E安全9月20日訊 維琪解密昨日發佈一批新檔, 曝光俄羅斯監控互聯網及移動用戶的監控技術, 這是維琪解密首次洩露與俄羅斯國家直接相關的材料。
維琪解密去年在美國大選關鍵時刻公開大量被黑DNC電子郵件之後, 維琪解密創始人朱利安·阿桑奇被指控維琪解密與俄羅斯有關聯。 因此, 維琪解密/阿桑奇站出來洩露俄羅斯檔, 完全有可能是為了推翻此類指控。
雖然監控通信流量已成全球現象, 然而每個國家的法律和技術框架不盡相同。 俄羅斯的法律, 尤其新頒佈的“亞洛瓦亞法”( Yarovaya Law)並未明確界定合法監聽與國家情報機構未獲法院命令而實施的大規模監控。 俄羅斯法律要求通信提供商安裝俄羅斯聯邦安全局(FSB)自費提供的SORM(Система Оперативно-Розыскных Мероприятий)監控元件。 SORM基礎設施由FSB、俄羅斯內政部和俄羅斯監控承包商合作開發部署。
關於SORM
SORM是俄羅斯監控的技術基礎設施, 其歷史可以追溯到1995年,
9月19日, 維琪解密發佈消息宣佈洩露一批“俄羅斯間諜檔”, 檔來自俄羅斯公司 Петер-Сервис (PETER-SERVICE)。 此批洩露包含2007年至2015年209份檔(34份不同版本的基礎檔)。
PETER-SERVICE於 1992年在聖彼德堡成立, 是一家計費解決方案提供商, 很快便成為俄羅斯移動電信行業的主要軟體提供商。 如今, 這家公司在俄羅斯和烏克蘭大城市均設有辦事處, 在俄羅斯就擁有1000多名員工。 PETER-SERVICE如今開發部署的軟體遠不止傳統的計費程式, 早已進軍監控與控制行業。 雖然俄羅斯具有嚴格的監控法律要求, 然而PETER-SERVICE似乎相當積極地與俄羅斯情報機構尋求商業合作關係。
事實上, PETER-SERVICE是相當獨特的監控合作夥伴, 因為它提供的產品能掌握俄羅斯移動運營商的使用者資料, 寶貴的中繼資料盡收PETER-SERVICE眼底, 暴露無遺, 包括手機和資訊記錄、設備識別字(IMEI、MAC位址)、IP位址、基站資訊等等。 俄羅斯對這些中繼資料尤感興趣, 而俄當局的使用成為這個系統架構的核心組成部分。
PETER-SERVICE 軟體的部分元件
PETER-SERVIC(SVC_BASE)軟體的基礎架構包括資料保留元件(DRS[en]、[ru]))、SORM長期存儲元件(SSP、СП-ПУ服務)、IP流量分析元件(Traffic Data Mart, TDM)、國家機構訪問存檔檔的介面(適配器)。
流量資料集市(TDM)流量資料集市是記錄和監控所有移動設備IP流量的系統。 TDM會提供分類功能變數名稱列表, 俄羅斯感興趣的所有領域幾乎全被覆蓋。 這些分類包括黑名單網站、犯罪網站、博客、網頁郵件、武器、僵屍網路、毒品、賭博、侵略、種族主義、恐怖主義等等。 該系統根據收集的資訊在特定時間範圍內創建使用者設備(通過IMEI/TAC、品牌、型號識別)報告:流量大的分類、流量大的網站、存取時間較長的網站、協定使用情況(流覽、郵件、電話、位元流)以及流量/時間分佈。
資料保留系統(DRS)資料保留系統是俄羅斯法律強制規定運營商必須使用的元件,用於存儲長達三年的所有本地通信中繼資料。俄羅斯國家情報機關使用內置在DRS中的協定538適配器訪問存儲資訊。PETER-SERVICE宣稱,DRS解決方案在一個集群中每天可處理5億個連接,而一天檢索使用者記錄的平均時間為十秒鐘。。
СП-ПУ服務在SORM架構中,呼叫監控功能均集中在控制點(пунктахуправления,ПУ),而控制點則連接到網路運營商。СП-ПУ服務是SVC_BASE / DRS和SORM元件之間基於HTTPS的資料交換介面。這個介面負責接收國家情報部門的搜索請求,並將搜索結果返回給請求發起人。根據法院命令進行合法監聽的搜索請求也由同一系統操作處理。
深度資料包檢測(DPI)產品
這批洩露檔還包含PETER-SERVICE開發總監瓦雷裡·瑟斯克(Valery Syssik)2013年在俄羅斯寬頻論壇上演示的幻燈片文稿,標題為“資訊收集與分析的DPI/大資料/資料採擷技術和解決方案,以及預測社會趨勢與商業趨勢的方式---二十一世紀國家、企業數字與經濟主權的關鍵”。這份演示文稿似乎可在PETER-SERVICE 網站公開獲取。此文稿的並非針對普通的電信提供商,其面向的物件是FSB、俄羅斯內政部和三大權力支柱(立法機關、行政機關和司法機關)一組內部人員。文稿編寫於美國NSA承包商雇員愛德華·斯諾登(Edward Snowden)洩露NSA大規模監控計畫幾個月之後。這份文稿讓執法機構、情報機構和其它利益相關方結成聯盟構建與美國棱鏡計畫相當的資料採擷行動。PETER-SERVICE聲稱已經獲取了俄羅斯絕大多數手機通話記錄和互聯網流量,並稱已經部署了深度包檢測技術,其不只包含IP資料包頭部,還包含內容。PETER-SERVICE在監控行業可謂俄羅斯情報機構的天生盟友。
