Вести RusInfo.org

Tuesday, December 8, 2009

Простые правила. Часть первая. Система Оперативно-Розыскных Мероприятий

Я вижу оптики нить
И с меди счищаю лак
И если один скажет
SYN,
Кто-то ж ответит
ACK...


Это первая статья из
N штук, в которых я поведаю как всё же русским ребятам не попадаться в лапы ZOG'а при использовании сети Интернет ибо меня уже достало, что русских студентов сажают за то, что они высказывают своё мнение. При этом, помимо "разжигания" могут ещё убийство какой-то кавказской шлюшки вроде Маркелова навесить. Но не будем о грустном.

Данная статья написана с целью помочь всем НЕзаинтересованным в своей поимке понять как работает СОРМ. Дальнейшие статьи будут раскрывать конкретные меры защиты от СОРМ для разных сфер – телефонные и
VoIP переговоры, сервисы мгновенных сообщений, доступ в Интернет, отдельно аспекты ЖЖ, социальных сетей и прочего.

Что такое СОРМ?

Существуют по сути две системы СОРМ1 и СОРМ2. Первая предназначена для прослушивания телефонных линий. Вторая охватывает сеть Интернет. Кроме того существует элементы системы СОРМ2 позволяющая интегрировать СОРМ1 в СОРМ2. Эта система создана для того, чтобы обеспечить удобство доступа к старому оборудованию используя сеть Интернет.
Говоря о СОРМ, здесь и далее мы будем иметь ввиду все эти системы, включая специализированные (вроде “Января”).
Вся эта система может делать следующее

  1. Прослушивать телефонные переговоры по стационарным телефонам
  2. Перехватывать трафик пользователей Интернет и однозначно соотносить перехваченный трафик с конкретным пользователем.
  3. Проводить анализ трафика конкретного пользователя в зависимости от протокола прикладного уровня.
  4. Находить местоположение включенного сотового телефона с конкретным номером. Существует техническая возможность отслеживания телефона по его EMEI, но не факт, что это реализовано в всём оборудовании (хотя нам следует предусмотреть такую возможность)
  5. Также существует техническая (реализованная в оборудовании) возможность чтения СМС и списка звонков сотового телефона за 3 года.

Собственно больше ничего эта система делать не умеет. Естественно она умеет предоставлять доступ к информации изложенной выше людям которым это разрешено. Вопрос только в том, как этим воспользуются конкретные личности. Я уже рассказал, как используется это оборудование.
Теперь разберём то, как работает всё это оборудование.

Как работает СОРМ?

Итак, начнём со старых систем СОРМ1. Они используются для прослушивания аналоговых телефонных линий. Вопреки сложившемуся мнению, контролируются не все телефоны, а только некоторые, так сказать “избранные”. Это те в отношении, которых ведутся оперативно-розыскные мероприятия, а также просто те, кто попал под бдительное око Большого Брата, например, засветивши себя на каком-нибудь “марше”. Как правило, в среднем может контролироваться не более 20 соединений для одной городской АТС. Этого вполне достаточно для контроля. Оборудование также может вести запись этих разговоров. Если оба абонента нигде себя не “засветили”, то такое соединение не будет контролироваться СОРМ. Каким образом разговаривать в случае “засвеченных” номеров? Тут варианта два: Skype и использование модема на обеих концах. Подробнее это будет объяснено в следующих статьях. Разумеется “опасные темы” лучше никогда не затрагивать ни в телефонных разговорах, ни при использовании Skype (если нет уверенности, что рядом с собеседником нет “пепельницы” или тов. Майора из этого анекдота). То, что было сказано выше, относится к аналоговым АТС. Для цифровых АТС возможности СОРМ несколько выше, но в любом случае, если оба абонента телефонных линий не попали под бдительное око ББ, разговор не будет прослушан.

