加州大年夜学伯克利分校(UC Berkeley)及国际计较机科学中间(the International Computer Science Institute)的研究院尼古拉斯·韦弗(Nicholas Weaver)日前在《连线》(Wired)杂志颁发文章，细心阐述了美国***局(NSA)最强大年夜的互联网报复打击东西QUANTUM(量子)。

　　以下是文章首要内容：

　　尽人皆知，NSA已将互联网变成了一件兵器，让其可以或许随心所欲“报复打击”任何人的缝隙，一个简单的网页抓取(web fetch)，就足以让NSA用来对方针进行报复打击。

　　可是，爱德华·***登(Edward Snowden)日前在新闻网站The Intercept暴光的最新奥秘文件，加倍具体的诠释了NSA所具有的监控手艺及其局限性。

　　起首，NSA选择代号为“QUANTUM“的歹意软件，作为其首选互联网开辟机制。比起纯真的发送垃圾邮件，QUANTUM的效力更高，自从该项目在NSA上线以来，其任务和方针都呈现了改变。

　　假定NSA只操纵QUANTUM来报复打击对那些试图浏览煽动性内容的暗藏可骇主义者，那么，几近不会有人提出贰言。但相反，NSA不但操纵该法度来扩大年夜本身的监督范围，好比监控意大年夜利最大年夜电信公司Belgacom，同时还对该法度的监督功能进行拓展。

　　此刻，QUANTUM涵盖了包含DNS(域名系统)和HTTP注进式报复打击等在内的一系列收集报复打击东西。别的，QUANTUM还具有可以或许插进联系关系数据库治理系统MySQL连接的插件等小东西，让NSA可以或许在人不知鬼不觉的环境下，干扰第三方数据库的内容。由这可以看出，互联网中未加密的MySQL很等闲被NSA盯上。

　　并且，NSA还可以或许借助QUANTUM，操控基于IRC和HTTP的犯法僵尸收集，和那些操纵数据包注进来成立虚拟办事器的法度，乃至可以用来防御报复打击。QUANTUM的笼盖范围很是广，此中最闻名的就是名为QUANTUMDEFENSE的项目，NSA可以或许借对寻求"非保密因特网和谈路由器网"(NIPRNET)地址的DNS要求进行监控，并可以或许将数据包注进子虚的DNS要求，将报复打击者引向NSA所节制的网站。

　　QUANTUMDEFENSE项目很是准确的诠释了“假定你只有一把榔头，那么所有的标题问题在你看来都像是钉子。”这句话。“互联网和谈路由收集“(NIPRNET)是美国国防部收集的一部门，是一种非保密但十分敏感的收集系统，而公家可以连接到该收集。借助QUANTUMDEFENSE，美国国防部节制着报复打击者们正在查阅的DNS权限记实，并且可以或许直接让这些收集报复打击者无功而返。

　　别的，QUANTUM还有三点限制：类档次布局、实施受限和防御性亏弱。

　　此前大年夜家不解的是，100次“提示”是如安在一次测试中(***装配发现一些有趣内容，并将这些信息发送至其他电脑)仅实现5次成功“报复打击”(受害人收取到的报复打击数据包);别的，先前暴光文件揭示的是一个较着破损的设计，而在这个设计中，“报复打击”号令是由“长途计较机”来履行，那么为安在先前QUANTUM歹意软件暗藏时候增加，并且有效性降落。

　　是因为类档次布局。监控设备本身就依托互联网，处于“低层系统(system low)”空间，而报复打击行动背后的法度逻辑则处于NSA的奥秘“高层系统(system high)”空间。

　　低层系统可以或许很等闲向高层系统传送数据，也就是从非奥秘收集向NSA奥秘收集传送数据。可是按照QUANTUM的设计布局，高层系统向低层系统进行传输几近是不成能的。这个特别的单向“管”通道节制着通信，包管信息不会从奥秘收集中逆流出往。

