查看原文
其他

情报机构泄密曲:揭秘美国NSA与德国BND的秘密勾当

2017-03-13 E安全 E安全

E安全在上周二(2017年3月7日)报道了关于维基解密曝光与美国中央情报局(简称CIA)相关的新一轮代号为“Vault 7”的秘密资料,涵盖2013年到2016年相关文件。目前,这是维基解密曝光过的,与CIA方面相关的最大一批机密资讯。无独有偶,刚过过去的2016年,维基密就曾曝出德国议会委员会90GB的机密文件。两次事件都为国家安全机构的重要文件。而以下内容是去年年底E安全内参的一篇文章,特地分享给各位读者。

2016年12月1日,。该委员会调查NSA(美国国家安全局)间谍活动以及NSA与德国对外谍报机构—联邦谍报局(BND)之间的合作。这批文件包括125份BND文件,33份德国联邦宪法保卫局(BfV)文件,以及72份德国信息技术安全局(BSI)文件。但所有文件的保密等级均为最低,大部分文件都为正式信函,新闻报道副本和电子邮件内容的备份。

这份90GB的机密文件还包括德国保密系统,BND内部结构信息,以及他们使用XKEYSCORE计划的方式处理斯诺登泄密事件等。

概述

本文部分信息源于德国《时代周报》。《时代周报》报道称,政府服务器上仅有保密等级(VS NfD或RESTRICTED)最低的文件扫描件供德国议会委员会及德国联邦总理府在使用。

保密等级更高的文件不存在电子存档,必须在德国议会大厦的保密场所进行查看,而绝密文件只能在总理府或BND新柏林总部进行查看。

提供给调查委员会的机密文件

德国议会的IT专家调查这起泄密事件后,表示并没有发现黑客入侵的迹象。因此泄密源头,只能是能使用维基解密公布(同时删除)的一份文件的外交事务议会委员会或欧盟事务议会委员会的委员。

未经维基解密编辑处理的文件显示。该文件被编辑的内容几乎都用蓝色标记,文件仍包含所有组织机构内部的代号,许多德国政府单位及职员的电子邮件名称或地址,因此,这明显是BND修订文件的方式。

EAD内部BND电子邮件:与西方国家及合作伙伴之间的关系,以及EADD单位与美国和大洋洲的关系

 

BND多重保密等级

BND文件按照德国官方保密系统进行保密等级分类,分为四个等级(对应其它许多国家的保密等级)如下:

- VS NUR FÜR DEN DIENSTGEBRAUCH(VS NfD)

颜色代码:蓝色或黑色;相当于:RESTRICTED(受限)

- VS VERTRAULICH(VS Vertr. / VSV)

颜色代码:蓝色或黑色;相当于CONFIDENTIAL(秘密)

- GEHEIM(Geh. / Stufe I)

颜色代码:红色;相当于SECRET(机密)

- STRENG GEHEIM(Str. Geh. / Stufe II)

颜色代码:红色;相当于TOP SECRET(绝密)

除次之外该系统还有更加限制级的分类用于保护高度敏感信息。此次被维基解密公布的各种信函证实,存在标记本身就具有保密性的标记,这类标记连德国议会委员会的委员也不清楚标记的确切含义和用法。例如以下两种保密标记:

- STRENG GEHEIM-ANRECHT(?)

- STRENG GEHEIM-SCHUTZWORT(Str. Geh. SW)

代码颜色:相当于TOP SECRET(绝密)/SCI

这种分类与美国保密分类系统类似。

ANRECHT指某些信息被归为秘密Secret或绝密Top Secret。但在该特定级别中,尤其当涉及信号情报时,它只是针对须知人群。

SCHUTZWORT也是限制访问,特定文件的发起人确定一个代号(德语:Schutzwort),仅提供给有权访问文件的人。这与美国使用的敏感信息隔离(Sensitive Compartmented Information,SCI)系统类似。SCI系统先前的几个代号已被解密。

德国武装部队1998年的安全手册也提到了特殊保密分类,例如SCHUTZWORT和KRYPTO,KRYPTO是对加密信息保密。

总理府信函被归为STRENG GEHEIM-ANRECHT,所附文件(该保密等级)被删除后,这封信函被标记为无效(UNGÜLTIG)


