“我們當(dāng)時(shí)就覺(jué)得很可疑，”M女士指著一封匿名郵件說(shuō)，這封郵件是2014年她和她的幾個(gè)記者同事同時(shí)收到的。郵件里說(shuō)現(xiàn)在有一個(gè)關(guān)于政府丑聞的線索，但是M女士怎么也沒(méi)看明白。不久，她的電腦就開(kāi)始出現(xiàn)奇怪的問(wèn)題。“我清楚地記得我當(dāng)時(shí)要做一個(gè)關(guān)于酷刑的采訪，但卻連不上Skype，”她說(shuō)，“我的電腦好像受到了干擾，于是只好借別人的電話(huà)用。”

隨后M女士將這封郵件轉(zhuǎn)給了安全專(zhuān)家，她才得知，她和她的同事都被遠(yuǎn)程控制系統(tǒng)（RCS）操控了，這是由意大利公司Hacking Team開(kāi)發(fā)的一款黑客軟件。不久后，M女士或許會(huì)發(fā)現(xiàn)，操縱這款軟件攻擊她的，正是她的政府，這大約是她舉報(bào)時(shí)不曾想到的。因?yàn)楹ε聢?bào)復(fù)，M女士要求不公開(kāi)姓名。

M女士只是被RCS攻擊的千萬(wàn)人之一，而購(gòu)買(mǎi)這款軟件的，有情報(bào)機(jī)構(gòu)，也有政府執(zhí)法部門(mén)。未來(lái)，當(dāng)政府和警察局也開(kāi)始越來(lái)越多地使用這樣的工具后，我們要擔(dān)心的就不只是犯罪分子和反對(duì)政府的人了。

在最近發(fā)生的巴黎恐襲事件后，像CIA局長(zhǎng)John Brennan和紐約市警察局長(zhǎng)Bill Bratton這樣的一干人，就開(kāi)始抱怨加密技術(shù)對(duì)常規(guī)搜查和監(jiān)管工作的妨礙。歐洲一些官方機(jī)構(gòu)也表達(dá)了類(lèi)似的觀點(diǎn)，而這種觀點(diǎn)很可能會(huì)讓RCS銷(xiāo)量大漲，因?yàn)镽CS正是Hacking Team視為攻克加密術(shù)的絕佳方案。其他像Hacking Team一樣的企業(yè)同樣也會(huì)得益。熟悉這家公司業(yè)務(wù)的專(zhuān)家說(shuō)，Hacking Team是做黑客工具的同類(lèi)公司中最出色的，他們的產(chǎn)品使得黑客技術(shù)不再是情報(bào)機(jī)構(gòu)的專(zhuān)利，連普通的地方警察局都能使用。

現(xiàn)在我們所知道的是，當(dāng)Hacking Team的產(chǎn)品被日益廣泛地使用，這種行為也越來(lái)越受到技術(shù)、道德以及法律層面的考量。當(dāng)越來(lái)越多的執(zhí)法部門(mén)也成為他們的用戶(hù)，濫用的問(wèn)題就開(kāi)始浮現(xiàn)。“在FBI、州政府和地方政府的執(zhí)法部門(mén)也操練起黑客技術(shù)之前，我們非常有必要來(lái)討論下，這些監(jiān)控工具到底應(yīng)該如何使用。”美國(guó)人權(quán)協(xié)會(huì)的核心技術(shù)員Christopher Soghoian說(shuō)。

“黑客軸心”

Hacking Team由現(xiàn)任CEO David Vincenzetti創(chuàng)立于2003年，起初更像是一家傳統(tǒng)的網(wǎng)絡(luò)安全公司。Hacking Team孵化于上世紀(jì)90年代一個(gè)由密碼專(zhuān)家和業(yè)余愛(ài)好者組成的社區(qū)，Wikileaks的朱利安·阿桑奇也誕生于此。當(dāng)時(shí)一些公司請(qǐng)Hacking Team來(lái)測(cè)試他們的計(jì)算機(jī)網(wǎng)絡(luò)并找出弱點(diǎn)，而這批最早的顧客就包括德意志銀行和巴克萊銀行。

然而幾年后，Vincenzetti就將公司的業(yè)務(wù)重心由“防御”轉(zhuǎn)向“攻擊”。Hacking Team開(kāi)始出售可以侵入他人電腦并盜取數(shù)據(jù)的軟件，而他們最主要的產(chǎn)品就是RCS，也就是黑客用來(lái)攻擊M女士的工具。

