印度全國人口生物數據或已被CIA掌握

推薦閱讀：實名製為黑客預留了一扇門 印度1.35億公民信息與1億條銀行賬戶被泄

E安全8月28日訊 維基解密8月25日泄露第21批CIA Vault文件：美國中央情報局（CIA）曾秘密創建了一個虛假的軟體更新系統，用以暗中監視全球情報合作夥伴，包括FBI、DHS和CIA，秘密收集合作機構的系統數據，而這一秘密項目最早可以追溯到2009年。

ExpressLane項目

CIA為全球的情報聯絡合作夥伴提供了一套生物識別採集系統，包含預定義硬體、操作系統和軟體，以幫助合作夥伴自願共享收集的生物識別數據。只有經合作夥伴同意，CIA才能夠訪問特定的生物識別數據。

由於合作機構不願共享收集的生物識別數據，CIA 技術服務辦公室（OTS）於是成立「ExpressLane」秘密項目開發了一款工具，CIA能夠在合作夥伴不知情的情況下暗中獲取相關信息。

維基解密泄露的文件詳細闡述了CIA特工通過常規升級生物識別系統安裝這款間諜軟體。

泄露的CIA文件顯示，負責維護生物識別採集系統的OTS工作人員到合作夥伴場所秘密安裝ExpressLane木馬，同時在屏幕上顯示升級安裝進程，偽裝是在升級生物識別系統。

CIA文件寫到，ExpressLane表面上看起來只是系統的另一部分，其文件名為MOBSLangSvc.exe，存儲在WindowsSystem32中。

進入系統時，這款間諜軟體會從合作夥伴的系統中秘密收集感興趣的數據文件，並加密存儲在隱藏分區。

ExpressLane 包括兩大組件：

創建分區——CIA特工可在目標系統上創建隱藏分區，將收集的信息（壓縮並加密）存儲在隱藏分區。

Exit Ramp——出口匝道——再次到訪時，CIA特工使用U盤竊取存儲在隱藏分區中的數據。

ExpressLane 3.1.1（最新版）安裝6個月後會默認自行刪除，從而擦除痕迹，但OTS工作人員可修改日期。

CIA提供的這個生物識別軟體系統以Cross Match公司的一款產品為基礎，這家公司專門為執法機構和情報界提供生物識別軟體。Cross Match的產品用於在巴基斯坦暗殺行動期間識別本拉登。

Cross Match經UIDAI（印度唯一身份識別管理局）認證

Cross Match是UIDAI認證的首批Aadhaar生物識別設備供應商之一。印度政府向該公司發放了批准證書。Cross Match 2011年10月7日獲得Guardian指紋採集設備和I SCAN雙虹膜採集設備的批准證書。這兩大系統均利用了Cross Match的自動採集專利技術，無需操作人員過多介入，就能快速採集高品質圖像。

只有當所有檢測合乎UIDAI的質量要求後，認證機構才會發放批准證書。印度的這類認證機構包括印度信息技術部標準化檢測與質量認證中心（STQC）和UIDAI。STQC檢測的標準包括：物理規格、圖像質量、環境（耐久度/氣候適應）、安全性、電磁干擾/電磁兼容、功能、性能、互操作性、人體工程學和易用性等。

絕大多數經UIDAI認證的註冊機構均在使用Cross Match設備。2010年9月，Cross Match也是獲得臨時證書，成為參與Aadhaar認證項目的第一家企業。UIDAI已從網站刪除了Cross Match Guardian和I SCAN設備的視頻。

Francisco Partners

2012年，Francisco Partners收購了Cross Match Technologies公司。Francisco的全球客戶超過5000，在80多個國家部署了超過25台產品。 Cross Match的客戶包括美國國防部（DOD）、國土安全部（DHS）、美國國務院、美國各個州和地方政府機構、多個外國政府單位和執法機構。Cross Match為交通運輸、關鍵基礎設施、金融服務、教育和保健行業的客戶提供生物識別解決方案。

Francisco Partners曾收購了知名的以色列網路武器公司NSO Group。NSO出售的間諜軟體Pegasus被指攻擊阿聯酋激進分子和墨西哥記者的iPhone。

多倫多大學公民實驗室和移動安全公司Lookout的研究人員曾質疑NSO有違道德。Francisco Partners以1.2億美元2014年收購了NSO的股權。公民實驗室曝光了NSO出品的Pegasus惡意軟體。福布斯也曾報道，Francisco Partners以1.3億美元收購了另一家以色列間諜公司Circles。Circles曾出售有爭議的設備入侵電信網路。