Теперь обратимся к сотовым телефонам. Для наблюдения за сотовыми телефонами может использоваться СОРМ “Январь”. Однако прежде чем говорить о СОРМ, многим будет любопытно узнать, что прослушать телефонный звонок может в принципе любой, кому по карману купить оборудование. Алгоритм описан тут. А на конференции Black Hat можно было узнать, что совсем скоро почти любой желающий сможет расшифровывать переговоры в сетях 2G. Факт, что для прослушивания сотовых телефонов совсем не требуется СОРМ, уже заставляет задуматься о том, что по своему сотовому, честно зарегистрированному на своё имя, можно болтать только с девушками J. Если говорить о системе “Январь”, то она ещё умеет определять местоположение абонента, а также предоставлять органам всю информацию, которой обладает оператор (биллинг и прочее). Естественно, это включает в себя чтение СМС. Для нормального “обхода” СОРМ в сетях сотовой связи нужен телефон с IMEI не связанным с тобой и “левая” SIM-карта, также не связанная с тобой. Однако следует помнить, что даже “левая”, но засвеченная SIM-карта может стать источником проблем, т.к. по ней еще можно определить местоположение “неизвестного абонента”.

И наконец, Сеть Интернет. Интернетом пользуется практически каждый. При этом очень немногие используют хоть какие-то меры предосторожности. До того, как СУП начал блокировать сеть TOR, мало кто задумывался о том, что ЖЖ принадлежит российской компании. Мало кто задумывается о том, что переговоры по ICQ может перехватить даже 11-классник. Список безграмотности можно продолжать достаточно долго. Но всё же перейдём к СОРМ. В начале разберём то, как оно устроено. Типичной системой СОРМ является “СОРМович” (Еще есть разработки НТЦ Протей и некоторых других компаний). Почему мы будем рассматривать именно СОРМович? Дело в том, что компания, которая выпускает эту систему, также ещё выпускает систему для бизнеса, выполняющую аналогичные функции (только для слежения за действиями сотрудников). Её-то как раз и можно “пощупать” человеку, который с ней работает. Очевидно “СОРМович” должен обладать не меньшим функционалом, чем “Гарда” (хотя то, что пользователь интернета является локальным администратором на своём компьютере, в отличии от сотрудника какого-нибудь Билайна или Газпрома). Итак, посмотрим, как устроена эта система:

В этом случае оборудование, контролирующее доступ в глобальную сеть, делят на три группы: съёмники, пульты управления и рабочие места. Естественно, оборудование может совмещать в себе некоторые опции: так мобильный вариант “СОРМовича” на основе промышленного ноутбука является одновременно и съемником и пультом управления и рабочим местом. И “Гарду” и “СОРМовича” объединяет то, что они используют анализ перехваченного трафика. В зависимости от настроек, что-то может записываться, кто-то может находиться под более пристальным наблюдением, чем все остальные. Самый важный факт в том, что если трафик зашифрован, то всё что может сделать система – это оставить запись о том, что трафик был зашифрован. Анализироваться могут практически все протоколы для обмена мгновенными сообщениями (ICQ,Jabber,MRIM) Кстати, вопреки сложившемуся мнению, использовать прокси, будучи уже под наблюдением, бессмысленно, т.к. СОРМ умеет анализировать протоколы прикладного уровня. Единственной эффективной мерой против СОРМ, действующей одинаково эффективно при любых условиях, является туннелирование трафика с шифрованием на зарубежный сервер.

Это обзорная статья, в которой не даются какие-либо рекомендации, она рассчитана на то, чтобы заинтересовать. Краткие рекомедации были даны мной в этой статье. Задача этой статьи – узнать, что наиболее интересно и актуально для “правого поля” ЖЖ. В последующих статьях конкретные темы, а также появившиеся вопросы будут отражены полнее.

Вопросы и предложения только приветствуются.


Ссылки:
СОРМович - [1],[2]
СОРМ Январь - [1]
НТЦ Протей - [1],[2]
Ссылка на основном блоге