NSA伪装成Facebook攻击用户计算机进行监控

　　一份文件显示，NSA以“工业级”规模利用了全球范围内的计算机网络。

　　北京时间3月13日下午消息，The Intercept网站周三刊文，基于爱德华·斯诺登(Edward Snowden)曝光的新 机密文件更详细地介绍了美国国家安全局(NSA)的监控技术。文件显示，NSA能根据用户是否使用谷歌、雅虎、Skype、飞信和QQ等信息来锁定监控目标。

　　根据斯诺登曝光的文件，NSA部署并运行着“Turbine”恶意软件植入系统，以及代号为“Turmoil”的数据监控传感器网络，以监控整个互联网上传送的数据包。“Turmoil”能根据一系列“分拣器(selector)”自动识别被监控目标的数据，并将数据发回NSA进行分析以及恶意软件攻击。

　　此次曝光的文件中列出了NSA使用的“分拣器”类型，其中包括：

　　1.计算机标识符。包括Hotmail、谷歌、雅虎、Mail.ru、Yandex、Twitter、Rambler和DoubleClick的Cookies、序列号、Simbar和ShopperReports等浏览器标签、Windows错误标识符和Windows升级标识符等。

　　2.注册的设备。这包括苹果和诺基亚等手机的IMEI串号、iOS设备的UDID，以及蓝牙设备的名称和地址等。

　　3.加密密钥。这主要是指能唯一识别用户的加密密钥，例如ejKeyID。

　　4.网络信息。这包括无线MAC地址、小型卫星通信站的MAC地址和IP地址，以及来自Putty和WinSCP等终端软件的远程管理IP等。

　　5.来自用户的线索。包括与MSN Passport、谷歌、雅虎、Youtube、Skype、Paltalk、飞信、QQ和Hotmail有关的用户Cookies、注册信息和个人档案文件夹，以及通过STARPROC识别出的活跃用户。

　　机密文件显示，美国国家安全局(以下简称“NSA”)正在大幅提升入侵电脑的能力，希望借助自动化系统来降低人工参与度。

　　这份机密文件是由NSA前雇员爱德华·斯诺登(Edward Snowden)提供的，里面包含了有关这种革命性监视技术的新细节。NSA希望通过植入恶意软件的方式，利用这项自动化技术感染全球数以白万的电脑。NSA可以借助该秘密项目入侵目标电脑，并从海外的互联网和电话网络中提取数据。

　　该项目使用的基础设施来自NSA总部所在地米德堡，以及英国和日本的间谍基地。英国情报机构GCHQ似乎也为其提供了帮助。

　　某些情况下，NSA还会伪装成Faceboook服务器，利用该社交网络作为跳板来感染目标电脑，从而提取硬盘中的文件。还有些情况下，他们会发出附带恶意软件的垃圾电子邮件，然后利用电脑的麦克风录制音频，或用摄像头录制视频。这套黑客系统还可以帮助NSA发动网络攻击，中断对方的文件下载或阻止其访问网站。

　　这种模式曾经是专门为数百个难以攻击的目标预留的，这些目标的通讯信息难以通过传统的监听手段获得。但文件显示，NSA过去10年逐步用电脑代替人工来从事一些工作，从而大幅加快项目进度。这套名为“涡轮”(TURBINE)系统希望通过自动控制系统来大幅扩大目前的植入网络的规模。

　　在一份日期为2009年8月的机密文件中，NSA描述了这个名为“专家系统”的秘密基础设施的预编程部分。该系统“像人脑”一样管理着植入程序的各种功能，而且可以“决定”哪些工具 适合从被感染的电脑中提取数据。

　　网络安全公司F-Secure首席研究馆米考·海珀宁(Mikko Hypponen)表示，NSA的这项监视技术可能会对网络安全造成影响。“当他们在系统上部署恶意软件时，可能会给这些系统制造新的漏洞，导致其更容易遭受 三方的攻击。”他说。

　　海珀宁认为，政府或许有足够的理由针对一小部分目标植入恶意软件。但通过自动化系统向数以白万的电脑植入恶意软件可能会令局面失控。

　　“拥有网络”

　　NSA 10年前开始大幅加快黑客活动。机密文件显示，该机构2004年的植入网络只有100至150台被感染的电脑。但之后6至8年，一个名为Tailored Access Operations(以下简称“TAO”)的精英部门招募了一批新的黑客，开发了新的恶意软件工具，从而把被感染的电脑数量增加到数万台。

　　为了渗透海外电脑网络，并监控通过其他手段难以获取的通讯信息，NSA希望突破传统的SIGINT电子通讯监控模式的限制，转而扩大这种主动监听措施的规模——直接渗透目标电脑或网络设备。

　　该文件显示，NSA将此称作“一种更激进的SIGINT”，而TAO的使命就是全力扩大这一项目。但NSA也意识到，完全通过人工方式来管理庞大的植入网络并非易事。“主动SIGINT/攻击的一大挑战在于规模。”2009年的这份机密文件称。