棱镜系统是怎么工作的?

来源 :世纪人物 | 被引量 : 0次 | 上传用户:aswangxiao
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  英国《卫报》和美国《华盛顿邮报》近日报道称,美国国安局通过“棱镜”计划大范围收集并监控网络和电话用户信息,包括邮件、聊天记录、视频、照片、存储数据、文件传输、视频会议、登录时间和社交网络资料等。涉及九大互联网公司,微软、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、苹果都在其中。
  这方面的报道非常多,各个互联网公司也纷纷发布声明来否认,然而,对于棱镜系统实际是如何运作的细节情况,却现有披露,月光博客就通过现在公布的一些报道来分析和推测一下棱镜系统到底是什么运作的。
  涉事公司分析
  首先分析一下涉事的这几家公司,其中,微软2007年9月开始与政府合作,雅虎是2008年3月,谷歌2009年1月,Facebook是2009年6月,PalTalk公司2009年 12月,YouTube是2010年9月,Skype是2011年2月,AOL是2011年3月,苹果则是2012年10月。
  这些公司的互联网产品则多种多样,其中,客户端操作系统有微软和苹果,电子邮件有微软、雅虎、谷歌,社交网络有Facebook、谷歌、YouTube;即时通讯有微软、雅虎、谷歌、Facebook、PalTalk、Skype、AOL;网络接入服务ISP有AOL。这些公司提供的服务涉及到大部分网民的常用服务。
  思科的作用
  除了上述9家企业,更有媒体将矛头指向思科。此前有消息显示,斯诺登披露,美国国家安全局通过思科路由器监控中国网络和电脑。
  思科面对这些指控否认称,“棱镜”项目不是思科项目,思科网络没有参与此项目。此外,思科没有在中国或世界任何地方监控普通公民或政府部门的通讯。
  思科虽然否认参与棱镜项目,但是没有否认这样的事实:思科产品有网络侦听功能,而且存在后门。其实,无论参与还是不参与,思科都能有能力和条件监控互联网。有没有枪是一回事,参没参与杀人是另外一回事。思科否认了自己杀人,但是没有否认自己有枪。
  因此我认为,思科在“棱镜”项目里处于一个极为重要的地位,所有参与公司的流量数据都通过各种路由器才能传给用户,而思科提供的路由器等设备具有监控窃听这些数据的功能,这样,微软、谷歌和苹果的确没有让中情局“直接”访问他们的数据,但中情局却通过思科获得了他们的数据。
  思科产品的监听和后门两项功能可分别用于搜集网络信息和攻击敌对国网络,下面将对这两项功能进行分别阐述。
  黑客网络攻击的后门
  1994年,美国国会通过CALEA《执法通信辅助法》,该法通过之后,执法机关可以根据法院监听令状直接接入电信网络启动电信运营商交换机中的监听功能。这意味着美国法律要求电信运营商必须提供监听服务,思科产品自然不能例外。
  实际上,思科在自家网络产品中预留大量存在的后门,已经是业界的常识了。但要证明这些后门的使用是为了恶意监控还有很大难度。同样,华为和中兴始终无法打开美国市场主要因为网络安全问题的隐忧。去年,在对华为、中兴两家企业长达11个月的调查后,美国众议院情报委员会发表报告称,美国电信运营商不应和华为、中兴两家公司进行合作,因为这两家公司“可能对美国国家安全构成威胁”。
  对比来看,中国市场对于思科这样的外资企业似乎没有任何防备。有资料显示,过去十几年间,思科几乎参与了中国所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等重要行业。中国电信、中国联通等电信运营商的网络基础建设思科也参与其中,在承载着中国互联网80%以上流量的中国电信163和中国联通169两个骨干网中,思科占据了70%以上的份额,并占据着所有超级核心节点。
  思科公司是美国也是全球最大的路由器、骨干网络设备制造商,在行业中处于领军地位,那么思科公司完全有可能在美国政府的反恐要求下,在其设备上对各类网络活动进行监控,并将监控到的数据提交给美国政府。
  据悉,美国国安局旗下设有一个部门,名为“定制入口行动办公室”(TAO)。该部门过去近15年中一直从事侵入中国境内电脑和通讯系统的网络攻击,借此获取有关中国的有价值情报。巧合的是,根据方校长回忆,15年前,也就是1998年,正好是中国某个大型网络工程建立的时刻,而此工程用的核心设备由美国思科提供的。
  这也就是美国这么害怕华为中兴(思科的竞争对手)进入美国市场的原因。
