:被监听用户数据的审核、分发与入库全流程</span>)
Part1 前言
大家好,我是ABC_123。上一篇文章着重给大家讲解了美国斯诺登曝光的棱镜门事件的技术细节,本篇文章我们继续介绍剩余部分,这篇文章比上一篇较难理解,是PRISM棱镜门计划审核流程及数据汇聚方式。
Part2 技术研究过程
棱镜计划审批运作流程
图中展示了美国NSA情报分析人员使用PRSIM棱镜计划对制定目标监听的审批流程:
1. 美国NSA的情报分析人员,将Selectors选择器(目标的邮件地址、电话号码、用户ID等)输入到UTT统一目标定位工具中,然后该请求会经过两条并行的审查路径:
2-1. 实时监控审查路径:由S2 FAA 裁决员负责进行目标审查/验证。
2-2. 历史存储通信数据审查路径: 对于历史存储数据的查询请求,由 Special FISA Oversight and Processing (SV4) 部门负责审查。
3. 然后两条审查路径汇合到目标定位与任务管理部门S343,该部门负责进行最终目标审查。
4. 经过批准的任务指令再次通过 UTT 审查。
5. 任务接着传输给 PRINTAURA 系统,这是站点选择器分发管理器,主要用来接收来自 UTT 的经过审批的Selectors 选择器,并将这些指令格式化分发给 FBI 的相关部门 DITU 或 ECSU。
6. FBI 的中介处理 (FBI Involvement)。这是流程中至关重要的一步,NSA 并不直接向互联网公司发送指令,而是通过 FBI 进行中转。此时流程再次根据数据类型分流:
6-1. 实时监控任务(Surveillance): 直接发送给 FBI DITU进行处理:数据拦截技术单元(DITU, Data Intercept Technology Unit)。
6-2. 存储通信任务(Stored Comms):首先发送给FBI ECSU进行二次验证。电子通信监控单元(ECSU, Electronic Communications Surveillance Unit),该机构负责“研究并验证目标非美国人(Research & Validate NO USPERs)”,以确保不违反相关法律。验证通过后,发布给 FBI DITU。
7. FBI DITU 将选择器 Selectors 发送给具体的互联网服务提供商,如 Google、Yahoo、Microsoft、Facebook 等,这些互联网公司根据指令进行收集,并将数据传回给 FBI DITU部门。FBI DITU 将收集到的数据传输给 NSA 的数据处理与存储系统,如 PINWALE(主要用于互联网内容)和 NUCLEON(主要用于语音内容)等。
数据从互联网公司汇聚到NSA数据库流程
图中描绘了从9家美国互联网公司提取的用户数据如何经过 FBI 中转进入美国NSA,并经过一系列自动化系统的处理、分类,最终存入不同数据库的全过程。
1. 数据源头与移交流程。该流程的起点在最左侧,表明了数据提供商是微软、Yahoo,、Google 等美国互联网公司。
2. 随后将这些公司将收集到的数据移交给 FBI 数据拦截技术机构 DITU,这再次证实了 FBI 是 美国NSA 与科技公司之间的中介。
3. 双重路由 (Dual Route): 图片左侧还显示了来自 FBI 和 CIA 的云状图标,标记为“根据请求的双重路由 (Dual Route Upon Request)”。这表明 FBI 和 CIA 的特定数据流也汇入 DITU,通过此管道传输。
4. 接着进入NSA(图中的虚线框内)。数据从 FBI DITU 离开后,跨越边界进入 NSA内部系统。RINTAURA (S3532)是数据进入 美国NSA 的第一站。结合上一篇文章,我们知道 PRINTAURA 既负责分发指令,也负责接收回传的原始数据。TRAFFICTHIEF是一个与 PRINTAURA 相连的一个系统,通常用于元数据的筛选或原始信号的初步处理,是美国全球情报系统的重要组成。
5. 接下来是数据流的核心“分拣中心”,负责将混杂的数据流拆解。数据流向 SCISSORS (T132)系统,这是一个关键的数据处理和分发节点。紧接着到达协议开发/利用 (S3132)环节,数据在此处进行深度处理,依据不同的互联网协议将数据内容拆包,区分出哪些是语音、哪些是文本、哪些是元数据,以便分流到不同的存储库。
6. 数据分流与存储经过处理后,数据被分为三类,分别存入 NSA 的三大核心数据库系统:
A. 语音内容 (Voice Content) 流转路径: Protocol Exploitation -> SCISSORS (T132) -> CONVEYANCE -> NUCLEON。 语音通话记录(如 Skype 通话)被分离出来,经过 CONVEYANCE 传输系统,最终存储在 NUCLEON 数据库中。NUCLEON 是 NSA 专门用于存储全球拦截语音数据的系统。
B. 元数据 (Metadata) 流转路径: Protocol Exploitation -> FALLOUT -> MARINA & MAINWAY。通信的元数据(具体含义ABC_123在Marina系统的介绍中,详细讲解过)通过 FALLOUT 系统,存入两个功能强大的情报分析系统:MARINA 元数据检索系统和 MAINWAY系统。
C. 数字网络内容与视频流转路径: Protocol Exploitation -> PINWALE。具体的互联网内容(如电子邮件正文、聊天记录、附件)以及视频文件,直接存入 PINWALE 系统。PINWALE 是 NSA 存储和分析互联网文本及多媒体内容的主数据库(具体含义ABC_123在之前的文章中详细讲解过)。
总结一下,上述几张截图揭示了 PRISM 棱镜计划后端的高度自动化流水线:
1. 进货:FBI 从谷歌、微软等9家互联网供货商那里拿货。
2. 卸货:货物通过 PRINTAURA 进入 NSA 的仓库。
3. 拆包分拣:SCISSORS 和 Protocol Exploitation 像分拣员一样,拆开包裹,看里面是录音带、通讯录还是信件。
4. 入库:录音带扔进 NUCLEON 房间,通讯录(元数据)扔进 MARINA 房间,信件和照片(内容)扔进 PINWALE 房间。
美国NSA的情报分析师最后只需要去这三个“房间”(数据库)里查询他们需要的情报即可。
美国NSA的PRISM与美国军方的PRSIM同名不同意
这张图实际上是情报界为了澄清美国NSA的PRISM与美国军方PRSIM误解而制作的对比图,虽然它们都由美国情报部门使用,并且共享同一个名字,但并不是同一个东西。
图中的上半部分:PRISM 数据收集计划(由 NSA 运营)主要通过统一目标工具(UTT)下达指令,经 PRINTAURA 分发系统后,由 FBI 数据拦截技术部门(DITU)直接从 Google、Facebook、Microsoft 等美国互联网公司获取原始数据,最终经过 NSA S3132 部门处理并存入 MAINWAY 或 MARINA 等数据库进行分析。
图中的下半部分:是一个军事指挥调度软件,与“棱镜门”曝光的互联网数据大规模拦截项目完全不同。PRISM 规划工具(资源整合、同步与管理规划工具)是一个单一的军事应用,用于下达任务指令以整合来自无人机(GEOINT)、卫星(IMINT)、信号监测(SIGINT)以及地面人员(HUMINT)的情报,辅助军事行动决策。
Part3 总结
1. 至此,关于美国斯诺登棱镜门事件暂时就给大家讲解完了,一些零散的知识点在后续的文章再给大家讲解。
2. 大家有好的建议,欢迎给我留言。为了便于技术交流,现已建立微信群"希水涵-信安技术交流群",欢迎您的加入。
公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
OR 2332887682#qq.com
(replace # with @)
,上位机通过PCl...)
)
