Оригинал материала: https://3dnews.ru./578591

Не для чужих ушей

Стр. 1 - Системы "Эшелон" и СОРМ

Сегодня никого не удивить скремблерами, криптотелефонами - специальных технических устройств, препятствующих перехвату и раскодированию речи, и специальных блокираторов, которые не позволяют использовать мобильный телефон в виде микрофона, негласно "присутствующего" на важной встрече, а также нелинейных локаторов и других средств обнаружения очень много. И их использование вполне обосновано всеми абонентами, кто обсуждает хоть какую-либо важную информацию на работе или дома.

Обязательный перехват

Любые переговоры по мобильнику в США, Европе, странах Азии и даже в Африке в обязательном порядке пропускаются через мелкое сито суперкомпьютеров модифицированной системы "Эшелон", которая действует не только в интересах государственных органов власти США и их партнеров по НАТО, но и для обеспечения лучших условий конкуренции крупных американских и британских компаний.
 Контроль за электронными коммуникациями
Контроль за электронными коммуникациями имеет долгую историю; на фотографии - одна из баз системы "Эшелон".
Система родилась в начальный период Холодной войны - еще в 1945 году президент США Гарри Трумэн поставил перед своими спецслужбами задачу перехвата всех радиосигналов, приходящих из "опасного" в то время Советского Союза. В 1948 году США и Великобритания подписали соглашение UKUSA, которое устанавливало, что основные права на использование новой системы принадлежат США и Великобритании, а другие страны (Канада, Австралия и Новая Зеландия), которые также принимали участие в проекте, получили статус "второстепенных пользователей". После окончания "холодной войны" возможности "Эшелона" были сфокусированы на борьбе с международным терроризмом. Но система способна на большее и, благодаря прямому доступу к современным суперкомпьютерам, может отслеживать информацию о банковских переводах, о крупных контрактах, заниматься сбором "политического компромата" и т.д.: в постоянно обновляемых БД можно найти много интересного. Для радиоперехвата в "Эшелоне" используются специальные орбитальные разведывательные спутники, закамуфлированные "отводы" от фиксированных линий связи, множество специальных баз радиоразведки по всей планете, получающих, кроме всего прочего, информацию и через коммерческие спутники связи, различные радиосети (в т.ч. военного назначения). Все это в автоматическом режиме накапливается и обрабатывается - "Эшелон" "процеживает" множество телефонных переговоров, телеграфных и факсимильных сообщений, отправлений электроной почты и других всевозможных видов телекоммуникаций. Причем, многие из этих путей для получения данных были спроектированы американскими компаниями, производящими телекоммуникационное оборудование, еще на стадии разработки своих систем - их просто вежливо попросили добавить в программный код несколько лишних строк для безопасности государства. Фактически, из этого источника, по мнению экспертов, добывается около 85% всех разведданных США.
 Схема системы 'Эшелон'
Схема системы "Эшелон" - спутники связи, наземные станции, подключение к кабелям связи.
Обработкой поступающего океана информации в постоянном режиме занимается децентрализованная сеть суперкомпьютеров, способная анализировать в день несколько миллиардов различных сообщений. Такой мини-интернет для разведывательных целей - очень, кстати, прожорливый. Ему постоянно надо систематизировать и "скармливать" множество самых разнообразных данных, которые классифицируются и заносятся в разные БД. Целая армия программистов старается, чтобы эта система не "голодала". Причем, для "отлова" интересующих разведку и службы безопасности крупных компаний сведений используются заложенные в память компьютеров ключевые слова, адреса, фамилии и телефонные номера. У спецслужб есть обширный список телефонов, которые ставят "на карандаш". Их можно разделить на несколько категорий. Первая - телефоны "в разработке". Это номера, полученные оперативным путем - от агентуры, опосредованно при разборе захваченных у противника документов и т.