您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

FBI指纹分析软件或被俄留后门

2017-12-29 02:00| 投稿: lofor |来自: 互联网

摘要: 法国身份与安全公司Morpho的两名前职员爆料,其公司的产品——美国联邦调查局(FBI)与另外的1.8万个美国执法机构使用的指纹分析软件——中包含俄罗斯公司Papillon的代码。美国方面担心俄罗斯黑客或在该软件中植入后 ...

法国身份与安全公司Morpho的两名前职员爆料,其公司的产品——美国联邦调查局(FBI)与另外的1.8万个美国执法机构使用的指纹分析软件——中包含俄罗斯公司Papillon的代码。美国方面担心俄罗斯黑客或在该软件中植入后门,访问数百万美国人的敏感生物识别信息,甚至危及更广泛的美国国家安全和执法机构的计算机系统安全。

两名爆料人分别是法国赛峰(Safran)旗下子公司Sagem Sécurité(后来更名为Morpho)在俄罗斯的前首席执行官菲利普-德布瓦、Morpho俄罗斯业务开发团队的人员乔治斯-哈拉。他们称,Morpho公司故意向FBI隐瞒了通过秘密交易购买俄罗斯代码的事实。

Papillon AO与克林姆宫存合作密切

爆料者称,为法国公司Morpho提供代码的俄罗斯公司Papillon与克林姆宫存在关联,美国方面应该会因此担忧国家安全受到影响。Papillon 公司的官网上明确显示与俄罗斯政府部门(包括俄罗斯联邦安全局FSB)存在密切的合作关系。

对于这款指纹分析软件,网络安全专家们表示不方便评论,在没有检查代码的情况下无法对俄罗斯代码的危害进行评估。美国NSA特定入侵行动办公室(TAO)前运营策略主任蒂姆-埃文斯表示,使用与俄罗斯联邦安全局(FSB)有关联的软件让他感到不安。

FBI 2011年宣布改进指纹识别技术——被视为“下一代身份识别”计划的一部分,以此推动机构内部使用生物识别技术,包括面部识别和虹膜识别技术。美国运输安全管理局(TSA)也依赖FBI的指纹数据库。

爆料者透露,为了赢得FBI这份合同,Morpho公司通过Papillon公司的技术来改进指纹识别软件的性能。

Morpho与Papillon协议细节

这两人向外媒提供了在Morpho与Papillon公司签署的许可协议副本,签署时间为2008年7月2日,此后在一年内Morpho公司就打败了一家全球大型知名生物识别技术公司。这份协议授权Sagem Sécurité(Morpho)将Papillon的代码融入公司软件,此后可以自己的名义销售产品。

另外,该协议还要求Papillon提供为期五年的更新和改进服务,协议截止时间为2013年12月31日,为此法国赛峰Sécurité(Morpho)同意先向对方支付约380万欧元(约合人民币三千万元),之后每年还需另外支付费用。该协议还规定,双方不得向第三方泄露这份协议的任何信息。

Papillon与多国政府机构有合作

哈拉称,Papillon并不是一家独立的公司,它受控于俄罗斯联邦内务部。Papillon与俄罗斯联邦安全局FSB存在“深度合作”关系,他曾参加过多次会议,与会者包括俄罗斯政府官员和Papillon管理层,俄罗斯联邦安全局(FSB)官员曾在此类会议上表示强烈支持Papillon。

俄罗斯联邦安全局(FSB)也在使用Papillon的指纹识别技术,除此之外俄罗斯移民、海关和毒品控制机构与Papillon公司均有合作。另外,Papillon公司的客户还包括土耳其、哈萨克斯坦、塞尔维亚和阿尔巴尼亚的政府。

Papillon营销副总监伊凡夏普肖表示,公司的指纹识别技术每年协助俄罗斯警方解决约10万起案件。某贸易刊物曾介绍Papillon创始人帕维尔-扎伊采夫,称他于1985年至1991年期间曾在俄罗斯军事军地担任工程师和程序员。

德布瓦向美国联邦法院提起举报人诉讼(Whistleblower Lawsuit),指控法国赛峰从美国各级执法机构手中骗取约10亿美元。德布瓦表示,该公司至少有三名高层在多个场合向他强调这份协议需要严格保密,协议消息外泄可能会影响其美国市场的合同。如果FBI知道算法的来源,公司就会摊上大麻烦。

虽然这两名爆料者未参与将Papillon代码整合至公司产品的工作,也未参与将产品出售给FBI,但他们都跟代码整合的工程师有过谈话。多层高层曾告诉德布瓦,公司卖给FBI的技术产品含有Papillon算法。

针对与Papillon合作的问题,俄罗斯联邦内务部、俄罗斯联邦安全局(FSB)和俄罗斯驻华盛顿大使馆没有回应外媒的评论请求。FBI以及上述公司均没有直接否认这款指纹软件包含俄罗斯公司开发的代码。

美本土身份识别企业产品或被采用

美国众议院情报委员会议员约翰-克莱恩曾致信时任FBI局长罗伯特-米勒表示,允许外国政府向美国执法机构和情报界提供服务可能会对美国政府构成严重的反情报威胁。克莱恩敦促FBI评估美国国内企业是否有能力接下这项工作,并仔细权衡让外国公司访问这类敏感数据的利与弊。

针对与Papillon AO合作的问题,俄罗斯联邦内务部、FSB和俄罗斯驻华盛顿大使馆没有回应外媒的评论请求。FBI以及上述公司均没有直接否认这款指纹软件包含俄罗斯公司开发的代码。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部