在上周二(2017年3月7日)報道了關于維基解密曝光與美國中央情報局(簡稱CIA)相關的新一輪代號為“Vault 7”的秘密資料，涵蓋2013年到2016年相關文件。目前，這是維基解密曝光過的，與CIA方面相關的最大一批機密資訊。無獨有偶，剛過過去的2016年，維基密就曾曝出德國議會委員會90GB的機密文件。兩次事件都為國家安全機構的重要文件。而以下內容是去年年底E安全內參的一篇文章，特地分享給各位讀者。

 

 

2016年12月1日，維基解密公布德國議會委員會90GB的機密文件。該委員會調查NSA(美國國家安全局)間諜活動以及NSA與德國對外諜報機構—聯(lián)邦諜報局(BND)之間的合作。這批文件包括125份BND文件，33份德國聯(lián)邦憲法保衛(wèi)局(BfV)文件，以及72份德國信息技術安全局(BSI)文件。但所有文件的保密等級均為最低，大部分文件都為正式信函，新聞報道副本和電子郵件內容的備份。

這份90GB的機密文件還包括德國保密系統(tǒng)，BND內部結構信息，以及他們使用XKEYSCORE計劃的方式處理斯諾登泄密事件等。

概述

本文部分信息源于德國《時代周報》。《時代周報》報道稱，政府服務器上僅有保密等級(VS NfD或RESTRICTED)最低的文件掃描件供德國議會委員會及德國聯(lián)邦總理府在使用。

保密等級更高的文件不存在電子存檔，必須在德國議會大廈的保密場所進行查看，而絕密文件只能在總理府或BND新柏林總部進行查看。

 

 

提供給調查委員會的機密文件

德國議會的IT專家調查這起泄密事件后，表示并沒有發(fā)現(xiàn)黑客入侵的跡象。因此泄密源頭，只能是能使用維基解密公布(同時刪除)的一份文件的外交事務議會委員會或歐盟事務議會委員會的委員。

未經(jīng)維基解密編輯處理的文件顯示。該文件被編輯的內容幾乎都用藍色標記，文件仍包含所有組織機構內部的代號，許多德國政府單位及職員的電子郵件名稱或地址，因此，這明顯是BND修訂文件的方式。

 

 

EAD內部BND電子郵件：與西方國家及合作伙伴之間的關系，以及EADD單位與美國和大洋洲的關系

BND多重保密等級

BND文件按照德國官方保密系統(tǒng)進行保密等級分類，分為四個等級(對應其它許多國家的保密等級)如下：

- VS NUR FÜR DEN DIENSTGEBRAUCH(VS NfD)

顏色代碼：藍色或黑色;相當于：RESTRICTED(受限)

- VS VERTRAULICH(VS Vertr. / VSV)

顏色代碼：藍色或黑色;相當于CONFIDENTIAL(秘密)

- GEHEIM(Geh. / Stufe I)

顏色代碼：紅色;相當于SECRET(機密)

- STRENG GEHEIM(Str. Geh. / Stufe II)

顏色代碼：紅色;相當于TOP SECRET(絕密)除次之外該系統(tǒng)還有更加限制級的分類用于保護高度敏感信息。此次被維基解密公布的各種信函證實，存在標記本身就具有保密性的標記，這類標記連德國議會委員會的委員也不清楚標記的確切含義和用法。例如以下兩種保密標記：

- STRENG GEHEIM-ANRECHT(?)

- STRENG GEHEIM-SCHUTZWORT(Str. Geh. SW)

代碼顏色：相當于TOP SECRET(絕密)/SCI這種分類與美國保密分類系統(tǒng)類似。

ANRECHT指某些信息被歸為秘密Secret或絕密Top Secret。但在該特定級別中，尤其當涉及信號情報時，它只是針對須知人群。

SCHUTZWORT也是限制訪問，特定文件的發(fā)起人確定一個代號(德語：Schutzwort)，僅提供給有權訪問文件的人。這與美國使用的敏感信息隔離(Sensitive Compartmented Information，SCI)系統(tǒng)類似。SCI系統(tǒng)先前的幾個代號已被解密。

