网络情报的进化
计算机在20世纪60年代后期开始广泛使用,通常用于大型科学研究、军事规划和大型商业应用程序,如人事记录、工资单、会计和数据存储。由于这类计算机通常包含感兴趣的信息,它们就成为了情报目标。早期情报活动的重点往往是招募能够接触有关计算机的人,并向他们提供能够接触有关信息的工具。计算机系统管理员专注于通过各种系统分析和渗透测试来了解系统的漏洞。那些寻求未经授权访问的人试图利用这些漏洞绕过计算机的基本保护机制,获取其他用户的数据。
正如兰德公司(Rand Corporation)的威利斯·威尔(Willis Ware)在1967年指出的那样:获取军事或国防信息的间谍活动经常出现在新闻中。计算机系统现在广泛应用于军事和国防设施,必须预料到有人会蓄意入侵这些计算机系统。
威利斯·威尔描述了一系列针对计算机的攻击,从人类(程序员、维护人员等)到有缺陷的软件,再到植入的硬件漏洞,再到窃听、串音,以及来自计算机设备的意外信号辐射。
20世纪70年代,分时系统开始普及,使得一台电脑可以同时供多个人使用,这些人通常通过电话线使用调制解调器,来自遥远的地方。随着这种情况的发生,网络努力扩大到包括拦截调制解调器和窃取密码以进入系统的技术。
在20世纪80年代,随着计算机开始被连接到网络,每台计算机的访问权限被授予更广泛的社区,通常是全世界。这为情报机构提供了通过网络远程秘密访问计算机的新机会。一个早期的例子是,克格勃(kgb)资助的德国黑客入侵了数百个连接到美国军方“MILNET”网络的计算机系统。
20世纪80年代发生的另一件对网络间谍活动产生巨大影响的事件是个人电脑(PC)的引入。IBM在1981年推出了基于软盘的个人电脑,随后在1983年推出了带有硬盘驱动器的个人电脑PC XT。英特尔在1985年推出了32位386微处理器,随后出现了许多供应商,生产各种各样的“IBM兼容”个人计算机系统。这些个人电脑在存储信息方面非常有用,还配备了文字处理软件,可以方便地生成格式优美的报告,其中一些报告显然引起了世界情报机构的兴趣。
在20世纪80年代和90年代,个人电脑本身经常是情报行动的目标。通常情况下,家庭、酒店房间或办公室里无人看管的个人电脑会被物理地访问,数据会被秘密地复制。有时,会安装一个软件缺陷(例如,键盘敲击记录器)或安装一个电子发射器。
一些情报部门有能力从远处探测到电脑电子设备和高压阴极射线管(CRT)电脑显示器发出的无线电波,因此设计了TEMPEST屏蔽装置,并将电脑放置在专门准备的电磁屏幕室中,特别是在大使馆和其他敏感的工作场所。正如瑞恩·辛格尔在《连线》杂志的一篇文章中所说:
TEMPEST攻击的原理看似简单。任何一台处理信息的机器——无论是复印机、电动打字机还是笔记本电脑——内部都有能发射电磁和声能的部件,就像它们是微型无线电台一样。波甚至可以被附近的电线、电话电缆甚至水管接收和放大,并把它们带到更远的地方。经验丰富的攻击者可以捕获适当的频率,分析数据以获取模式,并恢复设备正在处理的原始信息,甚至恢复机器内部的私有加密密钥。
20世纪80年代末,第一个僵尸网络开始出现,僵尸网络在整个网络中传播,寻找易受攻击的计算机,它们变成不知情的间谍,按照僵尸网络控制器的指示执行行动。被感染的电脑可以被编程来执行间谍和秘密行动。事实上,网络情报中使用的许多方法都来自于经典的人类情报(HUMINT)行动中使用的方法。僵尸网络招募特工(易受攻击的计算机),使用各种数据隐藏技术和秘密情报传递(受控制的网络服务器)与它们秘密通信,并命令这些特工执行各种任务(传播消息、窃取或破坏数据等)。如今,这些“潜伏特工”大军以恶意软件的形式嵌入受感染的计算机,随时准备对那些从他们秘密连接的指挥和控制中心输入指令的人的命令作出反应。
20世纪90年代,出现了另外两个趋势:智能手机开始整合计算能力,笔记本电脑和平板电脑等计算设备开始整合无线电,以便与手机信号塔和网络路由器进行双向通信。智能手机和平板电脑(如iPad)结合了电脑、手机和无线网络收音机,因此受到利用这些设备的计算机软件、通信和地理空间特征的各种情报行动的影响。
