棱鏡系統是怎麼工作的?

  英國《衛報》和美國《華盛頓郵報》近日報導稱,美國國安局通過“棱鏡”計畫大範圍收集並監控網路和電話使用者資訊,包括郵件、聊天記錄、視頻、照片、存儲資料、檔案傳輸、視訊會議、登錄時間和社交網路資料等。涉及九大互聯網公司,微軟、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、蘋果都在其中。

  這方面的報導非常多,各個互聯網公司也紛紛發佈聲明來否認,然而,對於棱鏡系統實際是如何運作的細節情況,卻現有披露,月光博客就通過現在公佈的一些報導來分析和推測一下棱鏡系統到底是什麼運作的。

  涉事公司分析

  首先分析一下涉事的這幾家公司,其中,微軟2007年9月開始與政府合作,雅虎是2008年3月,谷歌2009年1月,Facebook是2009年6月,PalTalk公司2009年 12月,YouTube是2010年9月,Skype是2011年2月,AOL是2011年3月,蘋果則是2012年10月。

  這些公司的互聯網產品則多種多樣,其中,用戶端作業系統有微軟和蘋果,電子郵件有微軟、雅虎、谷歌,社交網路有Facebook、谷歌、YouTube;即時通訊有微軟、雅虎、谷歌、Facebook、PalTalk、Skype、AOL;網路接入服務ISP有AOL。這些公司提供的服務涉及到大部分線民的常用服務。

棱鏡系統是怎麼工作的?



  思科的作用

  除了上述9家企業,更有媒體將矛頭指向思科。此前有消息顯示,斯諾登披露,美國國家安全局通過思科路由器監控中國網路和電腦。

  思科面對這些指控否認稱,“棱鏡”專案不是思科專案,思科網路沒有參與此專案。此外,思科沒有在中國或世界任何地方監控普通公民或政府部門的通訊。

  思科雖然否認參與棱鏡專案,但是沒有否認這樣的事實:思科產品有網路偵聽功能,而且存在後門。其實,無論參與還是不參與,思科都能有能力和條件監控互聯網。有沒有槍是一回事,參沒參與殺人是另外一回事。思科否認了自己殺人,但是沒有否認自己有槍。

  1994年,美國國會通過CALEA《執法通信輔助法》,該法通過之後,執法機關可以根據法院監聽令狀直接接入電信網路啟動電信運營商交換器中的監聽功能。這意味著美國法律要求電信運營商必須提供監聽服務,思科產品自然不能例外。

  實際上,思科在自家網路產品中預留大量存在的後門,已經是業界的常識了。但要證明這些後門的使用是為了惡意監控還有很大難度。同樣,華為和中興始終無法打開美國市場主要因為網路安全問題的隱憂。去年,在對華為、中興兩家企業長達11個月的調查後,美國眾議院情報委員會發表報告稱,美國電信運營商不應和華為、中興兩家公司進行合作,因為這兩家公司“可能對美國國家安全構成威脅”。

  對比來看,中國市場對於思科這樣的外資企業似乎沒有任何防備。有資料顯示,過去十幾年間,思科幾乎參與了中國所有大型網路專案的建設,涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等重要行業。中國電信、中國聯通等電信運營商的網路基礎建設思科也參與其中,在承載著中國互聯網80%以上流量的中國電信163和中國聯通169兩個骨幹網中,思科佔據了70%以上的份額,並佔據著所有超級核心節點。

  思科公司是美國也是全球最大的路由器、骨幹網路設備製造商,在行業中處於領軍地位,那麼思科公司完全有可能在美國政府的反恐要求下,在其設備上對各類網路活動進行監控,並將監控到的資料提交給美國政府。

  據悉,美國國安局旗下設有一個部門,名為“定制入口行動辦公室”(TAO)。該部門過去近15年中一直從事侵入中國境內電腦和通訊系統的網路攻擊,借此獲取有關中國的有價值情報。巧合的是,根據方校長回憶,15年前,也就是1998年,正好是中國某個大型網路工程建立的時刻,而此工程用的核心設備由美國思科提供的。

