NSA監控全球著名殺毒公司以獲取病毒樣本
責編:penggao |2015-06-29 11:14:37自由斯諾登網(Edwardsnowden.com)最新披露了一份美國NSA內部文件《An Easy Win:Using SIGINT to Learn about New Viruses(輕松的勝利:利用SIGINT來了解新病毒)》,文件介紹了美國自2007年開始執行的“弧線”(Camberdada)計劃,主要對以俄羅斯卡巴斯基等為主的目標進行監控,以獲取新的病毒樣本及其他信息。這份文件的日期無法確定,但從里面列舉的一封郵件的編號來看,該文檔形成日期晚于2012年5月。
從這份秘密文檔看,NSA充分利用了其在全球網絡的布局的體系優勢(類似棱鏡等系統),監聽獲取全球用戶上報給卡巴斯基的病毒樣本,并對這些樣本同樣進行分析、遏制、反制等操作。
NSA在該文檔中提出,可以讓其TAO攻擊組織分析這些惡意代碼實現改造和重新重用,同時也可以有利于監控惡意代碼的作者。NSA同時提出可以監控卡巴斯基對這些文件的響應頻率,這一點有可能是NSA在擔心卡巴斯基等產品是否會都本國攻擊使用的惡意代碼放行。
NSA截獲的用戶上報樣本郵件內容
(從黑色標號來看,這封郵件是2012年5月10日發送(或截獲)的,由此形成該文檔形成日期晚于2012年5月的判斷)
在這份文檔的最后,NSA列出了其計劃展開監控的“更多目標”,除作為主要目標的卡巴斯基外,還包括了13個歐洲國家和3個亞洲國家總計23個反病毒廠商。基本涵蓋了英美國以外的幾乎所有重要的反病毒廠商。其中包括了網絡安全人士耳熟能詳的大蜘蛛(俄羅斯)、比特梵徳(羅馬尼亞)、小紅傘(德國)、諾曼(挪威),中國廠商安天也進入目標。
這份文檔作為了“五只眼”安全聯盟的“TOP Secert”文檔,而五眼安全聯盟是一個由美國發起的五國聯合情報組織,其他四國為英國、澳大利亞、加拿大和新西蘭。因此上述五國均無廠商上榜。美國傳統反病毒三巨頭賽門鐵克(Symantec)、邁克菲(Mcafee)、趨勢(Trendmacro)自然不會上榜,榜單上也未見Comodo等美國中小殺毒廠商,英國著名反病毒廠商索福斯(Sophos)也在被監控的榜單之外。這或許說明上述廠商,已經和NSA建立了有利的互動通道,NSA不需要依賴這種方式就可以獲取這些廠商的資源。
值得注意的是這份文檔信息亦有失誤,這份文檔中把ESET和NOD32作為了兩個不同的廠商,但實際上NOD32是ESET的一款產品名稱。由此可見,此份文檔形成時,更為全面或系統的行動也許尚未展開。
文檔列舉的“目標廠商”
有關專家接受記者采訪時表示:美國以全球無盲點監控為其全球戰略的依托,因此對一切有能力的目標進行監控這并不意外。俄中等國有實力安全廠商被作為目標是必然的。而僅憑文檔內容來看,NSA針對卡巴的用戶樣本上報進行監聽,并在幾年的時間里獲取了數百個病毒樣本,從數量上看,似乎不多。這主要是因為郵件已經不是安全廠商樣本上報的主通道。但這種定向的樣本上報能清晰的表明用戶與廠商間的信任關系,也能表明用戶自身對樣本的發現能力,這就是一個有價值的情報。但更值得關注的是,美英兩國廠商缺席了被監控名單,也許說明他們與NSA之間有更隱秘的交流通道,那么美英廠商是否會放行美國和其他五眼情報部門所使用的病毒樣本,就非常值得世界各國用戶關注。