棱鏡系統是怎么工作的？

英國《衛報》和美國《華盛頓郵報》近日報道稱，美國國安局通過“棱鏡”計劃大范圍收集并監控網絡和電話用戶信息，包括郵件、聊天記錄、視頻、照片、存儲數據、文件傳輸、視頻會議、登錄時間和社交網絡資料等。涉及九大互聯網公司，微軟、雅虎、谷歌、Facebook、PalTalk、YouTube、Skype、AOL、蘋果都在其中。

這方面的報道非常多，各個互聯網公司也紛紛發布聲明來否認，然而，對于棱鏡系統實際是如何運作的細節情況，卻現有披露，月光博客就通過現在公布的一些報道來分析和推測一下棱鏡系統到底是什么運作的。

涉事公司分析

首先分析一下涉事的這幾家公司，其中，微軟2007年9月開始與政府合作，雅虎是2008年3月，谷歌2009年1月，Facebook是2009年6月，PalTalk公司2009年 12月，YouTube是2010年9月，Skype是2011年2月，AOL是2011年3月，蘋果則是2012年10月。

這些公司的互聯網產品則多種多樣，其中，客戶端操作系統有微軟和蘋果，電子郵件有微軟、雅虎、谷歌，社交網絡有Facebook、谷歌、YouTube；即時通訊有微軟、雅虎、谷歌、Facebook、PalTalk、Skype、AOL；網絡接入服務ISP有AOL。這些公司提供的服務涉及到大部分網民的常用服務。

思科的作用

除了上述9家企業，更有媒體將矛頭指向思科。此前有消息顯示，斯諾登披露，美國國家安全局通過思科路由器監控中國網絡和電腦。

思科面對這些指控否認稱，“棱鏡”項目不是思科項目，思科網絡沒有參與此項目。此外，思科沒有在中國或世界任何地方監控普通公民或政府部門的通訊。

思科雖然否認參與棱鏡項目，但是沒有否認這樣的事實：思科產品有網絡偵聽功能，而且存在后門。其實，無論參與還是不參與，思科都能有能力和條件監控互聯網。有沒有槍是一回事，參沒參與殺人是另外一回事。思科否認了自己殺人，但是沒有否認自己有槍。

因此我認為，思科在“棱鏡”項目里處于一個極為重要的地位，所有參與公司的流量數據都通過各種路由器才能傳給用戶，而思科提供的路由器等設備具有監控竊聽這些數據的功能，這樣，微軟、谷歌和蘋果的確沒有讓中情局“直接”訪問他們的數據，但中情局卻通過思科獲得了他們的數據。

思科產品的監聽和后門兩項功能可分別用于搜集網絡信息和攻擊敵對國網絡，下面將對這兩項功能進行分別闡述。

黑客網絡攻擊的后門

1994年，美國國會通過CALEA《執法通信輔助法》，該法通過之后，執法機關可以根據法院監聽令狀直接接入電信網絡啟動電信運營商交換機中的監聽功能。這意味著美國法律要求電信運營商必須提供監聽服務，思科產品自然不能例外。

實際上，思科在自家網絡產品中預留大量存在的后門，已經是業界的常識了。但要證明這些后門的使用是為了惡意監控還有很大難度。同樣，華為和中興始終無法打開美國市場主要因為網絡安全問題的隱憂。去年，在對華為、中興兩家企業長達11個月的調查后，美國眾議院情報委員會發表報告稱，美國電信運營商不應和華為、中興兩家公司進行合作，因為這兩家公司“可能對美國國家安全構成威脅”。

對比來看，中國市場對于思科這樣的外資企業似乎沒有任何防備。有資料顯示，過去十幾年間，思科幾乎參與了中國所有大型網絡項目的建設，涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等重要行業。中國電信、中國聯通等電信運營商的網絡基礎建設思科也參與其中，在承載著中國互聯網80%以上流量的中國電信163和中國聯通169兩個骨干網中，思科占據了70%以上的份額，并占據著所有超級核心節點。

思科公司是美國也是全球最大的路由器、骨干網絡設備制造商，在行業中處于領軍地位，那么思科公司完全有可能在美國政府的反恐要求下，在其設備上對各類網絡活動進行監控，并將監控到的數據提交給美國政府。

