網(wǎng)絡(luò)安全領(lǐng)域有一個(gè)公開(kāi)的秘密：某些互聯(lián)網(wǎng)服務(wù)提供商(ISP)會(huì)違規(guī)將計(jì)算機(jī)之間進(jìn)行通信的詳細(xì)信息泄露給不法機(jī)構(gòu)，然后不法機(jī)構(gòu)將該數(shù)據(jù)的訪問(wèn)權(quán)出售給第三方。

這些被兜售的信息稱為Netflow(網(wǎng)絡(luò)流量)數(shù)據(jù)，盡管數(shù)字取證調(diào)查人員可以使用這類數(shù)據(jù)來(lái)識(shí)別黑客正在使用的服務(wù)器，或者在數(shù)據(jù)被盜時(shí)跟蹤數(shù)據(jù)，但一位熟悉Netflow數(shù)據(jù)的消息人士表示：“Netflow數(shù)據(jù)的商業(yè)變現(xiàn)正變成一條通往黑暗的道路。”

[[420085]]

Netflow是網(wǎng)絡(luò)流量的元數(shù)據(jù)，可以創(chuàng)建流量圖。它可以顯示哪臺(tái)服務(wù)器與另一臺(tái)服務(wù)器通信，這些信息通常只對(duì)服務(wù)器所有者或承載流量的ISP可用。這些數(shù)據(jù)還可用于跟蹤VPN流量，后者用于掩蓋某人從何處連接到服務(wù)器，進(jìn)而掩蓋其大致物理位置。

消息人士稱，威脅情報(bào)公司Team Cymru與ISP合作訪問(wèn)Netflow數(shù)據(jù)。參議員Ron Wyden 辦公室的通訊主管Keith Chu一直在對(duì)敏感數(shù)據(jù)的銷售進(jìn)行獨(dú)立調(diào)查，他透露，Cymru團(tuán)隊(duì)告訴辦公室“它從第三方獲取Netflow數(shù)據(jù)以換取威脅情報(bào)。”

Team Cymru的Netflow數(shù)據(jù)買家包括受雇應(yīng)對(duì)數(shù)據(jù)泄露或主動(dòng)追捕黑客的網(wǎng)絡(luò)安全公司。在其網(wǎng)站上，Cymru團(tuán)隊(duì)表示，他們與公共和私營(yíng)部門(mén)安全團(tuán)隊(duì)合作，幫助識(shí)別、跟蹤和阻止網(wǎng)絡(luò)空間和物理空間的不良行為者。

敏感數(shù)據(jù)的持續(xù)銷售可能會(huì)帶來(lái)其自身的隱私和安全問(wèn)題，并且ISP可能在未經(jīng)其用戶知情同意的情況下向第三方大規(guī)模提供這些數(shù)據(jù)。用戶幾乎不知道他們的數(shù)據(jù)被提供給了Team Cymru，也不知道后者正在出售對(duì)這些數(shù)據(jù)的訪問(wèn)權(quán)。

Chu表示：“Cymru團(tuán)隊(duì)的客戶可以查詢數(shù)據(jù)集，并可以有效地查詢幾乎任何IP，以及給定的時(shí)間段中進(jìn)出該IP的網(wǎng)絡(luò)流量。”Team Cymru則表示：“它限制了返回的數(shù)據(jù)量，因此任何一個(gè)客戶端只能訪問(wèn)其netflow數(shù)據(jù)庫(kù)中的一小部分?jǐn)?shù)據(jù)。”

在產(chǎn)品描述中，Team Cymru為用戶提供了跟蹤VPN流量的能力。“通過(guò)跟蹤十幾個(gè)或更多代理和VPN中的惡意活動(dòng)，可以確定網(wǎng)絡(luò)威脅的來(lái)源。”Team Cymru 的Pure Signal Recon的產(chǎn)品手冊(cè)寫(xiě)道。從本質(zhì)上講，訪問(wèn)netflow數(shù)據(jù)可以讓安全團(tuán)隊(duì)觀察更廣泛的互聯(lián)網(wǎng)上正在發(fā)生的事情，并可以觀測(cè)到其他組織正在發(fā)生的事情，而這些已經(jīng)超出他們自己的網(wǎng)絡(luò)或公司邊界。其中一位消息人士表示，他們之前在Team Cymru的數(shù)據(jù)集中看到了一個(gè)來(lái)自他認(rèn)識(shí)的組織的流量。

