从网络干流中提取信息
让我们姑且不谈美国法律对于国家安全局行事方式的默认,转而关注其它一些能够对其加以约束的理论:也就是物理学法则与摩尔定律。国家安全局有能力从电话网络交换流量与互联网中收集大量数据,而且这种情况长期以来一直存在。由于电话公司本身的积极配合,安全局能够进行深度包检测、拥有数据包捕获硬件以及其它一些信号监控手段。然而他们原先一直无法真正捕捉并保存用户们所产生的全部数据,更无法将其无限期加以留存——但现在情况发生了变化,谷歌与雅虎的新机制让这两项艰巨任务成为可能。
我们都知道,国家安全局监控民众资料的消息来自前AT&T公司员工MarkKlein。他曾于2006年为AT&T工作,并帮助国家安全局在AT&T的全球网光纤主干上安装了类似于“水龙头”的分流装置,借以将数据信息引导至由一款名为Narus流量语义洞察分析器的工具。该设备后来被更名为‘智能流量分析器’,或者简称为ITA。)
AT&T公司位于旧金山福尔逊街的“秘密房间”被认为是该公司全国几套互联网监听基础设施之一,专门为国家安全局提供数据资料。
Narus的设备还被联邦调查局用于替代原先由其自主研发的“Carnivore”系统。它会对“配对标签”数据包即数据包的属性与数值监控对象)进行扫描,并保留与设定条件相匹配的数据包信息。我曾在2012年9月对Narus公司网络分析产品管理总监NeilHarrington进行过采访,Harrington表示该公司的洞察系统能够以每秒达GB级别的速度对数据进行分析与排序。“通常采用一个万兆以太网接口,而且全力启动后系统的数据吞吐通能力可达到12Gb每秒。由于20Gb处理能力无法实现,因此我们选择了12Gb方案。如果我们暂时关闭不感兴趣的配对标签,则处理效率还能进一步提升。
单独一台NarusITA每秒能够处理1.5GB数据包信息的全部内容。这意味着其每小时处理能力达到5400GB、每天则为129.6TB,这还只是一个万兆网络装置的水准。所有数据都通过专有信息传输协议被归纳到一组逻辑服务器当中,数据包内容在这里被处理并重新匹配,从而把每天上PB的总体数据量降低至GB级别。具体方法是制作数据流量列表在表中填写数据包的元数据内容)与应用程序数据列表。
国家安全局的这套网络“龙头”分流机制在美国及世界其它区域都普遍存在。不过在如此庞大的数据流面前,如何从中提取数据包并分析出真正有价值的信息是安全局方面面临的最大难题。存储、索引与分析工作需要面对超乎想象的规模化对象。根据思科公司的统计,2012年全球互联网流量每天达1.1艾字节,单从物理角度讲将其存储下来就已经无法实现,更不要说实际使用了。因此,国家安全局目前所捕捉并保留的数据总量仅占每天全球互联网流量中的一小部分。
另一大难点在于截获的数据包往往受到安全套接层简称SSL)加密机制的保护。即使是在理想情况下,破解SSL加密机制也需要投入高昂成本,而且根本不可能应用到所有互联网流量当中尽管针对伊朗的Flame恶意软件攻击已经证明SSL机制可以被破解)。因此,虽然美国国家安全局有能力掌握数据流的真实内容,但他们恐怕无法以实时方式获取这部分信息。