RCS既可攻擊PC，也可攻擊移動(dòng)設(shè)備。它可以從被攻擊者的硬盤(pán)上拷貝文件，竊取Skype通話(huà)和信息，在郵件加密前偷看郵件，獲取用戶(hù)在瀏覽器中輸入的密碼，甚至是打開(kāi)麥克風(fēng)和攝像頭對(duì)直接本人進(jìn)行監(jiān)視。

這種程序利用系統(tǒng)或其他軟件的安全漏洞入侵設(shè)備，而獲知漏洞的途徑，要么是Hacking Team自己去發(fā)掘，要么是由付錢(qián)給第三方公司換取情報(bào)。在M女士的案件中，RCS就是通過(guò)附帶惡意程序的郵件侵入電腦，此外，派人直接秘密將軟件拷到設(shè)備上也是一種入侵方式。還有些客戶(hù)是這樣使用RCS的:由一家網(wǎng)絡(luò)服務(wù)供應(yīng)商為他們安裝一款叫做Network Injection Appliance的設(shè)備，然后通過(guò)將攻擊對(duì)象引向一個(gè)釣魚(yú)頁(yè)面，把RCS偷偷裝入對(duì)方系統(tǒng)。顧客會(huì)就軟件本身、幫助他們和Hacking Team保持聯(lián)系的代理服務(wù)以及Hacking Team所做的調(diào)查向其支付報(bào)酬，同時(shí)他們也可以獲得全面的技術(shù)支持。“Hacking Team創(chuàng)造的額外價(jià)值就在于提供咨詢(xún)培訓(xùn)，讓不懂電腦的人都可以輕松成為代理，”國(guó)際隱私機(jī)構(gòu)長(zhǎng)期關(guān)注監(jiān)控領(lǐng)域的研究員Edin Omanovic說(shuō)。

意大利政府機(jī)構(gòu)是RCS的早期用戶(hù)，而最早的攻擊對(duì)象就是黑手黨老大。但是Hacking Team很快擴(kuò)張，走出了本地市場(chǎng)，他們用浮夸的視頻廣告告訴顧客，他們的拿手好戲就是“攻克加密術(shù)、獲取有用數(shù)據(jù)”。

2006年，Hacking Team和西班牙情報(bào)機(jī)構(gòu)CNI簽約，兩年后新加坡、匈牙利的情報(bào)機(jī)構(gòu)也緊隨其后。不久前，沙特阿拉伯、墨西哥、埃及、蘇丹、俄羅斯、哈薩克斯坦都給本國(guó)的安全機(jī)構(gòu)購(gòu)買(mǎi)了Hacking Team的產(chǎn)品。FBI和其他美國(guó)政府機(jī)構(gòu)也購(gòu)買(mǎi)了RCS的使用許可。還有一大批地方警察局，甚至高校的保安部門(mén)都請(qǐng)Hacking Team來(lái)展示他們的產(chǎn)品。新聞?wù){(diào)查組織MuckRock通過(guò)《信息自由法案》獲取的郵件顯示，弗洛里達(dá)州一個(gè)普通的警察局在看了Hacking Team的展示之后，認(rèn)為如果不使用RCS，他們簡(jiǎn)直都“活不下去”，盡管這家警察局后來(lái)也沒(méi)有購(gòu)買(mǎi)Hacking Team的產(chǎn)品。

然而，Hacking Team某些客戶(hù)使用RCS的方式，已經(jīng)開(kāi)始引來(lái)爭(zhēng)議。2012年，一直以來(lái)關(guān)注計(jì)算機(jī)安全對(duì)人權(quán)影響的多倫多大學(xué)公民實(shí)驗(yàn)室發(fā)現(xiàn)，Hacking Team的軟件被阿拉伯聯(lián)合酋長(zhǎng)國(guó)政府用來(lái)攻擊政見(jiàn)不同者的個(gè)人計(jì)算機(jī)，埃塞俄比亞政府則侵入了在美國(guó)工作的記者的電腦。“我們發(fā)現(xiàn)了許多骯臟的勾當(dāng)，”為公民實(shí)驗(yàn)室撰寫(xiě)了數(shù)份報(bào)告的安全研究員Claudio Guarnieri說(shuō)。

