间谍机构回避有关科技产品“后门”的问题

旧金山(路透社)-美国国家安全局(National Security Agency)驳斥了国会一位主要批评者的努力，该批评者要求确定美国国家安全局是否继续在商业技术产品中安装所谓的后门，批评人士称，这种有争议的做法损害了美国的工业和国家安全。

根据美国国家安全局前合同工爱德华·斯诺登(Edward Snowden)的披露以及路透社(Reuters)和其他人的报道，美国国家安全局长期以来一直在寻求与科技公司达成协议，根据这些协议，美国国家安全局将为间谍机构建立进入其产品的特殊通道。

这些所谓的后门使美国国家安全局和其他机构能够在没有搜查令的情况下扫描大量流量。该机构的倡导者说，这种做法简化了其他国家收集重要情报的工作，包括拦截恐怖分子的通讯。

三名前情报官员告诉路透社，斯诺登泄密事件发生后，该机构为此类做法制定了新的规则，以减少曝光和妥协的机会。但参议院情报委员会民主党领袖、参议员罗恩·怀登(Ron Wyden)的助手表示，美国国家安全局甚至在提供新指导方针的要点方面都停滞不前。

Wyden告诉路透：“秘密加密后门是对国家安全和我们家庭安全的威胁--外国黑客或犯罪分子以破坏美国国家安全的方式利用这些后门只是时间问题。”“政府不应该在美国人使用的加密技术中植入秘密后门。”

该机构拒绝透露它是如何更新获得商业产品特殊准入的政策的。美国国家安全局官员说，该机构一直在通过对软件缺陷发出警告等措施来重建与私营部门的信任。

“在NSA，经常评估识别和确定最佳实践的过程是很常见的，”NSA成立一年的网络安全局局长安妮·纽伯格(Anne Neuberger)说。“我们不分享具体的流程和程序。”

三名前情报机构高级人士告诉路透社，NSA现在要求，在寻求后门之前，该机构必须权衡潜在的后果，并安排某种警告，如果后门被对手发现和操纵。

在对隐藏访问的持续追求之际，美国、英国和其他地方的政府正在寻求法律，要求科技公司让政府看到未加密的流量。高度加密的捍卫者说，美国国家安全局在商业产品中安装后门的努力有时是拙劣的，这表明了这种要求的危险。

批评美国国家安全局做法的人士说，这些做法为对手制造了目标，破坏了人们对美国技术的信任，并损害了说服盟国拒绝可能用于间谍活动的中国技术的努力，因为美国的装备也可能被用于此类目的。

据瞻博网络公司(Juniper Networks Inc)称，至少有一次，外国对手能够利用美国情报机构发明的后门。瞻博网络公司在2015年表示，其设备已被入侵。在路透社(Reuters)看到的7月份提交给国会议员的一份此前未报道的声明中，Juniper表示，一个未具名的国家政府已经转换了NSA最先创建的机制。据怀登发言人基思·朱(Keith Chu)称，美国国家安全局在2018年告诉Wyden工作人员，关于Juniper事件和其他事件有一份“吸取的教训”报告。

据路透社(Reuters)和其他媒体报道，NSA寻求了许多进入设备内部的手段，有时达成商业协议，诱使公司插入后门，在其他情况下操纵标准-即通过设定流程，让公司在不知情的情况下采用NSA专家可以破解的软件。

从2013年开始，斯诺登泄露了涉及这些做法的文件，这一策略引起了广泛关注。

后来因达成允许后门访问的交易而被曝光的科技公司，包括安全先驱RSA，失去了信誉和客户。由于客户对美国国家安全局的影响越来越警惕，其他美国公司失去了海外业务。

前白宫网络安全协调员迈克尔·丹尼尔(Michael Daniel)表示：“有各种各样的‘吸取教训’的过程。”斯诺登文件爆发时，丹尼尔正在为当时的总统巴拉克·奥巴马(Barack Obama)提供建议。奥巴马任命的一个特别委员会表示，政府永远不应该“颠覆”或“削弱”科技产品或妥协标准。

丹尼尔和其他人表示，白宫没有公开接受这一建议，而是加强了审查程序，决定是将新发现的软件漏洞用于攻击性网络行动，还是修复这些漏洞，以改善防御。

一名情报界律师表示：“美国国家安全局与所有公司都签订了帮助他们摆脱困境的合同，但这一点受到了极大的保护。”

美国国家安全局方法中固有风险的最明显的例子涉及一个被称为双重椭圆曲线或双重EC的加密系统组件。情报机构与商务部合作，让这项技术被接受为全球标准，但密码学家后来表明，NSA可以利用双重EC访问加密数据。

据路透社2013年报道，RSA接受了一份价值1000万美元的合同，将DUAL EC整合到一个广泛使用的网络安全系统中。RSA公开表示，它不会在知情的情况下安装后门，但其声誉受损，公司被出售。

两年后，Juniper Networks因Dual EC陷入困境。2015年底，这家互联网交换机制造商披露，它在一些防火墙产品中检测到恶意代码。研究人员后来确定，黑客通过改变Juniper的DUAL EC版本，将防火墙变成了他们自己的间谍工具。

Juniper对这一事件几乎没有透露。但根据路透社(Reuters)看到的一条此前未披露的同期消息，该公司在2016年向安全研究员安迪·艾萨克森(Andy Isaacson)承认，作为“客户要求”的一部分，它已经安装了双EC。艾萨克森和其他研究人员认为，Customer是美国政府机构，因为只有美国在其他地方坚持双重EC。

同样，该公司从未确认黑客的身份。但两名熟悉此案的消息人士告诉路透，调查人员得出的结论是中国政府是幕后黑手。他们拒绝详细说明他们使用的证据。

中国政府长期以来一直否认参与任何形式的黑客活动。在给路透社的一份声明中，中国外交部表示，网络空间是“高度虚拟的，很难追踪。在没有完整确凿证据的情况下指责黑客攻击是极其不负责任的行为。同时，我们也注意到，报告中提到是美国情报机构--美国国家安全局--创造了这种后门技术。“。

Wyden仍然决心找出Juniper到底发生了什么，以及自那以来随着加密战争的升温发生了什么变化。

今年7月，Juniper在回答怀登和国会盟友提出的问题时表示，据信有一个身份不明的国家是其防火墙代码遭到黑客攻击的幕后黑手，但该公司从未调查过为什么要首先安装双EC。此前，Juniper在回应怀登和国会盟友的问题时表示，该公司的防火墙代码遭到黑客攻击，但据信是一个身份不明的国家。

它在7月份的一封信中表示：“我们了解到，关于是否以及如何向政府提供访问加密内容的权限，存在着一场激烈的政策辩论。”“Juniper不会也不会在其产品中插入后门，我们反对任何强制要求后门的立法。”

美国国家安全局一名前高级官员告诉路透社，许多科技公司仍然对与政府秘密合作感到紧张。但这位知情人士说，这些机构的努力仍在继续，因为特殊访问被认为太有价值了，不能放弃。