  因此我認為,思科在“棱鏡”專案裡處於一個極為重要的地位,所有參與公司的流量資料都通過各種路由器才能傳給使用者,而思科提供的路由器等設備具有監控竊聽這些資料的功能,這樣,微軟、谷歌和蘋果的確沒有讓中情局“直接”訪問他們的資料,但中情局卻通過思科獲得了他們的資料。

  這也就是美國這麼害怕華為中興(思科的競爭對手)進入美國市場的原因。

  如何在通訊層進行大規模監控

  我們知道,互聯網上的使用者和發佈的資訊都是海量的,不同的網路公司提供的資料又都不同,如何用一種低成本而簡單的方法對互聯網上的海量資訊進行監控,顯然,各個互聯網公司給美國政府開後門的方法並不太合適,因為各家公司的資料結構各不相同,在這些海量資料中尋找資訊也有難度,難以用統一的方法進行監控。

  那麼,在通訊層面進行監控就是最為簡單有效的監控方法了,我們知道,常見的網路傳輸協議就幾種,例如HTTP、ftp、smtp、pop3、telnet等等,最關鍵的是,這裡面大部分網路傳輸協議都是明文傳輸資料,這樣,監控著只需要在路由器的關鍵節點部署一些網路監聽設備,就可以截取到所有明文傳輸的資訊。

  當然,為了傳輸安全,不是所有的協定都是明文傳輸,很多系統為保證傳輸安全,都採用SSL加密策略。SSL(Secure Socket Layer)是目前獲得廣泛應用的一個工業標準,它在底層為上層協定提供資料加密服務,對使用者是透明的,使用者的資料以加密的形式在網路中傳輸,即使中間路由被駭客竊聽也不可能破譯出資料的真實內容。對於HTTPs的訪問過程中,網站伺服器生成的WEB頁面經過加密之後才發送到使用者的瀏覽器上,再經過瀏覽器解密,顯示在使用者面前。這樣,就完全防止了通訊內容在傳輸過程中被竊取的可能。

  遇到這種HTTPs加密的情況,也並不是絕對安全,也有一些攻擊方法,例如可以通過發假證書進行中間人攻擊,從而破解HTTPs傳輸的內容。詳見月光博客《破解Google Gmail的HTTPs新思路》。

  棱鏡是如何工作的?

  棱鏡的具體工作原理,一直沒有一個明確的說法,根據上面的分析,我覺得棱鏡系統很可能是這樣工作的:在互聯網的骨幹網路由器上,思科提供的設備默默地監聽著來往的流量,包括郵件、聊天記錄、檔案傳輸、社交網路資料等所有明文傳輸的東西,使用者在谷歌、雅虎、微軟等搜尋引擎上的搜索關鍵字也會被監控,這些資訊是海量的,棱鏡系統,正如它的名字所暗示的,將海量資訊中一些“特殊資訊”集中、過濾並記錄下來,這樣,正如谷歌、蘋果、微軟所聲明的那樣,微軟、谷歌和蘋果的確沒有讓中情局“直接”訪問他們的資料,但中情局卻通過思科的設備間接獲得了他們的資料。

  如果通訊的資訊是經過加密的,而中情局又認為這些資訊十分重要,那麼再聯繫美國的外國情報調查法院,當局依據《外國情報調查法》向企業提出的秘密要求,讓這些公司來提供指定帳號的資料資訊。自2010年起,谷歌公司每半年會發表一份透明度報告,披露各個國家和地方當局要求谷歌提供相關資料的情況。

  舉例來說,一個從伊朗IP位址登錄的使用者,使用Google搜索一些資訊,或MSN發送一條資訊,裡面提到了“真主”、“阿拉”、“爆炸”這樣的詞,思科的設備就會把通訊資訊記錄下來,如果是明文資訊,則可直接分析通訊內容,如果資訊加密了,則向谷歌或微軟等公司提出請求,要求其提供該使用者的郵件資訊和資料。

洩漏使用者隱私的數量

  從谷歌提供的《透明度報告》可以看出,美國政府去年下半年共向谷歌提出了8438次資料要求,涉及帳戶14791個,88%的要求被執行了。

  Facebook公佈 2012 年下半年政府索求資訊情況,Facebook 在 2012 年下半年共收到 9000 到 10000 次政府資訊索求,涉及 1.8 萬到 1.9 萬使用者。

