Guide to using Contexts in XKS Fingerprints

מסמך זה הוא מזכר פנימי של ה-NSA המפרט את השימוש בביטויי לוגיקה הקשריים בעת שימוש בכלי ניתוח הנתונים XKEYSCORE.

~3 min readMay 7, 2026 · 05:17 AM

Listen to article

Speed1.0x

תקציר

מסמך זה הוא מזכר פנימי של ה-NSA המפרט את השימוש בביטויי לוגיקה הקשריים בעת שימוש בכלי ניתוח הנתונים XKEYSCORE.

פרטי המסמך

יוצר: National Security Agency

מפרסם: The Intercept

תאריך יצירה: 2010

תאריך הדלפה: 2015-07-01

סיווג: COMINT

תוכניות מעקב: XKEYSCORE

תיאור מקורי (אנגלית)

This document is an internal NSA memorandum detailing the use of contextual logic expressions when using the XKEYSCORE data analysis tool.

תרגום לעברית

סיווג: סודי ביותר // COMINT // REL TO USA, AUS, CAN, GBR, NZL

נושא: שימוש בביטויים לוגיים הקשריים ב-XKEYSCORE עבור ניתוח נתונים ממוקד

1. סקירה כללית

מזכר זה נועד להנחות את האנליסטים של ה-NSA בשימוש מתקדם ב-contextual logic expressions (ביטויים לוגיים הקשריים) בתוך מערכת XKEYSCORE. יכולת זו מאפשרת סינון מדויק של תעבורת נתונים בנפח גבוה על ידי הגדרת קשרים בין אלמנטים שונים של המטא-דאטה והתוכן (payload).

2. עקרונות תפעוליים

בניגוד לשילובים לוגיים פשוטים (AND/OR), לוגיקה הקשרית ב-XKEYSCORE מאפשרת למשתמש להגדיר תנאים התלויים בקרבה (proximity) ובמיקום המידע בתוך זרם הנתונים (stream).

סינון מבוסס אפליקציה: ניתן להגדיר שאילתות המבדילות בין פעילויות בתוך יישומים כגון WhatsApp או Telegram לבין גלישה כללית ב-HTTP.
זיהוי טביעת אצבע (Fingerprinting): שימוש ב-Boolean logic כדי לזהות דפוסי התנהגות ייחודיים של יעד, גם כאשר נעשה שימוש ב-VPN או פרוקסי.

3. תחביר ושימוש (Syntax)

על האנליסטים להשתמש במפתחות הייעודיים של XKEYSCORE כדי לבצע התאמות (matches):

email_address: זיהוי כתובות דואר אלקטרוני ספציפיות בתוך גוף ההודעה או ב-headers.
http_host: מיקוד בדומיינים מסוימים המקושרים לתשתית היעד.
app_data: שליפת נתונים מובנים מתוך אפליקציות סלולריות.

דוגמה לשאילתה משולבת:

(email_address == 'target@example.com') AND (http_host == 'webmail.provider.jp')
      WITHIN_DISTANCE(50 words)

4. הנחיות לדיוק (Optimization)

כדי למנוע עומס על השרתים של ה-GCHQ וה-NSA המארחים את צמתי ה-XKEYSCORE, יש להקפיד על הכללים הבאים:

מזעור ה-Scope: תמיד יש להוסיף מגבלת זמן (time_range) ומגבלה גיאוגרפית במידת האפשר.
שימוש ב-Selectors: יש להעדיף שימוש ב-selectors מאושרים ממסד הנתונים של MARINA.
מניעת False Positives: השתמשו בביטויי NOT כדי לסנן תעבורה מוכרת של שרתים ארגוניים לגיטימיים.

5. היבטי ציות (Compliance)

כל שימוש בביטויים לוגיים ב-XKEYSCORE חייב לעמוד בהנחיות USSID SP0018. חל איסור מוחלט על שימוש בביטויים המכוונים ל-US Persons ללא אישור מפורט מבית המשפט לביטחון לאומי (FISC).

מופץ על ידי: מנהלת המודיעין (Signals Intelligence Directorate) סיווג: TOP SECRET // SI // NOFORN