进入21世纪,互联网作为一种通用连接媒介的趋势正在加速发展,“物联网”一词应运而生。已经有报道称,智能冰箱被黑客攻击,发送垃圾邮件。从网络情报的角度来看,物联网为招聘提供了更大、更多样化的目标。
工具、技术和谍报技术
工具和技术指的是构成情报能力的基本构件,例如在未受保护的计算机系统上安装各种恶意软件的恶意网络服务器。间谍技术指的是将这些工具和技术作为精心制作的操作的一部分进行综合使用。正是谍报技术将一个专业的情报机构与成千上万的黑客区分开来,这些黑客在互联网上搜索那些天真地认为尼日利亚有人会给他们一百万美元的人。网络情报行动中使用的谍报技术与人工情报行动中使用的谍报技术相似,但都是使用自动化方法来实现谍报技术。
下一页表1中的人力情报活动取自马洛伊·克里希纳·达尔的《情报谍报技术》一书。从表中可以看出,在网络情报领域也有类似的活动。
为《连线》杂志撰稿的金·泽特(Kim Zetter)描述了一款名为“远程控制系统”(Remote Control System)的产品,该产品来自意大利黑客团队(Hacking Team)公司,它控制的软件可以秘密安装在各种智能手机和电脑上;这些软件特工的总数没有被提及,但它们是由位于全球40个国家的320个命令和控制服务器控制的。
这些新组件针对Android、iOS、Windows Mobile和黑莓用户,是黑客团队针对台式机和笔记本电脑的更大工具套件的一部分。例如,它们允许秘密收集电子邮件、短信、通话记录和地址簿,还可以用来记录击键和获取搜索历史数据。它们可以截屏、录制手机的音频来监控通话或周围的对话、劫持手机的摄像头来抓拍照片或搭载手机的GPS系统来监控用户的位置。
| 人力情报活动 | 模拟网络情报活动 |
| 观察和评估一个人 | 用恶意软件攻击计算机 |
| 征聘资料来源 | 用鱼叉式网络攻击计算机用户 |
| 间谍验证(审核) | 蜜罐检测 |
| 掩护身份 | 有用的软件(具有后门功能) |
| 安眠药 | 受感染计算机上的潜在恶意软件 |
| 与间谍的隐蔽通信(COVCOM) | 数据隐藏用于隐藏僵尸网络的命令和控制,以及数据泄漏 |
| 情报秘密传递点 | 僵尸网络控制下的Web服务器 |
| 反监视 | 利用反病毒软件避免检测 |
“鱼叉式网络钓鱼”是一种向收件人发送欺诈性信息,以欺骗其泄露个人密码等敏感信息的行为。“蜜罐”是互联网上的一个计算机系统,它被专门设置来吸引和陷阱那些试图进入其他人的计算机系统的人。“后门”指的是进入计算机软件的秘密途径。一名“潜伏特工”一直隐藏着,直到他的控制员呼叫服务。“秘密情报传递点”是一个秘密的地方,间谍们把文件藏在那里,以便他们的控制者以后取回。
甚至计算机硬件也可能被用于间谍目的。上世纪80年代,苏联拦截了一批前往美国驻莫斯科大使馆的电子打字机,并修改了它们的电子设备。美国国家安全局的一份报告描述了这些系统被篡改的情况。
发现这种植入物代表了苏联在技术上的重大进步。非技术人员可以快速、轻松地安装该漏洞;它抵抗了传统方法的检测;而且是无线遥控的。“枪手计划”的第一个目标是将美国驻莫斯科大使馆的所有电子设备替换成有后门的设备,这是一项艰巨的挑战。电子设备包括电传打字机、打印机、计算机、密码设备和复印机——简而言之,几乎所有可以插在墙上插座上的设备。
那是30年前的事了。今天的计算机系统充满了来自世界各地的集成电路(ICs);一台典型的PC机有十几个或更多的微处理器,用于计算、图形、键盘处理、外设接口、硬盘控制器、DVD和CD ROM控制器、打印机控制器等。这些集成电路是依赖的,或“可信的”,以执行其预期的操作,但也有一些担心,必须信任这些芯片的关键应用。美国国防部高级研究计划局(Defense Advanced Research Projects Agency,简称DARPA),五角大楼的研发部门,公布了一项名为“集成电路信任计划”(Trust in Integrated Circuits program)的三年计划的细节,以解决商业芯片中内置后门功能的担忧。
网络情报计划的要素
情报职能通常被描述为具有一系列职能领域,如收集、隐蔽行动、情报分析和反情报。这些领域也适用于网络情报。
网络收集
