NSAのスキャンダル：どのデータが監視されていると、それがどのように動作しますか？あなたが米国の国家安全保障局（NSA）によるインターネット企業からのデータ収集について知る必要があるすべて. •NSAは、Google、Facebookやアップルに直接アクセスできますNSA scandal: what data is being monitored and how does it work? Everything you need to know about data gathering from internet companies by the US National Security Agency

the Guardian

NSAのスキャンダル：どのデータが監視されていると、それがどのように動作しますか？
あなたが米国の国家安全保障局（NSA）によるインターネット企業からのデータ収集について知る必要があるすべて
•NSAは、Google、Facebookやアップルに直接アクセスできます




NSA scandal: what data is being monitored and how does it work?
Everything you need to know about data gathering from internet companies by the US National Security Agency
• NSA has direct access to Google, Facebook and Apple
Charles Arthur
The Guardian, Friday 7 June 2013 16.21 BST

Friday 7 June 2013 16.21 BST

The National Security Agency (NSA) headquarters at Fort Meade, Maryland. Photograph: Saul Loeb/AFP/Getty Images

 

The National Security Agency (NSA) headquarters at Fort Meade, Maryland. Photograph: Saul Loeb/AFP/Getty Images

What is the scandal?

The US's National Security Agency (NSA), its wiretapping agency, has been monitoring communications between the US and foreign nationals over the internet for a number of years, under a project called Prism. Some of the biggest internet companies, from Apple to Google to Yahoo, are involved. The US government confirmed the existence of the scheme and its application on Thursday night.

Which companies are in the scheme?

Microsoft was the first to be included, in September 2007. Yahoo followed in March 2008, Google in January 2009, Facebook in June 2009, Paltalk, a Windows- and mobile-based chat program, in December 2009, YouTube in September 2010, Skype in February 2011 (before its acquisition by Microsoft), AOL in March 2011 and finally Apple in October 2012.

How long has it been going on?

The NSA has allegedly had means of monitoring internet communications as far back as Microsoft's Windows 95, the first version of Windows with built-in internet connectivity, in 1995. This specific project appears to have begun with monitoring in September 2007 of user data going to and from Microsoft.

What data is being monitored?

Potentially, everything. The PowerPoint slide about Prism says it can collect "email, chat (video, voice), videos, photos, stored data, VoIP [internet phone calls], file transfers, video conferencing, notifications of target activity – logins etc, online social networking details" and another category called "special requests".

How much does it cost to monitor so much traffic?

The budget given in the presentation is comparatively tiny – just $20m per year. That has puzzled experts because it's so low.

How effective has it been?

Nobody knows. The US government has said that the monitoring schemes it runs are necessary to defend against terrorist threats. But it hasn't cited any threats that were thwarted – unsurprising, given that the scheme has only just become public.

Isn't it illegal?

The NSA – and so the US government – has been careful to avoid any suggestion that the monitoring is being carried out indiscriminately on US citizens, because that would potentially breach the fourth amendment of the constitution against "unreasonable search".

But people overseas get no such protections. The question then is whether UK and EU governments knew of the scheme and were compliant – and whether they could stop it even if they wanted to.

What about "safe harbour" rules for EU data?

US companies that want to process private data from EU citizens have to promise a "safe harbour" – but crucially the documents do not mention tapping by US law enforcement. And if disputes arise, the rules say: "Claims brought by EU citizens against US organizations will be heard, subject to limited exceptions, in the US." That would probably mean the NSA's licence to spy would trump EU complaints.

How does it work?

The NSA isn't saying. Sources in the data-processing business point to a couple of methods. First, lots of data bound for those companies passes over what are called "content delivery networks" (CDNs), which are in effect the backbone of the internet. Companies such as Cisco provide "routers" which direct that traffic. And those can be tapped directly, explains Paolo Vecchi of Omnis Systems, based in Falmer, near Brighton.

"The Communications Assistance for Law Enforcement Act (Calea) passed in 1994 forces all US manufacturers to produce equipment compliant with that law," says Vecchi. "And guess what: Cisco is one of the companies that developed and maintains that architecture." Cisco's own documents explain its Calea compliance.

Second, it would be possible to tap into the routers at US national boundaries (to capture inbound international traffic) and just search for desired traffic there.