德國武裝部隊1998年的安全手冊也提到了特殊保密分類，例如SCHUTZWORT和KRYPTO，KRYPTO是對加密信息保密。

 

 

總理府信函被歸為STRENG GEHEIM-ANRECHT，所附文件(該保密等級)被刪除后，這封信函被標記為無效(UNGÜLTIG)

BND組織結構圖

維基解密公布的文件還包含一組圖表，其顯示了BND 2000年至2014年的組織結構發(fā)展。下圖可以看出BND 2009年有過重組。

 

 

 

 

2009年以前的BND組織結構圖

當然，斯諾登泄密文件中有更詳細的BND組織結構圖。

內部代號

BND部門、分支機構和單位有大寫字母組成的代碼指稱。從目前的情況來看，主要部門用兩個字母標記(也許是全稱縮寫)。

例如，其信號情報(SIGINT)部為TA，代表Technische Aufklärung(德語)。從維基解密公布的電子郵件可以看出，下屬單位會在部門代號的基礎上添加字母或單詞。這些附加的字母可以為全名的首字母或隨機字母，或A代號第一個單位，B代表第二個單位等。

例如，“PLSA-HH-Recht-SI”是PLS的第一個分支(A)，是BND局長的員工。“Recht”顯然代表法律事務單位。“GLAAY”則為GL(Gesamtlage)的單位。結合XKEYSCORE幾個相關文件，以下為可以重構的BND野外測站代號：

- 3D10: Schöningen or Rheinhausen (衛(wèi)星攔截)

- 3D20: Schöningen or Rheinhausen (衛(wèi)星攔截)

- 3D30: Bad Aibling(衛(wèi)星攔截)

- 3D40: Gablingen(HF無線電偵聽)*某些部門

2009年以來的BND組織結構圖顯示，有四個部門負責分析與生成，這是分析家準備情報報告的地方：

-TE和TW兩個部門負責局部任務：TE負責國際恐怖主義和有組織的犯罪;TW專管武器系統(tǒng)和ABC武器擴散。

-LA和LB，負責地理區(qū)域：LB負責非洲、中東和阿富汗地區(qū)，而LA負責世界其它地區(qū)(從內部電子郵件的簽名塊標識可以看出)。

 

 

 

 

XKEYSCORE

維基解密公布的文件中，最有趣的文件之一是一份證據(jù)，據(jù)稱BND員工被安排使用并編寫XKeyscore軟件。

但德國技術網(wǎng)站Golem稱，這或許是由于有文本節(jié)選只提到BND員工A.S.在BfV的柏林總部幫助安裝XKEYSCORE。BfV僅用該系統(tǒng)分析恐怖主義相關的數(shù)據(jù)集。

更有趣的要數(shù)關于XKEYSCORE的幾個其它文件。2013年11月6日議會監(jiān)督委員會會議準備的答案列表中，據(jù)稱Bad Aibling 自2007年以來就在使用XKEYSCORE。該系統(tǒng)自2013年2月在衛(wèi)星攔截站Schöningen和Rheinhausen上進行測試，并計劃定期將XKEYSCORE用于Schöningen和Rheinhausen。而在2013年11月5日BND內部電子郵件中卻稱，XKEYSCORE在Schöningen和Rheinhausen是被用來攔截外國衛(wèi)星通信，該系統(tǒng)的具體目的是用來確定哪個衛(wèi)星鏈路最有用，以及檢查流量是否包含BND尋找(所謂的調查)的通信。

 

 

BND衛(wèi)星站使用XKEYSCORE的內部BND電子郵件

這是XKEYSCORE一個出乎意外的用途，因為對于NSA和GCHQ(英國政府通信總部)而言，該系統(tǒng)的優(yōu)勢在于具備能力重組互聯(lián)網(wǎng)數(shù)據(jù)包、過濾并允許分析家搜索緩沖的內容。但并不能完全確定BND是否這樣使用XKEYSCORE。

2014年11月，BND信號情報部門(SIGINT)的W.K.作證稱，XKEYSCORE被用來解碼和解調IP流量。解碼針對在線和儲存數(shù)據(jù)，而選擇合適的衛(wèi)星鏈路解調只針對在線數(shù)據(jù)流。

