數據掮客們的互聯網流量生意經
網絡安全領域有一個公開的秘密:某些互聯網服務提供商(ISP)會違規將計算機之間進行通信的詳細信息泄露給不法機構,然后不法機構將該數據的訪問權出售給第三方。
這些被兜售的信息稱為Netflow(網絡流量)數據,盡管數字取證調查人員可以使用這類數據來識別黑客正在使用的服務器,或者在數據被盜時跟蹤數據,但一位熟悉Netflow數據的消息人士表示:“Netflow數據的商業變現正變成一條通往黑暗的道路。”
Netflow是網絡流量的元數據,可以創建流量圖。它可以顯示哪臺服務器與另一臺服務器通信,這些信息通常只對服務器所有者或承載流量的ISP可用。這些數據還可用于跟蹤VPN流量,后者用于掩蓋某人從何處連接到服務器,進而掩蓋其大致物理位置。
消息人士稱,威脅情報公司Team Cymru與ISP合作訪問Netflow數據。參議員Ron Wyden 辦公室的通訊主管Keith Chu一直在對敏感數據的銷售進行獨立調查,他透露,Cymru團隊告訴辦公室“它從第三方獲取Netflow數據以換取威脅情報。”
Team Cymru的Netflow數據買家包括受雇應對數據泄露或主動追捕黑客的網絡安全公司。在其網站上,Cymru團隊表示,他們與公共和私營部門安全團隊合作,幫助識別、跟蹤和阻止網絡空間和物理空間的不良行為者。
敏感數據的持續銷售可能會帶來其自身的隱私和安全問題,并且ISP可能在未經其用戶知情同意的情況下向第三方大規模提供這些數據。用戶幾乎不知道他們的數據被提供給了Team Cymru,也不知道后者正在出售對這些數據的訪問權。
Chu表示:“Cymru團隊的客戶可以查詢數據集,并可以有效地查詢幾乎任何IP,以及給定的時間段中進出該IP的網絡流量。”Team Cymru則表示:“它限制了返回的數據量,因此任何一個客戶端只能訪問其netflow數據庫中的一小部分數據。”
在產品描述中,Team Cymru為用戶提供了跟蹤VPN流量的能力。“通過跟蹤十幾個或更多代理和VPN中的惡意活動,可以確定網絡威脅的來源。”Team Cymru 的Pure Signal Recon的產品手冊寫道。從本質上講,訪問netflow數據可以讓安全團隊觀察更廣泛的互聯網上正在發生的事情,并可以觀測到其他組織正在發生的事情,而這些已經超出他們自己的網絡或公司邊界。其中一位消息人士表示,他們之前在Team Cymru的數據集中看到了一個來自他認識的組織的流量。
“netflow數據的可見性和洞察力是全球性的。”描述補充道。宣傳冊中的一張圖片展示了 Team Cymru的產品,它讓用戶可以比其他數據集(例如DNS查詢)更深入地跟蹤與伊朗黑客組織相關聯的服務器活動。
(來源:TEAM CYMRU 的 PURE SIGNAL RECON 產品介紹資料)
在最近對一家名為 Candiru 的以色列間諜軟件供應商的研究報告中,Citizen Lab 對 Team Cymru 公開表示感謝:“感謝 Team Cymru 提供對他們 Pure Signal Recon 產品的訪問。他們的工具能夠顯示過去三個月的互聯網流量遙測數據,為我們從 Candiru 的基礎設施中識別最初的受害者提供了突破信息,”報告中寫道。
Team Cymru 沒有回應多家媒體的置評請求,這些請求涉及哪些 ISP 向其提供數據、圍繞此類數據的收集和分發采取了哪些隱私保護措施,以及各個 ISP 用戶是否已同意共享其數據。
Palo Alto Networks 威脅通信主管 Jim Finkle 也在一封電子郵件聲明中表示,“Palo Alto Networks可以為企業客戶提供進出他們自己網絡的 Netflow 數據,以識別違反安全策略、安全監控漏洞和其他高風險客戶網絡上的活動。” 但Palo Alto Networks 拒絕透露它從哪些 ISP 獲取數據,或者是否直接從 ISP 購買數據。
ISP Cogent Communications 的首席執行官戴夫·謝弗 (Dave Schaeffer) 表示,該公司處理著全球約 22% 的互聯網流量,但作為一家 ISP,他的公司不會向任何人提供他們的網絡流量數據。
“從根本上說,人們有一定程度的匿名權,作為運營商,以任何形式竊聽不是我們的工作,”他在電話中說。Schaeffer 表示,Cogent 96% 的流量來自向大型批發客戶銷售產品,例如 Vodafone、Cox、Spectrum 和 BT。Schaeffer 說 Cogent 為 Team Cymru 提供服務,但不與該公司共享 Netflow 數據。
“我不知道人們是否可以用 (netflow)數據做很多真正有用的事情,”他補充道。“但如果這些數據可被獲取,我可能會想到一些不好的事情。”有安全人士同時表示,盡管Team Cymru “也使安全組織能夠做一些非常棒的工作。但我擔心出于商業目提供 netflow 數據會是一條通往黑暗的道路。”
不僅僅是netflow,大量互聯網公司和網絡安全公司也在出售有爭議的數據集。例如一家名為 HYAS 的公司如何采購智能手機位置數據,以追蹤人們的行蹤。而智能手機上的大量APP都可能在采集敏感隱私數據,然后在用戶不知情或未授意的情況下將其出售給第三方。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