"The Prism budget – $20m – is too small for total surveillance," one data industry source told the Guardian. Twitter, which is not mentioned in the Prism slides, generates 5 terabytes of data per day, and is far smaller than any of the other services except Apple. That would mean skyrocketing costs if all the data were stored. "Topsy, which indexes the whole of Twitter, has burned through about $20m in three years, or about $6m a year," the source pointed out. "With Facebook much bigger than Twitter, and the need to run analysts etc, you probably couldn't do the whole lot on $20m."

Instead, the source suggests, "they might have search interfaces (at an administrator level) into things like Facebook, and then when they find something of interest can request a data dump. These localised data dumps are much smaller."

So the NSA would only need to tap the routers?

Not quite. Much of the traffic going to the target companies would be encrypted, so even when captured it would look like a stream of digital gibberish. Decrypting it would require the "master keys" held by the companies.

Did the companies know?

They say not. Those which have been contacted have all denied knowledge of it: Google, for example, said: "Google does not have a 'back door' for the government to access private user data." An Apple spokesman said: "We have never heard of Prism. We do not provide any government agency with direct access to our servers and any agency requesting customer data must get a court order."

The Washington Post retracted part of its story about Prism in which it said that the companies "knowingly" participated. Instead, it quotes a report which says that "collection managers [could send] content tasking instructions directly to equipment installed at company-controlled locations".

It is ambiguous whether "company" refers to the NSA or the internet companies. But the implication seems to be that the NSA has been running a system that can tap into the internet when it wants.

How could the companies not know if they had provided master decryption keys?

They might be required to provide them under US law, but would not be allowed to disclose the fact. That would give the NSA all it needed to monitor communications.

Is there anything I can do to stop it?

Lots of internet traffic from the west passes through the US because the destination servers are there, or connect there. Encrypting email using PGP is one possibility, though it is not easy to set up. Systems such as Tor, together with a virtual private network (VPN) connection, can cloak your location, though your identity might still be inferred from the sites you connect to.

 

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

Escándalo NSA: qué datos se supervisa y cómo funciona?

Todo lo que necesita saber acerca de la recopilación de datos de las compañías de Internet de la Agencia de Seguridad Nacional de EE.UU.

• NSA tiene acceso directo a Google, Facebook y Apple

Charles Arthur

The Guardian, viernes 07 de junio 2013 16.21 BST

La Agencia de Seguridad (NSA), la sede de Nacional en Fort Meade, Maryland. Fotografía: SAUL LOEB / AFP / Getty Images