在Schöningen和Rheinhausen，XKEYSCORE系統(tǒng)在分析前階段用于解碼和解調。這也是了提供給調查委員會的某些證詞。例如Schöningen的負責人E.B.表示，XKEYSCORE只用來查看幾天的衛(wèi)星流量，以確定其中存在的通信鏈。

英國Menwith Hill Station早些時候有關衛(wèi)星攔截的介紹表明，NSA和GCHQ有其它系統(tǒng)，例如DARKQUEST, 用來調查衛(wèi)星鏈路，洗后由XKEYSCORE處理并分析數(shù)據(jù)。

IBM服務器

維基解密文件還包含2014年2月25日BND的內部訂單資料，比如訂購野外測站3D20的六臺服務器：2臺IBM X3650 M4和4臺IBM X3550 M4服務器，共耗費5.8萬歐元。PDBD和XKEYSCORE均需要這些服務器。

- PDBD為新的集中BND任務數(shù)據(jù)庫，將替代各個野外測站專用任務數(shù)據(jù)庫。

- XKEYSCORE被描述為解碼分組交換通信流量(如電子郵件、聊天、地理位置信息等)系統(tǒng)。該系統(tǒng)用來分析通信流量。BND需要XKEYSCORE系統(tǒng)，因為從日益增加的數(shù)據(jù)量中提取相關信息越來越困難。需要服務器將XKEYSCORE從測試階段轉移至運營狀態(tài)。

 

 

BND內部訂單：用于XKEYSCORE和PBDB的幾個IBM服務器

PRISM

調查委員會其中一個大文件與揭露PRISM的反應有關。PRISM于2013年6月初曝光后，很多情況還不明朗，所以通過一些開源調查后發(fā)現(xiàn)美國軍方在使用名為PRISM的計劃。PRISM是資源整合、同步和管理規(guī)劃工具(Planning tool for Resource Integration, Synchronization and Management)英文全拼的首字母縮寫。

2013年7月，德國媒體公開了NSA的信函，信函稱PRISM實際上是三個不同的項目：一個是收集大型互聯(lián)網(wǎng)公司的數(shù)據(jù);另一個是軍事任務和規(guī)劃工具;以及在SA信息保護署(Information Assurance Directorate，IAD)共享數(shù)據(jù)的項目。

2013年8月，德國聯(lián)邦議議院(Bundestag)成員提及NSA計劃相關的諸多問題，其中一名BND員工抱怨稱，期望德國聯(lián)邦議議院給出所有答案不合理。

當時，尚不清楚PRISM的許多細節(jié)，美國政府和互聯(lián)網(wǎng)公司的聲明似乎相互矛盾。BND轉發(fā)給議會委員會的文件中，有2013年7月的一篇報告，報告對當時的PRISM做了概述。

這份報告由德國內政部(German Interior Ministry，BMI)公共安全部的ÖS I 3單位制定。匯總新聞報告的內容后，該報告還根據(jù)早些時候一條網(wǎng)絡日志描述了第二個工具—PRISM：

 

 

這條網(wǎng)絡日志對第二個PRISM項目的描述

BOUNDLESSINFORMANT

2013年7月29日，德國《明鏡周刊》公布NSA工具BOUNDLESSINFORMANT的圖表顯示，NSA攔截了超過5.5億的通信流量。

短短幾天內，BND聯(lián)系了《明鏡周刊》并表示，他們收集了那些數(shù)據(jù)并與NSA共享數(shù)據(jù)。SIGADs US-987LA和US-987LB指定在BND Bad Aibling衛(wèi)星站收集數(shù)據(jù)，并(無線)攔截阿富汗的電話。該消息經(jīng)NSA證實，《明鏡周刊》于2013年8月5日公布。

 

 

BOUNDLESSINFORMANT截圖：《明鏡周刊》2013年7月29日公布的與德國相關的元數(shù)據(jù)

維基解密公布的一封電子郵件顯示，Bad Aibling 3D3D單位的M.J.同時將BOUNDLESSINFORMANT圖表的數(shù)量與他的日志文件和Nagios Checks的數(shù)量做了對比。他于2013年8月12日將這封郵件發(fā)送給他的老板R.U.。并稱這個圖表與《明鏡周刊》公布的圖表比較相似：