今年7月，Hacking Team終于把自己也搭了進(jìn)去，黑客曝光了Hacking Team及其顧客的許多內(nèi)幕。一份日期為2015年5月的電子表格顯示，自2008年以來(lái)，至少有6,550臺(tái)獨(dú)立設(shè)備（包括手機(jī)和電腦）遭到RCS攻擊。Hacking Team總共將設(shè)備賣(mài)給了70多個(gè)客戶(hù)，政府部門(mén)也包括其中，而且為Hacking Team帶去了超過(guò)4000萬(wàn)歐元（大約4400萬(wàn)美元）的收入。

但是內(nèi)幕被曬到網(wǎng)上似乎也沒(méi)對(duì)Hacking Team造成多大影響，也沒(méi)有客戶(hù)公開(kāi)宣布與公司決裂。“客戶(hù)都選擇和我們站在一起，我想是因?yàn)樗麄兛吹搅宋覀儙?lái)的價(jià)值，以及我們產(chǎn)品的優(yōu)越性，”公司發(fā)言人Eric Rabe說(shuō)。（CEO Vincenzetti拒絕接受采訪。）

不過(guò)Hacking Team面臨的競(jìng)爭(zhēng)也很激烈，除了小型的黑客工作坊，還要應(yīng)對(duì)大型的政府承包商。伽瑪國(guó)際（Gamma International）是一家在德國(guó)和英國(guó)都設(shè)有辦事處的公司，他們提供的產(chǎn)品FinFisher和RCS十分類(lèi)似，已經(jīng)被澳大利亞、比利時(shí)和意大利的政府機(jī)構(gòu)購(gòu)買(mǎi)。FinFisher還被巴林島政府用來(lái)攻擊激進(jìn)主義分子，根據(jù)國(guó)際隱私組織的報(bào)道，它還被烏干達(dá)政府用來(lái)勒索政敵。和Hacking Team一樣，伽瑪國(guó)際在2014年也遭到黑客攻擊，內(nèi)部文件同樣被曝光，但公司照樣也是全身而退。公民實(shí)驗(yàn)室報(bào)道，伽瑪國(guó)際的顧客甚至反而增加了。

Omanovic說(shuō)，據(jù)他所知，大約還有16家公司在銷(xiāo)售和Hacking Team類(lèi)似的產(chǎn)品。在我們采訪他前兩周，他剛剛發(fā)現(xiàn)了一家以色列公司，兩個(gè)月前發(fā)現(xiàn)的則是南非的一家公司。公民實(shí)驗(yàn)室研究員Guarnieri認(rèn)為，這類(lèi)公司恐怕還有更多。“就業(yè)務(wù)規(guī)模和客戶(hù)數(shù)量來(lái)看，還有一些重量級(jí)的公司沒(méi)有被發(fā)現(xiàn)，”他說(shuō)，“他們不怎么受到關(guān)注，但或許正是因此他們才能好過(guò)。”

不受約束的權(quán)力

在美國(guó)，像RCS這樣的軟件如果想要獲取個(gè)人數(shù)據(jù)，那么必須服從憲法第四修正案及刑事案件的有關(guān)規(guī)定，這意味著FBI如果要黑你的電腦，也必須要先獲得許可。但是，美國(guó)司法部卻在設(shè)法扭曲有關(guān)獲取“遠(yuǎn)程”搜查許可的法律規(guī)定，此舉同時(shí)遭到了美國(guó)公民自由聯(lián)盟和谷歌的反對(duì)，稱(chēng)這將導(dǎo)致權(quán)力的濫用。

每當(dāng)新型的監(jiān)控技術(shù)可用時(shí)，它們總是在沒(méi)有任何管制之前，就被警察利用起來(lái)了。在美國(guó)，Stingrays——一種可以從一定區(qū)域內(nèi)的手機(jī)上搜刮信息的設(shè)備早已普及開(kāi)來(lái)。比如洛杉磯附近圣貝納迪諾城的警察局，在沒(méi)有任何許可的情況下，僅僅2年內(nèi)就使用這款設(shè)備超過(guò)300次?？梢?jiàn)這個(gè)問(wèn)題由來(lái)已久，只是在最近才被重視起來(lái)，現(xiàn)在，F(xiàn)BI使用Stingrays也需要獲取許可，地方政府也將逐漸受到法律的約束。之所以這樣做，是因?yàn)楹诳凸ぞ吆苋菀妆粸E用，而其威力和危害都遠(yuǎn)大于警察目前所使用的監(jiān)控技術(shù)。

