智能指挥系统的未来:从《谍影重重5》深度分析CIA情报、指挥、行动一体化能力(一)
美国情报共同体整体概述
美国情报共同体(United States Intelligence Community 简称IC)又称美国情报联盟、美国情报体系、美国情报界等等。2001年,911事件推动了美国情报界的改革,国家情报总监办公室(Office of the Director of National Intelligence 简称ODNI)建立。ODNI的使命是「领导情报整合并打造能够传递最有洞见情报的共同体」,负责牵头其余16个美国情报机构以达到情报整合的目的。国家情报总监是美国情报共同体的负责人,同时也是美国总统、国家安全理事会和国土安全理事会在涉及国家安全的情报事务方面的首席顾问。
在情报共同体中,16个情报成员机构有:
中央情报局 Central Intelligence Agency 国家安全局 National Security Agency 国防情报局 Defense Intelligence Agency 国家地理空间情报局 National Geospatial Intelligence Agency 国家侦察局 National Reconnaissance Office 联邦调查局 Federal Bureau of Investigation 缉毒局国家安全情报办公室 Office of National Security Intelligence 能源部情报与反情报办公室 Office of Intelligence and Counterintelligence 国土安全部 Department of Homeland Security 国务院情报和研究局 Bureau of Intelligence and Research 财政部情报与分析办公室 Office of Intelligence and Analysis 空军情报监视和侦察 Air Force Intelligence Surveillance and Reconnaissance 陆军军事情报 Army Military Intelligence 海军情报办公室 Office of Naval Intelligence 海军陆战队情报Marine Corps Intelligence 海岸警卫队情报 Coast Guard Intelligence。
其中最为被大众所知的,是CIA、FBI和NSA这三家。一句话形象总结,在CIA眼里NSA是一个只会捣鼓电脑的书呆子,在NSA眼里CIA只是一个干尽龌龊肮脏事情的莽夫,但在CIA与NSA的共同眼里,FBI就是个打杂的弟弟。NSA在信号情报SIGINT、通信情报 COMINT方面,以及黑客入侵方面全面超越CIA,但是CIA在人力情报HUNINT、行动能力以及指挥能力上,绝对可以说是制霸全球,而相比之下,FBI只能搞点国内鸡毛蒜皮阿猫阿狗的小案件。
而关于CIA的能力,前CIA局长 David H. Petraeus 在2012年一次对外演讲中曾经说过一句著名的话「我发现我们的技术能力通常远远超过汤姆·克鲁斯电影中展示的样子 Indeed, I’ve found that our technical capabilities often far exceed what you see in Tom Cruise films」。
电影整体概述与关键信息
电影《谍影重重5》整体背景设定于后斯诺登时代,CIA核心服务器遭受黑客入侵,大量秘密黑色行动计划(Black Operations)资料被窃取,泄漏影响范围远远大于斯诺登事件。与此同时,CIA还发现了杰森·伯恩(Jason Bourne)和前行动搭档尼基·帕森斯(Nikki Parsons)的踪迹。年轻的CIA网络部主管海瑟·李(Heather Lee)主动请缨抓捕伯恩,而伯恩也在寻找着关于自己身世的惊天黑幕。CIA局长罗伯特·杜威(Robert Dewey)是唯一知晓这一切幕后秘密的人。
接下来由于篇幅原因,将用数篇文章,通过如下的几个场景,雷克雅未克黑客入侵事件、雅典宪法广场抓捕行动、深梦集团与全民监控项目、柏林科维兹定点入侵行动、伦敦帕丁顿广场抓捕行动、拉斯维加斯刺杀栽赃行动,来深度剖析CIA情指行一体化能力。
雷克雅未克黑客入侵事件,你将看到:社交网络实时监控、恐怖分子挖掘算法、入侵检测与响应、内部数据泄漏检测、IP溯源与反制、入侵电网系统、攻击者溯源、情报研判系统、关系网络分析、标签圈选分析、人脸比对识别……
