維基解密曝光俄羅斯版棱鏡計劃:SORM

責任編輯:editor004

2017-09-20 11:25:25

摘自:E安全

維基解密昨日發(fā)布一批新文件,曝光俄羅斯監(jiān)控互聯網及移動用戶的監(jiān)控技術,這是維基解密首次泄露與俄羅斯國家直接相關的材料。維基解密泄露俄羅斯文件請點擊此處獲取。

維基解密昨日發(fā)布一批新文件,曝光俄羅斯監(jiān)控互聯網及移動用戶的監(jiān)控技術,這是維基解密首次泄露與俄羅斯國家直接相關的材料。

維基解密去年在美國大選關鍵時刻公開大量被黑DNC電子郵件之后,維基解密創(chuàng)始人朱利安·阿桑奇被指控維基解密與俄羅斯有關聯。因此,維基解密/阿桑奇站出來泄露俄羅斯文件,完全有可能是為了推翻此類指控。

維基解密曝光俄羅斯版“棱鏡”計劃-E安全

雖然監(jiān)控通信流量已成全球現象,然而每個國家的法律和技術框架不盡相同。俄羅斯的法律,尤其新頒布的“亞洛瓦亞法”( Yarovaya Law)并未明確界定合法監(jiān)聽與國家情報機構未獲法院命令而實施的大規(guī)模監(jiān)控。俄羅斯法律要求通信提供商安裝俄羅斯聯邦安全局(FSB)自費提供的SORM(Система Оперативно-Розыскных Мероприятий)監(jiān)控組件。SORM基礎設施由FSB、俄羅斯內政部和俄羅斯監(jiān)控承包商合作開發(fā)部署。

關于SORM

SORM是俄羅斯監(jiān)控的技術基礎設施,其歷史可以追溯到1995年,從SORM-1(捕獲電話和手機通信)和SORM-2(攔截互聯網流量,1999年),發(fā)展到如今的SORM-3。SORM現可收集各種形式的通信,并長期存儲用戶的所有信息和數據,包括實際的錄音和地理位置。該系統(tǒng)不斷擴大,2014年還引入社交媒體平臺,俄羅斯通信部要求企業(yè)安裝包含深度包檢測(DPI)功能的新設備。2016年,SORM-3新增適用于在俄羅斯所有互聯網服務提供商的分類監(jiān)管功能。歐洲人權法院認為SORM違反2015年《歐洲人權公約》。

1.jpg

9月19日,維基解密發(fā)布消息宣布泄露一批“俄羅斯間諜文件”,文件來自俄羅斯公司 Петер-Сервис (PETER-SERVICE)。此批泄露包含2007年至2015年209份文件(34份不同版本的基礎文件)。

PETER-SERVICE于 1992年在圣彼得堡成立,是一家計費解決方案提供商,很快便成為俄羅斯移動電信行業(yè)的主要軟件提供商。如今,這家公司在俄羅斯和烏克蘭大城市均設有辦事處,在俄羅斯就擁有1000多名員工。PETER-SERVICE如今開發(fā)部署的軟件遠不止傳統(tǒng)的計費程序,早已進軍監(jiān)控與控制行業(yè)。雖然俄羅斯具有嚴格的監(jiān)控法律要求,然而PETER-SERVICE似乎相當積極地與俄羅斯情報機構尋求商業(yè)合作關系。

事實上,PETER-SERVICE是相當獨特的監(jiān)控合作伙伴,因為它提供的產品能掌握俄羅斯移動運營商的用戶數據,寶貴的元數據盡收PETER-SERVICE眼底,暴露無遺,包括手機和信息記錄、設備標識符(IMEI、MAC地址)、IP地址、基站信息等等。俄羅斯對這些元數據尤感興趣,而俄當局的使用成為這個系統(tǒng)架構的核心組成部分。

PETER-SERVICE 軟件的部分組件

維基解密曝光俄羅斯版“棱鏡”計劃-E安全

PETER-SERVIC(SVC_BASE)軟件的基礎架構包括數據保留組件(DRS[en]、[ru]))、SORM長期存儲組件(SSP、СП-ПУ服務)、IP流量分析組件(Traffic Data Mart,TDM)、國家機構訪問存檔文件的接口(適配器)。

流量數據集市(TDM)