д. Вторая - номера, на которых компьютер сосредоточил свое внимание, перехватив определенный набор внушающих опасение ключевых фраз или слов. Третий - номера, которые по различным признакам могут представлять потенциальный интерес - например, номера абонентов, перемещающихся по местам, где могут находиться базы боевиков или террористов. Кроме того, к примеру, web-пространство европейских и американских ЦОД и транзитных каналов связи активно "просеивается" еще с начала 90-х годов на основании "Международных требований по перехвату" или IUR. Более тщательно результаты и методы этой работы описываются в очередной версии документа Enfopol, который обновляется примерно раз в полтора года. Вдобавок, тщательно просеиваются базы данных платежных систем Visa, MasterCard, Diners Club в поисках странных покупок, бессмысленных перемещений по стране, обналичивания крупных сумм денег в потенциально опасных регионах и т.д. С помощью подобной информации спецслужбы часто получают интересные данные о финансировании преступных организаций. Кроме того, помогает тотальное распространение "пластика" - этот действительно универсальный способ платежа оставляет несмываемые электронные следы. Аналогичную систему создавали и в СССР - это система объединенного учета данных о противнике (СОУД). Поводом для ее создания стали Олимпийские игры 1980 года в Москве, а первой задачей - сбор информации о возможных враждебных акциях зарубежных спецслужб во время Олимпиады. В советские времена СОУД пользовались спецслужбы не только СССР, но и стран "Варшавского договора". В ограниченном режиме, разумеется. Наивно думать, что к вопросу "прослушки" подошли только в это время - еще в 1913 году в помещении IV Государственной Думы в Санкт-Петербурге было установлено оборудование, позволяющее подслушивать телефонные переговоры - "народные избранники" работали под контролем. С тех пор ни одна АТС в стране, особенно в крупных городах, не оставалась без присмотра подслушивающих постов.
 Суперкомпьютеры
Системы контроля используют для своей работы весьма производительные суперкомпьютеры.
Правда, сейчас эфир мобильных и интернет-операторов "процеживают" с помощью другой системы. В России успешно функционирует и развивается система внутреннего мониторинга информации (СОРМ), передаваемой по сетям документальной электросвязи. В США действует ее "усеченная" версия, которая начала строиться минимум на пять лет позже СОРМ. Официальное ее название - Carnivore (в переводе - "плотоядное животное, хищник"), но в ФБР ее предпочитают называть DCS1000 (Digital Collection System - система цифрового накопления). Она используется для наблюдения за электронной почтой граждан, находящихся на подозрении у ФБР. Правда, следует различать понятия "СОРМ-1" (систему прослушивания телефонных переговоров, организованную в 1996 году) и "СОРМ-2" (систему протоколирования сеансов связи: как телефонных переговоров, так и обращений к сети Интернет, организованную в 2000 году). На сегодняшний день основополагающим нормативным документом по этой теме является Приказ №6 Министерства информационных технологий и связи РФ 16 января 2008 года - именно он регламентирует порядок проведения мероприятий СОРМ на всех существующих сетях связи. Миниатюрным "центром вселенной" для СОРМ является специальный "агрегирующий маршрутизатор", который устанавливается в сети оператора (их выпускают различные компании, как российские - к примеру, НТЦ "Протей", так и иностранные - к примеру, Sun). Это оборудование представляет собой точку концентрации всего трафика сети, через которую проходит 100% информации, циркулирующей в ней.
 СОРМ06.jpg
Современный "агрегирующий маршрутизатор" - очень небольшая "коробка", которая управляется с помощью самого обычного ПК.
Разумеется, конечный пользователь может передавать по сети огромное количество информации, причем, самого разнообразного типа (видео, электронная почта, речевые данные и т.д.). А дополнительную сложность законному перехвату добавляет повсеместное увлечение криптографической защитой информации. Но все это решаемые задачи - к примеру, при перехвате информации зашифрованной тем или иным способом, практически невозможно расшифровать ее без использования ключей и специализированных дешифраторов. Однако в случае пассивного мониторинга можно перехватить и ключи, которые передаются по сети.

