當網絡刺探應用于反恐,對數據流的梳理至關重要

一切情報戰手段的的初衷和根本在于加強國防。本文討論了將計算機網絡刺探(CNE)數據納入反恐(Counter Terrorism,簡稱 CT)計劃試點項目所取得的進展(截至 2008 年 4 月 1 日)。

作者 | _<機密>_,SNIP 實習生 lLT

編譯 | 創宇智庫

點擊獲取本文英文版 PDF :CNE Presence in CT Status

行動綱要

CT 計劃主要涉及兩個領域。首先,對反恐相關活躍信號情報(SIGINT)的獲取與預警。其次,為支持 CNE 數據的深入解析與發展,對現有反恐數據模型擴展的設計。目前,CT 計劃就某些刺探方法論而言已經可以支持 TAO 部門在因特網上新節點的建立。此外,在內外部伙伴的共同努力下,這項工作也為 CT 計劃 CNE 數據模型擴展的持續進行鋪平了道路。

詳細結論及建議在文章結尾部分給出。此處強調支撐整篇文章的三個關鍵點:

  • 對 CT 數據獲取工作的優先支持。
  • 數字網絡情報(Digital Network Intelligence,簡稱 DNI)/CNE 分析與開發團隊的進一步建設。
  • CT 計劃 CNE 數據使用策略愿景前瞻。

TAO 數據流獲取

處理 CNE 數據的第一步是識別和獲取數據流,從而將信息路由至 CT 團隊。此項工作獨具挑戰性,如下節所述。

現狀

CT 團隊正在攝取某個 CNE 數據流(即 FOXACID 日志文件)。該項工作被 CT 客戶 GHOSTWolf 標注為頂級首要任務,該數據流也被選作首個 CNE 數據流捕捉對象。CT 團隊在將 FOXACID 數據流于整個 NSA 網絡映射后,自 2008 年 2 月中旬起,根據“刺探協議”(Protocol Exploitation)創建了該數據的一個流。

由于 CNE 數據模型擴展目前還未實現,處理 FOXACID 日志的唯一方法即對信息進行調節,使其適應現有 CT 模型。這種做法可行的首要原因在于現有模型帶有與生俱來的靈活性。在 CT 攝取系統中定義新的“事件類型”,再從每個 FOXACID 事件調出所有選擇器來污染事件的做法并不難。當前模型設計的另一個優點是:為植入 ID 定義一個新的選擇器類型并將其整合入系統相對簡單易行,使得植入 ID 作為目標選擇器被添加至觀察列表中。CT 用戶從而可以檢查出與定義植入組相關的任何事件。因此,如果 CT 計劃獲得含有植入回調信息的數據流,將其添加到現有數據模型就會變得輕而易舉,便于分析師們跟蹤通過 FOXACID 部署的植入。

作為此項工作取得的進展之一,CT 系統正將一套報警技術應用于 FOXACID 刺探行為。這些技術包括 Geo 中的地理定位臨界點設定以及通過 Agent Logic(互聯網中繼聊天及電子郵件)和 iSpace 控制面板發起警報。

由開發 FOXACID 攝入代碼得出以下結論:目前 CT 數據模型可以支持比預想情況更多的 CNE 數據。鑒于系統引入了新的 CNE 流,在未執行擴展前,將這些流簡單加入到當前數據流的做法或許可行。

TAO 數據流獲取長短期目標

將 CNE 數據流引入 CT 計劃的近期目標是識別由 FOXACID 數據搭建起來的其他 CNE 數據流。根據 GHOSTWolf 要求,下一步就是獲取植入回調數據流。此過程允許分析師們跟蹤植入何時應任務及滲出之需與監聽站通信。問題植入為 VALIDATOR、OLYUMPUS、UNITEDRAKE,和 STRAITBIZZARE。

建立數據流后,下一步就是攝取從植入收集到的數據,包括任何滲出文件以及植入插件取得的戰果。CT 分析師們基于每個新數據流可對與目標有關的 CNE 活動有一個更全面的了解。然而,這些數據類型并不適合現有數據模型,因此模型擴展的提出十分重要。

此外,還存在一些并非 TAO 創建但會對 CT 分析師有幫助的 CNE 數據集。GOLLUM(一款來自合作伙伴的植入)就屬于 GHOSTWolf 指出的有助于攝入至 CT 的數據集類型。RADIUS 日志(ISP 撥號客戶記錄)也是一個絕佳的信息源,在被叫號碼識別(Dialed Number Recognition,DNR)和 DNI 數據集之間創建了一個天然的鏈接。

挑戰/展望未來

從 TAO 進一步獲取 CNE 數據將面臨大規模挑戰。首先,考慮到 TAO 數據流的復雜性,僅定位最終數據歸屬者一項就頗費周折。TAO 部門 CT 團隊每個成員都擅長與數據流打交道,雖然掌握這項能力非常必要,但未出現新的數據流創建,主要因為 CT 不在 TAO 的要求生成過程范圍之內。對 TAO 數據流額外的透明度要求將有力緩解該問題。

在 TAO 數據使用方面對其他系統大有裨益的另一個因素是對 CNE 數據的普遍性標記與分類。在 FOXACID 的例子中,文件無原生分類標記。在數據被發送至 CT 等外部客戶前,TAO 必須去除分割目標及外國情報監視法案(Foreign Intelligence Surveillance Act,簡稱 FISA)數據。CT 經 PL3 認證,因此攝入完整的 FOXACID 目標至關重要。不幸的是,缺少對每個文件獨一無二的標記及分類又帶來了其他方面的問題,使 CNE 數據周邊的監管、分類,和政策,愈加復雜化。此外,和 TAO 的進一步探討還表明該問題也同時適用于其他數據流。增加 TAO 數據饋送分類標記在很大程度上可以幫助 TAO 數據的所有用戶保持適當的安全操作流程。

TAO 部門的工程師們一直致力于創建一個可承載所有信息且對外部用戶開放的資源描述框架(Resource Description Framework,簡稱 RDF)數據庫系統。隨著這方面能力的不斷開發,CT 自身作為該數據的用戶也會受益匪淺。該系統將解決諸多問題,其中包括上一段解決的標記與分類問題。

簡而言之,為將更多 TAO 數據流有效、實時地推送至分析師手中,這些問題亟待解決。CT 還應與 TAO 在開發部署 RDF 數據庫方面保持同步。最后,CT 需要執行數據模型擴展并將目前攝入的任何 TAO 數據轉移到新模型中。

源自:NSA/CSSM1-52

文件日期:2007 年 1 月 8 日

解密日期:2029 年 11 月 23 日

[via@知道創宇官方博客]