BND组织结构图

维基解密公布的文件还包含一组图表,其显示了BND 2000年至2014年的组织结构发展。下图可以看出BND 2009年有过重组。

2009年以前的BND组织结构图

当然,斯诺登泄密文件中有更详细的BND组织结构图。

内部代号

BND部门、分支机构和单位有大写字母组成的代码指称。从目前的情况来看,主要部门用两个字母标记(也许是全称缩写)。

例如,其信号情报(SIGINT)部为TA,代表Technische Aufklärung(德语)。

从维基解密公布的电子邮件可以看出,下属单位会在部门代号的基础上添加字母或单词。这些附加的字母可以为全名的首字母或随机字母,或A代号第一个单位,B代表第二个单位等。

例如,“PLSA-HH-Recht-SI”是PLS的第一个分支(A),是BND局长的员工。“Recht”显然代表法律事务单位。“GLAAY”则为GL(Gesamtlage)的单位。

结合XKEYSCORE几个相关文件,以下为可以重构的BND野外测站代号:

- 3D10: Schöningen or Rheinhausen (卫星拦截)

- 3D20: Schöningen or Rheinhausen (卫星拦截)

- 3D30: Bad Aibling(卫星拦截)

- 3D40: Gablingen(HF无线电侦听)*

某些部门

2009年以来的BND组织结构图显示,有四个部门负责分析与生成,这是分析家准备情报报告的地方:

-TE和TW两个部门负责局部任务:TE负责国际恐怖主义和有组织的犯罪;TW专管武器系统和ABC武器扩散。

-LA和LB,负责地理区域:LB负责非洲、中东和阿富汗地区,而LA负责世界其它地区(从内部电子邮件的签名块标识可以看出)。


XKEYSCORE

维基解密公布的文件中,最有趣的文件之一是一份证据,据称BND员工被安排使用并编写XKeyscore软件。

但德国技术网站Golem称,这或许是由于有文本节选只提到BND员工A.S.在BfV的柏林总部帮助安装XKEYSCORE。BfV仅用该系统分析恐怖主义相关的数据集。

更有趣的要数关于XKEYSCORE的几个其它文件。2013年11月6日议会监督委员会会议准备的答案列表中,据称Bad Aibling 自2007年以来就在使用XKEYSCORE。该系统自2013年2月在卫星拦截站Schöningen和Rheinhausen上进行测试,并计划定期将XKEYSCORE用于Schöningen和Rheinhausen。而在2013年11月5日BND内部电子邮件中却称,XKEYSCORE在Schöningen和Rheinhausen是被用来拦截外国卫星通信,该系统的具体目的是用来确定哪个卫星链路最有用,以及检查流量是否包含BND寻找(所谓的调查)的通信。

BND卫星站使用XKEYSCORE的内部BND电子邮件

这是XKEYSCORE一个出乎意外的用途,因为对于NSA和GCHQ(英国政府通信总部)而言,该系统的优势在于具备能力重组互联网数据包、过滤并允许分析家搜索缓冲的内容。但并不能完全确定BND是否这样使用XKEYSCORE。

2014年11月,BND信号情报部门(SIGINT)的W.K.作证称,XKEYSCORE被用来解码和解调IP流量。解码针对在线和储存数据,而选择合适的卫星链路解调只针对在线数据流。

在Schöningen和Rheinhausen,XKEYSCORE系统在分析前阶段用于解码和解调。这也是了提供给调查委员会的某些证词。例如Schöningen的负责人E.B.表示,XKEYSCORE只用来查看几天的卫星流量,以确定其中存在的通信链。

英国Menwith Hill Station早些时候有关卫星拦截的介绍表明,NSA和GCHQ有其它系统,例如DARKQUEST, 用来调查卫星链路,洗后由XKEYSCORE处理并分析数据。

IBM服务器

维基解密文件还包含2014年2月25日BND的内部订单资料,比如订购野外测站3D20的六台服务器:2台IBM X3650 M4和4台IBM X3550 M4服务器,共耗费5.8万欧元。PDBD和XKEYSCORE均需要这些服务器。

- PDBD为新的集中BND任务数据库,将替代各个野外测站专用任务数据库。

- XKEYSCORE被描述为解码分组交换通信流量(如电子邮件、聊天、地理位置信息等)系统。该系统用来分析通信流量。BND需要XKEYSCORE系统,因为从日益增加的数据量中提取相关信息越来越困难。需要服务器将XKEYSCORE从测试阶段转移至运营状态。

BND内部订单:用于XKEYSCORE和PBDB的几个IBM服务器


PRISM

调查委员会其中一个大文件与揭露PRISM的反应有关。PRISM于2013年6月初曝光后,很多情况还不明朗,所以通过一些开源调查后发现美国军方在使用名为PRISM的计划。PRISM是资源整合、同步和管理规划工具(Planning tool for Resource Integration, Synchronization and  Management)英文全拼的首字母缩写。