不過,演示文稿的核心是2013年出品的一款產品“DPI*GRID”---深度包檢測的硬體解決方案,即能處理10Gb/s流量的“黑盒子”。國家互聯網提供商將互聯網流量聚集在基礎設施中,並將全部流量重定向/複製給DPI*GRID單元,而這些單元負責檢查、分析流量(演示文稿並未詳細描述具體過程), 並將中繼資料和提取的資訊收集在資料庫內供進一步調查。地區提供商可使用類似的小型解決方案” MDH/DRS “,將聚集的IP流量通過10Gb/s的連接發送到MDH進行處理。
PETER-SERVICE 宣稱自身在SORM技術方面具備豐富的經驗,尤其DPI,此外還具備收集、管理和分析以商業和情報為目的的“大資料“。PETER-SERVICE 表示,PETER在SORM DPI解決方案、上下文廣告方面具備經驗,且具有解決方案。PETER正在協調可擴展國家解決方案來控制數字網路,公司力尋在象徵性網路聯盟(運營商-廠商-搜尋引擎-企業-國家機關)中達成卓有成效的合作。
上圖顯示了俄羅斯骨幹網基礎設施及各大提供商(在不同地區運行DPI*GRID系統元件)的節點。節點“TopGun“極有可能指的是PETER-SERVICE開發的DPI系統。
https://wikileaks.org/spyfiles/russia/document/#intro
資料保留系統(DRS)資料保留系統是俄羅斯法律強制規定運營商必須使用的元件,用於存儲長達三年的所有本地通信中繼資料。俄羅斯國家情報機關使用內置在DRS中的協定538適配器訪問存儲資訊。PETER-SERVICE宣稱,DRS解決方案在一個集群中每天可處理5億個連接,而一天檢索使用者記錄的平均時間為十秒鐘。。
СП-ПУ服務在SORM架構中,呼叫監控功能均集中在控制點(пунктахуправления,ПУ),而控制點則連接到網路運營商。СП-ПУ服務是SVC_BASE / DRS和SORM元件之間基於HTTPS的資料交換介面。這個介面負責接收國家情報部門的搜索請求,並將搜索結果返回給請求發起人。根據法院命令進行合法監聽的搜索請求也由同一系統操作處理。
深度資料包檢測(DPI)產品
這批洩露檔還包含PETER-SERVICE開發總監瓦雷裡·瑟斯克(Valery Syssik)2013年在俄羅斯寬頻論壇上演示的幻燈片文稿,標題為“資訊收集與分析的DPI/大資料/資料採擷技術和解決方案,以及預測社會趨勢與商業趨勢的方式---二十一世紀國家、企業數字與經濟主權的關鍵”。這份演示文稿似乎可在PETER-SERVICE 網站公開獲取。此文稿的並非針對普通的電信提供商,其面向的物件是FSB、俄羅斯內政部和三大權力支柱(立法機關、行政機關和司法機關)一組內部人員。文稿編寫於美國NSA承包商雇員愛德華·斯諾登(Edward Snowden)洩露NSA大規模監控計畫幾個月之後。這份文稿讓執法機構、情報機構和其它利益相關方結成聯盟構建與美國棱鏡計畫相當的資料採擷行動。PETER-SERVICE聲稱已經獲取了俄羅斯絕大多數手機通話記錄和互聯網流量,並稱已經部署了深度包檢測技術,其不只包含IP資料包頭部,還包含內容。PETER-SERVICE在監控行業可謂俄羅斯情報機構的天生盟友。
不過,演示文稿的核心是2013年出品的一款產品“DPI*GRID”---深度包檢測的硬體解決方案,即能處理10Gb/s流量的“黑盒子”。國家互聯網提供商將互聯網流量聚集在基礎設施中,並將全部流量重定向/複製給DPI*GRID單元,而這些單元負責檢查、分析流量(演示文稿並未詳細描述具體過程), 並將中繼資料和提取的資訊收集在資料庫內供進一步調查。地區提供商可使用類似的小型解決方案” MDH/DRS “,將聚集的IP流量通過10Gb/s的連接發送到MDH進行處理。
PETER-SERVICE 宣稱自身在SORM技術方面具備豐富的經驗,尤其DPI,此外還具備收集、管理和分析以商業和情報為目的的“大資料“。PETER-SERVICE 表示,PETER在SORM DPI解決方案、上下文廣告方面具備經驗,且具有解決方案。PETER正在協調可擴展國家解決方案來控制數字網路,公司力尋在象徵性網路聯盟(運營商-廠商-搜尋引擎-企業-國家機關)中達成卓有成效的合作。
上圖顯示了俄羅斯骨幹網基礎設施及各大提供商(在不同地區運行DPI*GRID系統元件)的節點。節點“TopGun“極有可能指的是PETER-SERVICE開發的DPI系統。
https://wikileaks.org/spyfiles/russia/document/#intro