HP如何監控電子郵件
http://taiwan.cnet.com/enterprise/to...,20110604,00.htmJoris Evers ‧郭文興譯 2006/10/18
惠普公司(Hewlett-Packard)一名調查人員表示,該公司在送給CNET News.com記者的檔案中,使用一個商用服務,可以追蹤電子郵件的傳送路徑。
在美國國會眾議院聽証會上作証時,惠普的安全主管Fred Adler表示,HP的調查員使用ReadNotify.com公司的服務,來追蹤一封送給記者Dawn Kawamoto的電子郵件,以試圖得知她新聞消息的來源。
在HP的董事會紛爭事件爆發之後,Adler的作証首度確認該公司追蹤傳送給Kawamoto電子郵件的方法。同時Adler還表示在一些特定的情況下,使用電子郵件監控技術是公司的慣例。
「過去以來針對此一技術我們都有特定的管理政策,」他表示:「在我的管理之下,這個技術仍被批准做為一種調查工具來使用。在過去的調查中我們使用該技術來尋找被偷竊產品或財產的所在,同時我們也借由此技術來協助司法單位。」
Adler表示由ReadNotify公司所提供的此一追蹤機制可以讓調查人員知道誰打開了電子郵件的附件。這個技術的使用目的是追蹤記者是否把電子郵件轉寄給他的消息來源,以調查惠普公司內部機密資訊的流出來源。
Adler表示,透過ReadNotify的技術,調查人員可以知道電子郵件被打開的時間,以及開啟附件電腦的IP(Internet Protocol)位址。IP位址也能曝露出使用者的地理位置,以及使用者用來連上網路的網際網路服務提供者。
「我們懷疑Keyworth是郵件的收件人,」Adler表示。George Keyworth是HP的董事會成員,他已經承認將公司的內部資訊洩露給媒體。
調查人員Fred Adler在上月的國會聽証上透露了公司的監聽策略。
上月在HP總部舉行的記者會上,HP所雇用的律師Michael J. Holston表示在這個案例中監控的電子郵件並未達成什麼具體成果。
根據ReadNotify的網站上的資訊,該公司的線上服務,也提供試用版本,可以讓任何使用者送出25封可追蹤的電子郵件。付費服務每年至少24美元。而如果要使用可以傳送Office或PDF檔案追蹤功能的進階服務,必須每年繳交36 美元。MailTracking.com也提供有類似的服務。
使用ReadNotify提供的服務,可以讓追蹤電子郵件變得十分簡單,只要按幾下滑鼠便可以了。ReadNotify的網站上會產生一個內含圖像的文件。這個圖像是一個綠色的勾勾,可以被拖曳到任何一個想要追蹤的文件中。拖到該文件後,綠色的勾勾就會隱形變成透明。
這個服務的使用者必須向ReadNotify註冊他們電子郵件的帳號,然後在傳送郵件時把".readnotify.com"加到他們想要追蹤的郵件的郵件位址中。收件者不會看到這部分的外加資訊,但可以從電子郵件的標頭知道這封信是被轉寄的。
在ReadNotify的預設設定中,電子郵件的收件人有可能發現事有蹊蹺,因為會跳出「確認接收」的視窗,但根據該公司網站上的說法,該服務同時也包含「隱形追蹤」的設定。
ReadNotify也提供許多不同的追蹤選項。使用者可以得知開啟電子郵件或附加文件人員的IP位址,以及開啟郵件與檔案的詳細時間。該服務同時也會顯示關於該用戶個人電腦與電子郵件程式的一些相關資訊。如果該郵件或檔案被轉寄,他也同時會顯露轉寄郵件收件者的相關資訊。
由ReadNotify服務的特性來看,使用的似乎是所謂的網路機器人技術,這個技術也常被一些電子郵件廠商使用。只要透過ReadNotify技術傳送的電子郵件或是文件,都含有該服務所嵌入的一或多個隱藏的檔案連結。當郵件訊息或檔案被開啟時,郵件程式會接收檔案,這時便會通知ReadNotify。
一般來說收件者並不會意識到這個連線動作。電子郵件是由HTML(超文字標記語言)所構成,因此內含的追蹤檔案並不會顯示。接收檔案的實際連結只有在觀看電子郵件的原始碼,比方使用記事本之類的文字程式時,才會顯示出來。然而如果有裝設防火牆,則還是會警告使用者網路連線的出現。
「ReadNotify技術,是由超過36種不同的追蹤技術所組合而成,」這家公司位於澳大利亞雪梨,其技術長Chris Drake在我們的電子郵件訪問中這樣表示,「這些技術可以在不同的電子郵件軟體與作業系統上通用,讓我們提供網際網路上最有效與可靠的電子郵件追蹤服務。」
簡而言之,ReadNotify使用的技術不是簡單的網路機器人,Drake表示:「所有良好的電子郵件軟體都會把網路機器人擋掉,同時大多數的惡意軟體過濾程式也會抓出這些網路機器人,所以我們不再依賴這種單純的追蹤方式。」
在上月的國會聽証會上,在電子郵件內放入追蹤程式這個動作的合法性也再度受到質疑。
「我認為司法當局對於這種行為的認知依舊不甚明確,」惠普的對外律師Larry Sonsini在回答華盛頓州民主黨議員Jay Inslee的質問時這樣回答:「視使用的方式與方法,這種動作也可以合乎聯邦與各州的法條」Sonsini表示。
在ReadNotify網站上的使用條款中,該公司聲明這個服務只能被使用在「合法目的」之上。該公司也表示其產品不能用來傳送「意圖欺騙的電子郵件訊息」。
「有時候,也有人對這個技術的隱私與法律議題提出質疑,」Drake表示。而ReadNotify公司認為,電子郵件的使用者在實質上,有權對於他所傳出的訊息進行任何動作,包括追蹤這些郵件。「我們首先必須要了解的是,一件寄到你收件匣的電子郵件並不代表那是你的。因為有人花費力氣創造撰寫,才有這封電子郵件,因些這封郵件的所有權應該是屬於作者的。」
ReadNotify並未監控他們客戶的行為,但Drake表示,至今的確收到一些客戶的反應。「我們知道這個技術常被執法當局所使用來對抗線上犯罪,以及使用網路技術的實際犯罪,」他表示:「最有意思的事件發生在大約兩年前,我們的服務協助警方救出一個被綁架的小孩,受追蹤的電子郵件顯示歹徒的位址,讓警方可以成功救出人質。」
在惠普調查董事會的洩密事件上,使用電子郵件追蹤技術,可能是不合法的。該公司同時使用了「pretexting」技術,藉由欺騙的手段來得知他人的個人記錄,也因此面臨嚴重的譴責。
在聽証會上,執行長Mark Hurd表示,這個監聽的動作是為了保障該公司消費者的權益。在提到電子郵件追蹤時他表示:「我將會再度檢視這種技術的每次使用情形,確定它的合法性。」
Adler的作証只是關於惠普監控醜聞全天聽証會的一個小小部分,這個聽証會由美國能源商業委員會的監督調查小組所舉辦。Hurd與前主席Patricia Dunn也都出庭作証,但一些其他的惠普員工與合約廠商已打算行使美國第五修正案的權利,向法庭提出自訴。