據悉，美國國安局旗下設有一個部門，名為“定制入口行動辦公室”（TAO）。該部門過去近15年中一直從事侵入中國境內電腦和通訊系統的網絡攻擊，借此獲取有關中國的有價值情報。巧合的是，根據方校長回憶，15年前，也就是1998年，正好是中國某個大型網絡工程建立的時刻，而此工程用的核心設備由美國思科提供的。

這也就是美國這么害怕華為中興（思科的競爭對手）進入美國市場的原因。

如何在通訊層進行大規模監控

我們知道，互聯網上的用戶和發布的信息都是海量的，不同的網絡公司提供的數據又都不同，“棱鏡”項目的預算并不太多，如何用一種低成本而簡單的方法對互聯網上的海量信息進行監控？顯然，各個互聯網公司給美國政府開后門的方法并不太合適，因為各家公司的數據結構各不相同，在這些海量數據中尋找信息也有難度，難以用統一的方法進行監控，這些信息還要人工處理，需要的人力成本太高。

那么，在通訊層面進行自動監控就是最為簡單有效的監控方法了，我們知道，常見的網絡傳輸協議就幾種，例如http、ftp、smtp、pop3、telnet等等，最關鍵的是，這里面大部分網絡傳輸協議都是明文傳輸數據，這樣，監控者只需要在路由器的關鍵節點部署一些網絡監聽設備（例如思科的“入侵檢測系統”等產品），就可以截取到所有明文傳輸的信息。

對于電子郵件或電話來說，搜集截獲的通訊數據內容主要包括明文的通信時間、通訊地點、參與者等，這些數據被存儲記錄到數據庫中，以便用各種分析系統來進行更為詳盡地數據分析，在大數據時代，通過零散信息可能會拼接出一個重要的信息。

當然，為了傳輸安全，不是所有的協議都是明文傳輸，很多系統為保證傳輸安全，都采用SSL加密策略。SSL（Secure Socket Layer）是目前獲得廣泛應用的一個工業標準，它在底層為上層協議提供數據加密服務，對用戶是透明的，用戶的數據以加密的形式在網絡中傳輸，即使中間路由被黑客竊聽也不可能破譯出數據的真實內容。對于https的訪問過程中，網站服務器生成的WEB頁面經過加密之后才發送到用戶的瀏覽器上，再經過瀏覽器解密，顯示在用戶面前。這樣，就完全防止了通訊內容在傳輸過程中被竊取的可能。

遇到這種https加密的情況，也并不是絕對安全，也有一些攻擊方法，例如可以通過發假證書進行中間人攻擊，從而破解https傳輸的內容。詳見月光博客《破解Google Gmail的https新思路》。

棱鏡是如何工作的？

棱鏡的具體工作原理，一直沒有一個明確的說法，根據上面的分析，我覺得棱鏡系統很可能是這樣工作的：在互聯網的骨干網路由器上，思科提供的設備默默地監聽著來往的流量，包括郵件、聊天記錄、文件傳輸、社交網絡資料等所有明文傳輸的東西，用戶在谷歌、雅虎、微軟等搜索引擎上的搜索關鍵字也會被監控，這些信息是海量的，棱鏡系統，正如它的名字所暗示的，將海量信息中一些“特殊信息”集中、過濾并記錄下來，這樣，正如谷歌、蘋果、微軟所聲明的那樣，微軟、谷歌和蘋果的確沒有讓中情局“直接”訪問他們的數據，但中情局卻通過思科的設備間接獲得了他們的數據。

如果通訊的信息是經過加密的，而中情局又認為這些信息十分重要，那么再聯系美國的外國情報監視法庭（外國情報監視法庭是依據外國情報監視法設立的特別法庭，負責監督和審查政府情報監視活動），當局依據《外國情報調查法》向企業提出的秘密要求，讓這些公司來提供指定帳號的數據信息。自2010年起，谷歌公司每半年會發表一份透明度報告，披露各個國家和地方當局要求谷歌提供相關數據的情況。

舉例來說，一個從伊朗IP地址登錄的用戶，使用Google搜索一些信息，或MSN發送一條信息，里面提到了“真主”、“阿拉”、“爆炸”這樣的詞，思科的設備就會把通訊信息記錄下來，如果是明文信息，則可直接分析通訊內容，如果信息加密了，則向谷歌或微軟等公司提出請求，要求其提供該用戶的郵件信息和資料。

