NSA列出的數據監控“分揀器”類型NSA對SCEONDDATE工具的介紹文檔

　　賓夕法尼亞大學的布雷茲表示，“中間人”攻擊被大規模使用的潛力“似乎非常令人困擾”。這種做法將無差別地監控整個網絡，而不是瞄準單個目標。

　　他表示：“令我感到警惕的一點是，其中提到了‘網絡節點’。這是最不應當允許情報部門涉足的基礎設施，因為這意味著大規模監控技術。”

　　為了部署某些惡意軟件，NSA利用了火狐和IE等互聯網瀏覽器共同的信息安全漏洞。NSA的黑客還利用了路由器以及一些熱門軟件插件，例如Flash和Java的信息安全缺陷，從而將惡意代碼植入目標計算機中。

　　這些惡意軟件可以繞開殺毒軟件，而NSA已采取大量措施，確保其黑客技術難以被檢測。一款名為“VALIDATOR”的惡意軟件被用于向目標計算機上傳下載數據，同時可以實現自我銷毀，即在設定的時間過期后自動從計算機中刪除。

　　在許多情況下，防火墻和其他信息安全保護措施對NSA而言并不是問題。NSA的黑客有信心繞開保護計算機和網絡的任何安全機制。在一份機密文件中，NSA的黑客表示：“如果可以讓目標用戶通過瀏覽器訪問我們，那么我們就可以掌握控制權。唯一的問題在于如何實現。”

　　隱蔽的基礎設施

　　“TURBINE”植入系統的運行并非孤立。這一系統連接至NSA在全球多地安裝的龐大監控傳感器網絡，并依靠這一網絡來發揮功能。NSA位于馬里蘭州的總部也是這一網絡的一部分，而其他竊聽基地則位于日本三澤市和英格蘭的Menwith Hill。

　　NSA的這些傳感器代號為“TURMOIL”，是一類高科技監控收集裝置，能監控在整個互聯網上傳送的數據包。

　　當“TURBINE”獲取來自被感染計算機系統的數據時，“TURMOIL”傳感器能自動識別這些數據，并將其發回NSA進行分析。當目標計算機進行通信時，“TURMOIL”系統可以向“TURBINE”發送提示，初始化一次惡意軟件攻擊。

　　基于一系列數據“分揀器”，NSA能識別監控目標的數據傳輸。內部文件顯示，這些“分揀器”包含電子郵件地址、IP地址，或是來自谷歌、Facebook、Hotmail、雅虎和Twitter等網站、含有用戶名或其他識別信息的cookies。

　　NSA使用的其他“分揀器”還包括用于追蹤用戶瀏覽習慣的谷歌廣告cookies、能追蹤特定用戶的加密密鑰指紋，以及當Windows計算機升級或崩潰時發送的計算機標識符等。

　　此外，“TURBINE”系統的運行也得到了其他國家政府的支持，其中一些國家還參與了惡意軟件攻擊。斯諾登曝光文檔上的保密標志表明，NSA曾與所謂“Five Eyes”監控聯盟的其他國家分享過惡意軟件的使用情況。這一聯盟中的其他國家包括英國、加拿大、新西蘭和澳大利亞。

　　英國情報部門GCHQ在NSA的惡意軟件應用策略中扮演了非常重要的角色。位于英格蘭北部的Menwith Hill竊聽基地是“TURMOIL”網絡的一部分，NSA這一基地的運行獲得了GCHQ的密切合作。

　　絕密文件顯示，這一被NSA稱作“MHS”的英國基地是“TURBINE”惡意軟件基礎設施的有機組成部分，并被用于測試針對雅虎和Hotmail用戶的惡意軟件攻擊。

　　2010年的一份文件列出了至少5種Menwith Hill可選的“QUANTUM”攻擊方式。這份文件還顯示，GCHQ協助整合了3款“QUANTUM”惡意軟件，并對另兩款進行了測試。這是GCHQ代號為“INSENSER”監控系統的一部分。

　　GCHQ參與了黑客攻擊，但試圖確保其行為的合法性。斯諾登公布的一份文件顯示，2013年4月，GCHQ明確拒絕參與部署“QUANTUM”惡意軟件，而原因是“法律和政策限制”。GCHQ下屬部門的一名代表于2010年會見了電信標準委員會的一名委員，并表示為監控而進行“積極地”黑客攻擊在英國的法律框架下“可能違法”。

　　GCHQ拒絕對參與秘密黑客行動的活動置評。該部門在一份官腔的聲明中表示：“GCHQ的全部工作都嚴格符合法律和政策框架，確保我們的活動得到授權，是必要而適當的，此外也得到了有力的監督。”

　　無論英國和美國情報機構對計算機網絡的攻擊是否合法，斯諾登的文件都有著重要的意義。這些文件前所未有地曝光了監控技術，而這些技術此前是保密的，并未得到公眾的探討。而NSA擔心的主要一點是，外國情報機構也將采取類似的做法。

　　在2012年的一份絕密文件中，NSA的一名分析師表示：“在一段時間里，攻擊路由器對我們和‘Five Eye”合作伙伴而言很有價值。但很明顯，其他國家也在加強這方面的能力，并進入這一領域。“(新浪科技 書聿，張帆)