 

 

BND員工M.J似乎準備將此表與BOUNDLESSINFORMANT進行對比(注意比例不同)

M.J.圖表的數(shù)據(jù)不完全準確，因為BND未計算他們提供給NSA的元數(shù)據(jù)量，他們只關注內容。令人費解的是，M.J.的這份電子郵件還包含一張表格，包含這段期間元數(shù)據(jù)的每日數(shù)量，此表格在右側羅列了幾個處理系統(tǒng)的每日數(shù)據(jù)：

 

 

BND員工M.J似乎準備將此表BOUNDLESSINFORMANT進行對比(注意比例不同)

奇怪的是，《明鏡周刊》的圖表僅提供了總數(shù)量，再加上公布的BOUNDLESSINFORMANT圖表中亦未出現(xiàn)POPTOP、CRON和SNOWHAZE這三個代號。難道是NSA提供了更詳盡的數(shù)量，BND做了對比?

在2013年8月13日發(fā)出的一份函件中，德國聯(lián)邦情報局(簡稱BND)局長辛德勒(Schindler)要求美國國安局局長亞歷山大(Alexander)證實通過987LA與US-987LB收集到的元數(shù)據(jù)全部來自BND。以此為基礎，認為相關公眾辯論將變得更加理性。

在德國議會調查委員會于2017年1月19日召開的聽證會上，前BND局長辛德勒為平息上述圖表給BND帶來的爭議，表示斯諾登所取得的BOUNDLESSINFORMANT圖表來自相關培訓課程資料。此番解釋很可能是在BND向美國國安局進行了進一步求證之后，方才正式予以公布。

在阿富汗地區(qū)的合作

在回答議會提出的問題時，BND方面回應，美國國家安全局在阿富汗運營著一套數(shù)據(jù)收集網(wǎng)絡，且共有14個國家參與其中(即阿富汗SIGINT聯(lián)盟，簡稱AFSC)。各合作機構將其收集到的數(shù)據(jù)輸入至由美國國安局負責管理的數(shù)據(jù)庫(類似于或者等同于SIGDASYS)，同時其亦可從數(shù)據(jù)庫中請求查詢與其任務相關的數(shù)據(jù)信息。在2011年到2013年期間，BND曾從這套系統(tǒng)中請求并接收到21萬6423套數(shù)據(jù)集。而作為阿富汗事務“責任分攤”計劃的一部分，BND亦在處理約5000項目標(每天產生達100萬套數(shù)據(jù)集)，其中大部分數(shù)據(jù)內容與位置信息有關。這些信息與AFSC小組共享，或同同國安局及GCHQ共享。

另外，美國國安局還向BND提供了數(shù)千套目標選擇器，用以收集來自或者去往阿富汗乃至其它危機地區(qū)的衛(wèi)星鏈路相關數(shù)據(jù)。BND通過其位于巴特艾布靈(Bad Aibling)的衛(wèi)星攔截站每月產生高達300萬套數(shù)據(jù)集。這些數(shù)據(jù)在通過G-10過濾(即清除與德國有關的通信內容)后被提供給美國國安局方面。

網(wǎng)絡安全

關于BND與美國國安局方面在網(wǎng)絡防御領域的合作論點，請參閱國安局局長凱斯·亞歷山大(Keith Alexander)于2013年6月6日到7日訪問柏林時發(fā)布的報告(就在此前一天，斯諾登剛剛公布大量美國國安局機密資料)。

在網(wǎng)絡問題層面，亞歷山大比較互聯(lián)網(wǎng)與ISP負責運營的“光纖環(huán)”，與負責引導各行業(yè)、金融乃至政府網(wǎng)絡體系的“管道。認為任何惡意軟件，無論其用于實施破壞性影響抑或竊取數(shù)據(jù)，都應及早發(fā)現(xiàn)，并在其觸及此“管道”之前即在“光纖環(huán)”層面得到阻止。

