Advanced HTTP Activity Analysis
מסמך זה הוא מצגת פנימית שהוכנה על ידי גורם רשמי ב-NSA, המתארת את יסודות פרוטוקול HTTP וכיצד למקד ולנצל אותו באמצעות כלי השאילתות והניתוח XKEYSCORE. המצגת מספקת תובנות לגבי היכולות הטכניות של ה-NSA בניטור תעבורת אינטרנט. היא מדגישה את השימוש ב-XKEYSCORE לאיסוף מידע מפורט על פעילות מקוונת.
תקציר
מסמך זה הוא מצגת פנימית שהוכנה על ידי גורם רשמי ב-NSA, המתארת את יסודות פרוטוקול HTTP וכיצד למקד ולנצל אותו באמצעות כלי השאילתות והניתוח XKEYSCORE. המצגת מספקת תובנות לגבי היכולות הטכניות של ה-NSA בניטור תעבורת אינטרנט. היא מדגישה את השימוש ב-XKEYSCORE לאיסוף מידע מפורט על פעילות מקוונת.
פרטי המסמך
יוצר: National Security Agency
מפרסם: The Intercept
תאריך יצירה: 2009
תאריך הדלפה: 2015-07-01
סיווג: COMINT
תוכניות מעקב: XKEYSCORE
תיאור מקורי (אנגלית)
This document is an internal presentation prepared by an official at the NSA. It describes the fundamentals of the HTTP protocol and how to target and exploit it using the XKEYSCORE query and analysis tool.
תרגום לעברית
HTTP: הדרכה בסיסית וניצול באמצעות XKEYSCORE
סקירה כללית
מסמך זה מספק הדרכה פנימית של ה-NSA בנושא פרוטוקול ה-HTTP (Hypertext Transfer Protocol), תוך התמקדות באופן שבו אנליסטים יכולים להשתמש במערכת XKEYSCORE כדי לזהות, לעקוב ולנצל תעבורת אינטרנט של מטרות.
מהו HTTP?
HTTP הוא הפרוטוקול העומד בבסיס העברת הנתונים ב-World Wide Web. זהו פרוטוקול "בקשה-תגובה" (request-response) הפועל במודל לקוח-שרת.
מרכיבי המפתח בבקשת HTTP:
- Method: הפעולה לביצוע (למשל:
GET,POST,COOKIE). - URL: הכתובת של המשאב המבוקש.
- User-Agent: מידע על הדפדפן ומערכת ההפעלה של המטרה.
- Referer: הדף הקודם ממנו הגיע המשתמש.
- Cookies: מזהים ייחודיים המשמשים למעקב אחר הפעלות (sessions).
שימוש ב-XKEYSCORE לטירגוט HTTP
מערכת XKEYSCORE מאפשרת לאנליסטים לסנן כמויות אדירות של נתוני תקשורת גלובליים. ניתן להשתמש בשאילתות מורכבות כדי לחלץ מידע רגיש.
אפשרויות חיפוש:
- חיפוש לפי מזהי מטרה: איתור כתובות דוא"ל או שמות משתמש בתוך גוף ה-HTTP (HTTP Body).
- ניתוח עוגיות (Cookies): שליפת מזהי SID (Session ID) כדי לעקוף מנגנוני אימות.
- טירגוט אפליקציות: חיפוש תעבורה המגיעה מאפליקציות ספציפיות (למשל, Google Maps או דוא"ל מבוסס רשת).
דוגמה לשאילתת HTTP בסיסית:
http_host == 'mail.google.com'
&& http_user_agent matches '*Windows NT 6.1*'
&& fingerprinted_user_id == 'target@example.com'
אסטרטגיות ניצול (Exploitation)
המסמך מפרט כיצד נתוני HTTP משמשים כבסיס למבצעי "פריצה מרחוק":
- Identities: שימוש ב-HTTP User-Agent וב-Cookies כדי לבנות פרופיל מדויק של חומרת ותוכנת המטרה.
- Vulnerability Detection: זיהוי גרסאות דפדפן ישנות הפגיעות לכלי תקיפה של ה-NSA (כגון אלו המנוהלים על ידי יחידת ה-TAO).
- Traffic Shaping: הבנה לאילו אתרים המטרה ניגשת בתדירות גבוהה לצורך תקיפות מסוג "בור מים" (Watering Hole).
סיכום לאנליסטים
- HTTP הוא "מכרה זהב" של מודיעין בשל היותו (לעיתים קרובות) לא מוצפן או בעל הצפנה הניתנת לעקיפה בנקודות קצה.
- יש להצליב נתוני XKEYSCORE עם מאגרי מידע אחרים של ה-NSA ו-GCHQ לקבלת תמונה מלאה על המטרה.
- אבטחה: תמיד יש לוודא שהשאילתות עומדות בהנחיות המדיניות והפיקוח הרלוונטיות.