上述工具、技术和谍报技术可应用于收集行动,其目标是秘密地从目标计算机系统获取数据。前中情局秘密信息技术办公室主任詹姆斯·高斯勒写道:
情报目标越来越多地使用计算机网络来储存他们的秘密。因此,秘密摄影很快就被利用这些网络的复杂技术操作所取代。秘密技术收集不再需要离目标很近。美国的信息系统可以被远程锁定,他们的秘密可以被收集并外泄到世界的任何地方。
许多政府都有活跃的网络间谍计划。据报道,ZG尤其有一个非常庞大和激进的网络间谍计划。Mandiant公司最近的一份报告详细描述了ZG的网络间谍组织。
网络秘密行动
网络情报技术也可以用于支持秘密行动,如虚假信息、影响行动、篡改选举、破坏等。俄罗斯在爱沙尼亚、格鲁吉亚、乌克兰和其他地方的冒险,提供了利用网络手段(如黑客入侵网站)进行虚假信息宣传的例子。
2010年,伊朗人发现,由于核设施中的离心机出现故障,他们的铀浓缩项目遭到了破坏。人们发现,监控离心机的工业控制系统被一种专门制作的软件包所破坏,这种软件包被称为STUXNET。
长期以来,操纵选举一直是许多国家秘密行动的焦点。研究人员注意到,许多用于计票的电子投票机都很容易被篡改。正如约瑟夫·斯大林(Joseph Stalin)可能说过的,“谁投票不重要,重要的是谁来计算选票。”对投票机、从投票机读取选票的系统、用于生成或维护该软件的系统,或连接这些机器的网络的网络攻击,都可能被用来实施这类秘密行动。
网络情报分析
网络情报程序必须具有较强的分析能力,具有多层次的分析能力。在最初的分析中,最接近收集到的数据,需要进行大量的处理和分析,以使收集到的数据有意义。收集的产品往往是原始文件,没有整体设计。从网络中收集的数据包也是如此;需要进行广泛的分析才能将这些数据转换成更高层次的分析。
网络情报分析的一个方面是对漏洞的研究。如果您打算研究漏洞,无论是为了防御它们还是为了攻击地使用它们,您都需要一种组织它们的方法。美国国家地理空间情报局(National Geospatial Intelligence Agency)率先使用基于活动的情报作为进行网络情报分析的手段。地理空间是指开发信息,关于谁或什么是,过去或将来,在哪里和时间。正如NGA总监Letitia Long所说:
基思·亚历山大将军是网络司令部的负责人,也是美国国家安全局的局长,他要求NGA将网络“形象化”。我们已经接受了这一挑战,并正在使用先进的多情报融合和GEOINT技术——称为基于活动的情报——来响应将军的号召,并为网络司令部的战略、作战和战术规划提供更深刻的见解。我们正在物理领域描绘网络,并将“比特和字节”与“实体和实体”连接起来。
网络反间谍
美国面临着巨大的网络情报威胁。防御(安全)社区倾向于关注保护性特征(大门、警卫和枪支)和识别攻击者以进行起诉。
反间谍,另一方面,重点是了解威胁:谁是行动者,他们的动机和方法是什么,以及如何能证明反间谍方法对抗这些威胁。计算机安全专家Bruce Schneier在他的书中提出了一种使用攻击树来模拟攻击者的决策过程进行风险评估的优秀方法。
与网络作战有关的反情报挑战之一是归因问题。通常,可以发现攻击如何发生的详细信息,但很难确定攻击的幕后黑手。鉴于互联网的性质,A 点和 B 点之间的流量可以流经位于多个国家/地区的许多节点,并且假定的端点可以作为中继重新打包、处理和转发流量到其他节点,很难明确说明命令的来源或数据的结束位置。
间谍技术的弱点可以被利用。在多个操作中用相同的方法可能是灾难性的,因为进入一个网络的漏洞可以用来检测和击败其他代理网络。20世纪40年代苏联情报部门使用的一次性信息记录板的生产存在技术缺陷,这是因为这些信息记录板被用来报告当时在美国运作的几乎所有苏联情报机构的情况。该系统的密码破解允许检测、监视和消除多个独立的间谍网络。人们可以想象,如果一个国家的所有特工都使用相同的秘密情报传递点,或相同的通讯方式,或相同的伪装,或任何可以让外国安全机构通过使用一些泄露的技术来探测间谍的东西,会发生什么。在网络世界中也存在类似的现象。以前提到的STUXNET代码有几个变体(例如STUXNET、FLAME、DUQU、GAUSS),已经由反病毒社区发布。如果这段代码的另一个变体将来出现,很可能很快就会被检测到。
