安全研究：使用监控软件FinFisher的国家在增长

Finfisher是一款由德国FinFisher GmbH开发的合法窃听解决方案，它专门出售给政府。公民实验室安全研究人员在过去的几年中一直在监控FinFisher的活动，并发现许多国家在使用这款监控软件。研究人员还发现了寻找FinFisher服务器物理位置的新方法。

专家指出，FinFisher客户会得到一个主服务器（FinSpy Master）和多个中继（FinSpy Relay）作为命令和控制服务器。部署在受害者设备上的FinFisher监控软件与中继服务器交流，而且后者会为主服务器提供一个链接。

安全研究人员扫描后发现存在135个服务器，包括FinSpy主服务器和中继服务器在内。主服务器部署在客户处，因此找出它们的位置就会发现使用FinFisher的政府。这些代理位于其它国家以保护主服务器的位置。

虽然FinFisher的开发人员声称中继服务器使得主服务器的位置“不可能”被泄露，但安全研究人员找到一种利用代理来定位主服务器真实地址的方法。

如果将FinSpy Relay的IP地址输入一个网络浏览器，用户通常会被呈现一个虚假页面，通常是Google.com或者Yahoo.com。如果是谷歌虚假页面，那么研究人员通过搜索“my ip address”就能得到FinSpy Master的真实IP地址。因为搜索请求会经过Relay到达Master，如此请求谷歌从而获得搜索结果。由于请求是Master发出的，因此谷歌会将其IP地址而非Relay的IP地址返回。然而，这种方法并不适用于雅虎，不过研究人员找到了另外一种方式。虽然他们无法获取准确的IP地址，但这个虚假网页的源代码包含地理位置数据，因为雅虎通过它来在主页显示个性化天气信息和新闻。

安全专家识别出的其它一些虚假页面也披露了IP或地理位置数据。安全研究人员指出，返回虚假页面的服务器数量随着时间的流逝而减少，很可能FinFisher或其客户已经意识到这些动作会带来一些问题。

安全研究人员通过上述方法识别出了32个国家的用户。除了此前公布的客户名单外，还识别出了16个其它国家和地区，包括安哥拉、埃及、加蓬、约旦、哈萨克斯坦、肯尼亚、黎巴嫩、摩洛哥、阿曼、巴拉圭、沙特阿拉伯、斯洛文尼亚、西班牙、台湾、土耳其、和委内瑞拉。在一些案例中，安全研究人员可以从识别出的IP地址追踪到具体的政府组织机构，但公民实验室报告对一些信息进行了修订以避免受到合法制裁活动的干扰。

公民实验室指出，发布研究的目的是为在这个领域做政策和研究的人们提供来源，而且也帮助公民追究政府的责任。

FinFisher系统在去年被攻陷，而且数十G的数据被泄露。然而，该事件似乎并没有对公司的运作带来太大影响。FinFisher的竞争对手之一Hacking Team位于意大利，它也在今年遭到可能来自同一个攻击者的入侵。跟FinFisher一样，Hacking Team似乎很有信心，它不认为入侵事件会给业务带来负面影响，尽管黑客已经将其源代码、利用和私人通信泄露。