NSA高级网络监控技术:流量整形
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月28日讯 近期,一份针对斯诺登所泄露文件的最新分析报告详述了NSA一项高度机密的技术。这项被称为“流量整形(traffic shaping)”的技术允许NSA蓄意将美国的网络数据向境外转移,通常这种转移还受到宪法保护,其目的是要对美国人进行没有限制的数据收集。通过使用流量整形技术,NSA回避了律师和监控法庭的法律限制。
NSA“在全球网络中转移数据流量”有着隐晦的含义,这可以让它绕开国会阻止其在国内对美国人进行监控的规定。
据报道,NSA采用“流量整形”(Traffic Shaping)技术让流量经过监听通信电缆传输。这些新的发现于上周四公布,早在2014年Axel Arnbak 和Sharon Goldberg就曾在CBS新闻网站总结称,NSA的工作是收集海外目标的情报,它通过流量整形技术将美国的网络数据引导到海外,如此就可以不受监管地完成情报收集了。
美国公民受到宪法保护,个人隐私数据不被侵犯。政府如果想访问美国人的数据,必须遵循FISA法庭的规则,该法庭位于华盛顿特区,负责对政府的监控计划授权。
行政命令授权NSA规避国会管束
但是同样的数据,如果是在美国境外被收集的,那么NSA的授权则是源自三十多年前的总统令。
里根总统在1981年签署了第12333号行政命令,该命令给予了NSA授权,将其收集数据的权利扩大到了国外和国内的目标。该命令比国会颁布的《国外情报监视法案》更宽容,因为它只接受行政部门的监督而不受法院约束。
虽然这项新的研究指出,由于监控计划的高度机密性,所以对NSA执行流量整形技术的能力还不得而知。但是NSA可以利用合法权利规避国会的管束。
政府使用流量整形利用的其实是网络流量的一个基本原则:数据选择最快捷有效的路径,这就意味着有时候要在不同国家的网络中穿梭,而不是只待在一个国家。
这样NSA在收集数据的时候就不用再顾虑数据是否属于美国人的。
什么是“流量整形”技术?
“流量整形”技术包括,入侵互联网基础设施设备,比如路由器。被入侵的设备被称为“CNE中点”,下图是NSA黑客手绘的图(被泄露的手稿)。
NSA可能不会在被入侵的路由器上读取、分析、收集或存储流量。路由器是非常受限的设备,通常只能传输流量,因此路由器能简单指示路由器复制流量,并传输到监听通信电缆,从而实现窃听。也就是说,在不影响将最初的流量仍通过常规路径传输至目的地的情况下,将这些来自多个端口的流量额外复制一份并传输到NSA确定的其它目的地,网络工程师将这个过程称之为“端口镜像”(Port Mirroring)。
这其中,被入侵的路由器并不是个人通信设备。路由器是互联网基础设施上的路径点,负责转发多个来源的流量。由于许多个人的流量在单个路由器上聚合,有人可能简单认为,入侵路由器并非有意针对美国公民。
此外,从本质上讲,通过“端口镜像”过程进行的“流量整形”没有目标,因为路由器功能相当受限,通常不可能指示路由器将特定的电子邮件或聊天记录向收集点进行“端口镜像”。相反,“端口镜像”更可能重定向整个网站、公司或互联网服务提供商的进出流量。例如,上图的作者还描述了如何使用“流量整形”将也门整个国家的通信重定向到NSA收集点。
情报机构如何引导数据流通过特定线路
一份2007年泄露的秘密文档就详细描述了一种让情报机构引导数据流在全球通过特定路线的技术,例如海底光缆。如下图所示:
该文档中的举例提及了也门,这是一个恐怖主义与极端主义活跃的的国度。NSA几乎没有办法监控这个国家的进出数据。而通过数据整形,NSA就可以诱导网络数据通过该国附近的海底光缆。
Goldberg称,FISA监控法院对NSA这些行为没有任何切实的法律定义,无法界定其是否违法。这就形成了法律漏洞,需要对当前的美国监控法律和政策进行修补。现代网络已经改变了美国人联系的方式,这些改变需要美国的监控法作出根本调整。美国人的网络数据应该享有同样的法律保护,不论这些数据在境内还是境外。
702法令管控NSA对外国和海外所收集数据的使用,该法令将在今年底失效,这距离它的颁布已经有5年历史。
Goldberg表示,国会不该错过这次让FISA重新定义电子监控的机会,这样才能减少行政部门单方面对美国网络数据实施监控的漏洞。做出修正有利于司法部门保护美国人的隐私。
NSA新闻发言人则不会对该报道发表评论。NSA新闻发言人称不会对任何有关外国情报活动的推测作出回应,NSA未从事过可能规避美国法律或隐私保护条款的国外情报活动。
E安全推荐文章
官网:www.easyaq.com
2017年6月