Входной контроль

Конечно, наиболее эффективная система защиты от прослушки в сетях мобильной связи - использовать только личные встречи, записи от руки на бумаге и курьеров. Так и делают специалисты, работающие с государственной тайной. Но есть и другие методы. Первый рубеж обороны, еще до защиты переговоров по сотовой связи, - это предотвращение использования мобильного терминала в качестве удаленного микрофона. Ведь современные сотовые телефоны могут быть устройством двойного назначения, даже без желания их владельца. Достаточно легкой, но целенаправленной модификации - и вот "недоброжелатели" уже способны вести запись аудиоинформации на встроенный цифровой диктофон в течение многих часов (пока хватит карты памяти), хранить в памяти тысячи фотоснимков или множество часов видеозаписи. Это все стандартные возможности современных смартфонов и коммуникаторов. При этом запись, к примеру, аудиоинформации (с полным господством сетей третьего поколения и видеоданных), как и ее передача в реальном времени, может осуществляться даже без желания владельца.
 Акустические сейфы
Акустические сейфы "Кокон" и "Ладья".
Чтобы защитить себя в подобной ситуации, можно использовать временную блокировку мобильного телефона (как своего, так и собеседника) за счет постановки акустической помехи для блокировки микрофона. Устройство, по виду напоминающее стакан для карандашей (к примеру, "Кокон", "Ладья", "Свирель" и аналогичные), на самом деле является устройством защиты в радиусе 20-30 см. Достаточно поместить свои телефоны при начале разговора в такой акустический сейф, и никакая утечка информации за пределы переговорного помещения невозможна. Дело в том, что в случае негласной активации телефона в дистанционном режиме единственное, что выдает такой "удаленный микрофон", - это небольшое изменение его электромагнитного поля от включения терминала в режим передачи. Для вышеперечисленных устройств этого сигнала вполне достаточно, и в автоматическом режиме исходящий сигнал подавляется. Владелец прибора, кстати, может по миганию индикатора увидеть, что помещенный в устройство терминал пытается работать под чужим контролем.
 Изделие 'Завеса'
Крайне простое в использовании изделие "Завеса" - подавляет пять основных поддиапазонов - GSM-900 (935-960) МГц, GSM-1800 (1805-1880) МГц, DAMPS (869-894) МГц, CDMA DAMPS 1900 МГц, CDMA 2000 (463-467) МГц. Блокирование осуществляется одновременно во всех поддиапазонах вышеперечисленных стандартов.
Но такой принцип подойдет для собственного терминала. Как быть с телефонами партнеров по бизнесу, друзей или близких? Не требовать же от них "сдать трубку" при входе в рабочий кабинет, ресторан или домой. Для этого можно использовать другие устройства, которые основаны на перехвате входящего или исходящего радиосигнала сотового телефона, его идентификации и генерации такого же типа сигнала на несущей частоте генератора помехи. Как правило, такие устройства стационарного типа (к примеру, "Мозаика", "Завеса", "Бархан" и аналогичные) могут "накрыть" безопасную зону с радиусом действия до 10-15 метров.
 Изделие 'Мозаика-3М'
Изделие "Мозаика-Мини" предназначено для блокирования работы подслушивающих устройств, использующих каналы систем мобильной связи стандартов GSM-900/1800, E-GSM, AMPS/DAMPS, CDMA, и блокирования работы телефонов названных систем мобильной связи в пределах выделенных помещений, предназначенных для ведения переговоров, проведения совещаний и т.д.
Кроме того, наиболее простым способом будет не допускать на конфиденциальные встречи тех людей, у которых есть в наличии включенные мобильные телефоны. Однако есть проблема - трубки миниатюрны, зачастую без личного досмотра их не обнаружить: далеко не все металлодетекторы способны выявить сотовый телефон. Для выхода из этой ситуации подойдет специальный нелинейный локатор - прибор, который может быстро обнаружить радиоэлектронное устройство любого типа, включая сотовые телефоны. На российском рынке есть как минимум дюжина подобных устройств разных производителей, к примеру, приборы серии "Циклон", которые были изначально созданы для контроля вноса-выноса радиоэлектронных изделий и их компонентов в режиме "рамка" при скрытом досмотре на режимных предприятиях. Эффективность обнаружения сотовых телефонов любых типов и размеров этой "дюжиной" составляет 95% причем обнаруживаются устройства как во включенном режиме, так и в выключенном состоянии.

