NSA监控全球著名杀毒公司以获取病毒样本

自由斯诺登网（Edwardsnowden.com）最新披露了一份美国NSA内部文件《An Easy Win：Using SIGINT to Learn about New Viruses（轻松的胜利：利用SIGINT来了解新病毒）》，文件介绍了美国自2007年开始执行的“弧线”(Camberdada)计划，主要对以俄罗斯卡巴斯基等为主的目标进行监控，以获取新的病毒样本及其他信息。这份文件的日期无法确定，但从里面列举的一封邮件的编号来看，该文档形成日期晚于2012年5月。

从这份秘密文档看，NSA充分利用了其在全球网络的布局的体系优势（类似棱镜等系统），监听获取全球用户上报给卡巴斯基的病毒样本，并对这些样本同样进行分析、遏制、反制等操作。

NSA在该文档中提出，可以让其TAO攻击组织分析这些恶意代码实现改造和重新重用，同时也可以有利于监控恶意代码的作者。NSA同时提出可以监控卡巴斯基对这些文件的响应频率，这一点有可能是NSA在担心卡巴斯基等产品是否会都本国攻击使用的恶意代码放行。

图：NSA截获的用户上报样本邮件内容

（从黑色标号来看，这封邮件是2012年5月10日发送（或截获）的,由此形成该文档形成日期晚于2012年5月的判断）

在这份文档的最后，NSA列出了其计划展开监控的“更多目标”，除作为主要目标的卡巴斯基外，还包括了13个欧洲国家和3个亚洲国家总计23个反病毒厂商。基本涵盖了英美国以外的几乎所有重要的反病毒厂商。其中包括了网络安全人士耳熟能详的大蜘蛛（俄罗斯）、比特梵徳（罗马尼亚）、小红伞（德国）、诺曼（挪威），中国厂商安天也进入目标。

这份文档作为了“五只眼”安全联盟的“TOP Secert”文档，而五眼安全联盟是一个由美国发起的五国联合情报组织，其他四国为英国、澳大利亚、加拿大和新西兰。因此上述五国均无厂商上榜。美国传统反病毒三巨头赛门铁克（Symantec）、迈克菲（Mcafee）、趋势（Trendmacro）自然不会上榜，榜单上也未见Comodo等美国中小杀毒厂商，英国著名反病毒厂商索福斯（Sophos）也在被监控的榜单之外。这或许说明上述厂商，已经和NSA建立了有利的互动通道，NSA不需要依赖这种方式就可以获取这些厂商的资源。

值得注意的是这份文档信息亦有失误，这份文档中把ESET和NOD32作为了两个不同的厂商，但实际上NOD32是ESET的一款产品名称。由此可见，此份文档形成时，更为全面或系统的行动也许尚未展开。

文档列举的“目标厂商”

有关专家接受记者采访时表示：美国以全球无盲点监控为其全球战略的依托，因此对一切有能力的目标进行监控这并不意外。俄中等国有实力安全厂商被作为目标是必然的。而仅凭文档内容来看，NSA针对卡巴的用户样本上报进行监听，并在几年的时间里获取了数百个病毒样本，从数量上看，似乎不多。这主要是因为邮件已经不是安全厂商样本上报的主通道。但这种定向的样本上报能清晰的表明用户与厂商间的信任关系，也能表明用户自身对样本的发现能力，这就是一个有价值的情报。但更值得关注的是，美英两国厂商缺席了被监控名单，也许说明他们与NSA之间有更隐秘的交流通道，那么美英厂商是否会放行美国和其他五眼情报部门所使用的病毒样本，就非常值得世界各国用户关注。

附表：被NSA作为目标的各国厂商情况。