当网络刺探应用于反恐,对数据流的梳理至关重要

一切情报战手段的的初衷和根本在于加强国防。本文讨论了将计算机网络刺探(CNE)数据纳入反恐(Counter Terrorism,简称 CT)计划试点项目所取得的进展(截至 2008 年 4 月 1 日)。

作者 | _<机密>_,SNIP 实习生 lLT

编译 | 创宇智库

点击获取本文英文版 PDF :CNE Presence in CT Status

行动纲要

CT 计划主要涉及两个领域。首先,对反恐相关活跃信号情报(SIGINT)的获取与预警。其次,为支持 CNE 数据的深入解析与发展,对现有反恐数据模型扩展的设计。目前,CT 计划就某些刺探方法论而言已经可以支持 TAO 部门在因特网上新节点的建立。此外,在内外部伙伴的共同努力下,这项工作也为 CT 计划 CNE 数据模型扩展的持续进行铺平了道路。

详细结论及建议在文章结尾部分给出。此处强调支撑整篇文章的三个关键点:

  • 对 CT 数据获取工作的优先支持。
  • 数字网络情报(Digital Network Intelligence,简称 DNI)/CNE 分析与开发团队的进一步建设。
  • CT 计划 CNE 数据使用策略愿景前瞻。

TAO 数据流获取

处理 CNE 数据的第一步是识别和获取数据流,从而将信息路由至 CT 团队。此项工作独具挑战性,如下节所述。

现状

CT 团队正在摄取某个 CNE 数据流(即 FOXACID 日志文件)。该项工作被 CT 客户 GHOSTWolf 标注为顶级首要任务,该数据流也被选作首个 CNE 数据流捕捉对象。CT 团队在将 FOXACID 数据流于整个 NSA 网络映射后,自 2008 年 2 月中旬起,根据“刺探协议”(Protocol Exploitation)创建了该数据的一个流。

由于 CNE 数据模型扩展目前还未实现,处理 FOXACID 日志的唯一方法即对信息进行调节,使其适应现有 CT 模型。这种做法可行的首要原因在于现有模型带有与生俱来的灵活性。在 CT 摄取系统中定义新的“事件类型”,再从每个 FOXACID 事件调出所有选择器来污染事件的做法并不难。当前模型设计的另一个优点是:为植入 ID 定义一个新的选择器类型并将其整合入系统相对简单易行,使得植入 ID 作为目标选择器被添加至观察列表中。CT 用户从而可以检查出与定义植入组相关的任何事件。因此,如果 CT 计划获得含有植入回调信息的数据流,将其添加到现有数据模型就会变得轻而易举,便于分析师们跟踪通过 FOXACID 部署的植入。

作为此项工作取得的进展之一,CT 系统正将一套报警技术应用于 FOXACID 刺探行为。这些技术包括 Geo 中的地理定位临界点设定以及通过 Agent Logic(互联网中继聊天及电子邮件)和 iSpace 控制面板发起警报。

由开发 FOXACID 摄入代码得出以下结论:目前 CT 数据模型可以支持比预想情况更多的 CNE 数据。鉴于系统引入了新的 CNE 流,在未执行扩展前,将这些流简单加入到当前数据流的做法或许可行。

TAO 数据流获取长短期目标

将 CNE 数据流引入 CT 计划的近期目标是识别由 FOXACID 数据搭建起来的其他 CNE 数据流。根据 GHOSTWolf 要求,下一步就是获取植入回调数据流。此过程允许分析师们跟踪植入何时应任务及渗出之需与监听站通信。问题植入为 VALIDATOR、OLYUMPUS、UNITEDRAKE,和 STRAITBIZZARE。

建立数据流后,下一步就是摄取从植入收集到的数据,包括任何渗出文件以及植入插件取得的战果。CT 分析师们基于每个新数据流可对与目标有关的 CNE 活动有一个更全面的了解。然而,这些数据类型并不适合现有数据模型,因此模型扩展的提出十分重要。

此外,还存在一些并非 TAO 创建但会对 CT 分析师有帮助的 CNE 数据集。GOLLUM(一款来自合作伙伴的植入)就属于 GHOSTWolf 指出的有助于摄入至 CT 的数据集类型。RADIUS 日志(ISP 拨号客户记录)也是一个绝佳的信息源,在被叫号码识别(Dialed Number Recognition,DNR)和 DNI 数据集之间创建了一个天然的链接。

挑战/展望未来

从 TAO 进一步获取 CNE 数据将面临大规模挑战。首先,考虑到 TAO 数据流的复杂性,仅定位最终数据归属者一项就颇费周折。TAO 部门 CT 团队每个成员都擅长与数据流打交道,虽然掌握这项能力非常必要,但未出现新的数据流创建,主要因为 CT 不在 TAO 的要求生成过程范围之内。对 TAO 数据流额外的透明度要求将有力缓解该问题。

在 TAO 数据使用方面对其他系统大有裨益的另一个因素是对 CNE 数据的普遍性标记与分类。在 FOXACID 的例子中,文件无原生分类标记。在数据被发送至 CT 等外部客户前,TAO 必须去除分割目标及外国情报监视法案(Foreign Intelligence Surveillance Act,简称 FISA)数据。CT 经 PL3 认证,因此摄入完整的 FOXACID 目标至关重要。不幸的是,缺少对每个文件独一无二的标记及分类又带来了其他方面的问题,使 CNE 数据周边的监管、分类,和政策,愈加复杂化。此外,和 TAO 的进一步探讨还表明该问题也同时适用于其他数据流。增加 TAO 数据馈送分类标记在很大程度上可以帮助 TAO 数据的所有用户保持适当的安全操作流程。

TAO 部门的工程师们一直致力于创建一个可承载所有信息且对外部用户开放的资源描述框架(Resource Description Framework,简称 RDF)数据库系统。随着这方面能力的不断开发,CT 自身作为该数据的用户也会受益匪浅。该系统将解决诸多问题,其中包括上一段解决的标记与分类问题。

简而言之,为将更多 TAO 数据流有效、实时地推送至分析师手中,这些问题亟待解决。CT 还应与 TAO 在开发部署 RDF 数据库方面保持同步。最后,CT 需要执行数据模型扩展并将目前摄入的任何 TAO 数据转移到新模型中。

源自:NSA/CSSM1-52

文件日期:2007 年 1 月 8 日

解密日期:2029 年 11 月 23 日

[via@知道创宇官方博客]