深度包檢測監控產品

Francisco Partners還出售深度包檢測（DPI）監控產品，參與土耳其的間諜行動。深度包檢測一開始就能監控目標，其主要目的是在網路中「放飛」數據包，檢查是否可以在網路中通暢無阻。深度包檢測因具有爭議的用例上頭條。例如，某些國家喜歡在審查和監控系統中使用深度包檢測。敘利亞政府曾利用Blue Coat深度包檢測設備監視國民， Francisco Partners還因此向Blue Coat Systems投資。為此，人權倡導者提出強烈抗議，但Blue Coat之後聲稱應指責分銷商，因為Blue Coat未許可將該技術售賣到該國，分銷商因此被工業安全局（BIS）處以最高280萬美元的罰款。Francisco Partners在Barracuda Networks、Dell Software也持有股份。

Aadhaar生物識別先驅

2010年9月，世界上最龐大最複雜的生物身份識別系統（UID，又稱Aadhar計劃），在印度馬哈拉施特拉邦一個部族村落里宣告啟動。該項目由印度身份證管理局執行，作為全球規模最大的生物識別ID系統，截至2017年2月28日，這個印度建立的Aadhaar項目已經採集超過11.23億人的生物識別數據，包括照片、十指指紋和虹膜掃描，為每個印度居民提供了一個獨一無二的12位身份證明編號。

由於該身份證明編號與手機號和銀行賬戶綁定，印度工貿可在網上進入資料庫進行身份識別和手機「實時」驗證，同時還能享受醫療、社保、培訓、申請駕照、就業等服務；政府部門可以有針對性的向居民進行補貼和福利發放，對居民健康情況等進行檢測，有效提供醫療和防疫等公共服務，並實現行政流程的實時改進。

Aadhaar項目以每位印度公民獨特的生物識別和人口數據為基礎。這類數據只能通過生物識別設備和兼容軟體收集，這是Aadhaar價值鏈的第三和第三階段。

Cross Match在印度的UID項目合作夥伴為Smart Identity Devices Pvt公司（簡稱Smart ID）。Smart ID已經成為生物識別先驅企業和Aadhaar項目的領跑者。Smart ID為多個行業提供生物識別技術、智能卡、信息和通信技術產品與服務，例如金融服務、物流、政府和IT安全。Smart ID公司的設備目前為印度Aadhaar項目所有註冊機構所用。

據最近一份市場研究預計，印度生物識別市場2018年將達到約20億美元。

Smart ID的產品和服務包括生物識別產品、移動應用解決方案、Aadhaar註冊、培訓、項目管理、IT託管等服務。Smart ID已通過註冊機構讓120多萬名印度公民註冊了Aadhaar項目。2011年7月，UIDAI認定Smart ID是Aadhaar前三大最佳註冊機構，短期內註冊的公民超過2500萬美元。

2014年，Smart ID Patrol ID指紋掃描器的價格約為2300美元，這些設備在印度的普及率相當高，可以想像一下，印度為這家CIA幌子公司貢獻了多少資金。如果UIDAI在印度安裝了1萬台此類CIA設備（保守估計），印度要支付超過14.7億盧比，這筆成本可謂驚人。

CIA特工如何實時訪問Aadhaar資料庫

大量CIA電子攻擊手段能滲透高度安全的隔離網路，例如警察記錄資料庫。CIA特工或盟軍情報人員按指示行動，物理滲透到目標場所。攻擊者使用內含惡意軟體的CIA專用U盤插入目標系統，之後感染並將數據滲漏到可移動媒體，例如CIA攻擊系統Fine Dining會為CIA間諜提供24個誘餌應用程序。CIA間諜運行的程序可能是視頻文件（例如VLC）、演示文稿（Prezi）、電腦遊戲（Breakout2、2048）、甚至虛假病毒掃描軟體（卡巴斯基、邁克菲、Sophos），然而當誘餌應用在屏幕上出現的時候會自動感染並搜索系統底層。

Fine Dining附帶標準問卷調查，例如CIA特工填寫的「菜單」。CIA行動支持處（OSB）利用問卷調查將辦案官員的請求轉化為特殊行動的技術要求。問卷調查允許OSB確定如何調整現有的行動工具，並與CIA惡意軟體配置人員溝通。OSB充當CIA行動人員與相關技術支持人員之間的「介面」。

收集目標的關鍵詞可能包括資產、系統管理員、外國信息行動、外國情報機構和外國政府實體。CIA特工還被要求詳細說明目標環境，例如使用的電腦類型、操作系統、互聯網連接、安裝的反病毒程序以及要滲漏的文件類型，例如Office文檔、音頻、視頻、圖片或自定義文件類型。「菜單」還要求提供是否有可能再次訪問目標以及未被發現的訪問能維持多久等信息。CIA的「JQJIMPROVISE」軟體使用這類信息按照行動需求配置一套CIA惡意軟體。

官方培訓手冊包含在Aadhaar註冊客戶端安裝並配置Cross Match設備的詳細步驟，此外還描述了導入主數據的過程。

第21批CIA Vault泄露文件地址，https://wikileaks.org/vault7/#ExpressLane

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！