雅典宪法广场之抓捕行动,你将看到:CIA指挥中心布局、接入视频监控数据、手机信令数据接入、公共交通数据接入、监控当地警方通讯、4G望远镜视频接入、切断区域网络、人脸实时布控、模糊图像增强、间谍卫星调度、汽车移动视频接入、遥感数据实时计算、逃犯线路预测算法、逃犯ETA时间预测、无人机实时视频接入、直升机实时视频接入、4G狙击枪实时视频……
深梦集团与全民监控项目,你将看到:影射社交巨头侵犯隐私、影射XKeyScore项目、影射斯诺登棱镜门事件、CIA旗下投资机构In-Q-Tel……
柏林科维兹定点入侵行动,你将看到:非结构化文档数据分析、现场最佳视频视角识别、监控视频数据接入、跨境追踪行人ReID技术、任意手机号码定位技术、远程入侵老人机手机、入侵隔离网络技术……
伦敦帕丁顿广场抓捕行动,你将看到:现场应急指挥、奔驰sprinter移动指挥车、全天候全频段全民监控……
拉斯维加斯刺杀栽赃行动,你将看到:影射DEFCON黑客大会、GPS TRACKING硬件、远距离监听器……
雷克雅未克黑客入侵事件
尼基将一个板卡状的东西接上了电脑,开机屏幕显示Dubna 48K。Dubna 48K是1991年苏联仿制ZX Spectrum的个人计算机/游戏机,Dubna是莫斯科附近的小镇,48K代表48KB的RAM。Dubna 48K上无法运行DoS、Unix等现代操作系统,只有一个内置的Sinclair BASIC解释器。
在CIA总部这边,年轻的网络部主管海瑟·李正在浏览华盛顿邮报关于CIA的报道。网页背景出现了一套系统,屏幕左上方显示Cyber Divison IntelBase以及Social Network字样。其中,IntelBase是电影中CIA的情指行一体化系统的一部分,Social Network应该是社交网络监控、研判相关的功能模块。系统左侧控制台猜测是社交高危舆情事件的Feed流,右侧开了个Terminal。
接着海瑟开始做一些恐怖分子Hunting,在Terminal中输入「run predictive algorithm」,运行预测算法,Terminal上方显示的Level 5应该为使用者对应的安全许可等级。在美国情报体系,Classified Information分为三个大的等级,机密(Confidential)、秘密(Secret)和绝密(Top Secret),访问不同等级的信息都需要通过对应的安全审查(Security Clearance)获得安全许可。从事国家安全相关岗位的员工、部队或承包商都需要通过Tier 5 Investigation的安全审查,也叫SSBI(Single Scope Background Investigation),才能访问TOP SECRET级别的国家安全相关信息。
预测算法开始运行,地图显示地区为叙利亚北部城市阿泰勒区域,GIS上面叠加人员关系网络,红色标记为算法预测出来的疑似恐怖分子。SNS数据挖掘在安全领域的应用是个很成熟的领域了,通过言论行为、点赞行为、关系网络等,筛选出疑似恐怖分子的账号进行布控。海瑟这时正Hunting得正嗨,接到电话提示有黑客入侵事件。
下图可以看到,要访问到CIA主服务器所在的网络,是需要可信设备才能接入的(零信任有木有?),这就是为什么尼基要使用Dubna 48K的原因,Dubna 48K是当年CIA的一台可信设备,但是在1993年被标记为「已销毁」,这里CIA的系统存在一个漏洞,标记为销毁的设备却没有被清理掉对应的访问权限,但还好异常的访问行为及时的触发了告警。
而尼基这边,正在从服务器上下载黑色行动相关的文件,可以看到,除了谍影重重1-3部中出现过的绊脚石项目(TREADSTONE PROGRAPM) 和黑蔷薇项目(BLACKBRIAR PROGRAPM)外,还有其他8个黑色行动计划。
CIA这边显示了一个可视化操作的界面,实时显示当前哪台服务器在发生数据泄漏(SYSTEM BREACH),以及传输了多少数据。
海瑟向其他探员要了一个反弹shell(reverse shell),准备开始表演溯源和反制。
穿透多层肉鸡,海瑟溯源到了攻击源IP来自冰岛,IP地理位置显示为冰岛首都雷克雅未克的一处厂房,坐标位 64°07’58.0"N 21°49'11.1"W。
下图中红色POI为电影中坐标实际的位置,在附近不远处,确实有一栋同电影里类似的厂房,经查证,是一个生产炸药、钻孔设备的工厂,全冰岛所有的爆炸物、雷管都产自这里。(详见:kemis.is)
在现实中,民用的IP地理位置很难做到到一栋房屋这种精度,通常能精确到一个市一个区县就已经很难了,各国运营商的特性不同,国外IP地理位置还好做一点,国内IP的各种情况就更是尤其复杂,每年需要投入大量成本才能长期维持一个较好的地理位置精度。
