旧有个最令人恶心的一面:来自我们数字世界活动的巨大数据将永远成为政府情报机构的潜在素材。越来越多的人对小兄弟(LittleBrother)——私营公司——知道我们买了什么,我们在哪里,我们说了什么,我们在搜寻什么的担忧已经变的习以为常。现在轮到老大哥(BigBrother)也能够进入那些数据。事情不会变成其它样子。我们在我们电脑、电话、平板上分享的数据资源被政府用来阻止下一场灾难都将是不可抵制的,即使政府的这些行为超越法律,超越给他们投票的那些人的理解。即使美国政府变成美国科技公司及他们用户的对手。

Lotus Notes的发明人RayOzzle是行业早期强加密的倡导者,说到:“我是天真的,我总感觉美国有点儿更单纯。我们获取信息的过程都是不隐瞒。政府有请求,但他们的要求比较窄。但某一天如梦初醒,我们只是像其它所有人一样。“

本文译自《连线》2014年1月7日发布的《How the NSA almost killed the internet》一文。作者为Steve Levy,《连线》高级作者。写过多本有关电脑、技术、密码学、互联网、网络安全及隐私方面的书籍。如《黑客:电脑革命的英雄》。

注:由于译者能力有限,篇幅较长,不免谬误,还请指正谅解。

向作者提问

随意打赏

提交建议
微信扫一扫,分享给好友吧。