¿Cuál es el escándalo?
La Agencia de Estados Unidos de Seguridad Nacional (NSA), la agencia de espionaje, ha estado monitoreando las comunicaciones entre los EE.UU. y los extranjeros a través de Internet para un número de años, en un proyecto llamado Prism. Algunas de las mayores empresas de Internet, de Apple a Google a Yahoo, están involucrados. El gobierno de EE.UU. confirmó la existencia del programa y su aplicación en la noche del jueves.
¿Qué empresas se encuentran en el esquema?
Microsoft fue el primero en ser incluido, en septiembre de 2007. Yahoo siguió en marzo de 2008, Google en enero de 2009, Facebook en junio de 2009, Paltalk, una y Windows-programa de chat móvil basado en diciembre de 2009, YouTube en septiembre de 2010, Skype, en febrero de 2011 (antes de su adquisición por parte de Microsoft), AOL en marzo de 2011, finalmente Apple en octubre de 2012.
¿Cuánto tiempo ha estado sucediendo esto?
La NSA supuestamente ha tenido medios para supervisar las comunicaciones de Internet se remontan a la Microsoft Windows 95, la primera versión de Windows con una función de conexión a Internet, en 1995. Este proyecto concreto parece haber comenzado con el monitoreo en septiembre de 2007 de los datos de usuario que van desde y hacia Microsoft.
¿Qué datos se está vigilando?
Potencialmente, todo. La diapositiva de PowerPoint sobre Prism dice que puede recoger "email, chat (video, voz), videos, fotos, datos almacenados, VoIP [llamadas telefónicas por internet], transferencias de archivos, video conferencia, notificaciones de actividad de destino - Entradas etc, las redes sociales en línea detalles "y otra categoría llamada" peticiones especiales ".
¿Cuánto es el costo de monitorear tanto tráfico?
El presupuesto que figura en la presentación es relativamente pequeño - sólo 20 millones de dólares por año. Esto ha desconcertado a los expertos porque es muy baja.
¿Qué tan efectivo ha sido?
Nadie lo sabe. El gobierno de EE.UU. ha dicho que los sistemas de vigilancia que se ejecuta son necesarios para defenderse contra las amenazas terroristas. Pero no ha citado a cualquier amenaza que se vieron frustrados - sorprendente, dado que el régimen ha hecho más que llegar a ser público.
¿No es ilegal?
La NSA - por lo que el gobierno de los EE.UU. - se ha cuidado de evitar cualquier sugerencia de que la vigilancia se lleva a cabo de forma indiscriminada a los ciudadanos de Estados Unidos, porque eso sería potencialmente violar la Cuarta Enmienda de la Constitución en contra de "búsqueda irrazonable".
Pero la gente en el extranjero reciben ningún tipo de protecciones. La pregunta entonces es si los gobiernos del Reino Unido y de la UE sabían del régimen y eran compatible con - y si pueden evitarlo, incluso si quisieran.
¿Qué pasa con las reglas "puerto seguro" para los datos de la UE?
Empresas estadounidenses que quieren procesar los datos privados de los ciudadanos de la UE tienen que prometer un "puerto seguro" - pero fundamentalmente los documentos no mencionan tocando por aplicación de la ley EE.UU.. Y si surgen diferencias, las reglas dicen: "las reclamaciones presentadas por los ciudadanos de la UE contra las organizaciones de Estados Unidos va a ser oído, con limitadas excepciones, en los EE.UU.". Eso probablemente significa que la licencia de la NSA para espiar podría superar a las quejas de la UE.
¿Cómo funciona?
La NSA no está diciendo. Fuentes en el punto de negocio de procesamiento de datos en un par de métodos. En primer lugar, gran cantidad de datos con destino a las empresas pasa por encima de lo que se denominan "redes de entrega de contenido (CDN"), que son de hecho la columna vertebral de Internet. Compañías como Cisco ofrecen "routers" que dirigen ese tráfico. Y los que se pueden aprovechar directamente, explica Paolo Vecchi de Omnis Systems, con sede en Falmer, cerca de Brighton.
