網(wǎng)絡(luò)安全領(lǐng)域有一個公開的秘密：某些互聯(lián)網(wǎng)服務(wù)提供商(ISP)會違規(guī)將計算機之間進行通信的詳細信息泄露給不法機構(gòu)，然后不法機構(gòu)將該數(shù)據(jù)的訪問權(quán)出售給第三方。

這些被兜售的信息稱為Netflow(網(wǎng)絡(luò)流量)數(shù)據(jù)，盡管數(shù)字取證調(diào)查人員可以使用這類數(shù)據(jù)來識別黑客正在使用的服務(wù)器，或者在數(shù)據(jù)被盜時跟蹤數(shù)據(jù)，但一位熟悉Netflow數(shù)據(jù)的消息人士表示：“Netflow數(shù)據(jù)的商業(yè)變現(xiàn)正變成一條通往黑暗的道路。”

[[420085]]

Netflow是網(wǎng)絡(luò)流量的元數(shù)據(jù)，可以創(chuàng)建流量圖。它可以顯示哪臺服務(wù)器與另一臺服務(wù)器通信，這些信息通常只對服務(wù)器所有者或承載流量的ISP可用。這些數(shù)據(jù)還可用于跟蹤VPN流量，后者用于掩蓋某人從何處連接到服務(wù)器，進而掩蓋其大致物理位置。

消息人士稱，威脅情報公司Team Cymru與ISP合作訪問Netflow數(shù)據(jù)。參議員Ron Wyden 辦公室的通訊主管Keith Chu一直在對敏感數(shù)據(jù)的銷售進行獨立調(diào)查，他透露，Cymru團隊告訴辦公室“它從第三方獲取Netflow數(shù)據(jù)以換取威脅情報。”

Team Cymru的Netflow數(shù)據(jù)買家包括受雇應(yīng)對數(shù)據(jù)泄露或主動追捕黑客的網(wǎng)絡(luò)安全公司。在其網(wǎng)站上，Cymru團隊表示，他們與公共和私營部門安全團隊合作，幫助識別、跟蹤和阻止網(wǎng)絡(luò)空間和物理空間的不良行為者。

敏感數(shù)據(jù)的持續(xù)銷售可能會帶來其自身的隱私和安全問題，并且ISP可能在未經(jīng)其用戶知情同意的情況下向第三方大規(guī)模提供這些數(shù)據(jù)。用戶幾乎不知道他們的數(shù)據(jù)被提供給了Team Cymru，也不知道后者正在出售對這些數(shù)據(jù)的訪問權(quán)。

Chu表示：“Cymru團隊的客戶可以查詢數(shù)據(jù)集，并可以有效地查詢幾乎任何IP，以及給定的時間段中進出該IP的網(wǎng)絡(luò)流量。”Team Cymru則表示：“它限制了返回的數(shù)據(jù)量，因此任何一個客戶端只能訪問其netflow數(shù)據(jù)庫中的一小部分數(shù)據(jù)。”

在產(chǎn)品描述中，Team Cymru為用戶提供了跟蹤VPN流量的能力。“通過跟蹤十幾個或更多代理和VPN中的惡意活動，可以確定網(wǎng)絡(luò)威脅的來源。”Team Cymru 的Pure Signal Recon的產(chǎn)品手冊寫道。從本質(zhì)上講，訪問netflow數(shù)據(jù)可以讓安全團隊觀察更廣泛的互聯(lián)網(wǎng)上正在發(fā)生的事情，并可以觀測到其他組織正在發(fā)生的事情，而這些已經(jīng)超出他們自己的網(wǎng)絡(luò)或公司邊界。其中一位消息人士表示，他們之前在Team Cymru的數(shù)據(jù)集中看到了一個來自他認識的組織的流量。

“netflow數(shù)據(jù)的可見性和洞察力是全球性的。”描述補充道。宣傳冊中的一張圖片展示了 Team Cymru的產(chǎn)品，它讓用戶可以比其他數(shù)據(jù)集(例如DNS查詢)更深入地跟蹤與伊朗黑客組織相關(guān)聯(lián)的服務(wù)器活動。

(來源：TEAM CYMRU 的 PURE SIGNAL RECON 產(chǎn)品介紹資料)

在最近對一家名為 Candiru 的以色列間諜軟件供應(yīng)商的研究報告中，Citizen Lab 對 Team Cymru 公開表示感謝：“感謝 Team Cymru 提供對他們 Pure Signal Recon 產(chǎn)品的訪問。他們的工具能夠顯示過去三個月的互聯(lián)網(wǎng)流量遙測數(shù)據(jù)，為我們從 Candiru 的基礎(chǔ)設(shè)施中識別最初的受害者提供了突破信息，”報告中寫道。

Team Cymru 沒有回應(yīng)多家媒體的置評請求，這些請求涉及哪些 ISP 向其提供數(shù)據(jù)、圍繞此類數(shù)據(jù)的收集和分發(fā)采取了哪些隱私保護措施，以及各個 ISP 用戶是否已同意共享其數(shù)據(jù)。

Palo Alto Networks 威脅通信主管 Jim Finkle 也在一封電子郵件聲明中表示，“Palo Alto Networks可以為企業(yè)客戶提供進出他們自己網(wǎng)絡(luò)的 Netflow 數(shù)據(jù)，以識別違反安全策略、安全監(jiān)控漏洞和其他高風(fēng)險客戶網(wǎng)絡(luò)上的活動。” 但Palo Alto Networks 拒絕透露它從哪些 ISP 獲取數(shù)據(jù)，或者是否直接從 ISP 購買數(shù)據(jù)。

ISP Cogent Communications 的首席執(zhí)行官戴夫·謝弗 (Dave Schaeffer) 表示，該公司處理著全球約 22% 的互聯(lián)網(wǎng)流量，但作為一家 ISP，他的公司不會向任何人提供他們的網(wǎng)絡(luò)流量數(shù)據(jù)。

“從根本上說，人們有一定程度的匿名權(quán)，作為運營商，以任何形式竊聽不是我們的工作，”他在電話中說。Schaeffer 表示，Cogent 96% 的流量來自向大型批發(fā)客戶銷售產(chǎn)品，例如 Vodafone、Cox、Spectrum 和 BT。Schaeffer 說 Cogent 為 Team Cymru 提供服務(wù)，但不與該公司共享 Netflow 數(shù)據(jù)。

“我不知道人們是否可以用 (netflow)數(shù)據(jù)做很多真正有用的事情，”他補充道。“但如果這些數(shù)據(jù)可被獲取，我可能會想到一些不好的事情。”有安全人士同時表示，盡管Team Cymru “也使安全組織能夠做一些非常棒的工作。但我擔(dān)心出于商業(yè)目提供 netflow 數(shù)據(jù)會是一條通往黑暗的道路。”

不僅僅是netflow，大量互聯(lián)網(wǎng)公司和網(wǎng)絡(luò)安全公司也在出售有爭議的數(shù)據(jù)集。例如一家名為 HYAS 的公司如何采購智能手機位置數(shù)據(jù)，以追蹤人們的行蹤。而智能手機上的大量APP都可能在采集敏感隱私數(shù)據(jù)，然后在用戶不知情或未授意的情況下將其出售給第三方。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文