棱鏡系統(tǒng)是怎么工作的?

0 評論 4232 瀏覽 0 收藏 16 分鐘

英國《衛(wèi)報》和美國《華盛頓郵報》近日報道稱,美國國安局通過“棱鏡”計劃大范圍收集并監(jiān)控網(wǎng)絡(luò)和電話用戶信息,包括郵件、聊天記錄、視頻、照片、存儲數(shù)據(jù)、文件傳輸、視頻會議、登錄時間和社交網(wǎng)絡(luò)資料等,涉及九大互聯(lián)網(wǎng)公司,微軟、雅虎、Google、Facebook、PalTalk、YouTube、Skype、AOL、蘋果都在其中。

這方面的報道非常多,各個互聯(lián)網(wǎng)公司也紛紛發(fā)布聲明來否認(rèn),然而,對于棱鏡系統(tǒng)實際是如何運(yùn)作的細(xì)節(jié)情況,卻鮮有披露,月光博客就通過現(xiàn)在公布的一些報道來分析和推測一下棱鏡系統(tǒng)到底是什么運(yùn)作的。

涉事公司分析

首先分析一下涉事的這幾家公司,其中微軟2007年9月最早開始與政府合作的,雅虎是2008年3月,Google 2009年1月,F(xiàn)acebook是2009年6月,PalTalk公司2009年12月,YouTube是2010年9月,Skype是2011年2月,AOL是2011年3月,蘋果則是最晚2012年10月。

這些公司的互聯(lián)網(wǎng)產(chǎn)品則多種多樣,其中,客戶端操作系統(tǒng)有微軟和蘋果,電子郵件有微軟、雅虎、Google,社交網(wǎng)絡(luò)有Facebook、Google、YouTube;即時通訊有微軟、雅虎、Google、Facebook、PalTalk、Skype、AOL,網(wǎng)絡(luò)接入服務(wù)ISP有AOL。這些公司提供的服務(wù)涉及到大部分網(wǎng)民的常用服務(wù)。

思科的作用

除了上述9家企業(yè),更有媒體將矛頭指向思科。此前有消息顯示,斯諾登披露,美國國家安全局通過思科路由器監(jiān)控中國網(wǎng)絡(luò)和電腦。

思科面對這些指控否認(rèn)稱,“棱鏡”項目不是思科項目,思科網(wǎng)絡(luò)沒有參與此項目。此外,思科沒有在中國或世界任何地方監(jiān)控普通公民或政府部門的通訊。

思科雖然否認(rèn)參與棱鏡項目,但是沒有否認(rèn)這樣的事實:思科產(chǎn)品有網(wǎng)絡(luò)偵聽功能,而且存在后門。其實,無論參與還是不參與,思科都能有能力和條件監(jiān)控互聯(lián)網(wǎng)。有沒有槍是一回事,參沒參與殺人是另外一回事。思科否認(rèn)了自己殺人,但是沒有否認(rèn)自己有槍。

1994年,美國國會通過CALEA《執(zhí)法通信輔助法》。該法通過之后,執(zhí)法機(jī)關(guān)可以根據(jù)法院監(jiān)聽令狀直接接入電信網(wǎng)絡(luò)啟動電信運(yùn)營商交換機(jī)中的監(jiān)聽功能。這意味著美國法律要求電信運(yùn)營商必須提供監(jiān)聽服務(wù),思科產(chǎn)品自然不能例外。

實際上,思科在自家網(wǎng)絡(luò)產(chǎn)品中預(yù)留大量存在的后門已經(jīng)是業(yè)界的常識了,但要證明這些后門的使用是為了惡意監(jiān)控還有很大難度。同樣,華為和中興始終無法打開美國市場主要因為網(wǎng)絡(luò)安全問題的隱憂。

去年,在對華為、中興兩家企業(yè)長達(dá)11個月的調(diào)查后,美國眾議院情報委員會發(fā)表報告稱,美國電信運(yùn)營商不應(yīng)和華為、中興兩家公司進(jìn)行合作,因為這兩家公司“可能對美國國家安全構(gòu)成威脅”。

