0day Technologies/СОРМ-2 «Метка»

Материал из ДОСЬЕ
Перейти к навигации Перейти к поиску
Основная статья: 0day Technologies

Система Оперативно-Розыскных Мероприятий «Метка» - разработанный российской IT-компанией 0day Technologies комплекс технических средств, обеспечивающий выполнение определённых действий при проведении оперативно-розыскных мероприятий со стороны силовых ведомтсв РФ (МВД, ФСБ итд.) на сетях оператора связи. Проще говоря, СОРМ-2 «Метка» - система слежки и наблюдения за пользователями того или иного оператора, к которой в любое время должны были иметь доступ все силовые ведомства РФ для собственных "оперативных мероприятий и расследований".

Несмотря на заверения в рекламных брошюрах самой компании о полной готовности к эксплуатации данной системы, на данный момент ни одно силовое ведомство и ни один оператор связи этот комплекс не приобрёл. Основным назначением данного решения называется "выполнение оперативных задач государственных служб безопасности и увеличение эффективности средств противостояния угрозам национальным интересам".

Функции СОРМ-2 «Метка»

При внедрении на узле сети оператора связи программно-аппаратный комплекс СОРМ-2 «Метка» реализует следующие указанные в брошюре функции:

  • Подключение к сети передачи данных и съём копии трафика в полном объёме;
  • Запись и хранение данных в кольцевом буфере;
  • Фиксация, разбор и комплексный анализ пакетов снятой копии трафика;
  • Отбор данных по заданным параметрам контроля с одновременной поддержкой до 2000 параметров контроля и глубокий анализ протоколов (DPI) прикладного уровня по различным видам критериев: имя учётной записи абонента, телефонный номер/IMEI/IMSI, IP-адрес или маска подсети, MAC-адрес, адрес электронной почты, идентификатор учётной записи VoIP, IM, ICQ, унифициарованный адрес Web-ресурса (URL), унифицированный адрес FTP-ресурса, код протокола прикладного уровня;
  • Сбор, хранение и автоматизированный контроль допустимых значений набора системных метрик производительности и работоспособности системы;
  • Предоставление доступа панели управления СОРМ к управлению параметрами контроля и собранным данным.

Система получает полный контроль к деятельности абонента в сети Интернет, от объёма трафика и загружаемых данных до информации из соцсетей и других личных данных, где-либо указанных во время пользования сетью. Глубокий анализ протоколов, однако, бессилен против зашифрованного подключения (например, через VPN или Tor), но относительно действенен при анализе стандартного трафика.

Архитектура СОРМ-2 «Метка»

Изображение из брошюры 0day Technologies. Весь трафик от пользователя к сети и наоборот проходит от оператора связи через анализаторы системы СОРМ, которая в свою очередь напрямую без каких-либо ограничений отправляют данные в ПУ силовых ведомств

Структурно архитектура комплекса состоит из анализатора трафика, агрегатора, кольцевого (12-часового) буфера и веб-интерфейса (панели управления).

Анализатор трафика

Анализатор представляет собой программно-аппаратный комплекс (ПАК), предназначенный для установки на узлах связи оператора с подклюением к существующему сетевому оборудованию.

Анализатор должен в режиме реального времени сканировать и разбирать такие частоиспользуемые (и не совсем) сетевые протоколы, как:

Помимо сетевых протоколов, анализатор сканирует и обрабатывает ААА-протоколы (authentication, authorization, accounting), такие как RADIUS, TACACS+ и DIAMETER, автоматически собирая и контролируя целостность абонентских сессий, сопоставляя и идентифицируя пользователей. Обработка и связывание ААА-трафика реализованы в двух вариантах: первый - идентификация, разбор и анализ пакетов ААА-трафика из общего потока трафика, и второй - отдельный непосредственный съём ААА-трафика из специфичного канала связи выделенным анализатором с последующей распределённой обработкой на стеке анализаторов.

Кроме того, анализатор СОРМ-2 от 0day Technologies умеет в фильтрацию, отбор и передачу данных о контролируемых соединениях по заданным парамметрам на агрегатор, а также анализатор работает с 12-часовым буфером, предоставляя возможность записывать предобработанную информацию и отбирать данные по параметрам контроля.

Агрегатор трафика

Агрегатор является центральной частью системы СОРМ-2 «Метка». Данный аппарат предназначен для обеспечения общей координации и управления процессом сбора и анализа трафика на анализаторах и сопряжения с панелью управления СОРМ на ПУ силовых ведомтсв.

Агрегатор обеспечивает сбор статистических метрик технического состояния компонентов и общей работоспособности СОРМ. В их числе:

  • Статистические данные по загрузке сетевых интерфейсов;
  • Статистические данные загрузки ЦПУ, оперативной памяти;
  • Статистические данные разбора прикладных протоколов.

В части сопряжения с панелью управления СОРМ агрегатор предоставляет стандартные возможности - получение управляющих команд от ПУ, получение критериев отбора трафика, передача статистической информации и передача отобранного трафика в соответствии с активными критериями отбора. Имеется возможность установления соединений с панелью управления СОРМ в количестве до 16, то есть до 16 пользователей одной сессии.

