美国国会开始重视可能存在针对美国的监控软件构成的安全威胁,在《情报授权法》草案中对国家情报部门提出了调查相关间谍软件的要求。
2018 年 5 月 1 日,贝佐斯正与沙特阿拉伯王储穆罕默德·本·萨勒曼(Mohammed bin Salman)在 WhatsApp 上聊天,王储的手机发送了恶意文件,几个小时内攻击者就从亚马逊首席执行官杰夫·贝佐斯(Jeff Bezos)的手机中窃取了一大批数据。
联合国今年早些时候发布了调查报告,报告称这次数据泄露是由 NSO 的一款名为 Pegasus 的产品触发的,尽管 NSO 对此予以否认,称其技术并不是只用于美国电话号码。
这起看上去是商业窃密的事件实则与一起暗杀事件和多起侵犯人权的事件有关,据称包括 2018 年《华盛顿邮报》记者 Jamal Khashoggi 的谋杀案、2018 年 6 月针对 Amnesty International 员工的鱼叉邮件攻击、墨西哥政府针对人权律师、记者与反腐活动人员的攻击。
最终,吃过很多次亏后,美国国会下令让国家情报总监(DNI)跟踪监控软件对国家安全构成的威胁,有哪些外国政府出于什么目的正在使用。
Citizen 实验室的高级安全研究员 John Scott-Railton 上周发现一项强有力的立法被纳入 2021 年情报资金法案草案中。参议院法案中列出了明年政府情报部门的资金要资助完成 DNI 向国会提交有关间谍软件构成威胁的报告。
如下所示,2021 年的《情报授权法》草案中第 503 节:
多伦多大学 Citizen 实验室的研究员对 Pegasus 和其他间谍软件非常熟悉,他们已经跟踪分析 Pegasus 很多年了。事实上,也是 Citizen 实验室在 2016 年 8 月首次发现了 Pegasus。
Scott-Railton 表示,美国情报部门和包括国务院在内的政府官员也都在努力应对间谍软件带来的威胁。在参议员 Ron Wyden 的推动下,该问题在国会已经得到了充分的重视。
第 503 节还要求对销售间谍软件的公司进行调查和分析,包括是否是美国公司等。还要寻找间谍软件的购买人(不论是政府还是其他实体)对美国构成威胁的详细信息:
此外,法案还要求政府与技术公司和电信公司合作,找出针对入侵和间谍软件加强美国消费类软件和硬件安全性的方法。建议通过使用多种工具来阻止攻击者,包括出口管制、外交压力和贸易协定。
本月初,法案草案以 14 比 1 在参议院情报委员会得到了通过,将会在今年夏天晚些时候在参议院进行投票。