泄漏用戶隱私的數量

從谷歌提供的《透明度報告》可以看出，美國政府去年下半年共向谷歌提出了8438次數據要求，涉及賬戶14791個，88%的要求被執行了。

Facebook公布 2012 年下半年政府索求信息情況，Facebook 在 2012 年下半年共收到 9000 到 10000 次政府信息索求，涉及 1.8 萬到 1.9 萬用戶。

微軟也發表聲明，2012 年下半年，微軟共收到 6000 次到 7000 次政府信息索求，涉及 3.2 萬個用戶。

雅虎則發表聲明，在 2012 年下半年，雅虎共收到政府信息索求 1.2 萬到 1.3萬次。

被指控“即將加入”棱鏡計劃的Dropbox也發布了一項“透明度報告”，對外顯示了Dropbox向美國政府提供的個人用戶信息數量，根據報告，Dropbox去年收到政府87次請求，涉及帳號164個，82%的要求被執行了。

由于美國政府要求不得透露與國家安全相關的信息索求，因此上述透明度報告只涉及美國法庭指令相關的信息索求，不包括美國政府以國家安全名義索取的用戶數據信息數量。

這難道不違法嗎？

的確，上述這種監控方法令人觸目驚心，所以美國政府一直在避免“監控本國國民”的說法，因為這違反了憲法第四修正案，他們聲稱所有的監控都是針對外國人實施的，盡管這在技術實現上會存在偏差。

這也就是說，外國人的隱私不受美國法律保護，這種解釋固然可以緩解美國國內的輿論壓力，但這也令世界人民感到不滿，谷歌、微軟、蘋果等這九大企業的服務都是全球性的，幾乎每個網民都會接觸到這些公司的服務，而在這些公司的“隱私條款”中也明確表示會保護用戶的隱私，而“棱鏡系統”的曝光則讓這些公司的隱私政策顯得蒼白無力。

對于互聯網企業將用戶資料提交給政府，我對于某幾種信息是零容忍的：1、電子郵件（如Gmail）；2、網絡筆記（如Evernote）；3、云存儲（如Dropbox）。如果美國政府索要用戶的Gmail郵件，Google就真把用戶郵件交出去了，那么這和當年雅虎郵箱交出中國用戶的郵件信息導致其入獄有什么區別？當年雅虎因為此事受到美國輿論的猛烈抨擊，雅虎總裁楊致遠也曾因此向當事人的媽媽道歉。對全球網民提供互聯網服務的這些大公司們，應該有一項法律來保護全球人民的個人通訊隱私。

“棱鏡計劃”的對比

其實通過上述分析來看，“棱鏡計劃”其實技術實現并不麻煩，類似的計劃其他國家也能做，美國人說的多，做的少，其他國家則是做的多，說的少，“棱鏡計劃”之所以引起這么大反響，是因為美國是全球互聯網技術最發達的國家，其互聯網服務的全球用戶數量龐大，有些服務甚至壟斷了不少國家的網絡市場，這樣的服務一旦爆出監視個人信息的內幕，無疑讓這些企業大幅喪失全球用戶的口碑，而讓另一些沒有參與的企業獲利。例如，在其他科技公司忙不迭地與政府撇清干系時，棱鏡計劃反而成為了Twitter保密政策最好的廣告。如果美國政府要搜集用戶個人數據的話，Twitter是不可忽視的重要對象與數據來源。據透露，美國國家安全局也曾經聯系Twitter，但Twitter拒絕加入棱鏡計劃。而且，Twitter對政府不僅有著不配合的歷史，還經常表現出抵抗態度，Twitter拒絕向美國政府屈服的態度就得到了廣大用戶由衷的贊賞。

政府通過互聯網企業監控網民信息，美國做的其實還處于初級階段，效率并不高，而且相對比較公開，容易被人抓把柄，比起其他國家差遠了，大家要是不信的話，可以在QQ群或者百度貼吧等網站發一條違法信息，通常24小時之內就會被抓。

美國要想擺脫目前的困境，應該好好向其他國家“取經”，美國“棱鏡計劃”的主要失敗之處：1、相對比較公開透明，連次數都可以統計，容易被人抓把柄，正確做法是不能有物證，所有控制都通過電話實施。2、需要聯系企業獲得用戶隱私，效率不高，正確做法是讓企業開后門直接查詢用戶信息。3、對電話的跟蹤不全面，正確做法是根據關鍵字或重點人物來竊聽通話內容。4、攘外必先安內，自己的國民都不聽話，還去監視外國人，先搞定自己的國民再說。