一位德國政府官員表示，德國擁有出色的網(wǎng)絡專業(yè)人才，但他們只以防御形式進行工作。德國不會主動采取攻擊性網(wǎng)絡活動此類舉措。中小型企業(yè)則往往對此缺乏認知且認為自身并無義務承擔由網(wǎng)絡防御帶來的成本支出，德國應與技術行業(yè)間應該恢復并加強合作，進行自我保護。

報告指出，對于網(wǎng)絡問題，應建立起由小部分“受信任國家”組成的國際性機構，因為像《布達佩斯公約》這類國際性法規(guī)似乎無法約束此類行為。根據(jù)亞歷山大將軍的解釋，美國目前正在建立這類合作伙伴關系，但共享信息的前提在于彼此信任——但部分國家似乎并不值得信任。

亞歷山大將軍還告知BND方面，目前美國國安局擁有27支專門負責支持美國作戰(zhàn)司令部的隊伍，每支隊伍包含56名成員，未來其還將增加額外6000名網(wǎng)絡技術專家。美國國安局還將憑借一支擁有407名網(wǎng)絡專家的技術支隊為美國網(wǎng)絡司令部提供支持。根據(jù)亞歷山大的說明，國安局方面已經(jīng)證實了約50項中國“入侵活動”，并得以接入中國網(wǎng)絡以了解這些大規(guī)模、全球性網(wǎng)絡攻擊所指向的具體受害方。

2013年7月23日回答國會議員奧普曼(Oppermann)的問題時，BND方面表示其支持德國安全機構BfV與信息安全機構BSI揭露國外網(wǎng)絡攻擊活動的作法，并將此稱為“網(wǎng)絡防御SIGNET支持”(簡稱SSCD)的一部分。只有BND有能力建立技術系統(tǒng)以檢測其它國家境內(!)的網(wǎng)絡攻擊活動。

BND方面還回應稱，“在國際SIGINT聯(lián)盟的SSCD工作組內，BND對國際網(wǎng)絡攻擊檢測相關信息進行了交換。(國際SIGINT聯(lián)盟很可能是指SIGINT歐洲高層(簡稱SSEUR或14-Eyes)小組。)BND局長辛德勒也曾在2014年5月的國際網(wǎng)絡安全合作說明中提到了該工作組。

目錄

最后，以下列出了迄今為止所發(fā)現(xiàn)的一些值得關注的文件(在維基解密提供相關文件內容后，這份清單將更具實際意義)：

MAT_A_BND-1-3a_2 (美國軍方與情報承包商位于德國的員工名單)

MAT_A_BND-1-5 (美國國安局批量元數(shù)據(jù)集合，包括棱鏡門與XKEYSCORE)

MAT_A_BND-1-11a (BOUNDLESS INFORMANT，梯隊系統(tǒng))

MAT_A_BND-1-11c (pdf文件第315頁：美國國安局用于攔截默克爾手機通信內容的選項)

MAT_A_BND-1-11j (pdf文件第145 ff頁：美國國安局與BND間網(wǎng)絡安全合作計劃; 第155頁：巴特艾布靈工作站發(fā)展簡史; 第280頁：美國國安局關于三項不同棱鏡門計劃的函件)

MAT_A_BND-1-11k (BND局長辛德勒寫給國安局局長亞歷山大的信件)

MAT_A_BND-1-13a (pdf第61頁與第88頁：BND最初假定棱鏡門旨在收集元數(shù)據(jù); 第99頁：自2012年起，國安局向BND發(fā)送了總計450份與恐怖主義威脅相關的報告)

MAT_A_BND-1-13b (pdf第84頁與第85頁：XKEYSCORE示意圖; 第227頁：需要利用類似的XKS的“會話化機制”實現(xiàn)定向攔截; 第277頁：SSEUR下轄SSCD工作組)

MAT_A_BND-1-13c (pdf第127頁：阿富汗數(shù)據(jù)共享)

MAT_A_BND-1-13h (pdf第108 ff頁：關于VERAS元數(shù)據(jù)系統(tǒng)的報告)

MAT_A_BND-3a (BND所使用之涵蓋廣泛主題的索引)

MAT_A_BND-3-1a (2000年到2014年期間BND組織結構圖)

MAT_A_BND-8a (與GCHQ的聯(lián)系，BND與美國國安局間合作，關于難民采訪單位的報告以及內部G10手冊)