流量數據集市是記錄和監(jiān)控所有移動設備IP流量的系統(tǒng)。TDM會提供分類域名列表,俄羅斯感興趣的所有領域幾乎全被覆蓋。這些分類包括黑名單網站、犯罪網站、博客、網頁郵件、武器、僵尸網絡、毒品、賭博、侵略、種族主義、恐怖主義等等。該系統(tǒng)根據收集的信息在特定時間范圍內創(chuàng)建用戶設備(通過IMEI/TAC、品牌、型號識別)報告:流量大的分類、流量大的網站、訪問時間較長的網站、協議使用情況(瀏覽、郵件、電話、比特流)以及流量/時間分布。

數據保留系統(tǒng)(DRS)

數據保留系統(tǒng)是俄羅斯法律強制規(guī)定運營商必須使用的組件,用于存儲長達三年的所有本地通信元數據。俄羅斯國家情報機關使用內置在DRS中的協議538適配器訪問存儲信息。PETER-SERVICE宣稱,DRS解決方案在一個集群中每天可處理5億個連接,而一天檢索用戶記錄的平均時間為十秒鐘。。

СП-ПУ服務

在SORM架構中,呼叫監(jiān)控功能均集中在控制點(пунктахуправления,ПУ),而控制點則連接到網絡運營商。СП-ПУ服務是SVC_BASE / DRS和SORM組件之間基于HTTPS的數據交換接口。這個接口負責接收國家情報部門的搜索請求,并將搜索結果返回給請求發(fā)起人。根據法院命令進行合法監(jiān)聽的搜索請求也由同一系統(tǒng)操作處理。

深度數據包檢測(DPI)產品

這批泄露文件還包含PETER-SERVICE開發(fā)總監(jiān)瓦雷里·瑟斯克(Valery Syssik)2013年在俄羅斯寬帶論壇上演示的幻燈片文稿,標題為“信息收集與分析的DPI/大數據/數據挖掘技術和解決方案,以及預測社會趨勢與商業(yè)趨勢的方式---二十一世紀國家、企業(yè)數字與經濟主權的關鍵”。這份演示文稿似乎可在PETER-SERVICE 網站公開獲取。此文稿的并非針對普通的電信提供商,其面向的對象是FSB、俄羅斯內政部和三大權力支柱(立法機關、行政機關和司法機關)一組內部人員。

圖片.png

文稿編寫于美國NSA承包商雇員愛德華·斯諾登(Edward Snowden)泄露NSA大規(guī)模監(jiān)控計劃幾個月之后。這份文稿讓執(zhí)法機構、情報機構和其它利益相關方結成聯盟構建與美國棱鏡計劃相當的數據挖掘行動。PETER-SERVICE聲稱已經獲取了俄羅斯絕大多數手機通話記錄和互聯網流量,并稱已經部署了深度包檢測技術,其不只包含IP數據包頭部,還包含內容。PETER-SERVICE在監(jiān)控行業(yè)可謂俄羅斯情報機構的天生盟友。

不過,演示文稿的核心是2013年出品的一款產品“DPI*GRID”---深度包檢測的硬件解決方案,即能處理10Gb/s流量的“黑盒子”。國家互聯網提供商將互聯網流量聚集在基礎設施中,并將全部流量重定向/復制給DPI*GRID單元,而這些單元負責檢查、分析流量(演示文稿并未詳細描述具體過程), 并將元數據和提取的信息收集在數據庫內供進一步調查。地區(qū)提供商可使用類似的小型解決方案” MDH/DRS “,將聚集的IP流量通過10Gb/s的連接發(fā)送到MDH進行處理。

維基解密曝光俄羅斯版“棱鏡”計劃-E安全

PETER-SERVICE 宣稱自身在SORM技術方面具備豐富的經驗,尤其DPI,此外還具備收集、管理和分析以商業(yè)和情報為目的的“大數據“。PETER-SERVICE 表示,PETER在SORM DPI解決方案、上下文廣告方面具備經驗,且具有解決方案。PETER正在協調可擴展國家解決方案來控制數字網絡,公司力尋在象征性網絡聯盟(運營商-廠商-搜索引擎-企業(yè)-國家機關)中達成卓有成效的合作。

維基解密曝光俄羅斯版“棱鏡”計劃-E安全

上圖顯示了俄羅斯骨干網基礎設施及各大提供商(在不同地區(qū)運行DPI*GRID系統(tǒng)組件)的節(jié)點。節(jié)點“TopGun“極有可能指的是PETER-SERVICE開發(fā)的DPI系統(tǒng)。

維基解密泄露俄羅斯文件請點擊此處獲取。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號