2013年7月,德国媒体公开了NSA的信函,信函称PRISM实际上是三个不同的项目:一个是收集大型互联网公司的数据;另一个是军事任务和规划工具;以及在SA信息保护署(Information Assurance Directorate,IAD)共享数据的项目。

2013年8月,德国联邦议议院(Bundestag)成员提及NSA计划相关的诸多问题,其中一名BND员工抱怨称,期望德国联邦议议院给出所有答案不合理。

当时,尚不清楚PRISM的许多细节,美国政府和互联网公司的声明似乎相互矛盾。BND转发给议会委员会的文件中,有2013年7月的一篇报告,报告对当时的PRISM做了概述。

这份报告由德国内政部(German Interior Ministry,BMI)公共安全部的ÖS I 3单位制定。汇总新闻报告的内容后,该报告还根据早些时候一条网络日志描述了第二个工具—PRISM:

这条网络日志对第二个PRISM项目的描述

 

BOUNDLESSINFORMANT

2013年7月29日,德国《明镜周刊》公布NSA工具BOUNDLESSINFORMANT的图表显示,NSA拦截了超过5.5亿的通信流量。

短短几天内,BND联系了《明镜周刊》并表示,他们收集了那些数据并与NSA共享数据。SIGADs US-987LA和US-987LB指定在BND Bad Aibling卫星站收集数据,并(无线)拦截阿富汗的电话。该消息经NSA证实,《明镜周刊》于2013年8月5日公布。

BOUNDLESSINFORMANT截图:《明镜周刊》2013年7月29日公布的与德国相关的元数据

 

维基解密公布的一封电子邮件显示,Bad Aibling 3D3D单位的M.J.同时将BOUNDLESSINFORMANT图表的数量与他的日志文件和Nagios Checks的数量做了对比。他于2013年8月12日将这封邮件发送给他的老板R.U.。并称这个图表与《明镜周刊》公布的图表比较相似:

BND员工M.J似乎准备将此表与BOUNDLESSINFORMANT进行对比(注意比例不同)

 

M.J.图表的数据不完全准确,因为BND未计算他们提供给NSA的元数据量,他们只关注内容。令人费解的是,M.J.的这份电子邮件还包含一张表格,包含这段期间元数据的每日数量,此表格在右侧罗列了几个处理系统的每日数据:

BND员工M.J似乎准备将此表BOUNDLESSINFORMANT进行对比(注意比例不同)

 

奇怪的是,《明镜周刊》的图表仅提供了总数量,再加上公布的BOUNDLESSINFORMANT图表中亦未出现POPTOP、CRON和SNOWHAZE这三个代号。难道是NSA提供了更详尽的数量,BND做了对比?

在2013年8月13日发出的一份函件中,德国联邦情报局(简称BND)局长辛德勒(Schindler)要求美国国安局局长亚历山大(Alexander)证实通过987LA与US-987LB收集到的元数据全部来自BND。以此为基础,认为相关公众辩论将变得更加理性。

听证会

在德国议会调查委员会于2017年1月19日召开的听证会上,前BND局长辛德勒为平息上述图表给BND带来的争议,表示斯诺登所取得的BOUNDLESSINFORMANT图表来自相关培训课程资料。此番解释很可能是在BND向美国国安局进行了进一步求证之后,方才正式予以公布。

在阿富汗地区的合作

在回答议会提出的问题时,BND方面回应,美国国家安全局在阿富汗运营着一套数据收集网络,且共有14个国家参与其中(即阿富汗SIGINT联盟,简称AFSC)。各合作机构将其收集到的数据输入至由美国国安局负责管理的数据库(类似于或者等同于SIGDASYS),同时其亦可从数据库中请求查询与其任务相关的数据信息。在2011年到2013年期间,BND曾从这套系统中请求并接收到21万6423套数据集。而作为阿富汗事务“责任分摊”计划的一部分,BND亦在处理约5000项目标(每天产生达100万套数据集),其中大部分数据内容与位置信息有关。这些信息与AFSC小组共享,或同同国安局及GCHQ共享。

另外,美国国安局还向BND提供了数千套目标选择器,用以收集来自或者去往阿富汗乃至其它危机地区的卫星链路相关数据。BND通过其位于巴特艾布灵(Bad Aibling)的卫星拦截站每月产生高达300万套数据集。这些数据在通过G-10过滤(即清除与德国有关的通信内容)后被提供给美国国安局方面。