民用IP定位要做到很难,但军用能做到也不是不可能。比如,斯诺登曝光棱镜门事件同一时期,也曾曝光过NSA的藏宝图计划(TREAUSREMAP ),该项目旨在打通地理位置、物理网络、逻辑网络、个人设备、实人身份,构建一个实时、可交互的全球IP地图。
再比如,2019年5月,哈马斯的黑客组织对以色列目标发动网络攻击,以色列国防军网络防御部门在成功进行防御与攻击溯源后,直接对黑客当时所在的加沙地带的一栋建筑物发射发射多枚导弹进行空袭,从IP到轰炸,反制一步到位。
回到电影,海瑟的手下查到了攻击源IP所属的这栋建筑属于萨科夫的Hacking Camp,海瑟下令黑进他们电网,切断该栋建筑的供电。
入侵电网早已不是科幻,CIA具备这个能力一点也不奇怪。早在2015-2016年,乌克兰国家电网就遭受过来自俄罗斯国家级黑客组织沙虫(Sandworm)两次名留青史的断电攻击,致使首都基辅部分地区和乌克兰西部的 140 万名居民遭遇长达数小时的大规模停电,至少三个电力区域被攻击,占据全国一半地区。(详见:乌克兰电力系统遭受攻击事件综合分析报告)
此时海瑟已经反制成功,种下了Malware,而她的手下也搞定了电网的开关,手下屏幕上出现了Hacking Camp的「一房一档」,种完马CIA立即进行了断电操作,入侵响应与反制流程至此结束。
刚才的攻击溯源其实仅仅是定位到了源IP和地理位置,对CIA来说,不溯到攻击者实人身份那就是打脸,接下来海瑟开始表演高级溯源,用到的还是IntelBase这套系统。
可以看到IntelBase入口相当简约,就一搜索的入口和按钮,连高级搜索都没有。海瑟输入线索「DUBAN 48K SERIAL KO35M9214」准备查询设备画像,KO35M9214是这台DUBAN 48K的设备ID。可以看到,画像研判相关的功能,和常见的情报分析系统类似,实体、属性、行为、轨迹情报画像四大件,左侧是控制面板,「行为」中最近一次Session显示地理位置在雷克雅未克。
画面往下,可以看到还有行为统计分析、设备画面抓拍、事件Timeline分析等相关功能。镜头拉远可以看到,Intelbase系统中间部分为分析区域,两边都为控制面板。
接下来开始以实体「KO35M9214」为中心进行关系研判,分析区域部分也从画像研判切换成了画布。这里可以看到IntelBase影射的是著名的情报研判平台Palantir Gotham。
而现实中,Palantir也确实和CIA有千丝万缕的联系。CIA不光是Palantir一直以来的大客户,后文中会提到,同时也是Palantir的投资方。在2011年猎杀本拉登行动中,CIA也正是因为使用Palantir的情报分析系统Gotham分析出了本拉登的重要线索,使得Palantir从此之后名声大噪。
接下来是常规的图分析操作,「SORT RECENT ACTIVITY」可以按照地理位置「Location」、时间「Date Order」、关系类型「Connection Type」、入度出度「Data In/Out」、「Session ID」进行排序。
实体「KO35M9214」与黑客组织「PANDEMIC」名为Christian Dassault的黑客存在直接关联关系,克里斯蒂安(Christian)就是电影开始之初让尼基去Hacking Camp的人。可以看到,克里斯蒂安早就在CIA的「一人一档」里面,而且还被标记了所属组织,说明早就已经在监控范围中。
查看克里斯蒂安的最近活动行为,发现同一个ID为「Knightrider」的社交账号在两小时前有联系,「Knightrider」没有对应的实人身份信息,但是推测为三十出头的女性,从2009年活跃至今。
接下来海瑟进行人员结构化圈选,搜寻女性、年龄30-35,地理位置冰岛,类型为港口、机场。这里不难看出,搜索的是冰岛出入境的明细数据,因为此前通过IP溯源为雷克雅未克。冰岛一向同美国关系密切,在06年以前美军还常驻冰岛修建军事基地,所以CIA想要拿到冰岛的数据不是很难。
显示搜索匹配中了305人,点击「搜索」、「人脸识别」。开始从这305人在港口、机场出现的视频数据、证件照数据中去扣人脸进行人脸识别。最后命中了重点人员库,找到了攻击者尼基。
自动弹出命中的人员画像,显示尼基曾是绊脚石项目的成员。画像详细页中高亮显示,尼基与杰森·伯恩有关联。
至此,海瑟也溯源到了雷克雅未克黑客入侵事件和尼基、伯恩有关联,同时也获得了CIA局长杜威授予的指挥授权,准备开始抓捕行动。
未完待续
更多精彩敬请期待,后续讲逐步介绍「雅典宪法广场之抓捕行动、深梦集团与全民监控项目、柏林科维兹定点入侵行动、伦敦帕丁顿广场抓捕行动、拉斯维加斯刺杀栽赃行动」……
推荐阅读
二、靖安科技入选2021杭州未来科技城人工智能板块重点扶持项目