　　这就是QUANTUM采取分体式设计，并呈现以后机能低下的暗藏启事。NSA要求报复打击法度逻辑位于“高层系统”，而其他内容则只会按照阿谁设计决定流出。“高层系统”需要高度防护，可能需要存放在一个不合的安然地址，并且还不克不及随便向互联网发送要求。

　　相较于经由过程度级布局改变将报复打击法度逻辑转移至“低层系统”，NSA寻求新的解决编制，推出了代号为“QUANTUMHAND(量子指针)”的歹意软件系统。除对准任何可报复打击的网页链接，QUANTUMHAND以来自Facebook的延续“推送”连接为方针，当用户登录Facebook网站时，NSA会发送歹意数据包，使方针用户觉得其在拜候真实的Facebook网页。NSA经由过程将歹意软件隐躲在看似通俗的Facebook页面中，对方针计较机进行报复打击，并从计较机硬盘中获得数据。

　　经由过程这类编制，即便是速度迟缓且设计破损的加密布局也能够或许报复打击Facebook用户的计较机。不外，Facebook在已几个月前启动了加密办法，NSA、英国当局通信总部(GCHQ)等机构的报复打击行动可能会被挫败。

　　QUANTUM的第二个限制呈此刻一项实验的描述中。NSA和GCHQ都在寻求添加“关头字pwn”，即，查抄用户的Hotmail和Yahoo邮件中是不是含有关头字，假定有，便主动对其进行报复打击。

　　为了检测报复打击是不是有效，这些间谍机构进行了一项实验，成果显示，QUANTUMTHEORY(量子理论)监控设备只查抄单一数据包，没法完全措置TCP数据流，从而导致该项目变成一个有限东西。

　　从本质上来讲，QUANTUM就是一款没有补丁的安然及利用软件东西。

　　QUANTUM第三个局限性来自NSA另外一个项目QUANTUMSMACKDOWN(量子报复打击)，即，操纵数据包注进，来阻断针对美国国防部测试资产的报复打击。不外，在尼古拉斯·韦弗看来，这个打算仿佛有些痴心妄图。

　　为了让该项目运作起来，监督设备需要辨认出通往美国国防部收集的“***流量”，鉴于监督设备只查抄单一数据包的设定，使得流量辨认成了一个加倍复杂的坚苦。即便“***流量”被探测数来，QUANTUM能做的只有阻断要求并提早终止答复。但因为档次分层布局，比及QUANTUM决定终止连接的时辰，收集应当已遭到了侵害。

　　QUANTUMSMACKDOWN可以或许将一些下流数据解除在国防部收集以外，可是也仅限于下流数据流。任何遭受近似低端报复打击而传染病毒的国防部收集，遭到传染层见迭出，而相干的收集承包商也应当被解雇。至于那些专业级别的歹意报复打击，则将如进无人之境一般，垂手可得的躲过QUANTUMSMACKDOWN。

　　市场上从事近似NSA数据汇集的私营企业也良多，而关于这些企业也有良多观点。这些公司所汇集的大年夜部门数据，多少都与用户追踪数据有关。好比，谷歌和Facebook等内容收集和无数的告白收集，成立了一个全球的用户监督网，是以，NSA监控互联网数据并且操纵其进行报复打击，这类做法仿佛也是情理当中。而幕后，NSA还履行了用户连接，让其可以或许完全破解“匿名”告白信息。

　　其实，QUANTUM最大年夜的局限性是位置：报复打击方必需可以或许看到一个进行方针辨认的要求。因为近似手艺可以或许经由过程位于美国国务院星巴克的Wi-Fi收集运行，任何国度都可以或许借此获得关于QUANTUM歹意报复打击软件的信息，外国当局也将是以可以实施NSA式的QUANTUM报复打击。这是NSA QUANTUM项目标底线，NSA其实不具有手艺垄断优势，而其对近似手艺的大年夜肆利用仿佛也是一种“鼓动鼓励”，默许罪犯或其他国度做出近似行动。