美国Harris公司拥有一款监听设备Stingray,迄今为止已经在执法机构使用了15年。该公司和美国警察机构通力协作,致力于监听公众的手机通信内容。偶然间,我们拿到了Harris公司产品的部分说明手册。在这大约200页的内容里,详细介绍了如何打造一个强大的监控网。
Harris产品带来的隐私问题
Harris公司以六位数的低价销售设备,一直试图普及他们的产品。这些潜伏在隐私维权人士和普通大众之间的东西,据说有助于警方逮捕罪犯。去年在新闻网TheBlot.com 发布的一份基于美国信息自由法案的老版本手册,现在基本已经被重新修订。美国各地和各级执法机构,都在避谈这些强大工具使用的理由和方式,虽然法院的 诸多 诉讼战已经表明,Stingray通常在部署时没有任何隐私保障。比如说,在San Bernardino Sheriff的国家治安部门,就曾通过Stingray进行了300次 以上无正当理由的检查。
国际隐私技术专家Richard Tynan告诉我们,这次发布的手册提供了最新的图解操作指导。而Stingray以及同类的监控软件,它们强大的功能已经威胁到了公民自由/通信基础设施以及国家的安全。他指出,Stingray II的使用手册里面显示,它可以同时模拟四个蜂窝通信塔,监控四个蜂窝运营商网络,借助插件还可以同时操作2/3/4G网络。
Tynan在某一封邮件中写道:
“有些普通公民的隐私权,可能在无意中会被这样的设备所侵害。
随着越来越多的基础设施/房屋/环境/交通工具通过无线接入到网络,这些监控技术将对公共安全构成造成巨大的威胁。”
此外Tynan补充道,Harris出品的软件不仅仅很强大,而且操作也是相对便捷的。任何拥有一点点计算机知识的法律机构人员,都可以尝试用它进行监控。
StingRay以及其他Harris产品
StingRay II的应用非常广泛,而且似乎并没有技术可以防范它的滥用。它还能让操作员对虚拟化的蜂窝信号塔进行多样化的配置。有一款用来控制Harris监控设备的windows软件叫做Gemini,它允许警察追踪在2G/3G/LTE网络下的手机。Gemini还可以对网络数据进行记录和分析,一旦检测到目标用户发出了通讯消息,Gemini就会通知操作员。但是我们回过头来想想,又有多少无辜的公众在这个过程中泄露了私密的通讯内容呢?
同时Tynan也提出了质疑,他认为Stingrays很可能扰乱现有的通讯基础设施,包括现有的蜂窝信号塔。
虽然Harris公司对此拒绝置评,但他们在2014年给联邦通信委员会的一封信里,认为如果给使用者的手册按照美国信息自由法案的规定去发布的话,将有损公司的市场竞争力,犯罪分子和恐怖分子也会提前获知信息然后做好反监听的措施。但是,Stingrays其实大部分时候是在 监控低端的大麻贩子和其他国内的目标,而不是基地组织这种级别的庞然大物。
当时电子前沿基金会在12月份表示:
“原谅我真的想不出在什么情况下,警察机构能通过基站模拟器来找到恐怖分子。”
大家可能知道,美国国安局曾使用类Stingrays的设备去定位可疑的恐怖分子,该系统称之为Gilgamesh。然而,美国民权同盟的一名律师Nathan Wessler表示,公众最有效的自我保护对策,可能只有关掉手机或把手机扔家里,我们很难理解政府和企业为啥要发布这样可能对公众造成伤害的工具和手册。同时Wessler建议,对于公众在这项技术上的抵触情绪,立法者和法官可以适当监督设备的使用,保障人民的隐私权利。
Stingray几乎已经成为了这类设备的统称,它们通常被归类为“IMSI捕捉器”。手册里还包含了对其他Harris监控产品(包括Hailstorm/ArrowHead/AmberJack/KingFish)的介绍,里面描述了这些设备以及Stingray II,在监控手机/跟踪定位以及捕获通讯信息等一系列的功能。Wessler还在手册中做出补充,设备还会永久储存指定的数据,过去某些美国执法部门对此是矢口否认的。
Harris旗下有一款软件叫做iDen Controller,它则为跟踪手机提供了一系列的功能。执法机构使用这些软件配合上Harris的硬件,不仅可以追踪到大量移动手机用户,而且可以在此后指定手机进行追踪。此外,iDEN手册里还描述了如何操作iDEN,这在156页的内容里约占了4页的篇幅。
这些文档中还显示,警察们实行批量监控是一件非常简单的事。Gemini快速入门手册有54页,其中包含了一整章来讲述如何记录基站(BTS)和移动用户(MS)之间的通信。但是,里面没有提到什么样的元数据或者内容,会被写入这样的记录里。
为了保持对目标手机的长期监控,Harris的软件还提供了网络降级或重定向的功能,比如可以将别人的LTE网络降级为2G。
安装一个完整的监控套件比安装skype还要容易,如MS office和PS等软件还需要注册或者其他认证KEY,这可要比安装监控软件麻烦得多。
Tynan 表示:
“虽然说这个设备用于美国执法部门的背景,但也可能被外国特工使用来针对美国公众和政府。对于我们普通民众来讲,则是一个对个人手机和移动网络的蛮横性侵入手段,难以被大家所接受。”