habrahabr

АНБ следит за теми, кто интересуется Linux и информационной безопасностью

  • суббота, 5 июля 2014 г. в 03:10:51
http://habrahabr.ru/post/228665/



Благодаря документам Сноудена в прошлом году стало известно о существовании программы XKeyscore, в рамках которой осуществляется мониторинг интернет-трафика по ключевым словам, поисковым запросам и т.д.

Вчера немецкий журналист Якоб Аппельбаум — один из тех, кому Эдвард Сноуден передал часть секретных документов АНБ — опубликовал файл xkeyscorerules100.txt, действующий в системе XKeyscore. Это несколько правил, по которым осуществляется мониторинг активности пользователей в интернете.

Программное обеспечение XKeyscore Deep Packet Inspection работает на 150 специальных серверах по всему миру, обычно установленных возле крупных телекоммуникационных узлов. Модульная архитектура XKeyscore предусматривает загрузку отдельных небольших «правил» (rules), написанных на собственных языках программирования Genesis и XKScript, а также на C++ и Python. Согласно этим правилам осуществляется извлечение полезной информации из записанного интернет-трафика.

Как можно увидеть из опубликованных правил, АНБ поставило под наблюдение два узла сети Tor в Берлине и Нюрнберге. Агентство составляло список IP-адресов, которые обращаются к этим серверам.

Кроме того, АНБ отслеживает тех пользователей, которые ищут в Сети информацию о защищённой операционной системе Linux TAILS.

fingerprint('ct_mo/TAILS')=
fingerprint('documents/comsec/tails_doc') or web_search($TAILS_terms) or
url($TAILS_websites) or html_title($TAILS_websites)
Пояснение по синтаксису файла xkeyscorerules100.txt

Забавно, но в других документах упоминаются правила, по которым отслеживаются «потенциальные экстремисты», читающие сайты вроде Linux Journal. Их считают «экстремистскими форумами».

// START_DEFINITION

/*These variables define terms and websites relating to the TAILs (The Amnesic Incognito Live System) software program, a comsec mechanism advocated by extremists on extremist forums. */

$TAILS_terms=word('tails' or 'Amnesiac Incognito Live System') and word('linux' or ' USB ' or ' CD ' or 'secure desktop' or ' IRC ' or 'truecrypt' or ' tor ');

$TAILS_websites=('tails.boum.org/') or ('linuxjournal.com/content/linux*');

// END_DEFINITION

Есть правила по регистрации пользователей, которые интересуются различными сервисами информационной безопасности в интернете, включая HotSpotShield, FreeNet, Centurian, FreeProxies.org, MegaProxy, privacy.li и анонимный почтовый сервис MixMinion. В последнем случае фиксируется весь трафик с IP-адреса 128.31.0.34. Он принадлежит серверу MixMinion, который располагается в кампусе Массачусетского технологического института. Между прочим, кроме почтовой службы, на этом сервере располагается много других веб-сайтов, в том числе open source игры и другие свободные проекты.