對比來看,中國市場對于思科這樣的外資企業(yè)似乎沒有任何防備。有資料顯示,過去十幾年間,思科幾乎參與了中國所有大型網(wǎng)絡(luò)項目的建設(shè),涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等重要行業(yè)。中國電信、中國聯(lián)通等電信運(yùn)營商的網(wǎng)絡(luò)基礎(chǔ)建設(shè)思科也參與其中,在承載著中國互聯(lián)網(wǎng)80%以上流量的中國電信163和中國聯(lián)通169兩個骨干網(wǎng)中,思科占據(jù)了70%以上的份額,并占據(jù)著所有超級核心節(jié)點。

思科公司是美國也是全球最大的路由器、骨干網(wǎng)絡(luò)設(shè)備制造商,在行業(yè)中處于領(lǐng)軍地位,那么思科公司完全有可能在美國政府的反恐要求下,在其設(shè)備上對各類網(wǎng)絡(luò)活動進(jìn)行監(jiān)控,并將監(jiān)控到的數(shù)據(jù)提交給美國政府。

據(jù)悉,美國國安局旗下設(shè)有一個部門,名為“定制入口行動辦公室”(TAO)。該部門過去近15年中一直從事侵入中國境內(nèi)電腦和通訊系統(tǒng)的網(wǎng)絡(luò)攻擊,借此獲取有關(guān)中國的有價值情報。巧合的是,根據(jù)方校長回憶,15年前,也就是1998年,正好是中國某個大型網(wǎng)絡(luò)工程建立的時刻,而此工程用的核心設(shè)備由美國思科提供的。

因此我認(rèn)為,思科在“棱鏡”項目里處于一個極為重要的地位,所有參與公司的流量數(shù)據(jù)都通過各種路由器才能傳給用戶,而思科提供的路由器等設(shè)備具有監(jiān)控竊聽這些數(shù)據(jù)的功能,這樣,微軟、Google和蘋果的確沒有讓中情局“直接”訪問他們的數(shù)據(jù),但中情局卻通過思科獲得了他們的數(shù)據(jù)。

這也就是美國這么害怕華為中興(思科的競爭對手)進(jìn)入美國市場的原因。

如何在通訊層進(jìn)行大規(guī)模監(jiān)控

我們知道,互聯(lián)網(wǎng)上的用戶和發(fā)布的信息都是海量的,不同的網(wǎng)絡(luò)公司提供的數(shù)據(jù)又都不同,如何用一種低成本而簡單的方法對互聯(lián)網(wǎng)上的海量信息進(jìn)行監(jiān)控,顯然,各個互聯(lián)網(wǎng)公司給美國政府開后門的方法并不太合適,因為各家公司的數(shù)據(jù)結(jié)構(gòu)各不相同,在這些海量數(shù)據(jù)中尋找信息也有難度,難以用統(tǒng)一的方法進(jìn)行監(jiān)控。

那么,在通訊層面進(jìn)行監(jiān)控就是最為簡單有效的監(jiān)控方法了。我們知道,常見的網(wǎng)絡(luò)傳輸協(xié)議就幾種,例如http、ftp、smtp、pop3、telnet等等,最關(guān)鍵的是,這里面大部分網(wǎng)絡(luò)傳輸協(xié)議都是明文傳輸數(shù)據(jù),這樣,監(jiān)控者只需要在路由器的關(guān)鍵節(jié)點部署一些網(wǎng)絡(luò)監(jiān)聽設(shè)備,就可以截取到所有明文傳輸?shù)男畔ⅰ?/strong>

當(dāng)然,為了傳輸安全,不是所有的協(xié)議都是明文傳輸,很多系統(tǒng)為保證傳輸安全,都采用SSL加密策略。SSL(Secure Socket Layer)是目前獲得廣泛應(yīng)用的一個工業(yè)標(biāo)準(zhǔn),它在底層為上層協(xié)議提供數(shù)據(jù)加密服務(wù),對用戶是透明的,用戶的數(shù)據(jù)以加密的形式在網(wǎng)絡(luò)中傳輸,即使中間路由被黑客竊聽也不可能破譯出數(shù)據(jù)的真實內(nèi)容。對于https的訪問過程中,網(wǎng)站服務(wù)器生成的WEB頁面經(jīng)過加密之后才發(fā)送到用戶的瀏覽器上,再經(jīng)過瀏覽器解密,顯示在用戶面前。這樣,就完全防止了通訊內(nèi)容在傳輸過程中被竊取的可能。

遇到這種https加密的情況,也并不是絕對安全,也有一些攻擊方法,例如可以通過發(fā)假證書進(jìn)行中間人攻擊,從而破解https傳輸?shù)膬?nèi)容。

棱鏡是如何工作的?