网络安全

关于BND与美国国安局方面在网络防御领域的合作论点,请参阅国安局局长凯斯·亚历山大(Keith Alexander)于2013年6月6日到7日访问柏林时发布的报告(就在此前一天,斯诺登刚刚公布大量国安局机密资料)。

在网络问题层面,亚历山大比较互联网与ISP负责运营的“光纤环”,与负责引导各行业、金融乃至政府网络体系的“管道。认为任何恶意软件,无论其用于实施破坏性影响抑或窃取数据,都应及早发现,并在其触及此“管道”之前即在“光纤环”层面得到阻止。

一位德国政府官员表示,德国拥有出色的网络专业人才,但他们只以防御形式进行工作。德国不会主动采取攻击性网络活动此类举措。中小型企业则往往对此缺乏认知且认为自身并无义务承担由网络防御带来的成本支出,德国应与技术行业间应该恢复并加强合作,进行自我保护。

报告指出,对于网络问题,应建立起由小部分“受信任国家”组成的国际性机构,因为像《布达佩斯公约》这类国际性法规似乎无法约束此类行为。根据亚历山大将军的解释,美国目前正在建立这类合作伙伴关系,但共享信息的前提在于彼此信任——但部分国家似乎并不值得信任。

亚历山大将军还告知BND方面,目前美国国安局拥有27支专门负责支持美国作战司令部的队伍,每支队伍包含56名成员,未来其还将增加额外6000名网络技术专家。美国国安局还将凭借一支拥有407名网络专家的技术支队为美国网络司令部提供支持。根据亚历山大的说明,国安局方面已经证实了约50项中国“入侵活动”,并得以接入中国网络以了解这些大规模、全球性网络攻击所指向的具体受害方。

2013年7月23日回答国会议员奥普曼(Oppermann)的问题时,BND方面表示其支持德国安全机构BfV与信息安全机构BSI揭露国外网络攻击活动的作法,并将此称为“网络防御SIGNET支持”(简称SSCD)的一部分。只有BND有能力建立技术系统以检测其它国家境内(!)的网络攻击活动。

BND方面还回应称,“在国际SIGINT联盟的SSCD工作组内,BND对国际网络攻击检测相关信息进行了交换。(国际SIGINT联盟很可能是指SIGINT欧洲高层(简称SSEUR或14-Eyes)小组。)BND局长辛德勒也曾在2014年5月的国际网络安全合作说明中提到了该工作组。

目录

最后,以下列出了迄今为止所发现的一些值得关注的文件(在维基解密提供相关文件内容后,这份清单将更具实际意义):

  • MAT_A_BND-1-3a_2 (美国军方与情报承包商位于德国的员工名单)

  • MAT_A_BND-1-5 (美国国安局批量元数据集合,包括棱镜门与XKEYSCORE)

  • MAT_A_BND-1-11a (BOUNDLESS INFORMANT,梯队系统)

  • MAT_A_BND-1-11c (pdf文件第315页:美国国安局用于拦截默克尔手机通信内容的选项)

  • MAT_A_BND-1-11j (pdf文件第145 ff页:美国国安局与BND间网络安全合作计划; 第155页:巴特艾布灵工作站发展简史; 第280页:美国国安局关于三项不同棱镜门计划的函件)

  • MAT_A_BND-1-11k (BND局长辛德勒写给国安局局长亚历山大的信件)

  • MAT_A_BND-1-13a (pdf第61页与第88页:BND最初假定棱镜门旨在收集元数据; 第99页:自2012年起,国安局向BND发送了总计450份与恐怖主义威胁相关的报告)

  • MAT_A_BND-1-13b (pdf第84页与第85页:XKEYSCORE示意图; 第227页:需要利用类似的XKS的“会话化机制”实现定向拦截; 第277页:SSEUR下辖SSCD工作组)

  • MAT_A_BND-1-13c (pdf第127页:阿富汗数据共享)

  • MAT_A_BND-1-13h (pdf第108 ff页:关于VERAS元数据系统的报告)

  • MAT_A_BND-3a (BND所使用之涵盖广泛主题的索引)

  • MAT_A_BND-3-1a (2000年到2014年期间BND组织结构图)

  • MAT_A_BND-8a (与GCHQ的联系,BND与美国国安局间合作,关于难民采访单位的报告以及内部G10手册)

推荐阅读:

部分CIA的漏洞利用工具干货请查收

美情报系统身陷破窗效应:维基解密再曝CIA惊天内幕【附下载】

视频 | 解密情报机构监视系统的工作原理

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存