  微軟也發表聲明,2012 年下半年,微軟共收到 6000 次到 7000 次政府資訊索求,涉及 3.2 萬個使用者。

  雅虎則發表聲明,在 2012 年下半年,雅虎共收到政府資訊索求 1.2 萬到 1.3萬次。

  被指控“即將加入”棱鏡計畫的Dropbox也發佈了一項“透明度報告”,對外顯示了Dropbox向美國政府提供的個人使用者資訊數量,根據報告,Dropbox去年收到政府87次請求,涉及帳號164個,82%的要求被執行了。

  由於美國政府要求不得透露與國家安全相關的資訊索求,因此上述透明度報告只涉及美國法庭指令相關的資訊索求。

  這難道不違法嗎?

  的確,上述這種監控方法令人觸目驚心,所以美國政府一直在避免“監控本國國民”的說法,因為這違法了憲法第四修正案,他們聲稱所有的監控都是針對外國人實施的,儘管這在技術實現上會存在偏差。

  這也就是說,外國人的隱私不受美國法律保護,這種解釋固然可以緩解美國國內的輿論壓力,但這也令世界人民感到不滿,谷歌、微軟、蘋果等這九大企業的服務都是全球性的,幾乎每個線民都會接觸到這些公司的服務,而在這些公司的“隱私條款”中也明確表示會保護使用者的隱私,而“棱鏡系統”的曝光則讓這些公司的隱私政策顯得蒼白無力。

  對於互聯網企業將使用者資料提交給政府,我對於某幾種資訊是零容忍的:1、電子郵件(如Gmail);2、網路筆記(如Evernote);3、雲存儲(如Dropbox)。如果美國政府索要使用者的Gmail郵件,Google就真把使用者郵件交出去了,那麼這和當年雅虎郵箱交出中國使用者的郵件資訊導致其入獄有什麼區別?當年雅虎因為此事受到美國輿論的猛烈抨擊,雅虎總裁楊致遠也曾因此向當事人的媽媽道歉。應該有一項法律來保護全球人民的個人通訊隱私。

  “棱鏡計畫”的對比

  其實通過上述分析來看,“棱鏡計畫”其實技術實現並不麻煩,類似的計畫其他國家也能做,美國人說的多,做的少,其他國家則是做的多,說的少,“棱鏡計畫”之所以引起這麼大反響,是因為美國是全球互聯網技術最發達的國家,其互聯網服務的全球使用者數量龐大,有些服務甚至壟斷了不少國家的網路市場,這樣的服務一旦爆出監視個人資訊的內幕,無疑讓這些企業大幅喪失全球使用者的口碑,而讓另一些沒有參與的企業獲利。例如,在其他科技公司忙不迭地與政府撇清干係時,棱鏡計畫反而成為了Twitter保密政策最好的廣告。如果美國政府要搜集使用者個人資料的話,Twitter是不可忽視的重要物件與資料來源。據透露,美國國家安全局也曾經聯繫Twitter,但Twitter拒絕加入棱鏡計畫。而且,Twitter對政府不僅有著不配合的歷史,還經常表現出抵抗態度,Twitter拒絕向美國政府屈服的態度就得到了廣大使用者由衷的讚賞。

  政府通過互聯網企業監控線民資訊,美國做的其實還處於初級階段,效率並不高,而且相對比較公開,容易被人抓把柄,比起其他國家差遠了,美國要想擺脫目前的困境,應該好好向其他國家“取經”,美國“棱鏡計畫”的主要失敗之處:1、相對比較公開透明,連次數都可以統計,容易被人抓把柄,正確做法是不能有物證,所有控制都通過電話實施。2、需要聯繫企業獲得使用者隱私,效率不高,正確做法是讓企業開後門直接查詢使用者資訊。3、對電話的跟蹤不全面,正確做法是根據關鍵字或重點人物來竊聽通話內容。4、攘外必先安內,自己的國民都不聽話,還去監視外國人,先搞定自己的國民再說。

特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,文章转自月光博客

Comments are closed.