数据掮客们正在贩卖互联网骨干网流量数据

网络安全领域有一个公开的秘密：互联网服务提供商（ISP）会悄悄地将计算机之间进行通信的详细信息泄露给私营企业，然后私营企业将该数据的访问权出售给第三方。

这些被兜售的信息称为Netflow（网络流量）数据，数字取证调查人员可以使用这类数据来识别黑客正在使用的服务器，或者在数据被盗时跟踪数据。但这些信息的出售仍然让一些人感到紧张，因为他们担心这些数据会落入坏人手中。

一位熟悉Netflow数据的消息人士告诉 Motherboard：“Netflow数据的商业变现是一条通往黑暗的道路。”

Netflow是网络流量的愿数据，可以创建流量图。它可以显示哪台服务器与另一台服务器通信，这些信息通常只对服务器所有者或承载流量的 ISP 可用。至关重要的是，这些数据还可用于跟踪VPN流量，后者用于掩盖某人从何处连接到服务器，进而掩盖其大致物理位置。

三位消息人士称，威胁情报公司 Team Cymru 与 ISP 合作访问Netflow数据。参议员 Ron Wyden 办公室的通讯主管 Keith Chu 一直在对敏感数据的销售进行独立调查，他透露，Cymru 团队告诉办公室“它从第三方获取 Netflow 数据以换取威胁情报。”

 Team Cymru 的Netflow数据的买家包括受雇应对数据泄露或主动追捕黑客的网络安全公司。在其网站上，Cymru 团队表示，它与公共和私营部门安全团队合作，“帮助识别、跟踪和阻止网络空间和物理空间的不良行为者”。

“我不太担心坏人黑客，更担心坏人政府、公司或政客，”一位熟悉数据的消息人士说。威胁情报行业的一位消息人士补充说，他们“一直认为这（Team Cymru 出售 Netflow 数据）有点疯狂” 。

敏感数据的持续销售可能会带来其自身的隐私和安全问题，并且 ISP 可能在未经其用户知情同意的情况下向第三方大规模提供这些数据。而其他公司，例如网络安全公司 Palo Alto Networks，也可以访问 netflow 数据。

熟悉数据的消息人士称，“用户几乎肯定不知道”他们的数据被提供给了 Team Cymru ，也不知道后者正在出售对这些数据的访问权。

其中一位消息人士称，Cymru 团队的客户可以查询数据集，并“可以有效地查询几乎任何 IP ，以及给定的时间段中进出该IP 的网络流量”。Chu补充说，Team Cymru则表示，它“限制了返回的数据量，因此任何一个客户端只能访问其netflow数据库中的一小部分数据。”

在产品描述中，Team Cymru 为用户提供了跟踪 VPN 流量的能力，通常，攻击者可能会使用 VPN 来掩盖他们的踪迹或普通人更私密地浏览互联网。

“通过跟踪十几个或更多代理和 VPN中的恶意活动，以确定网络威胁的来源，”Team Cymru 的Pure Signal Recon的产品手册写道。从本质上讲，访问 netflow 数据可以让安全团队观察更广泛的互联网上正在发生的事情，并可以观测到其他组织正在发生的事情，而这些已经超出他们自己的网络或公司边界。其中一位消息人士表示，他们之前在 Team Cymru 的数据集中看到了来自他认识的一个组织的流量，当时就被吓坏了。

“netflow数据的可见性和洞察力是全球性的，”描述补充道。宣传册中的一张图片展示了 Team Cymru 的产品，它让用户可以比其他数据集（例如 DNS 查询）更深入地跟踪与伊朗黑客组织相关联的服务器的活动。

来源：TEAM CYMRU 的 PURE SIGNAL RECON 产品介绍资料

甚至Citizen Lab这样的“高尚”组织也在偷偷使用netflow数据。在最近对一家名为 Candiru 的以色列间谍软件供应商的研究报告中，Citizen Lab 对 Team Cymru 公开表示感谢：

“感谢 Team Cymru 提供对他们 Pure Signal Recon 产品的访问。他们的工具能够显示过去三个月的互联网流量遥测数据，为我们从 Candiru 的基础设施中识别最初的受害者提供了突破信息，”报告中写道。

Team  Cymru 没有回应多家媒体的置评请求，这些请求涉及哪些 ISP 向其提供数据、围绕此类数据的收集和分发采取了哪些隐私保护措施，以及各个 ISP 用户是否已同意共享其数据。

根据Team Cymru的在线产品文档（Cortex Xpanse 产品），Palo Alto Networks 还可以访问 netflow 数据。

“Cortex® Xpanse™ 通过与一级 ISP 的多种关系获取流量数据。通过这些关系，Cortex Xpanse 可以访问大约 80% 的全球流量样本，”该产品文档中的一页写道。

Palo Alto Networks 威胁通信主管 Jim Finkle 在一封电子邮件声明中表示，“Palo Alto Networks 为企业客户提供进出他们自己网络的 Netflow 数据，以识别违反安全策略、安全监控漏洞和其他高风险客户网络上的活动。” Palo Alto Networks 拒绝透露它从哪些 ISP 获取数据，或者是否直接从 ISP 购买数据。

ISP Cogent Communications 的首席执行官戴夫·谢弗 (Dave Schaeffer) 表示，该公司处理着全球约 22% 的互联网流量，他告诉 Motherboard，作为一家 ISP，他的公司不会向任何人提供他们的网络流量数据。

“从根本上说，人们有一定程度的匿名权，作为运营商，以任何形式窃听不是我们的工作，”他在电话中说。Schaeffer 表示，Cogent 96% 的流量来自向大型批发客户销售产品，例如 Vodafone、Cox、Spectrum 和 BT。Schaeffer 说 Cogent 为 Team Cymru 提供服务，但不与该公司共享 Netflow 数据。

“我不知道人们是否可以用 （netflow）数据做很多真正有用的事情，”他补充道。“如果这些数据可用，我可能会想到一些不好的事情。”

熟悉netflow数据的消息人士表示，他们担心 netflow 数据的销售，但 Team Cymru “也使安全组织能够做一些非常棒的工作。所以我对此感到矛盾。我担心出于商业目提供 netflow 数据是一条通往黑暗的道路。”

今年 5 月，Motherboard 报道称，参议员 Wyden 的办公室要求国防部 (DoD)，其中包括国家安全局 (NSA) 和国防情报局 (DIA) 等各种军事和情报机构，提供有关其数据购买的详细信息做法。根据 Wyden 随后撰写并由 Motherboard 获得的一封信，该回应表明五角大楼正在对美国人进行无证监视。

不仅仅是netflow，大量互联网公司和网络安全公司也在出售有争议的数据集。例如9 月一家名为 HYAS 的公司如何采购智能手机位置数据，以追踪人们的行踪。而智能手机上的大量APP都在采集敏感隐私数据，然后在用户不知情或未授意的情况下将其出售给第三方。