美国总统签署行政令,限制联邦政府机构使用商业监控软件
编译:代码卫士
该行政令指出,监控软件生态系统“对美国政府施加了重大的反间谍或安全风险,或因外国政府或外国人的不当使用对其造成重大风险”。该行政令旨在确保政府对这类工具的使用“符合法律、人权和国家秩序和价值的要求”。
为此,该行政令列出多项关于商业监控软件的标准,如符合,则不应由政府机构使用,它们包括:
外国政府或外国人购买商业监控软件攻击美国政府
商业监控软件厂商,未经授权使用或披露获取自网络监控工具的敏感数据,以及在受参与美国间谍活动的外国政府的控制下运营。
外国威胁行动者使用商业监控软件攻击活动家和异见人士,目的是限制表达自由或者滥用人权。
外国威胁行动者使用商业监控软件在未经法律授权、保障和监督的情况下,监控美国公民;以及
向具有系统参与政治压迫和侵犯人权历史的政府出售商业监控软件。
白宫发布声明称,“该行政令将成为深化国际合作,提倡负责任使用监控技术、打击发展和滥用此类技术以及促进行业改革的基础。”
《华尔街日报》报道称,迄今为止,在至少10个国家中身居高位的约50名美国政府官员受此类监控软件感染或攻击,而这一数字要比想象的多。
虽然该行政令并非直接禁令,但它反映了一个现状:越来越多的复杂且具入侵性质的监控工具正在被部署,使用者在未经目标知情或同意的情况下,利用0day exploit 远程访问电子设备。
上周,纽约时报报道称,希腊国家情报局利用由 Cytrox 公司开发的监控软件 Predator,窃听并黑掉Meta 公司的一名前安全策略经理 Artemis Seaford 的电话。
话虽如此,该行政令也为其它监控设备类型开放了可能性,例如政府机构用于搜集有价值情报的 IMSI 捕获器。从这个角度来看,行政令说明监控软件销售行业在情报收集活动中扮演着重要角色,即使它们越发为政府人员造成反间谍和国家安全风险。
本月初,FBI 证实称去年从数据经纪商处购得美国公民的位置数据,绕过传统的授权流程。FBI 还被指在2020年至2021年期间为以色列公司 NSO Group 生产的 Pegasus 购买许可证,该机构证实将该软件用于研发目的。美国缉毒局 (DEA) 也将由另外一家以色列公司 Paragon 生产的监控工具 Graphite 用于禁毒行动中。目前尚不清楚其它联邦机构目前是否在使用其它商业监控软件。
谷歌:用于部署监控软件的 Windows 利用框架与这家公司有关
Polonium 黑客组织利用7个后门变体监控以色列组织机构
https://thehackernews.com/2023/03/president-biden-signs-executive-order.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。