Веб-интерфейс

Панель управления обеспечивает доступ сотрудников силовых ведомств к СОРМ-2 и реализует стандартный функционал: предоставление доступа к хранящейся информации, поддержку иерархического распределения прав доступа и полномочий пользователей, ведение журналов и визуализацию отобранной информации. В панеле управления всего три раздела:

  • Управление параметрами контроля и объектами контроля;
  • Управление подгруппами систем съёма и обработки данных;
  • Управление пользователями

Интерфейс панели управления СОРМ-2 «Метка»: Шаблон:Галерея

Принцип работы СОРМ-2 «Метка»

Обмен информацией между компонентами системы осуществляется по IP-протоколу с использованием "алгоритмов кодирования".

0day СОРМ2 Метка принцип работы.png

У системы имеется возможность подключения машинного интерфейса к панеле управления. Возможны реализации компанией 0day Technologies дополнительных форматов выгрузок в смежные/сторонние системы, с использованием динамически подключаемых библиотек формирования различных форматов обмена.

Возможности расширения функционала СОРМ-2 «Метка»

В репертуаре 0day Technologies, помимо самой «Метки», имеется и ряд дополнений к системе. Среди них - автоматическая постановка на учёт использующих анонимайзеры абонентов, детальный анализ протоколов коммуникации игровых платформ с выявлением текстовых/голосовых потоков данных, многофакторный анализ перемещений абонентов мобильной сети и формирование поведенческих моделей и социальных связей объекта наблюдения. Тем не менее, при имеющемся перечне дополнений, ни одно из них не описано в брошюре подробно - то есть, на деле ни одного из приведённых дополнений может и не существовать на деле, или, если они всё-таки существуют, то без должного тестирования они могут плохо работать или не работать вовсе. Весь данный перечень больше напоминает составленную из общих фраз и фантазий наживку для потенциальных покупателей системы, которых нужно заманить и для которых нужно выделиться среди массы других IT-компаний. Так или иначе, даже сами мысли и заявки на создание подобного функционала могут свидетельствовать о неадекватности их составителей и разработчиков. Ниже приведены полные описания идей дополнений, взятые из информационной брошюры 0day Technologies. Орфография, формулировки и терминология сохранены.

Автоматическая постановка на контроль пользователей анонимайзеров

Для выполнения превентивных мер при проведении следственных мероприятий возможно использование автоматической системы детектирования подозрительной активности абонентов. Одним из наиболее явных маркеров данной активности является использование различных средств анонимизации. Разработанный DPI-движок позволяет детектировать данный вид активности, на основании чего можно в автоматическом режиме добавлять более детальные правила анализа трафика абонента.

Анализ протоколов коммуникации игровых платформ

На данный момент получило распространение использование различных нестандартных платформ для коммуникации. Одним из видов таких платформ являются игровые площадки. Разработанный DPI-движок позволяет выявлять трафик игровых платформ, из которого можно выделить потоки данных, используемые для коммуникации в рамках каждой из платформ. Это позволяет значительно расширить покрытие анализа различных коммуникаций, используемых в реальном трафике абонентов.

Многофакторный анализ перемещений абонентов мобильной сети

Проведение данного анализа возможно, как в режиме реального времени, так и используя сохранённые данные - метаинформацию из соединений, данные из протокола GTP-C.

В рамках единой системы возможна реализация функций:

  • Построение карты перемещений: использование данных базовых станций для наложения маршрута перемещений объекта/объектов на географическую карту;
  • Вычленение из трафика абонента потоков данных мобильных приложений навигации;
  • Проведение корреляции перемещений с открытыми данными местоположений общественного транспорта;
  • Получение фотографий с открытых камер наружного наблюдения в зоне местоположения абонента в режиме реального времени.

Описанный выше функционал позволяет в рамках единой системы реализовать отображение отобранных данных по абоненту с привязкой к объектам реального мира - географической карте, камерам наблюдения, маршрутам общественного транспорта и т.д.

Формирование поведенческих моделей и связей объекта

Система позволит:

  • Формировать поведенческие модели пользователей;
  • Анализировать аномалии в поведенческих моделях пользователей в момент возникновения инцидентов;
  • Строить графы социальных связей;
  • Проводить оценку возможных взаимодействий на основе совпадения моделей и граф социальных связей.

"Ключевые преимущества" СОРМ-2 «Метка»

Описание системы СОРМ-2 в брошюре оканчивается перечнем "преимуществ", имеющихся в комплексе технических средств от 0day. На самом деле подобным перечнем технической составляющей может похвастаться любая IT-компания, которая производит (или планировала производить) подобные опасные для общества системы, но тем не менее в 0day решили вынести их в отдельный абзац. К преимуществам СОРМ-2 «Метка» по версии авторов относится:

  • Модульная архитектура, обеспечивающая надёжную работу в условиях неустойчивых каналов связи между компонентами; гибкая конфигурация, настройка технических средств в зависимости от конкретной топологии сети оператора, нагрузочных характеристик и специфичных функциональных требований при построении узлов;
  • Детектирование более 200 видов сетевых протоколов взаимодействия прикладного уровня;
  • Возможность построения распределённой системы съёма и обработки информации;
  • Дополнительная степень защиты от несанкционированного доступа за счёт использования собственного протокола кодирования

И так далее.