自由斯諾登網(wǎng)(Edwardsnowden.com)最新披露了一份美國(guó)NSA內(nèi)部文件《An Easy Win:Using SIGINT to Learn about New Viruses(輕松的勝利:利用SIGINT來(lái)了解新病毒)》,文件介紹了美國(guó)自2007年開(kāi)始執(zhí)行的“弧線”(Camberdada)計(jì)劃,主要對(duì)以俄羅斯卡巴斯基等為主的目標(biāo)進(jìn)行監(jiān)控,以獲取新的病毒樣本及其他信息。這份文件的日期無(wú)法確定,但從里面列舉的一封郵件的編號(hào)來(lái)看,該文檔形成日期晚于2012年5月。
從這份秘密文檔看,NSA充分利用了其在全球網(wǎng)絡(luò)的布局的體系優(yōu)勢(shì)(類似棱鏡等系統(tǒng)),監(jiān)聽(tīng)獲取全球用戶上報(bào)給卡巴斯基的病毒樣本,并對(duì)這些樣本同樣進(jìn)行分析、遏制、反制等操作。
NSA在該文檔中提出,可以讓其TAO攻擊組織分析這些惡意代碼實(shí)現(xiàn)改造和重新重用,同時(shí)也可以有利于監(jiān)控惡意代碼的作者。NSA同時(shí)提出可以監(jiān)控卡巴斯基對(duì)這些文件的響應(yīng)頻率,這一點(diǎn)有可能是NSA在擔(dān)心卡巴斯基等產(chǎn)品是否會(huì)都本國(guó)攻擊使用的惡意代碼放行。
圖:NSA截獲的用戶上報(bào)樣本郵件內(nèi)容
(從黑色標(biāo)號(hào)來(lái)看,這封郵件是2012年5月10日發(fā)送(或截獲)的,由此形成該文檔形成日期晚于2012年5月的判斷)
在這份文檔的最后,NSA列出了其計(jì)劃展開(kāi)監(jiān)控的“更多目標(biāo)”,除作為主要目標(biāo)的卡巴斯基外,還包括了13個(gè)歐洲國(guó)家和3個(gè)亞洲國(guó)家總計(jì)23個(gè)反病毒廠商?;竞w了英美國(guó)以外的幾乎所有重要的反病毒廠商。其中包括了網(wǎng)絡(luò)安全人士耳熟能詳?shù)拇笾┲耄ǘ砹_斯)、比特梵徳(羅馬尼亞)、小紅傘(德國(guó))、諾曼(挪威),中國(guó)廠商安天也進(jìn)入目標(biāo)。
這份文檔作為了“五只眼”安全聯(lián)盟的“TOP Secert”文檔,而五眼安全聯(lián)盟是一個(gè)由美國(guó)發(fā)起的五國(guó)聯(lián)合情報(bào)組織,其他四國(guó)為英國(guó)、澳大利亞、加拿大和新西蘭。因此上述五國(guó)均無(wú)廠商上榜。美國(guó)傳統(tǒng)反病毒三巨頭賽門(mén)鐵克(Symantec)、邁克菲(Mcafee)、趨勢(shì)(Trendmacro)自然不會(huì)上榜,榜單上也未見(jiàn)Comodo等美國(guó)中小殺毒廠商,英國(guó)著名反病毒廠商索福斯(Sophos)也在被監(jiān)控的榜單之外。這或許說(shuō)明上述廠商,已經(jīng)和NSA建立了有利的互動(dòng)通道,NSA不需要依賴這種方式就可以獲取這些廠商的資源。
值得注意的是這份文檔信息亦有失誤,這份文檔中把ESET和NOD32作為了兩個(gè)不同的廠商,但實(shí)際上NOD32是ESET的一款產(chǎn)品名稱。由此可見(jiàn),此份文檔形成時(shí),更為全面或系統(tǒng)的行動(dòng)也許尚未展開(kāi)。
文檔列舉的“目標(biāo)廠商”
有關(guān)專家接受記者采訪時(shí)表示:美國(guó)以全球無(wú)盲點(diǎn)監(jiān)控為其全球戰(zhàn)略的依托,因此對(duì)一切有能力的目標(biāo)進(jìn)行監(jiān)控這并不意外。俄中等國(guó)有實(shí)力安全廠商被作為目標(biāo)是必然的。而僅憑文檔內(nèi)容來(lái)看,NSA針對(duì)卡巴的用戶樣本上報(bào)進(jìn)行監(jiān)聽(tīng),并在幾年的時(shí)間里獲取了數(shù)百個(gè)病毒樣本,從數(shù)量上看,似乎不多。這主要是因?yàn)猷]件已經(jīng)不是安全廠商樣本上報(bào)的主通道。但這種定向的樣本上報(bào)能清晰的表明用戶與廠商間的信任關(guān)系,也能表明用戶自身對(duì)樣本的發(fā)現(xiàn)能力,這就是一個(gè)有價(jià)值的情報(bào)。但更值得關(guān)注的是,美英兩國(guó)廠商缺席了被監(jiān)控名單,也許說(shuō)明他們與NSA之間有更隱秘的交流通道,那么美英廠商是否會(huì)放行美國(guó)和其他五眼情報(bào)部門(mén)所使用的病毒樣本,就非常值得世界各國(guó)用戶關(guān)注。
附表:被NSA作為目標(biāo)的各國(guó)廠商情況。
國(guó)家 |
目標(biāo)廠商數(shù)量 |
目標(biāo)廠商 |
法國(guó) |
1 |
FSB-Antivirus |
羅馬尼亞 |
1 |
BitDefender(比特梵徳)、 |
意大利 |
2 |
Viripro、Novirusthanks |
以色列 |
2 |
eAladdin、Checkpoint |
挪威 |
1 |
Norman |
捷克 |
2 |
AVG、Avast |
冰島 |
1 |
F-prot |
芬蘭 |
1 |
F-secure |
俄羅斯 |
2 |
Kaspersky(卡巴斯基)、DrWeb(大蜘蛛) |
印度 |
1 |
K7computing |
奧地利 |
2 |
IKarus、Emsisoft |
韓國(guó) |
2 |
Hauri(韓銳)、Ahnlab(安博士) |
波蘭 |
1 |
Arcabit |
中國(guó) |
1 |
Antiy(安天) |
德國(guó) |
1 |
Avira(小紅傘) |
斯洛伐克 |
2 |
Spy-Emergency、ESET |