Пакет Яровой и СОРМ: когда и как за всеми следят? Сорм 5


СОРМ-1, СОРМ-2, СОРМ-3: особенности и отличия

01.11.2016 | Владимир Хазов

особенности и отличия СОРМ

В прошлой статье мы кратко рассказали про СОРМ (Система оперативно-розыскных мероприятий) и о возможности использования штатных функций систем DPI выступать в качестве сбора статистики с трафика и блокировки типов данных, которые не представляют интереса для УФСБ России (функциональность предфильтра).

Напомним, что основная задача СОРМ — обеспечение безопасности государства и его граждан, что достигается выборочным контролем прослушиваемой информации. Разработка СОРМ ведется согласно приказам Госкомсвязи, Минкомсвязи и постановлениям Правительства РФ смысл которых – обязать операторов связи «предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами».

Обозначив наличие понятий СОРМ-1, СОРМ-2, СОРМ-3, мы не дали ответы на существенные отличия этих версий. Если СОРМ-1, разработанная еще в 80-х годах, необходима для прослушивания телефонных разговоров и никакой другой функции не несет, то отличия СОРМ-3 от СОРМ-2 требуют пояснения.

COPM2 схема

СОРМ-2 – вопросы и ответы

Что такое СОРМ-2?

Это система для слежения за российскими пользователями интернета. Представляет собой устройство (сервер), которое соединено с оборудованием провайдера (оператора связи). Провайдер только включает его в свою сеть и не знает о целях и методах прослушивания, управлением занимаются спецслужбы.

Как осуществляются оперативно-розыскные мероприятия в век интернета?

Спецслужбы начинают контроль за человеком и его трафиком, если он попадает под подозрение в совершении или планировании незаконных действий (воровство, взломы, терроризм, вымогательство и другие уголовные и серьезные административные правонарушения). Человек, за которым установлена слежка, никаким образом не может определить, что это происходит, так же, как и провайдер не знает, за кем следит спецслужба.

Так как оборудование СОРМ должно быть установлено любым российским оператором связи или провайдером, то прослушать можно любого пользователя. Избежать контроля можно только не пользуясь интернетом.

Насколько законен такой контроль?

Все действия спецслужб в отношении подозреваемых граждан регламентированы федеральными законами и приказами министерств РФ. Следить законно.

Для чего нужен СОРМ?

Для обеспечения безопасности граждан и государства. Федеральная служба безопасности (ФСБ) занимается контролем выявленных или потенциальных угроз, а также субъектов под подозрением. Ей неинтересна ни личная жизнь гражданина, ни то, чем он занимается в Интернете, пока это не создает угрозы.

В других странах тоже следят за гражданами?

Да, следят. Подобные системы есть и в других странах: в Европе – Lawful Interception (LI), сертифицированная ETSI, в США – CALEA (Communications Assistance for Law Enforcement Act). Отличие нашего СОРМ – в контроле за исполнением функций. В России, в отличие от Европы и США, сотрудники ФСБ должны иметь действующее судебное предписание, но могут подключаться к оборудованию СОРМ без предъявления оператору судебного ордера.

Кто должен установить у себя СОРМ-2?

По законодательству, чтобы не потерять лицензию, СОРМ-2 должны установить все операторы связи и интернет-провайдеры, работающие на территории России. Это касается как крупных компаний («Ростелеком», МТС, «Мегафон», «Билайн»), так и небольших провинциальных провайдеров.

Как можно технически осуществлять контроль за всем и вся?

Не нужно следить за всеми, под контроль попадает только та группа лиц, которая вызывает интерес у спецслужб. Если получена команда «сверху», с помощью СОРМ-2 начинается слежка за определенным пользователем и трафиком, который он генерирует. Так мы подошли к нововведениям в законодательство, которые назовем СОРМ-3 и которые значительно расширяют возможности спецслужб.

Контроль – только СОРМ?