“netflow數(shù)據(jù)的可見(jiàn)性和洞察力是全球性的。”描述補(bǔ)充道。宣傳冊(cè)中的一張圖片展示了 Team Cymru的產(chǎn)品，它讓用戶可以比其他數(shù)據(jù)集(例如DNS查詢)更深入地跟蹤與伊朗黑客組織相關(guān)聯(lián)的服務(wù)器活動(dòng)。

(來(lái)源：TEAM CYMRU 的 PURE SIGNAL RECON 產(chǎn)品介紹資料)

在最近對(duì)一家名為 Candiru 的以色列間諜軟件供應(yīng)商的研究報(bào)告中，Citizen Lab 對(duì) Team Cymru 公開(kāi)表示感謝：“感謝 Team Cymru 提供對(duì)他們 Pure Signal Recon 產(chǎn)品的訪問(wèn)。他們的工具能夠顯示過(guò)去三個(gè)月的互聯(lián)網(wǎng)流量遙測(cè)數(shù)據(jù)，為我們從 Candiru 的基礎(chǔ)設(shè)施中識(shí)別最初的受害者提供了突破信息，”報(bào)告中寫(xiě)道。

Team Cymru 沒(méi)有回應(yīng)多家媒體的置評(píng)請(qǐng)求，這些請(qǐng)求涉及哪些 ISP 向其提供數(shù)據(jù)、圍繞此類數(shù)據(jù)的收集和分發(fā)采取了哪些隱私保護(hù)措施，以及各個(gè) ISP 用戶是否已同意共享其數(shù)據(jù)。

Palo Alto Networks 威脅通信主管 Jim Finkle 也在一封電子郵件聲明中表示，“Palo Alto Networks可以為企業(yè)客戶提供進(jìn)出他們自己網(wǎng)絡(luò)的 Netflow 數(shù)據(jù)，以識(shí)別違反安全策略、安全監(jiān)控漏洞和其他高風(fēng)險(xiǎn)客戶網(wǎng)絡(luò)上的活動(dòng)。” 但Palo Alto Networks 拒絕透露它從哪些 ISP 獲取數(shù)據(jù)，或者是否直接從 ISP 購(gòu)買數(shù)據(jù)。

ISP Cogent Communications 的首席執(zhí)行官戴夫·謝弗 (Dave Schaeffer) 表示，該公司處理著全球約 22% 的互聯(lián)網(wǎng)流量，但作為一家 ISP，他的公司不會(huì)向任何人提供他們的網(wǎng)絡(luò)流量數(shù)據(jù)。

“從根本上說(shuō)，人們有一定程度的匿名權(quán)，作為運(yùn)營(yíng)商，以任何形式竊聽(tīng)不是我們的工作，”他在電話中說(shuō)。Schaeffer 表示，Cogent 96% 的流量來(lái)自向大型批發(fā)客戶銷售產(chǎn)品，例如 Vodafone、Cox、Spectrum 和 BT。Schaeffer 說(shuō) Cogent 為 Team Cymru 提供服務(wù)，但不與該公司共享 Netflow 數(shù)據(jù)。

“我不知道人們是否可以用 (netflow)數(shù)據(jù)做很多真正有用的事情，”他補(bǔ)充道。“但如果這些數(shù)據(jù)可被獲取，我可能會(huì)想到一些不好的事情。”有安全人士同時(shí)表示，盡管Team Cymru “也使安全組織能夠做一些非常棒的工作。但我擔(dān)心出于商業(yè)目提供 netflow 數(shù)據(jù)會(huì)是一條通往黑暗的道路。”

不僅僅是netflow，大量互聯(lián)網(wǎng)公司和網(wǎng)絡(luò)安全公司也在出售有爭(zhēng)議的數(shù)據(jù)集。例如一家名為 HYAS 的公司如何采購(gòu)智能手機(jī)位置數(shù)據(jù)，以追蹤人們的行蹤。而智能手機(jī)上的大量APP都可能在采集敏感隱私數(shù)據(jù)，然后在用戶不知情或未授意的情況下將其出售給第三方。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文