"La asistencia de Comunicaciones de Cumplimiento de la Ley (Calea) aprobó en 1994 las fuerzas de todos los fabricantes de EE.UU. para producir un dispositivo que cumpla con la ley", dice Vecchi. "Y adivinen qué: Cisco es una de las empresas que desarrollan y sostiene que la arquitectura." Propios documentos de Cisco explican su cumplimiento Calea.
En segundo lugar, sería posible aprovechar los routers en las fronteras nacionales de los EE.UU. (para capturar el tráfico internacional de entrada) y sólo la búsqueda de tráfico deseado allí.
"El presupuesto Prism - 20 millones de dólares - es demasiado pequeño para la vigilancia total", una fuente de la industria dijo a los datos de The Guardian. Twitter, que no se menciona en las diapositivas Prisma, genera 5 terabytes de datos por día, y es mucho más pequeño que cualquiera de los otros servicios, excepto Apple. Eso significaría costos exorbitantes si se almacenan todos los datos. "Topsy, que los índices de la totalidad de Twitter, ha quemado alrededor de 20 millones de dólares en tres años, o alrededor de $ 6 mA año", señaló la fuente. "Con Facebook mucho más grande que Twitter, y la necesidad de ejecutar los analistas, etc, probablemente no podría hacer todo el lote de 20 millones de dólares."
En cambio, la fuente dice, "puede ser que tengan interfaces de búsqueda (a un nivel de administrador) en cosas como Facebook, y luego, cuando encuentran algo de interés puede generar un volcado de datos. Estos vertederos de datos localizados son mucho más pequeños."
Así que la NSA sólo tendría que aprovechar los routers?
No del todo. La mayor parte del tráfico que va a las empresas objetivo habría cifrado, por lo que incluso cuando fue capturado se vería como una corriente de galimatías digital. Descifrado se requeriría las "llaves maestras" en poder de las empresas.
¿Se conocen las empresas?
Ellos no dicen. Aquellos que han sido contactados han negado todo conocimiento de la misma: Google, por ejemplo, dijo: "Google no tiene una" puerta trasera "para que el gobierno acceda a los datos privados de los usuarios." Un portavoz de Apple dijo: "Nunca hemos oído hablar de Prism No proporcionamos ninguna agencia gubernamental, con acceso directo a nuestros servidores y cualquier agencia que solicita los datos del cliente debe obtener una orden judicial.".
The Washington Post se retractó de parte de su historia acerca de Prism en la que dijo que las empresas "a sabiendas" participaron. En su lugar, se cita un informe que dice que los "administradores de colecciones [podrían] enviar contenido instrucciones multitarea directamente a los equipos instalados en la empresa controlada lugares".
Es ambiguo si la "empresa" se refiere a la NSA o las empresas de Internet. Pero la implicación parece ser que la NSA ha estado funcionando un sistema que puede aprovechar el internet cuando quiere.
¿Cómo pueden las empresas no saben si hubieran proporcionado las claves de descifrado maestros?
Ellos podrían ser necesarias para proporcionarles bajo la ley de EE.UU., pero no se les permitiría dar a conocer el hecho. Eso daría a la NSA todo lo que necesita para controlar las comunicaciones.
¿Hay algo que pueda hacer para detenerlo?
Un montón de tráfico de Internet desde el oeste pasa a través de los EE.UU. debido a que los servidores de destino están ahí, o se conectan allí. Cifrado de correo electrónico con PGP es una posibilidad, aunque no es fácil de configurar. Sistemas como Tor, junto con una conexión de red privada virtual (VPN), puede ocultar su ubicación, aunque su identidad todavía podrían deducirse de los sitios que se conecta.