  如何在通讯层进行大规模监控
  我们知道,互联网上的用户和发布的信息都是海量的,不同的网络公司提供的数据又都不同,“棱镜”项目的预算并不太多,如何用一种低成本而简单的方法对互联网上的海量信息进行监控?显然,各个互联网公司给美国政府开后门的方法并不太合适,因为各家公司的数据结构各不相同,在这些海量数据中寻找信息也有难度,难以用统一的方法进行监控,这些信息还要人工处理,需要的人力成本太高。
  那么,在通讯层面进行自动监控就是最为简单有效的监控方法了,我们知道,常见的网络传输协议就几种,例如http、ftp、smtp、pop3、telnet等等,最关键的是,这里面大部分网络传输协议都是明文传输数据,这样,监控者只需要在路由器的关键节点部署一些网络监听设备(例如思科的“入侵检测系统”等产品),就可以截取到所有明文传输的信息。
  对于电子邮件或电话来说,搜集截获的通讯数据内容主要包括明文的通信时间、通讯地点、参与者等,这些数据被存储记录到数据库中,以便用各种分析系统来进行更为详尽地数据分析,在大数据时代,通过零散信息可能会拼接出一个重要的信息。
  当然,为了传输安全,不是所有的协议都是明文传输,很多系统为保证传输安全,都采用SSL加密策略。SSL(Secure Socket Layer)是目前获得广泛应用的一个工业标准,它在底层为上层协议提供数据加密服务,对用户是透明的,用户的数据以加密的形式在网络中传输,即使中间路由被黑客窃听也不可能破译出数据的真实内容。对于https的访问过程中,网站服务器生成的WEB页面经过加密之后才发送到用户的浏览器上,再经过浏览器解密,显示在用户面前。这样,就完全防止了通讯内容在传输过程中被窃取的可能。   遇到这种https加密的情况,也并不是绝对安全,也有一些攻击方法,例如可以通过发假证书进行中间人攻击,从而破解https传输的内容。详见月光博客《破解Google Gmail的https新思路》。
  棱镜是如何工作的?
  棱镜的具体工作原理,一直没有一个明确的说法,根据上面的分析,我觉得棱镜系统很可能是这样工作的:在互联网的骨干网路由器上,思科提供的设备默默地监听着来往的流量,包括邮件、聊天记录、文件传输、社交网络资料等所有明文传输的东西,用户在谷歌、雅虎、微软等搜索引擎上的搜索关键字也会被监控,这些信息是海量的,棱镜系统,正如它的名字所暗示的,将海量信息中一些“特殊信息”集中、过滤并记录下来,这样,正如谷歌、苹果、微软所声明的那样,微软、谷歌和苹果的确没有让中情局“直接”访问他们的数据,但中情局却通过思科的设备间接获得了他们的数据。
  如果通讯的信息是经过加密的,而中情局又认为这些信息十分重要,那么再联系美国的外国情报监视法庭(外国情报监视法庭是依据外国情报监视法设立的特别法庭,负责监督和审查政府情报监视活动),当局依据《外国情报调查法》向企业提出的秘密要求,让这些公司来提供指定帐号的数据信息。自2010年起,谷歌公司每半年会发表一份透明度报告,披露各个国家和地方当局要求谷歌提供相关数据的情况。
  举例来说,一个从伊朗IP地址登录的用户,使用Google搜索一些信息,或MSN发送一条信息,里面提到了“真主”、“阿拉”、“爆炸”这样的词,思科的设备就会把通讯信息记录下来,如果是明文信息,则可直接分析通讯内容,如果信息加密了,则向谷歌或微软等公司提出请求,要求其提供该用户的邮件信息和资料。
  泄漏用户隐私的数量
  从谷歌提供的《透明度报告》可以看出,美国政府去年下半年共向谷歌提出了8438次数据要求,涉及账户14791个,88%的要求被执行了。
  Facebook公布 2012 年下半年政府索求信息情况,Facebook 在 2012 年下半年共收到 9000 到 10000 次政府信息索求,涉及 1.8 万到 1.9 万用户。
  微软也发表声明,2012 年下半年,微软共收到 6000 次到 7000 次政府信息索求,涉及 3.2 万个用户。
  雅虎则发表声明,在 2012 年下半年,雅虎共收到政府信息索求 1.2 万到 1.3万次。
  被指控“即将加入”棱镜计划的Dropbox也发布了一项“透明度报告”,对外显示了Dropbox向美国政府提供的个人用户信息数量,根据报告,Dropbox去年收到政府87次请求,涉及帐号164个,82%的要求被执行了。
  由于美国政府要求不得透露与国家安全相关的信息索求,因此上述透明度报告只涉及美国法庭指令相关的信息索求,不包括美国政府以国家安全名义索取的用户数据信息数量。
  这难道不违法吗?
  的确,上述这种监控方法令人触目惊心,所以美国政府一直在避免“监控本国国民”的说法,因为这违反了宪法第四修正案,他们声称所有的监控都是针对外国人实施的,尽管这在技术实现上会存在偏差。
  这也就是说,外国人的隐私不受美国法律保护,这种解释固然可以缓解美国国内的舆论压力,但这也令世界人民感到不满,谷歌、微软、苹果等这九大企业的服务都是全球性的,几乎每个网民都会接触到这些公司的服务,而在这些公司的“隐私条款”中也明确表示会保护用户的隐私,而“棱镜系统”的曝光则让这些公司的隐私政策显得苍白无力。
  对于互联网企业将用户资料提交给政府,我对于某几种信息是零容忍的:1、电子邮件(如Gmail);2、网络笔记(如Evernote);3、云存储(如Dropbox)。如果美国政府索要用户的Gmail邮件,Google就真把用户邮件交出去了,那么这和当年雅虎邮箱交出中国用户的邮件信息导致其入狱有什么区别?当年雅虎因为此事受到美国舆论的猛烈抨击,雅虎总裁杨致远也曾因此向当事人的妈妈道歉。对全球网民提供互联网服务的这些大公司们,应该有一项法律来保护全球人民的个人通讯隐私。
  “棱镜计划”的对比
  其实通过上述分析来看,“棱镜计划”其实技术实现并不麻烦,类似的计划其他国家也能做,美国人说的多,做的少,其他国家则是做的多,说的少,“棱镜计划”之所以引起这么大反响,是因为美国是全球互联网技术最发达的国家,其互联网服务的全球用户数量庞大,有些服务甚至垄断了不少国家的网络市场,这样的服务一旦爆出监视个人信息的内幕,无疑让这些企业大幅丧失全球用户的口碑,而让另一些没有参与的企业获利。例如,在其他科技公司忙不迭地与政府撇清干系时,棱镜计划反而成为了Twitter保密政策最好的广告。如果美国政府要搜集用户个人数据的话,Twitter是不可忽视的重要对象与数据来源。据透露,美国国家安全局也曾经联系Twitter,但Twitter拒绝加入棱镜计划。而且,Twitter对政府不仅有着不配合的历史,还经常表现出抵抗态度,Twitter拒绝向美国政府屈服的态度就得到了广大用户由衷的赞赏。
  政府通过互联网企业监控网民信息,美国做的其实还处于初级阶段,效率并不高,而且相对比较公开,容易被人抓把柄,比起其他国家差远了,大家要是不信的话,可以在QQ群或者百度贴吧等网站发一条违法信息,通常24小时之内就会被抓。
  美国要想摆脱目前的困境,应该好好向其他国家“取经”,美国“棱镜计划”的主要失败之处:1、相对比较公开透明,连次数都可以统计,容易被人抓把柄,正确做法是不能有物证,所有控制都通过电话实施。2、需要联系企业获得用户隐私,效率不高,正确做法是让企业开后门直接查询用户信息。3、对电话的跟踪不全面,正确做法是根据关键字或重点人物来窃听通话内容。4、攘外必先安内,自己的国民都不听话,还去监视外国人,先搞定自己的国民再说。
其他文献
提起霍英东先生为国家发展和现代化建设事业做出的重大贡献,大家耳熟能详。然而,霍老抗美援朝的另一段功绩却鲜为人知。在抗美援朝战争中,霍英东海水运输最多的物资是黑铁皮,这些黑铁皮关系抗美援朝战争的大局。2010年,抗美援朝胜利60周年,在我们纪念抗美援朝取得胜利的同时,我们也应铭记这位为抗美援朝最终取得胜利的关键人物,已故的原第十届全国政协副主席——霍英东。  中国人民解放军总后勤部编写的《抗美援朝后
这是一个选择众多的时代,亦是倡导个性独立的年代,春晚,也许只是其中一个符号,一个逐渐成为某种文化背景的符号。春晚的味道,也许贴心,抑或疏离,掌勺师傅可以把“每一位食客都满意”作为努力方向,但这也仅仅是个努力方向。无论怎样改变,褒贬不一成为每届春晚的宿命。  或许论评判春晚,春晚的历届导演更能切中要害。  洪民生:越来越见不到让自己觉得痛快的节目了。  2013年春节联欢晚会彩排现场的角落里坐着一位
——湖北省大冶市还地桥镇松山中学爱生若爱子、惜情重如金、国耳忘家、公耳忘私,27年如一日呕心沥血连续3年为黄石市和大冶市重点高中培养输送优秀高才生64人次创造了“松中神话”之奇迹多次被评为劳动模范、教育先进工作者,初三年级毕业班优秀班主任“代课教师”胡长久同志采访手记    教育,是一个民族赖以复兴的伟大事业。所以,自党的十三中全会之后,即从1985年起,中华民族便倡导了“尊师重教”的传统美德与社
“凯丽老师为什么来参加《花儿与少年》?”  “我想熟悉我的朋友一定知道我为什么来。观众朋友,你们知道吗?”  “……”  现场停顿了几秒。  何炅接过话茬,“责备”观众:“你们怎么那么不懂事?”  “凯丽老师再来一遍!”  “知道我为什么来吗?”张凯丽略显腼腆地问道。  这一次,全场观众使出吃奶的力气:  “知道——!”一时间,卖力捧场的观众自己都笑得前翻后仰。  2014年4月27日晚8点许,记
关于影视专业的学生,不了解的人有很多想象:大一、大二就成名,导演天天来学校找人演戏,课也不用上天天在外面拍戏……对于这些想象,很多影视专业的学生都哭笑不得。 比如不上课在外面演戏这一条,可以当然是可以,但是“旷课”的学生每月要交给学校5000块的保证金,这是行价,几大院校都差不多。但对于这些在校生来说,就算能在小剧组演到男一号,也拿不到5000块,可为了机会,他们只能贴钱去接戏。  2011年毕业
年度特别大奖  警察在西雅图街道上发现一个严重不适的人蜷缩在一辆RAV车旁,那人后来承认他企图用虹吸管偷汽油,但他错误地将吸管的另一头放到了旅行汽车的小型化粪桶里。(想像一下他用力含着吸管大力猛吸时的情景吧。)    银牌  奖的得主  1.一个瑞士酒店的厨师被一台切肉机切断了一根手指,他向保险公司要求赔偿。保险公司怀疑是他操作错误才会发生意外,于是派了一个代表来检查机器。这个代表自己尝试操作了切
“你知道Wi-Fi吗?知道。那什么是Wi-Fi呢?这个,不知道。”如果不是Wi-Fi逼停地铁的事情一件接一件地上演,如果不是Wi-Fi泄露个人信息的新闻一个连一个地出现,我们还只是在期待越来越多的Wi-Fi热点,免费Wi-Fi对城市和生活在其中的人们充满着诱惑,它便捷且不用你来消费,但我们从未想过,在它的背后有多少我们不曾知晓的秘密,是谁提供了这种便利,又是谁要为这种便利埋单?  政府:我的心意谁
在欧元区新一轮危机的阴影渐行渐近、进入视野的当口,构筑“防火墙”,成为争论不休的各方唯一达成一致的解决方案。处在风口浪尖的IMF,在历史上首任女总裁的带领下,斡旋各方,推出了金额巨大的增资方案。随着G20峰会在墨西哥的洛斯卡沃斯召开,在G20峰会之前为峰会做准备的G20部长会在华盛顿落下帷幕,中央银行行长周小川围绕当前欧洲债务危机的难点“三连环恶性循环”和其解决之道、中国在全球环境下的再平衡、IM
早就听说河源市和平县有一个千年古村落林寨,是全国最大的四角楼建筑群体。前不久的仲夏时节,我们几位热爱传统文化的老友,驱车探微寻幽去了。  进了和平县,沿乡间小路缓缓而行,一路山清水秀,满目葱绿;不经意打开车窗,一团团的青草灌木味,和着山地泥土的芬芳,扑鼻而来。放眼望去,整个林寨古村落,尽是古朴生香的四角楼和斑驳退色的灰色墙壁,古韵悠悠。  古风悠远的建筑。  林寨古村落位于东江支流利江河畔,已有二
许多创业者,当然还有在身后支持他们的风险投资人,都希望创办一家价值数十亿美元的公司。  为什么开发者对“数亿美元投资退出(billion dollar exits)”这么关心呢?从历史情况来看,顶级风投基金的收益主要来自它们持有的少数几家公司。除此之外,传统风投基金都已经发展得比较大了,需要有更大的“投资退出(exits)”获取可以接受的回报。比如,只是收回一家规模 4 亿美元风投基金的初始资本,