XKEYSCORE Appids & Fingerprints
מסמך זה הוא מצגת פנימית של ה-NSA המסבירה את התחביר שמאחורי בניית מזהי יישומים (AppIds) וטביעות אצבע (Fingerprints) בתוכנית ניתוח הנתונים XKEYSCORE של ה-NSA. מזהי יישומים וטביעות אצבע הם שיטות לייעול חיפושים של מידע מודיעיני לצורך ניתוח.
תקציר
מסמך זה הוא מצגת פנימית של ה-NSA המסבירה את התחביר שמאחורי בניית מזהי יישומים (AppIds) וטביעות אצבע (Fingerprints) בתוכנית ניתוח הנתונים XKEYSCORE של ה-NSA. מזהי יישומים וטביעות אצבע הם שיטות לייעול חיפושים של מידע מודיעיני לצורך ניתוח.
פרטי המסמך
יוצר: National Security Agency
מפרסם: The Intercept
תאריך יצירה: 2010
תאריך הדלפה: 2015-07-01
סיווג: COMINT
תוכניות מעקב: XKEYSCORE
תיאור מקורי (אנגלית)
This document is an internal NSA presentation. It explains the syntax behind building AppIds and Fingerprints in the NSA's XKEYSCORE data analysis program. AppIds and Fingerprints are methods designed to make searching intelligence more efficient for analysts.
תרגום לעברית
סיווג: TOP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL
ניתוח תעבורה ב-XKEYSCORE: AppIds ו-Fingerprints
סקירה כללית
מסמך זה מפרט את התחביר והלוגיקה המשמשים ליצירת מזהי אפליקציות (AppIds) וטביעות אצבע (Fingerprints) בתוך מערכת XKEYSCORE. כלים אלו חיוניים עבור מנתחי ה-NSA לצורך סינון, סיווג וחילוץ נתונים בעלי ערך מודיעיני מתוך זרמי נתונים רחבי פס.
1. מהו AppId?
AppId (מזהה אפליקציה) הוא תג המוחל על זרם נתונים או פרוטוקול ספציפי. הוא מאפשר למערכת XKEYSCORE לזהות במהירות באיזו אפליקציה או שירות המטרה משתמשת.
- מטרה: אינדוקס יעיל של נתונים וצמצום מרחב החיפוש עבור המנתח.
- מבנה: מבוסס על חוקים המזהים דפוסים ייחודיים בחבילות מידע (Packets).
- דוגמה:
google_mail,facebook_chat,skype_voip.
2. Fingerprints (טביעות אצבע)
Fingerprints הן חוקי זיהוי מורכבים יותר המשמשים לאיתור פעילויות ספציפיות בתוך אפליקציה.
רכיבי התחביר:
offset: מיקום הבתים הספציפי בתוך ה-Payload שבו יש לחפש.value: הערך הקסדצימלי (Hex) או המחרוזת לחיפוש.mask: מאפשר התעלמות מביטים מסוימים במהלך ההשוואה.
3. בניית שאילתות (Syntax)
כדי ליצור AppId חדש ב-XKEYSCORE, נעשה שימוש בשפת תיאור ייעודית:
python
# דוגמה לתחביר לזיהוי פרוטוקול היפותטי
fingerprint('example_protocol') = {
meta: [
author: 'Station_Alpha',
description: 'Identifies Example messaging traffic'
],
rules: [
tcp_port(8080),
payload_matches('|01 02 03 04|', offset: 0),
content_matches('user_login')
]
}
4. יתרונות למנתחי המודיעין
השימוש ב-AppIds ו-Fingerprints בתוך XKEYSCORE מעניק למנתחים מספר יתרונות מפתח:
- דיוק: הפחתת "רעש" (False Positives) בתוצאות החיפוש.
- מהירות: יכולת להריץ שאילתות על מאגרי נתונים עצומים בזמן אמת.
- אוטומציה: סיווג אוטומטי של תעבורה מוצפנת במידת האפשר על בסיס מטא-נתונים.
- שיתוף פעולה: ספריות של Fingerprints משותפות בין ה-NSA, ה-GCHQ ושאר שותפי ה-Five Eyes.
5. הנחיות עבודה
- יש לבדוק כל Fingerprint בסביבת פיתוח לפני פריסה לשרתי ה-XKEYSCORE המבצעיים.
- חובה לתעד את מקור הנתונים ששימש ליצירת ה-Fingerprint כדי למנוע התנגשויות (Collisions) עם מזהים קיימים.
דף זה מסווג כסודי ביותר // TOP SECRET//COMINT//REL TO USA, AUS, CAN, GBR, NZL
