Finding and Querying on Document Metadata
מסמך זה הוא מצגת פנימית של ה-NSA המתארת כיצד ניתן להשתמש ב-XKEYSCORE לאיסוף מידע באמצעות מטא-דאטה של מסמכים (כגון מסמכים מוטמעים, תמונות או קבצי קול). זאת בניגוד לשיטות בחירה מסורתיות יותר, כמו כתובות דוא"ל, ומדגיש את יכולות הכלי בניתוח נתונים מורכבים.
תקציר
מסמך זה הוא מצגת פנימית של ה-NSA המתארת כיצד ניתן להשתמש ב-XKEYSCORE לאיסוף מידע באמצעות מטא-דאטה של מסמכים (כגון מסמכים מוטמעים, תמונות או קבצי קול). זאת בניגוד לשיטות בחירה מסורתיות יותר, כמו כתובות דוא"ל, ומדגיש את יכולות הכלי בניתוח נתונים מורכבים.
פרטי המסמך
יוצר: National Security Agency
מפרסם: The Intercept
תאריך יצירה: 2009-03
תאריך הדלפה: 2015-07-01
סיווג: COMINT
תוכניות מעקב: XKEYSCORE
תיאור מקורי (אנגלית)
This document is an internal NSA presentation. It describes how XKEYSCORE can be used to gather intelligence by making use of metadata extracted from document metadata (e.g. embedded documents, images, or sound files), as opposed to more traditional selectors (such as email addresses).
תרגום לעברית
TOP SECRET//SI//NOFORN
הקידומת של XKEYSCORE: מיצוי מטא-נתונים להפקת מודיעין
סקירה כללית
מסמך פנימי זה של ה-NSA מפרט טכניקות מתקדמות לשימוש במערכת XKEYSCORE לצורך איסוף וניתוח מודיעין. בעוד שחיפושים מסורתיים מתבססים על סלקטורים גלויים (Strong Selectors) כגון כתובות אימייל, מספרי טלפון או שמות משתמש, גישה זו מתמקדת במטא-נתונים מוטמעים (Embedded Metadata) בתוך קבצים.
מודיעין מבוסס מטא-נתונים לעומת סלקטורים מסורתיים
השימוש בסלקטורים מסורתיים הופך למאתגר יותר ככל שמטרות משתמשות בטכניקות הסוואה או מחליפות זהויות דיגיטליות בתדירות גבוהה. לעומת זאת, מטא-נתונים המופקים מתוך קבצים מספקים "טביעת אצבע" דיגיטלית שקשה יותר לזייף או להסתיר.
- סלקטורים מסורתיים:
- כתובות אימייל (למשל:
target@example.com) - כתובות IP
- מספרי טלפון
- כתובות אימייל (למשל:
- מטא-נתונים של מסמכים (XKEYSCORE Extractors):
- שמות מחברים ותאריכי יצירה של מסמכי Office.
- נתוני EXIF מתמונות (כולל דגם מצלמה וקואורדינטות GPS).
- מטא-נתונים של קבצי שמע ווידאו (ID3 tags).
- היסטוריית עריכה וגרסאות של מסמכים מוטמעים.
יכולות מפתח ב-XKEYSCORE
המערכת מאפשרת לאנליסטים להריץ שאילתות על זרמי נתונים בזמן אמת כדי לאתר קבצים המכילים מטא-נתונים ספציפיים:
- זיהוי מסמכים מוטמעים: חילוץ מידע מתוך קבצים שנמצאים בתוך קבצים אחרים (למשל, תמונה בתוך קובץ Word).
- מעקב אחר זהויות משניות: הצלבת שמות "יוצרי מסמכים" (Authors) מתוך המטא-נתונים כדי לקשור בין חשבונות אימייל שונים של אותה מטרה.
- ניתוח גיאוגרפי: שימוש בנתוני מיקום המוטמעים בתמונות שנשלחו כצרופות או הועלו לרשת.
דוגמאות לשימוש (Use Cases)
- Targeting: איתור כל המסמכים שנכתבו על מחשב בעל מזהה ייחודי מסוים, ללא תלות בחשבון האימייל ששימש לשליחתם.
- CNE (Computer Network Exploitation): זיהוי גרסאות תוכנה ספציפיות המותקנות אצל היעד על בסיס חתימות שנוצרות בעת שמירת קבצים.
סיווג: TOP SECRET//SI//NOFORN מקור: NSA Internal Presentation