NSAのスキャンダル：どのデータが監視されていると、それがどのように動作しますか？

あなたが米国の国家安全保障局（NSA）によるインターネット企業からのデータ収集について知る必要があるすべて

•NSAは、Google、Facebookやアップルに直接アクセスできます

チャールズ·アーサー

ガーディアン、金曜日2013年6月7日16.21 BST

フォートミード、メリーランド州での国家安全保障局（NSA）本部。写真：SAUL LOEB / AFP /ゲッティイメージズ

スキャンダルとは何ですか？
米国の国家安全保障局（NSA）、その盗聴機関が、プリズムと呼ばれるプロジェクトの下で、数年前からネット上米国と外国人との間の通信を監視しています。アップルからグーグルへのヤフーの最大のインターネット企業のいくつかは、関与している。米国政府は木曜日の夜にスキームとその応用の存在を確認した。
どの企業がスキームにありますか？
マイクロソフトは2007年9月に、含めることが第一号だった。 Yahooは2010年9月2009年12月、YouTubeの中、2009年6月、動画チャット、Windowsベースおよびモバイルベースの​​チャットプログラムで2009年1月、Facebookの2008年3月、グーグルが従って、2011年2月にスカイプ（マイクロソフトによる買収前）、AOL 2011年3月と10月、2012年に最終的にアップル。
どのくらいの時間が続いている？
NSAは、伝えられるところでは、1995年にMicrosoftのWindows 95、インターネット接続を内蔵したWindowsの最初のバージョン、限り裏インターネット通信を監視する手段を持っています。この特定のプロジェクトでは、にし、Microsoftから行くのユーザデータの2007年9月にモニタリングを始めているように見えます。
どのようなデータは、監視されている？
潜在的に、すべてのもの。ログインなど、オンラインソーシャルネットワーキング - プリズムに関するPowerPointスライドは、それが、 "チャット（ビデオ、音声）、ビデオ、写真、保存されたデータ、VoIPの[インターネット通話]、ファイル転送、ビデオ会議、ターゲットアクティビティの通知を電子メールを収集することができると言う詳細 "と呼ばれる別のカテゴリ"の特別なリクエスト "。
いくらそれはとても多くのトラフィックを監視するために費用がかかりますか？
年間20メートルだけ$ - プレゼンテーションで与えられた予算は比較的小さいです。それは非常に低いですので、それは専門家を困惑しています。
それはどのように有効であった？
誰も知らない。米国政府は、それが実行される監視方式はテロの脅威から守るために必要であると述べている。驚く、スキームはばかりパブリックになっていることを考えると - しかし、それは阻止されたすべての脅威を挙げていない。
それは違法ではない？
NSA - など米国政府は - それが潜在的に "不合理な検索"に対して、憲法の第四の改正に違反してしまうため、監視が米国市民に無差別に行われていることを任意の提案をしないように注意してきました。
しかし、人々は海外にはそのような保護が得られない。そして彼らがしたい場合でも、それを止めることができるかどうか - 問題は、その後、英国とEU政府は制度を知っていたし、準拠していたかどうかである。
EUのデータのための "セーフハーバー"ルールはどうですか？
EU市民からプライベートデータを処理する米国企業は、 "セーフハーバー"を約束しなければならない - しかし、決定的に文書は、米国の法執行機関によるタッピング言及していない。紛争が発生した場合と、ルールは言う： "米国の団体に対してEU市民によってもたらされた特許請求の範囲は、米国では、限られた例外を除き、聞くことができます。"それはおそらくスパイにNSAのライセンスは、EUからの苦情を切り札であろうことを意味する。
それはどのように動作しますか？
NSAは言っていません。方法のカップルにデータ処理ビジネスの観点でソース。まず、それらの企業のためにバインドされたデータの多くは効果インターネットのバックボーンにある "コンテンツ配信ネットワーク"（CDNの）、と呼ばれるものの上を通過。 Ciscoなどの企業は、そのトラフィックを "ルーター"を提供。そして、それらを直接タップすることができ、ブライトン近くファルマーに基づくオムニライトシステムのパオロ·ベッキは、説明しています。
"法執行法（CALEA）のためのコミュニケーション支援は、すべての米国のメーカーがその法律に機器に準拠を生成する1994部隊に渡され、"ベッキは言う。 "そして、何を推測：シスコが開発した企業の一つであり、そのアーキテクチャを維持しています。"シスコ独自の文書はそのCALEAコンプライアンスを説明します。
第二に、米国の国家の境界でルーターを活用することが可能であろう（インバウンド国際トラフィックをキャプチャするため）、ちょうどそこに希望するトラフィックを検索します。
"プリズム予算 - $ 20メートルは - 総監視のための小さすぎる、"一つのデータ業界筋はガーディアン紙に語った。プリズムスライドに記載されていないツイッターでは、一日あたりのデータの5テラバイトを生成し、Apple社を除く他のサービスのいずれかよりもはるかに小さい。すべてのデータが格納されていた場合、それは高騰のコストを意味するであろう。 "トプシー、どのインデックスツイッターの全体が、3年間で約20m $、または約$ 6ミリアンペア年間を通じて燃えている"ソースが指摘した。 "Facebookの多くのツイッターよりも大きく、アナリストなどを実行する必要があれば、おそらく20メートル$の全体の多くを行うことができませんでした。"
その代わりに、ソースが示唆している "彼らは興味のあるものは、データ·ダンプを要求することができます。これらのローカライズされたデータ·ダンプがはるかに小さくなります見つけるときにFacebookのようなものに検索インタフェースを（管理者レベル）があり、可能性があります。"
だから、NSAはルータだけをタップする必要があるでしょう？
はなく、かなり。多くのトラフィックの対象企業に行くのが暗号化されるので、キャプチャした場合でも、それは、デジタルちんぷんかんぷんの流れのようになります。それを解読すると、会社が保有する "マスターキー"を必要とするであろう。
企業が知っていますか？
彼らはしないと言う。接触させているものはそれのすべての否定知識を持っている：Googleは、例えば、言った： "Googleは政府が民間のユーザー·データにアクセスするための"バックドア "を持っていない"アップルのスポークスマンは言った： "我々は、プリズムのことを聞いたことがない私たちは、直接当社のサーバーへのアクセスや顧客データが裁判所命令を取得する必要があります要求する任意の機関と任意の政府機関を提供しません。"
ワシントンポストは、それは、企業が "故意に"参加したと述べているプリズムは約その物語の一部を撤回した。代わりに、それは "コレクションマネージャは会社制御の場所に設置された機器に直接コンテンツタスク指示[送ることができました]を"と言うレポートを引用。
それは "会社が" NSAやインターネット会社を参照しているかどうかはあいまいです。しかし含意はNSAは、それが望んでいるときにインターネットを活用することができるシステムを実行されたことであると思われる。
彼らはマスター復号鍵を提供していた場合、どのように企業が知ることができませんでした？
これらは、米国の法律の下でそれらを提供するために必要とされるかもしれませんが、事実を開示することは許されないでしょう。すなわち、NSAにそれが通信を監視するために必要なすべてを与えるだろう。
私はそれを停止するために何かできることはありますか？
先のサーバーがある、またはそこに接続するので、西からのインターネットトラフィックの多くは、米国を通過する。それはセットアップすることは容易ではないですが、PGPを使用して電子メールを暗号化する、一つの可能​​性です。このようなTorのようなシステムは、一緒に仮想プライベートネットワーク（VPN）接続を使用して、自分の身元はまだあなたがに接続するサイトからマントあなたの場所を推測することが可能性ができますが。