Нет! Каждый день за любым человеком осуществляется контроль: в магазине – кто, сколько и чего покупает, на компьютере – какими программами пользуетесь и какие действия с ними совершаете (добровольная статистика для разработчиков), в метро – куда и сколько раз съездили. Все это позволяет различным структурам развивать свои услуги, делать их привлекательнее для потребителя. СОРМ же делает это для обеспечения безопасности, а не в коммерческих целях.

СOPM-3 схема

СОРМ-3 – что нового?

Основной целью СОРМ-3 является получение максимально полной информации о пользователе, причем не только в реальном времени, но и за определенный период (до 3 лет). Если СОРМ-1 и СОРМ-2 перехватывают информацию от пользователя, то СОРМ-3 не содержит такой информации, а хранит только статистику, копит ее и создает профиль человека в сети Интернет. Для накопления таких объемов данных будут применяться большие системы хранения, а также системы глубокой проверки трафика (Deep Packet Inspection) для отсеивания лишней информации (фильмы, музыка, игры), которая не содержит полезных сведений для правоохранительных органов.

СОРМ-3 несет важную функцию для обеспечения безопасности граждан и государства, позволяя не раскрывать правонарушения «случайных преступников», а предотвращать незаконную деятельность лиц, занимающихся организованными правонарушениями в крупных размерах (терроризм, экономические преступления и т. п.).

Также в поправках к закону четко регламентированы требования к каналам связи от сетевого оборудования оператора связи к СОРМ-3. А функциональные возможности СОРМ-3 должны обеспечивать привязку сетевых пакетов к конкретным идентификаторам пользователя, по которым в дальнейшем может осуществляться отбор трафика. Из ключевых идентификаторов можно назвать: логины к почте и мессенджерам, номера телефонов, адреса электронной почты, местоположение пользователя, ip-адрес и url посещаемых ресурсов и другие.

Это позволяет получить значительно больше информации о пользователе и его окружении.

Старое оборудование СОРМ-2 не сможет выполнять новые функции, потому что разрабатывалось для других целей, а значит, необходима его модернизация или замена (при этом съемник трафика в СОРМ-2 и СОРМ-3 по идее должен быть одним и тем же).

Основные функции и свойства СОРМ-3:

  1. Сбор запрашиваемой информации и ее актуализация происходит в реальном времени.
  2. Доступ к оборудованию СОРМ-3 и собранной информации осуществляется в любой момент.
  3. Согласно законодательству информация хранится до 3 лет.
  4. Доступ к хранящейся информации имеют только сотрудники правоохранительных органов, у которых есть необходимые права (с помощью пульта управления соответствующего вендора).
  5. Сбор информации осуществляется по критериям, которые определены в запросе. Собранные сведения могут быть визуализированы и подготовлены к дальнейшему анализу.
  6. Оборудование СОРМ-3 не вносит изменения в сеть оператора связи (провайдера).
  7. Для хранения данных используются системы хранения с поддержкой масштабирования и резервного копирования.
  8. Работа с системой возможна только через специализированный пульт управления различных производителей (многопультовое решение).

Схема реализации СОРМ-3 в сети оператора

Структура решения СОРМ-3 при установке СКАТ DPI в разрыв

Название Описание системы
xDR Adapter Компонент системы, предназначенный для сбора данных о совершенных событиях.
СУБД Хранилище абонентских данных. Реализовано на основе сервера PostgreSQL. Доступ к данным предоставляется как в виде REST интерфейсов, так и в виде пакетных интерфейсов для заливки данных.
Сервер бизнес логики Ядро системы СОРМ-3. Содержит в себе логику реализации поисковых запросов, механизмы авторизации пользователей, ведение аудита доступа к данным и т. д. Также система обеспечивает оркестрацию запросов к хранилищам абонентских и статистических данных.
Billing & Payment Компонент системы, предназначенный для сбора событий из АСР об изменении абонентских данных (продажи, активация оборудования, расторжение контрактов, смена владельца абонентских устройств), а также модуль получения информации об абонентских платежах из АСР.
DPI Adapter СКАТ Компонент системы, предназначенный для сбора данных по приему и передаче абонентами пакетных данных. Модуль осуществляет разбор протоколов передачи данных и передает в хранилище информацию о статистике использования соединения.
Event Storage Хранилище статистических данных об абонентских событиях, построенное на принципе МПП с применением одного из framework на базе HDFS.
Адаптер к ПУ Модуль сопряжения системы с пультом управления, установленным в УФСБ.

