Web Forum Exploitation using XKEYSCORE
מסמך זה הוא מצגת פנימית של ה-NSA המתווה את האסטרטגיות הטובות ביותר למיקוד פורומי אינטרנט למעקב באמצעות מערכות השאילתות XKEYSCORE ו-PINWALE. הוא מספק תובנות לגבי שיטות ה-NSA לאיסוף מודיעין מפורומים מקוונים.
תקציר
מסמך זה הוא מצגת פנימית של ה-NSA המתווה את האסטרטגיות הטובות ביותר למיקוד פורומי אינטרנט למעקב באמצעות מערכות השאילתות XKEYSCORE ו-PINWALE. הוא מספק תובנות לגבי שיטות ה-NSA לאיסוף מודיעין מפורומים מקוונים.
פרטי המסמך
יוצר: National Security Agency
מפרסם: The Intercept
תאריך יצירה: 2009-07
תאריך הדלפה: 2015-07-01
סיווג: COMINT
תוכניות מעקב: XKEYSCORE ; PINWALE
תיאור מקורי (אנגלית)
This document is an internal NSA presentation. It details best strategies for targeting online forums for surveillance purposes, using the XKEYSCORE and PINWALE query systems.
תרגום לעברית
סיווג: סודי ביותר//COMINT//REL TO USA, FVEY
אסטרטגיות לטרגוט פורומים מבוססי רשת ב-XKEYSCORE ו-PINWALE
סקירה כללית
מסמך זה מפרט מתודולוגיות לאיסוף וניתוח של תעבורת פורומים ולוחות מודעות (Message Boards). המטרה היא למקסם את היכולת לזהות יעדים בעלי עניין מבצעי הפועלים בקהילות מקוונות סגורות ופתוחות.
1. זיהוי יעדים ב-XKEYSCORE
XKEYSCORE מספק את היכולת לסנן תעבורת HTTP בזמן אמת. כדי לטרגוט פורומים ביעילות, על האנליסטים להשתמש בטכניקות הבאות:
- סינון לפי HTTP Referer: זיהוי משתמשים המגיעים לפורום מקישורים ספציפיים או מנועי חיפוש.
- ניתוח Cookie: מעקב אחר מזהי הפעלה (Session IDs) המאפשרים קישור בין פעילויות שונות של אותו משתמש, גם אם הוא משתמש ב-Proxy.
- שאילתות App-Specific: שימוש ב-App-IDs ייעודיים עבור פלטפורמות פורומים פופולריות (כגון vBulletin, phpBB, IPB).
2. שימוש ב-PINWALE לניתוח ארוך טווח
בעוד ש-XKEYSCORE משמש לאיסוף ראשוני, PINWALE מהווה את המאגר המרכזי לניתוח תוכן מובנה:
- חיפוש מילות מפתח (Keywords): מיקוד במונחים טכניים, שמות קוד או כתובות ארנק קריפטוגרפי המופיעים בפוסטים.
- צירוף נתונים (Correlation): הצלבת כתובות IP שנאספו מ-XKEYSCORE עם נתוני הרישום השמורים ב-PINWALE.
- מטא-דאטה של הודעות: חילוץ שדות "שולח", "נושא" ו"זמן פרסום" ליצירת גרף קשרים חברתי.
3. אסטרטגיות טרגוט מומלצות
- מיקוד במנהלי מערכת (Admins): טרגוט חשבונות בעלי הרשאות גבוהות מאפשר גישה לכתובות IP של משתמשים אחרים וללוגים פנימיים.
- ניטור הודעות פרטיות (PMs): התמקדות בנתיבי ה-URL המשמשים לשליחת הודעות פרטיות (המתאפיינים לרוב בפרמטרים כמו
act=Msgאוdo=showpm). - זיהוי טביעת אצבע של דפדפן (User-Agent): שימוש במידע על הדפדפן כדי להבדיל בין יעד אנושי לבין בוטים של סריקה.
הערות אופרטיביות
- יש לוודא כי כל השאילתות עומדות בהנחיות USSID 18 בנוגע לאזרחי ארה"ב (US Persons).
- מומלץ לשלב נתונים מ-GCHQ במידה והפורום מאוחסן על שרתים באירופה לשיפור הכיסוי.
סיווג: סודי ביותר//SI//NOFORN