美國(guó)公民自由協(xié)會(huì)的技術(shù)員Soghoian認(rèn)為，公眾及政界必須盡快對(duì)黑客工具的威力及其逐漸廣泛的使用進(jìn)行討論。“我覺(jué)得，如果知道政府可以劫持電腦或手機(jī)上攝像頭（在提示燈不亮的情況下），或者遠(yuǎn)程開(kāi)啟麥克風(fēng)，許多美國(guó)人都會(huì)大吃一驚，”他說(shuō)。

但是，美國(guó)議會(huì)或者其他西方國(guó)家的任何類(lèi)似機(jī)構(gòu)，都不可能發(fā)起Soghoian所說(shuō)的這樣一場(chǎng)討論。最近，在遭到伊斯蘭國(guó)及其同情者的襲擊后，一些政府只會(huì)更加迫切地希望將他們的情報(bào)機(jī)構(gòu)和執(zhí)法部門(mén)武裝起來(lái)。而一些企圖限制人權(quán)記錄很差的國(guó)家購(gòu)買(mǎi)RCS這類(lèi)工具的嘗試，也步步維艱。2013年下半年，美國(guó)與其他40個(gè)國(guó)家簽訂的武器管制條約《瓦森納協(xié)定》更新了內(nèi)容，限制了部分國(guó)家政府引入監(jiān)控技術(shù)。但是相關(guān)規(guī)定卻在美國(guó)遭到了擱置，一群安全研究員抗議說(shuō)這些規(guī)定過(guò)于寬泛，反而會(huì)妨礙保障網(wǎng)絡(luò)安全的必要工作。

黑客工具的提供商、國(guó)家情報(bào)機(jī)構(gòu)和犯罪組織或許也會(huì)開(kāi)個(gè)會(huì)研究下如何抵制這些條約。Hacking Team被曝光的郵件顯示，意大利政府出于人權(quán)考慮禁止RCS出口后，該公司人員與軍方官員進(jìn)行了接洽，禁令很快就解除了。

Guarnieri擔(dān)心的事情是，我們可能會(huì)在渾渾噩噩中走向一個(gè)可以隨意買(mǎi)賣(mài)黑客工具的世界。“如果10年內(nèi)意大利出現(xiàn)了50個(gè)Hacking Team……他們不斷地破壞操作系統(tǒng)的安全性，不斷使安全軟件失去意義，那么我們就會(huì)面臨一堆永遠(yuǎn)無(wú)法解決的問(wèn)題，因?yàn)榈侥菚r(shí)，這些事情都是合法的了，”他說(shuō)。

我們似乎站在一個(gè)十字路口，而社會(huì)對(duì)監(jiān)控似乎還處于無(wú)感狀態(tài)，也就談不上該選擇哪條道路了。即使是生活在人權(quán)狀況較好的地區(qū)的人，也難逃這種現(xiàn)象帶來(lái)的陰暗面。像M女士這樣的人，只因說(shuō)出了政府不愿面對(duì)的事實(shí)，就遭到攻擊，恐怕只能期望像Hacking Team這樣的公司能對(duì)自己的客戶(hù)有所篩選。

Hacking Team發(fā)言人Rabe是這樣看的：“社會(huì)總是期待執(zhí)法部門(mén)來(lái)履行監(jiān)控嫌疑人的職能，使得人們可以不受詐騙、偷竊、人身攻擊、恐怖主義以及其他犯罪行為的傷害，”他在一份申明中說(shuō)道，“而Hacking Team只會(huì)向政府提供我們的產(chǎn)品，同時(shí)配以恰當(dāng)?shù)谋Ｗo(hù)措施，使得罪犯和恐怖分子用以對(duì)抗我們的加密技術(shù)變得不堪一擊。”

但是安全研究員們并不買(mǎi)賬。“我相信是有公司可以負(fù)責(zé)任地出售他們的黑客方案，”公民實(shí)驗(yàn)室的資深研究員Bill Marczak說(shuō)，“但是這樣一家公司會(huì)不會(huì)有顧客，我就不知道了。”