棱鏡的具體工作原理,一直沒有一個明確的說法。根據(jù)上面的分析,我覺得棱鏡系統(tǒng)很可能是這樣工作的:在互聯(lián)網(wǎng)的骨干網(wǎng)路由器上,思科提供的設(shè)備默默地監(jiān)聽著來往的流量,包括郵件、聊天記錄、文件傳輸、社交網(wǎng)絡(luò)資料等所有明文傳輸?shù)臇|西,用戶在Google、雅虎、微軟等搜索引擎上的搜索關(guān)鍵字也會被監(jiān)控。這些信息是海量的。棱鏡系統(tǒng),正如它的名字所暗示的,將海量信息中一些“特殊信息”集中、過濾并記錄下來。

這樣,正如Google、蘋果、微軟所聲明的那樣,微軟、Google和蘋果的確沒有讓中情局“直接”訪問他們的數(shù)據(jù),但中情局卻通過思科的設(shè)備間接獲得了他們的數(shù)據(jù)。

如果通訊的信息是經(jīng)過加密的,而中情局又認(rèn)為這些信息十分重要,那么再聯(lián)系美國的外國情報調(diào)查法院,當(dāng)局依據(jù)《外國情報調(diào)查法》向企業(yè)提出的秘密要求,讓這些公司來提供指定帳號的數(shù)據(jù)信息。自2010年起,Google公司每半年會發(fā)表一份透明度報告,披露各個國家和地方當(dāng)局要求Google提供相關(guān)數(shù)據(jù)的情況。

舉例來說,一個從伊朗IP地址登錄的用戶,使用Google搜索一些信息,或MSN發(fā)送一條信息,里面提到了“真主”、“阿拉”、“爆炸”這樣的詞,思科的設(shè)備就會把通訊信息記錄下來。如果是明文信息,可直接分析通訊內(nèi)容,如果信息加密了,則向Google或微軟等公司提出請求,要求其提供該用戶的郵件信息和資料。

泄漏用戶隱私的數(shù)量

從Google提供的《透明度報告》可以看出,美國政府去年下半年共向Google提出了8438次數(shù)據(jù)要求,涉及賬戶14791個,88%的要求被執(zhí)行了。

Facebook公布2012 年下半年政府索求信息情況,F(xiàn)acebook在2012 年下半年共收到9000-10000次政府信息索求,涉及1.8-1.9萬用戶。

微軟也發(fā)表聲明,2012年下半年,微軟共收到6000-7000次政府信息索求,涉及3.2萬用戶。

雅虎則發(fā)表聲明,在2012 年下半年,雅虎共收到政府信息索求1.2-1.3萬次。

被指控“即將加入”棱鏡計劃的Dropbox也發(fā)布了一項“透明度報告”,對外顯示了Dropbox向美國政府提供的個人用戶信息數(shù)量,根據(jù)報告,Dropbox去年收到政府87次請求,涉及帳號164個,82%的要求被執(zhí)行了。

由于美國政府要求不得透露與國家安全相關(guān)的信息索求,因此上述透明度報告只涉及美國法庭指令相關(guān)的信息索求。

這難道不違法嗎?

