据一家监控网络的公司称,承包商和美国政府雇员在p2p网络上共享了数百份秘密文件,在很多情况下,他们会推翻p2p软件的默认安全设置。
p2p监控服务供应商Tiversa Inc.的首席执行长博巴克(Robert Boback)和已退休的美国陆军上将克拉克(Wesley Clark)说,该公司最近对三家流行的p2p网络进行了扫描,发现了200多份美国政府的敏感文件。这两人本星期早些时候在美国众议院监督和政府改革委员会作证。
共享的文件包括:多个城市的物理威胁评估,包括费城和迈阿密;美国空军基地的物理安全攻击评估;一份政府承包商关于如何连接两个国防部安全网络的详细报告;一份名为“国家安全局安全手册”的文件。
在周二一场有争议的听证会上,许多议员把批评的矛头指向了颇受欢迎的p2p软件Lime Wire的分销商Lime Group LLC。但Boback在后来的一次采访中说,他的证词无意指责Lime Wire。
在许多情况下,p2p用户会覆盖软件中的默认安全设置。Lime集团的CEO Mark Gorton证实,在Lime Wire中,默认设置只允许用户共享一个“共享”文件夹中的文件,但许多用户显然会重写默认设置,忽略软件的警告,并共享他们的整个“我的文件”文件夹或其他文件夹。
证人证实,在其他案件中,政府雇员或承包商显然忽视了禁止在含有敏感政府信息的电脑上使用个人对个人软件的政策。
Boback说,p2p用户还可以下载带有隐藏可执行文件的文件,这些文件可以建立整个硬盘的索引,这可能会造成受害者,甚至是专业电脑用户。但他补充说,问题并不在于Lime Wire或其他p2p供应商。
“恶意用户编写的代码会暴露整个硬盘,”他说。“仅仅因为这个用户是一个Lime Wire用户,就使得它看起来好像Lime Wire索引了他们的系统,而实际上它是一个下载中的可执行文件。”
他还说,问题并不在于p2p网络本身。“这只是恶意用户索引个人信息的又一途径,”他说。
为了准备国会听证会,Tiversa扫描了三个最流行的p2p网络,包括Gnutella网络石灰线使用,为期两天。Boback说,Tiversa的工作人员输入了常用的军事搜索词,发现了200多份美国政府机密文件。
一般来说,p2p网络上的官方政府文件的问题可能要大得多;他说,因为Tiversa仅限于军事搜索术语。Boback说,公司向美国政府官员报告了调查结果,其中一些官员采取行动删除了这些文件。
在7月17日的另一次扫描中,Tiversa发现一名国防承包商雇员共享了1900份文件,其中包括534份敏感文件,这些文件显然来自一台家用电脑。Tiversa称,该承包商是一名IT专家,为包括国防部和情报机构在内的34个美国政府机构提供支持。
从承包商的电脑中共享的文件包括:整个五角大楼秘密骨干网的基础结构示意图;五角大楼秘密网络服务器的密码修改脚本;允许访问承包商IT系统的安全套接字层指令和证书;美国陆军合同机构发布的一份合同授权承包商支付150万美元的费用。
该承包商共享的文件还包括一封来自美国白宫管理和预算办公室的信件,警告p2p网络的风险。
监督委员会主席、加州民主党众议员韦克斯曼(Henry Waxman)在听证会上问,这些信息有多敏感。他问道:“如果这些信息落入坏人之手,会危及美国吗?”雷竞技比分
“当然会,”蒂versa的克拉克回答。“有各种各样的信息正在流出。”
几位议员将矛头指向了Lime Wire的Gorton,尽管美国运输部首席信息官明茨(Daniel Mintz)说,雇员违反了机构规定,在包含政府信息的电脑上使用了p2p软件。
加州共和党众议员达雷尔·伊萨(Darrell Issa)表示,他不确定Lime Wire是如何避免个人信息被泄露的用户提起诉讼的。田纳西州民主党众议员吉姆·库珀(Jim Cooper)指责戈登对与p2p相关的安全失误“缺乏想象力”。
“如果我是你……在这一点上,我感到非常羞愧和内疚,因为我把笔记本电脑变成了威胁美国安全的危险武器,”他说。雷竞技比分
Gorton的公司并不监控通过Lime Wire共享的内容,他说他对如此多的政府机密数据通过p2p网络共享感到惊讶。他说,Lime Wire将研究如何阻止用户共享个人和敏感信息,但他也呼吁国会研究如何在ISP(互联网服务提供商)层面上阻止共享信息。他说,网络服务提供商将有权屏蔽这些数据。
“我不知道有这么多的机密数据,”他说。“显然,有些人没有注意到我们的警告。我们需要做得更好,让用户不小心共享文件变得非常、非常、非常困难。”