新浪科技讯 北京时间6月7日早间消息,据《华盛顿邮报》报道,美国国家安全局(以下简称“NSA”)和联邦调查局(以下简称“FBI”)正在通过一个代号为 PRISM(棱镜)的机密项目,直接利用9大美国顶级互联网公司的中央服务器,提取音频、视频、照片、电子邮件、文件和连接日志,以便帮助分析师追踪个人用户的动向和联系人。
信息量巨大
PRISM项目创立于2007年,之前从未被公开披露过。过去6年间,虽然有关政府对民众的监视权限以及用户隐私权的争论一直非常激烈,但该项目却暗中实现了高速的发展。即使是在去年末,当批评人士呼吁修改对外监视法规时,为数不多的知晓PRISM项目的国会议员也受制于就职宣誓,而不得不紧闭口风。
该项目的一份内部幻灯片将PRISM计划描述为美国总统“每日简报”的最大贡献来源,去年共有1477篇文章引用了该项目的数据。根据《华盛顿邮报》获得的这份幻灯片,NSA的报告越发依赖PRISM,将此视为主要的原始信息来源,大约占到该机构报告总数的近1/7。
对于NSA这种每年监视数万亿条通讯信息的机构来说,这一比例堪称巨大。更令人震惊的在于,NSA的法定使命是收集国外情报,但现在却把矛头对准美国民众。
参加PRISM项目的科技公司包括硅谷最具主导地位的企业,他们的logo都出现在了该项目的花名册上,包括微软、雅虎、谷歌、Facebook、PalTalk、AOL、Skype、YouTube、苹果公司。
云存储和同步服务Dropbox也被该项目描述为“即将参与”。
美国政府官员拒绝发表评论。
项目来源和模式
从某种意义上讲,PRISM是继承了1970年代的一个项目,当时那个项目由多达100家备受信赖的美国公司共同组成了一个情报联盟。NSA称之为“特殊来源行动组”(Special Source Operations),而PRISM就归入该项目内。
这个硅谷行动组与另外一个代号为BLARNEY的项目平行运营,后者专门收集“元数据”,包括地址数据包、设备签名等。BLARNEY项目的简介上配有三叶草和妖精帽的卡通标识,他们在简介中自称是“一个持续的收集项目,专门利用情报机构和商业合作伙伴不断获取和挖掘通过全球网络获得的国外情报。”
但PRISM项目似乎与9.11恐怖袭击发生后,美国前总统小布什下令开展的一次监视行动十分相似。当时的那次行动未获授权,并且引发了广泛争议。奥巴马竞选总统期间曾经批评过类似的项目,但在他就任总统后,该项目却取得了高速发展。这个项目的发展也显示出,美国的监视法规和监视行为已经从针对具体的嫌疑人,转向了系统化的大规模信息收集行为。
PRISM不能算是“拖网作业”。由于可以获取科技公司内部的数据流,所以NSA完全可以调取他们想要的任何数据,但按照现行法规,他们不会收集所有信息。
位于米德堡的分析师会键入一些“选择器”,也就是搜索条件,以便以51%的可信度来判断目标的“外国性”。这种筛选并不严格,而《华盛顿邮报》获得的培训资料显示,新分析师偶尔也会将美国人的内容提交到季报中,“但没什么可担心的。”
即使系统按照预期运行,不在其中包含任何美国人的信息,NSA也会定期收集大量美国人的数据。这被描述为“偶然事件”。
为了调查可疑的外国间谍或外国恐怖分子,嫌疑人收件箱或发件箱中出现过的所有人都会被列入调查范围。情报分析师通常会按照这种方法顺藤摸瓜,向下延伸两个环节,从而极大地增加了“偶然事件”的数量。要知道,按照六度分割理论,任何两个人最多只需要通过6个人便可建立联系。
与网络公司合作
为了获得法律豁免权,雅虎和AOL等公司不得不接受美国司法部长或是国家安全机构负责人的“命令”,向FBI的数据拦截技术小组开放他们的服务器。2008年,美国国会向司法部授权,允许其通过外国情报监视法院(Foreign Surveillance Intelligence Court)发布的密令,强制不愿配合的企业“遵守命令”。
在实践中,企业却有一定灵活处理空间。一位曾经在双方之间牵线搭桥的律师说,当秘密的情报项目遇到受高度监管的行业时,任何一方都不希望陷入公众舆论漩涡。这个行业的技术问题极其复杂,而且经常变化,所以如果得不到相应企业的主动配合,FBI和NSA很难打开“后门”。
苹果公司的做法就表明,的确可以通过巧妙的措施来对抗这种“命令”。虽然具体原因不明,但在微软2007年成为PRISM的首家合作企业后,苹果公司直到五年多以后才正式加入。一向重视用户隐私保护的Twitter至今仍未列入“私有领域合作伙伴”名单。
与市场研究公司的分析师一样,作为PRISM项目的负责人,NSA特殊来源行动组的数据收集主管也会获得有关其调查目标的海量信息,但他们却拥有更高的特权。
根据PRISM幻灯片第41页的内容,他们从Facebook和Skype收集的数据量在持续高速增长。只需要经过几次点击,并确认调查目标的确与恐怖主义、间谍或核扩散项目有关后,分析师便可获得Facebook服务器的完整访问权限,展开全面的搜索和监视。
根据另外一份文件,当Skype的通话双方中有一方是传统电话时,PRISM项目只能监控语音内容,而如果双方都使用电脑,则可以监控任意的语音、视频、聊天和文件传输信息。谷歌提供的数据则包括Gmail、语音和视频聊天、Google Drive文件、照片库和搜索关键词的实时监视。
几乎可以说,当你敲下键盘的那一刻,PRISM就可以了解你的想法。
相关企业否认
但苹果公司、谷歌和Facebook均否认参与PRISM项目。Facebook向美国科技博客The Next Web证实,该公司并不允许美国政府直接访问其服务器:“我们没有允许政府机构直接访问Facebook的服务器。当Facebook接到任何索要个人信息的要求时,我们都会仔细审查这些要求是否合法,而且只会按照法律规定提供相应的信息。”
苹果公司也对CNBC表示:“从未听说过PRISM。”该公司还说:“不会向任何政府机构提供服务器的直接访问权限。”
相比而言,谷歌的回应则稍显模糊。谷歌发言人对《华盛顿邮报》说:“谷歌十分重视用户数据的安全性。我们只会按照法律规定向政府披露用户数据,我们会认真审核所有的协查通知。经常有人指控我们为政府提供‘后门’,但谷歌并没有为政府提供这种获取用户隐私数据的‘后门’。”