我们可以从反间谍的历史中学到很多东西。第二次世界大战期间,盟军和德国都成功地利用间谍网络来对付他们的主人。英国的双重交叉行动及其德国的对等行动提供了如何利用特工网络的例子在网络世界中也存在类似的情况,一个好的反情报程序可以利用自动代理的僵尸网络来欺骗对手的情报服务。
ZG正在对美国和其他国家发起大规模的经济情报行动。我们可以研究一下历史,找出一些对付这种经济间谍活动的办法。上世纪70年代,当苏联人对美国进行经济间谍活动时,里根政府通过一项以中情局为基础的秘密行动计划来回应:我们知道你们在做什么;我们不喜欢这样;我们要阻止这一切。告别案例告诉我们如何做到这一点,它可以应用到网络世界。
反情报机构的一个常见错误是假定对手会使用与他们对付对手相同的方法。这种现象被称为镜像,通过对着镜子看自己的行动来观察对手。事实上,由于目标和目的、可用资源、“本土”优势等方面的差异,每个国家在情报行动的方式上都是不同的。维克多·谢莫夫(Victor Sheymov)在他的《秘密之塔》(Tower of Secrets)一书中提供了一个例子,反映了苏联反间谍机构花了数月时间在其北京大使馆寻找电子窃听器,后来才发现中国人使用的是古老但有效的方法,包括被动音箱。
总结
自20世纪60年代以来,网络情报已经走过了漫长的道路,并与计算和网络技术的发展相呼应。利用网络情报技术进行秘密信息收集、秘密行动和反间谍活动已变得司空见惯。随着科技世界的持续发展,我们可以期待网络情报学科也会跟上步伐。
教师建议阅读的读物
在Joel McNamara的《计算机间谍的秘密:战术和对策》(Indianapolis: Wiley Publishing, 2003)一书中,可以找到关于网络行动中使用的工具和技术的一个很好的整体观点。
罗伯特·华莱士和h·基思·梅尔顿在《间谍术:中情局间谍技术人员的秘密历史,从共产主义到基地组织》一书中对人力情报间谍技术有一个很好的概述。
从空军的角度来看,网络是在军事冲突的背景下被看待的,请参阅《激烈的领域:网络空间的冲突,1986年至2012年》,由杰森·希利编辑,由网络冲突研究协会出版(http://www.cyberconflict.org/blog/2013/7/23/a-fierce-domainlaunches.html).
关于网络如何被用来支持秘密行动的例子,见David E. Sanger的《直面与隐藏-奥巴马的秘密战争和美国力量的惊人使用》(纽约:皇冠出版社,2012)。
圣化泄密者
当然,新闻工作者通常会给他们的消息来源以及他们自己赋予更崇高的动机。告密者向记者泄密的动机多种多样(有时是相互重叠的),包括报复、利己主义、自我保护、政治意识形态、个人或官僚野心——有时甚至是利他主义传统上,记者只要求那些信息被核实,而不是由天使提供。不过,当(你自己的)消息来源总是受到那些与他们有牵连的不法行为的攻击时——正如丹尼尔•埃尔斯伯格(Daniel Ellsberg)、切尔西•曼宁(Chelsea Manning)、爱德华•斯诺登(Edward Snowden)和许多其他不那么出名的新闻线人所了解到的那样——为他们的美德辩护是一个由来已久的传统。支持消息来源作为有原则的告密者是记者吸引更多消息来源的一种方式;把他们说成是自私自利的告密者,将很快消除未来泄密的可能性。
摘自马克·费尔德斯坦2014年12月3日出版的《沉湎水门事件:新闻业盛世中的史学、方法论和神话》
作者简介:
道格·普莱斯(Doug Price)的职业生涯始于1974年,他是美国国家安全局计算机安全部门COMSEC应用办公室的一名工程师。1978年,他加入了系统开发公司,在那里他进行渗透测试,领导红队的安全研究,并为计算机网络设计加密系统。从1983年到2011年退休,他在SPARTA, Inc.工作,开发网络情报工具和技术。他目前是AFIO的董事会成员。
原文PDF及百分点机器翻译文档已上传小编知识星球
长按识别下面的二维码可加入星球
里面已有近千篇资料可供下载
越早加入越便宜哦
如有侵权请联系:admin#unsafe.sh