Стр. 2 - Средства защиты данных

Безопасная госсвязь

Обеспечить полноценную защиту переговоров в сотовой связи можно только с помощью специальных терминалов, предназначенных именно для этой цели. Массовые коммерческие сервисы, пусть и предназначенные для бизнесменов, с этой задачей справиться не смогут. К примеру, надежная и безопасная спецсвязь для главы государства, его администрации и силовых ведомств - одно из приоритетных направлений развития телекоммуникаций в технологически развитых странах. Так, даже сорок четвертому президенту США Бараку Обаме, достаточно продвинутому пользователю в области мобильной связи, пришлось подчиниться требованиям безопасности. К примеру, свой любимый и, казалось бы, достаточно защищенный BlackBerry, который он использовал в бытность губернатором, он вынужден был сменить на специальную версию защищенного терминала Sectera Edge (такими же терминалами пользуются в Пентагоне). Если под рукой нет специальных защищенных терминалов фиксированной или спутниковой связи, то только с его помощью он может обсуждать государственные проблемы. Отметим, что определенные модели Sectera Edge можно найти в исполнении для бизнесменов - там просто будут использоваться другие протоколы защиты данных.
 Sectera BDI Terminal
Sectera BDI Terminal в "связке" с терминалом спутниковой связи.
Выбор технологий передачи данных, а также определенного спектра коммуникационных устройств для связи первых лиц государства определяется целой комиссией технических специалистов в погонах. К примеру, коммуникатор Sectera Edge с QWERTY-клавиатурой выпускается американской компанией General Dynamics и управляется специальной версией Windows CE - ее код был полностью просмотрен программистами спецслужб США во избежание "закладок" и программных "дыр". Каждый экземпляр Sectera Edge обеспечивается персональным идентификатором пользователя (ее учетные данные фиксируются в специальном электронном каталоге - всегда понятно, кто говорит по этому терминалу в настоящий момент) и сертифицируется Агентством национальной безопасности США (АНБ) для голосовой связи и доступа в SIPRNet (отдельную военную сеть на базе IP-протокола, полностью отделенную от интернета, по каналам которой обеспечивается передача информации для органов госвласти США) и NIPRNET (полузакрытая сеть для передачи служебной несекретной информации). С точки зрения технических возможностей, коммуникатор весьма функционален - он поддерживает как протокол HSDPA, так и EV-DO. Кроме SIM-карты, там есть гнездо для карт CAC (Common Access Card), где хранятся сертификаты PKI (Public Key Infrastructure) для шифрования электронных писем и добавления в них цифровых подписей.
 Sectera Edge
Носимый терминал Sectera Edge.
Точная информация о системе спецсвязи президента РФ, по понятным причинам, в открытых источниках отсутствует, но кое о чем можно догадаться по косвенным признакам. Базовым оператором для специальной защищенной подсети "Конфиденциальная сотовая связь" на территории РФ является "МегаФон", где используются специальные аппараты защищенной связи (доступны и коммерческим пользователям). Благодаря использованию специальных протоколов шифрования данных, с помощью некоторых моделей терминалов, в этой сети можно обсуждать любые секреты, даже находясь в роуминге. В настоящий момент существует всего три модели терминалов для подобной услуги - наиболее стойкие протоколы шифрования используются государственными потребителями, но есть версии и для бизнесменов. К примеру, это специальный сотовый телефон М539, а также двухпроцессорный криптосмартфон "Анкорт А7". Они оснащены оригинальными ОС, которые обеспечивают минимальный функционал - передачу голоса, обмен SMS, работу с документами, выход в интернет. Видеозвонки, передача MMS, просмотр WAP-страниц отсутствует. Основной профиль таких устройств - качественная защита весьма ограниченных вариантов передачи информации.
 Криптосмартфоны 'Анкорт А7'
Криптосмартфоны "Анкорт А7".
Кроме этих моделей, для определенной безопасности разговоров могут подойти и другие спецтерминалы - это "Сапфир", по внешнему виду похожий на терминал Motorola C200, но "начинка" полностью другая (криптотерминал, который обеспечивает прием и передачу голосового трафика в полностью защищенном режиме даже в роуминге), а также спецтерминал Genkey (создан в одноименной компании, учрежденной 17-м Центральным проектным институтом связи Министерства обороны Российской Федерации) - они оба оснащены оригинальными ОС и все их аппаратные компоненты прошли специальную сертификацию в ФСБ для избежания "закладок". В отличие от всех остальных терминалов подобного уровня, спецтерминал Genkey может гарантировать не только защищенный обмен речевой информацией (в режиме CSD по протоколам V110 и V32), но и полностью закрытый обмен SMS-сообщениями и электронной почтой с вложениями до 10 Мб (с возможностью использования электронной цифровой подписи). Вдобавок он обеспечивает защищенную видеосвязь в 3G-сетях.
 Спецтерминал 'Сапфир'
Спецтерминал "Сапфир" (справа).
Такие устройства могут работать в режиме закрытой телефонной связи с действующей специальной аппаратурой сотовой связи и со специальным шлюзовым оборудованием, обеспечивающим телефонную связь с абонентами правительственной связи. Правда, для такого безопасного разговора требуется, чтобы аналогичные устройства были у обоих участников разговора.
 Спецтерминал Genkey
Спецтерминал Genkey.
Интересно, что подобные терминалы доступны и для частных клиентов. Текущее число клиентов подобной услуги - порядка 11 тыс. человек (годом ранее - вдвое меньше), большинство из них является военными, сотрудниками спецслужб и административными работниками различного уровня. Такие номера, кстати, имеют наивысший приоритет по установлению связи в перегруженных сетях.