的確,上述這種監(jiān)控方法令人觸目驚心,所以美國政府一直在避免“監(jiān)控本國國民”的說法,因為這違法了憲法第四修正案,他們聲稱所有的監(jiān)控都是針對外國人實施的,盡管這在技術(shù)實現(xiàn)上會存在偏差。

這也就是說,外國人的隱私不受美國法律保護(hù)。這種解釋固然可以緩解美國國內(nèi)的輿論壓力,但這也令世界人民感到不滿,Google、微軟、蘋果等這九大企業(yè)的服務(wù)都是全球性的,幾乎每個網(wǎng)民都會接觸到這些公司的服務(wù),而在這些公司的“隱私條款”中也明確表示會保護(hù)用戶的隱私,而“棱鏡系統(tǒng)”的曝光則讓這些公司的隱私政策顯得蒼白無力。

對于互聯(lián)網(wǎng)企業(yè)將用戶資料提交給政府,我對于某幾種信息是零容忍的:1、電子郵件(如Gmail);2、網(wǎng)絡(luò)筆記(如Evernote);3、云存儲(如Dropbox)。如果美國政府索要用戶的Gmail郵件,Google就真把用戶郵件交出去了,那么這和當(dāng)年雅虎郵箱交出中國用戶的郵件信息導(dǎo)致其入獄有什么區(qū)別?當(dāng)年雅虎因為此事受到美國輿論的猛烈抨擊,雅虎總裁楊致遠(yuǎn)也曾因此向當(dāng)事人的媽媽道歉。應(yīng)該有一項法律來保護(hù)全球人民的個人通訊隱私。

“棱鏡計劃”的對比

其實通過上述分析來看,“棱鏡計劃”其實技術(shù)實現(xiàn)并不麻煩,類似的計劃其他國家也能做,美國人說的多,做的少,其他國家則是做的多,說的少?!袄忡R計劃”之所以引起這么大反響,是因為美國是全球互聯(lián)網(wǎng)技術(shù)最發(fā)達(dá)的國家,其互聯(lián)網(wǎng)服務(wù)的全球用戶數(shù)量龐大,有些服務(wù)甚至壟斷了不少國家的網(wǎng)絡(luò)市場,這樣的服務(wù)一旦爆出監(jiān)視個人信息的內(nèi)幕,無疑讓這些企業(yè)大幅喪失全球用戶的口碑,而讓另一些沒有參與的企業(yè)獲利。

例如,在其他科技公司忙不迭地與政府撇清干系時,棱鏡計劃反而成為了Twitter保密政策最好的廣告。如果美國政府要搜集用戶個人數(shù)據(jù)的話,Twitter是不可忽視的重要對象與數(shù)據(jù)來源。據(jù)透露,美國國家安全局也曾經(jīng)聯(lián)系Twitter,但Twitter拒絕加入棱鏡計劃。而且,Twitter對政府不僅有著不配合的歷史,還經(jīng)常表現(xiàn)出抵抗態(tài)度,Twitter拒絕向美國政府屈服的態(tài)度就得到了廣大用戶由衷的贊賞。

政府通過互聯(lián)網(wǎng)企業(yè)監(jiān)控網(wǎng)民信息,美國做的其實還處于初級階段,效率并不高,而且相對比較公開,容易被人抓把柄,比起其他國家差遠(yuǎn)了,美國要想擺脫目前的困境,應(yīng)該好好向其他國家“取經(jīng)”。

美國“棱鏡計劃”的主要失敗之處:

1、相對比較公開透明,連次數(shù)都可以統(tǒng)計,容易被人抓把柄,正確做法是不能有物證,所有控制都通過電話實施。

2、需要聯(lián)系企業(yè)獲得用戶隱私,效率不高,正確做法是讓企業(yè)開后門直接查詢用戶信息。

3、對電話的跟蹤不全面,正確做法是根據(jù)關(guān)鍵字或重點人物來竊聽通話內(nèi)容。

4、攘外必先安內(nèi),自己的國民都不聽話,還去監(jiān)視外國人,先搞定自己的國民再說。

來源:驅(qū)動之家

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
達(dá)令
80后產(chǎn)品,人生樂趣是互聯(lián)網(wǎng)、旅游、喝茶
244篇作品 2171122總閱讀量
03-304626 瀏覽
在二手交易平臺賣配方,成了餐飲老板的新副業(yè)
02-237574 瀏覽
Midjourney:AIGC現(xiàn)象級應(yīng)用,一年實現(xiàn)1000萬用戶和1億美元營收
09-087168 瀏覽
大廠產(chǎn)品專家手把手教你:如何寫好月報(附模版)
06-154266 瀏覽
提高工作效率,從利用好這4個Axure捷徑開始
03-135807 瀏覽
避坑參考:產(chǎn)品向上要突破的制約因素
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!