美国何以“监听一切”?美大型信号情报获取项目解析
本文刊登于《网信军民融合》杂志2018年1月刊
【编者按】为维护我国网络空间主权,保障网络空间安全,实现网络强国的战略目标,必须高度重视网络安全工作。知己知彼,才能百战不殆。美国的网络空间安全体系走在世界前列,本刊与安天研究院合作推出系列文章深入解析“美国网络空间攻击与主动防御能力”,希望通过层次化地揭示美国网络空间信息获取、进攻与防御能力,尽可能清晰地展现美国在网络空间安全领域的能力体系,为我国网络空间安全发展提供有益参考和借鉴。
在上一期,我们从战略、能力、产业、技术等方面分析了美国在网络空间的优势,对美国具备网络空间进攻性职能的国家安全机构、多样的信号情报获取项目、全平台全功能的网络攻击装备体系进行了简要介绍,从整体上展现了美国在网络空间中强大的、体系化的情报、攻击、威慑和防御能力。在本期中,我们将聚焦美国的大型信号情报项目,呈现其强大的信号情报(SIGINT)获取能力,以及美国将传统信号情报与网络空间情报作业有机融合的明显趋势。
信号情报是一种有效的情报获取方式。早在一战时期,英国情报机构就通过搭接海底电缆的方式截获德国的通信。随着无线电通讯的应用,信号获取变得更加容易,通过轮船、飞机、卫星、地面站等都可以实现对信号的搜集。进入到21世纪,计算机网络的发展和普及,使得越来越多的信息通过网络传递,网络就成了情报获取的重要来源。
美国极其重视信号情报工作。斯诺登曾披露了一份美国国家安全局(NSA)的绝密文件《信号情报任务战略规划(2008-2013)》,由NSA组织250多个单位共同参与完成,目的是提高信号情报重点任务的性能,并将情报及时地转化为重大的国家成果。另一份绝密文件《信号情报战略(2012-2016)》旨在“确保信号情报为全面提升美国国家安全利益提供决定性的优势”。
美国开展了大量的信号情报获取项目和计划,以实现其“监听一切”的目的。这类项目或计划多由NSA负责具体实施,包括发起于20世纪60年代针对卫星通讯的“梯队”(ECHELON)项目、监听目标涵盖美国公民的“星风”(STELLAR WIND)计划、针对全球网络安全厂商的“ 拱形”(CAMBERDADA)计划、针对电话监听的“神奇”(MYSTIC)项目、从网络骨干光缆和交换机上复制光信号的“逆流”(UPSTREAM)项目等。这些项目涵盖了网络、卫星、电话等多种信号情报源,共同支撑起了NSA强大的全球信号情报获取能力。
一、“星风”计划
星风是四个监视项目的统称代号。2001年911事件之后,在《爱国者法案》的授权下,NSA的情报监视范围扩大到了美国公民。早在2004年,就有人注意到这些项目并展开了调查,奥巴马上台后,宣布这些项目都于2011年结束,但从多种来源分析,针对美国内的监视或已结束(或更为隐蔽),但不论其功能(对外国人应用不违反美国法律)还是数据都仍在使用。
“星风”计划的系统结构图(猜测)
星风包含的四个监视项目分别是:“ 棱镜”(PRISM)、“主干道”(MAINWAY)、“码头”(MARINA)以及“核子”(NUCLEON)。棱镜是一项由NSA自2007年起开始实施的绝密级电子监听项目,主要作用是利用美国主要互联网企业所提供的接口进行情报作业。从目前信息看,谷歌、微软、苹果、脸谱等多数美国主流IT企业与此计划存在关联。主干道和码头项目分别对通信和互联网上数以亿兆计的“元数据”进行存储和分析(在对电话和互联网监视的语义下,元数据主要指通话或通信的时间、地点、使用设备、参与者等,不包括电话或邮件等的内容)。核子项目负责截获电话通话者对话内容及关键词,相比于主干道和码头,核子项目更加聚焦于内容信息的获取,通过拦截通话以及通话者所提及的地点,来实现日常的监控。
二、关键得分(X-KEYSCORE)项目
X-KEYSCORE是斯诺登曝光的NSA绝密项目之一,《卫报》对其做了较为详细的报道。它最初是针对邮件和浏览器活动的采集和分析,并建立了庞大的“指纹”系统,随后发展为覆盖VoIP、社交聊天等各种网上行为的监视和分析系统。 X-KEYSCORE在全球150个站点有700台服务器(2013年数据),可对3天内的数据进行暂存,被称为NSA的谷歌系统。分析人员可以通过姓名、电话号码、IP地址、浏览器等多种关键字来查找目标网络活动的内容数据和元数据。凭借该系统,NSA可对互联网上特定目标的一举一动尽收眼底。据报道,仅2008年以前,X-KEYSCORE就协助定位了300余名恐怖分子。
X-KEYSCORE 全球分布
X-KEYSCORE还具有良好的扩展性,可以与NSA的“湍流”(Turbulence)网络攻击作业体系集成或交互,对其他渠道采集的网络信息进行自动分析,并触发任务逻辑;也可以接受来自其他项目任务的数据(如,外国卫星通信收集SKIDROW项目的数据),并提供分析处理功能;X-KEYSCORE也为“五只眼”情报联盟各国使用和共享情报提供支持。此外,X-KEYSCORE在建设中也充分引入了民间技术能力,例如大数据公司Palantir的海量数据分析和可视化分类服务能力为X-KEYSCORE提供了有力支撑。
三、“拱形”计划
2015年斯诺登披露的一份NSA绝密文档介绍了拱形计划,该计划始于2007年,信息保障局(Information Assurance Directorate, IAD)和NSA威胁行动中心(NSA/CSS Threat Operations Center, NTOC)两个部门参与了该计划。该计划以俄罗斯反病毒厂商卡巴斯基等为目标,通过监听其样本上报渠道,从中分析安全厂商是否已发现、掌握其网络攻击武器。但“五只眼”情报联盟国家的反病毒厂商并不在内,可能说明“五只眼”相关情报机构与所在国安全厂商有直接的互动方式和沟通渠道,而无需通过监听的方式。该计划后续目标包括安天等22家全球重点网络安全厂商。
“拱形”计划目标分布
美国的大型信号情报获取项目众多,覆盖面广,持续时间长,使美国获得了强大的信号情报搜集能力。这些项目在打击犯罪、反恐、国家政策制定、重大问题决策等方面起到了重要作用,并为美国获得网络空间安全防御与反制、威慑、攻击等全方位优势奠定了基础。那么,运行这些监控项目需要什么样的支持体系,美国政府在这些项目中如何借助民间的技术和能力,这些监控行动如何与积极防御和反制相结合,监控如何与攻击行动结合,我们后续的文章会为您一一解答,敬请期待。
推荐阅读: