加州大年夜学伯克利分校(UC Berkeley)及国际计较机科学中间(the International Computer Science Institute)的研究院尼古拉斯·韦弗(Nicholas Weaver)日前在《连线》(Wired)杂志颁发文章,细心阐述了美国***局(NSA)最强大年夜的互联网报复打击东西QUANTUM(量子)。
以下是文章首要内容:
尽人皆知,NSA已将互联网变成了一件兵器,让其可以或许随心所欲“报复打击”任何人的缝隙,一个简单的网页抓取(web fetch),就足以让NSA用来对方针进行报复打击。
可是,爱德华·***登(Edward Snowden)日前在新闻网站The Intercept暴光的最新奥秘文件,加倍具体的诠释了NSA所具有的监控手艺及其局限性。
起首,NSA选择代号为“QUANTUM“的歹意软件,作为其首选互联网开辟机制。比起纯真的发送垃圾邮件,QUANTUM的效力更高,自从该项目在NSA上线以来,其任务和方针都呈现了改变。
假定NSA只操纵QUANTUM来报复打击对那些试图浏览煽动性内容的暗藏可骇主义者,那么,几近不会有人提出贰言。但相反,NSA不但操纵该法度来扩大年夜本身的监督范围,好比监控意大年夜利最大年夜电信公司Belgacom,同时还对该法度的监督功能进行拓展。
此刻,QUANTUM涵盖了包含DNS(域名系统)和HTTP注进式报复打击等在内的一系列收集报复打击东西。别的,QUANTUM还具有可以或许插进联系关系数据库治理系统MySQL连接的插件等小东西,让NSA可以或许在人不知鬼不觉的环境下,干扰第三方数据库的内容。由这可以看出,互联网中未加密的MySQL很等闲被NSA盯上。
并且,NSA还可以或许借助QUANTUM,操控基于IRC和HTTP的犯法僵尸收集,和那些操纵数据包注进来成立虚拟办事器的法度,乃至可以用来防御报复打击。QUANTUM的笼盖范围很是广,此中最闻名的就是名为QUANTUMDEFENSE的项目,NSA可以或许借对寻求"非保密因特网和谈路由器网"(NIPRNET)地址的DNS要求进行监控,并可以或许将数据包注进子虚的DNS要求,将报复打击者引向NSA所节制的网站。
QUANTUMDEFENSE项目很是准确的诠释了“假定你只有一把榔头,那么所有的标题问题在你看来都像是钉子。”这句话。“互联网和谈路由收集“(NIPRNET)是美国国防部收集的一部门,是一种非保密但十分敏感的收集系统,而公家可以连接到该收集。借助QUANTUMDEFENSE,美国国防部节制着报复打击者们正在查阅的DNS权限记实,并且可以或许直接让这些收集报复打击者无功而返。
别的,QUANTUM还有三点限制:类档次布局、实施受限和防御性亏弱。
此前大年夜家不解的是,100次“提示”是如安在一次测试中(***装配发现一些有趣内容,并将这些信息发送至其他电脑)仅实现5次成功“报复打击”(受害人收取到的报复打击数据包);别的,先前暴光文件揭示的是一个较着破损的设计,而在这个设计中,“报复打击”号令是由“长途计较机”来履行,那么为安在先前QUANTUM歹意软件暗藏时候增加,并且有效性降落。
是因为类档次布局。监控设备本身就依托互联网,处于“低层系统(system low)”空间,而报复打击行动背后的法度逻辑则处于NSA的奥秘“高层系统(system high)”空间。
低层系统可以或许很等闲向高层系统传送数据,也就是从非奥秘收集向NSA奥秘收集传送数据。可是按照QUANTUM的设计布局,高层系统向低层系统进行传输几近是不成能的。这个特别的单向“管”通道节制着通信,包管信息不会从奥秘收集中逆流出往。
这就是QUANTUM采取分体式设计,并呈现以后机能低下的暗藏启事。NSA要求报复打击法度逻辑位于“高层系统”,而其他内容则只会按照阿谁设计决定流出。“高层系统”需要高度防护,可能需要存放在一个不合的安然地址,并且还不克不及随便向互联网发送要求。
相较于经由过程度级布局改变将报复打击法度逻辑转移至“低层系统”,NSA寻求新的解决编制,推出了代号为“QUANTUMHAND(量子指针)”的歹意软件系统。除对准任何可报复打击的网页链接,QUANTUMHAND以来自Facebook的延续“推送”连接为方针,当用户登录Facebook网站时,NSA会发送歹意数据包,使方针用户觉得其在拜候真实的Facebook网页。NSA经由过程将歹意软件隐躲在看似通俗的Facebook页面中,对方针计较机进行报复打击,并从计较机硬盘中获得数据。
经由过程这类编制,即便是速度迟缓且设计破损的加密布局也能够或许报复打击Facebook用户的计较机。不外,Facebook在已几个月前启动了加密办法,NSA、英国当局通信总部(GCHQ)等机构的报复打击行动可能会被挫败。
QUANTUM的第二个限制呈此刻一项实验的描述中。NSA和GCHQ都在寻求添加“关头字pwn”,即,查抄用户的Hotmail和Yahoo邮件中是不是含有关头字,假定有,便主动对其进行报复打击。
为了检测报复打击是不是有效,这些间谍机构进行了一项实验,成果显示,QUANTUMTHEORY(量子理论)监控设备只查抄单一数据包,没法完全措置TCP数据流,从而导致该项目变成一个有限东西。
从本质上来讲,QUANTUM就是一款没有补丁的安然及利用软件东西。
QUANTUM第三个局限性来自NSA另外一个项目QUANTUMSMACKDOWN(量子报复打击),即,操纵数据包注进,来阻断针对美国国防部测试资产的报复打击。不外,在尼古拉斯·韦弗看来,这个打算仿佛有些痴心妄图。
为了让该项目运作起来,监督设备需要辨认出通往美国国防部收集的“***流量”,鉴于监督设备只查抄单一数据包的设定,使得流量辨认成了一个加倍复杂的坚苦。即便“***流量”被探测数来,QUANTUM能做的只有阻断要求并提早终止答复。但因为档次分层布局,比及QUANTUM决定终止连接的时辰,收集应当已遭到了侵害。
QUANTUMSMACKDOWN可以或许将一些下流数据解除在国防部收集以外,可是也仅限于下流数据流。任何遭受近似低端报复打击而传染病毒的国防部收集,遭到传染层见迭出,而相干的收集承包商也应当被解雇。至于那些专业级别的歹意报复打击,则将如进无人之境一般,垂手可得的躲过QUANTUMSMACKDOWN。
市场上从事近似NSA数据汇集的私营企业也良多,而关于这些企业也有良多观点。这些公司所汇集的大年夜部门数据,多少都与用户追踪数据有关。好比,谷歌和Facebook等内容收集和无数的告白收集,成立了一个全球的用户监督网,是以,NSA监控互联网数据并且操纵其进行报复打击,这类做法仿佛也是情理当中。而幕后,NSA还履行了用户连接,让其可以或许完全破解“匿名”告白信息。
其实,QUANTUM最大年夜的局限性是位置:报复打击方必需可以或许看到一个进行方针辨认的要求。因为近似手艺可以或许经由过程位于美国国务院星巴克的Wi-Fi收集运行,任何国度都可以或许借此获得关于QUANTUM歹意报复打击软件的信息,外国当局也将是以可以实施NSA式的QUANTUM报复打击。这是NSA QUANTUM项目标底线,NSA其实不具有手艺垄断优势,而其对近似手艺的大年夜肆利用仿佛也是一种“鼓动鼓励”,默许罪犯或其他国度做出近似行动。