Безопасность для "частников"

Вообще, специальные сотовые телефоны для конфиденциальной связи кроме России разработаны и в других странах - безусловно, многие выпускают современные версии своих защищенных аппаратов, но не спешат показывать их широкой общественности, ведь безопасность надо тщательно оберегать от любопытных глаз.
 CryptoPhone 300
GSMK CryptoPhone 300 на базе коммуникатора HTC.
Есть как монорешения, где ПО и "железная" часть поставляются по принципу "все-в-одном", так и "чистый" софт. К первой категории относятся терминалы типа SEU-8500, где шифрование происходило в режиме реального времени с помощью протоколов IDEA-128 и AES-256 (алгоритм шифрования формируется только внутри микросхемы смарт-карты), и аналогичные устройства. Также можно вспомнить криптофоны GSMK CryptoPhone G10i, GSMK CryptoPhone 300 (на базе коммуникатора HTC) и т.д. Это либо самостоятельно исполненные в едином корпусе решения для мобильной связи, либо приставки к спутниковым и стационарным телефонам, обеспечивающие закрытие канала связи дополнительными средствами криптографии AES256 и Twofish. Особенности ключей кодирования в данном случае - их весьма ограниченный срок жизни. По аналогии с шифроблокнотами для разведывательных групп и дипломатических резидентур, они являются одноразовыми, то есть уничтожаются после каждого сеанса.
 Микросхемы от KoolSpan
Микросхемы от KoolSpan.
Можно вспомнить и решение от KoolSpan. Это относительно недорогое решение, обеспечивающее защиту от прослушивания переговоров в сетях сотовой связи. Оно реализовано на карте формата microSD с интегрированной микросхемой TrustChip, аппаратно поддерживающей алгоритм шифрования AES с длиной ключа 256 бит, и может использоваться в любых мобильных устройствах - телефонах, смартфонах, коммуникаторах. На деле программа шифрования создает защищенный туннель передачи данных в сотовой сети между двумя терминалами, не требуя использования каких-либо публичных ключей или сертификатов (PKI, IKE, Keberos, SA и др.). Все необходимые идентификационные коды и криптоалгоритмы заключены в этой самой микросхеме TrustChip. По информации разработчика, проверка подлинности происходит в двух направлениях на уровнях устройства, сеанса связи и обмена пакетами, что гарантирует невозможность перехвата трафика. Другой вариант защиты - использование специальных устройств для шифрования речи (скремблеров), которые подключаются к мобильному терминалу с помощью кабеля или по Bluetooth. В выключенном состоянии они никак себя не проявляют, но при включении скремблера сигнал с микрофона телефона проходит через это устройство и шифруется. Такие решения позволяют защититься от прослушивания сотовых телефонов, в том числе и от специального оборудования, установленного у оператора. Правда, для этого обоим абонентам необходимо иметь совместимые устройства.
 Модель GUARD-GSM  GUARD-CDMA
Скремблеры для мобильной связи.
Принцип действия, к примеру, моделей GUARD-GSM или GUARD-CDMA, равно как и аналогичных устройств, достаточно прост - исходная речь подвергается аналого-цифровому преобразованию, превращаясь в высокоскоростной цифровой поток (типовая скорость для передачи речи - 64 кбит/с). Он сжимается, шифруется специальным алгоритмом шифрования и в таком виде передается модемом мобильного телефона по каналу передачи данных GSM. Небольшую задержку связи при установлении защищенного соединения можно перетерпеть - все-таки речь идет о синхронизации защитных систем.

Выводы

Как перехват информации с электронных устройств, так и защита от этого перехвата могут проводится на самых разных уровнях. Мощные средства мониторинга используются специальными службами по всему миру и Россия - не исключение в этом вопросе. Эффективная защита от утечки информации может быть только многоуровневой и в идеальном случае предусматривает использование не только специализированного оборудования и сетей, но даже и специально подготовленных помещений. Однако даже в этом случае ни одно электронное устройство не сравнится по степени защищенности от скрытого перехвата с шифрованным сообщением на бумаге, передаваемым надежно охраняемым курьером.
- Обсудить материал в конференции




Оригинал материала: https://3dnews.ru./578591