Introduction to Context Sensitive Scanning with X-KEYSCORE Fingerprints
מסמך זה הוא מצגת פנימית של ה-NSA המציגה למשתמשי מערכת ניתוח הנתונים XKEYSCORE את יכולת הסריקה רגישת ההקשר. תכונה זו מאפשרת לאנליסטים למקד באופן כירורגי תעבורה על ידי יישום מילות מפתח רק בהקשר המיועד להן. המטרה היא לשפר את הדיוק והיעילות של איסוף המודיעין.
תקציר
מסמך זה הוא מצגת פנימית של ה-NSA המציגה למשתמשי מערכת ניתוח הנתונים XKEYSCORE את יכולת הסריקה רגישת ההקשר. תכונה זו מאפשרת לאנליסטים למקד באופן כירורגי תעבורה על ידי יישום מילות מפתח רק בהקשר המיועד להן. המטרה היא לשפר את הדיוק והיעילות של איסוף המודיעין.
פרטי המסמך
יוצר: National Security Agency
מפרסם: The Intercept
תאריך יצירה: 2010-05
תאריך הדלפה: 2015-07-01
סיווג: COMINT
תוכניות מעקב: XKEYSCORE
תיאור מקורי (אנגלית)
The document is an internal NSA presentation. It introduces XKEYSCORE data analysis system users to the Context Sensitive Scanning feature. This feature of XKEYSCORE allows analysts to surgically target traffic by applying keywords only in the context in which they were intended to apply.
תרגום לעברית
Context Sensitive Scanning ב-XKEYSCORE: טירגוט כירורגי
סקירה כללית
מסמך זה מציג את יכולת ה-Context Sensitive Scanning (סריקה תלוית הקשר) הזמינה בתוך מערכת XKEYSCORE. תכונה זו מאפשרת לאנליסטים של ה-NSA לבצע חיפושים ממוקדים (כירורגיים) על ידי הגדרת הקשרים ספציפיים שבהם מילות מפתח צריכות להופיע על מנת להניב התרעה.
למה Context Sensitive Scanning?
השיטה המסורתית של חיפוש מילות מפתח על פני כל התעבורה ("Global Scanning") מייצרת לעיתים קרובות כמות גדולה מדי של "רעש" (False Positives).
באמצעות סריקה תלוית הקשר, ניתן:
- לצמצם תוצאות לא רלוונטיות: הגבלת החיפוש לשדות מסוימים בלבד.
- טירגוט כירורגי: החלת מילות מפתח אך ורק בהקשר שבו הן נועדו לחול (למשל: בתוך גוף אימייל, בשם קובץ, או בשורת נושא).
- ייעול המשאבים: הפחתת העומס על מערכות העיבוד של XKEYSCORE.
יכולות המערכת
התכונה מאפשרת לאנליסטים להגדיר חוקי בחירה המבוססים על מבנה הפרוטוקול של הנתונים הנסרקים:
- זיהוי אפליקציות: בחירה האם לסרוק תעבורת HTTP, SMTP, FTP וכדומה.
- חיפוש מבוסס שדות:
- HTTP: חיפוש בתוך ה-User-Agent, ה-Referrer או ה-Cookie.
- Email: סינון לפי שדות ה-To, From, CC או גוף ההודעה.
- Chat: התמקדות בזהויות (IDs) של משתמשים או בתוכן השיחה.
דוגמה לשימוש (Pseudocode)
אנליסט המעוניין לאתר משתמש המחפש תוכנה ספציפית ב-Google עשוי להשתמש במבנה הבא:
if (APP == "google_search") {
find (KEYWORD == "encryption_software")
within (SEARCH_QUERY_FIELD)
}
סיכום
השימוש ב-Context Sensitive Scanning בתוך XKEYSCORE משפר משמעותית את הדיוק המודיעיני ומאפשר לאנליסטים ב-NSA ובארגוני שותפים (כגון GCHQ) להתמקד בתעבורה רלוונטית בלבד תוך מזעור איסוף נתונים שאינם נחוצים.