 

Структура решения СОРМ-3 при установке СКАТ DPI на зеркало трафика

Для реализации такой схемы оператору связи необходимо приобрести:

– сервер для СКАТ с лицензией СКАТ не ниже Base,

– сервер для СКАТ ИС СОРМ 3 с лицензией СКАТ ИС СОРМ 3.

– систему хранения данных.

После чего он получит все преимущества системы контроля и анализа трафика (СКАТ DPI), а также выполнение требований законодательства в отношении СОРМ.

Получить консультацию по выбору решения СОРМ-3 и DPI можно у специалистов разработчика данных решений VAS Experts.

Поделиться в социальных сетях

vasexperts.ru

5 программ разведки разных стран мира, угрожающих личной жизни граждан

5 программ разведки разных стран мира, угрожающих личной жизни граждан

5 программ разведки разных стран мира, угрожающих личной жизни граждан

Считается, что существование систем разведки, дающих правительственным структурам доступ к личной информации граждан вроде телефонных разговоров или переписке по электронной почте, противоречит конституционным нормам, в частности, праву каждого человека на частную жизнь.

Тем не менее, такие системы существуют почти во всех странах мира: предлагаем вам подборку пяти самых знаменитых подобных программ, о которых нам стало известно.

1. PRISM

5 программ разведки разных стран мира, угрожающих личной жизни граждан

В США существует государственная программа по перехвату звонков, личной корреспонденции, отслеживанию интернет-трафика и тому подобного — она называется PRISM и курируется американским Агентством национальной безопасности (АНБ). Формально программа считается совершенно секретной — иными словами, жители, никак не связанные с правительственными структурами, знать о ней не должны.

5 программ разведки разных стран мира, угрожающих личной жизни гражданЛюбопытно, что многие крупнейшие компании вроде Microsoft, Google, Yahoo!, Facebook, YouTube, Skype, AOL, Apple и Paltalk заключили с правительством США соглашение и предоставили разведслужбам доступ к своим серверам: таким образом, разведка может получить доступ к любому письму или прослушать любой телефонный звонок каждого гражданина страны, а также любого иностранца, тем или иным образом воспользовавшегося средствами связи на территории США.

Впервые сообщение о существовании PRISM появилось в СМИ совсем недавно, 6 июня 2013-го года: две известные газеты, «Вашингтон пост» и «Гардиан», опубликовали отрывки из презентации PRISM, где содержалась статистика о перехвате трафика — ежедневно с помощью PRISM АБН перехватывало порядка 1,7 млрд разговоров, сообщений и писем.

Информация вызвала широкий общественный резонанс: паника, правда, не поднялась, но так или иначе подобное вмешательство со стороны властей противоречит конституционному праву человека на личную свободу и частную жизнь.

Директор Национальной разведки США Джеймс Клеппер существование программы подтвердил, однако отметил, что PRISM необходим в первую очередь для контроля за иностранными гражданами, а также гражданами США, имеющими постоянные контакты с иностранцами.

5 программ разведки разных стран мира, угрожающих личной жизни граждан

Эдвард Сноуден

Ввиду утечки секретной информации, АБН потребовало открыть уголовное дело: человеком, донёсшим информацию о PRISM до общественности, оказался бывший сотрудник АНБ Эдвард Сноуден, ныне работающий на оборонную промышленность и спецслужбы.

Сноудену пришлось бежать в Гонконг, чтобы скрыться от преследования властей своей страны, сейчас же он пребывает в транзитном зале аэропорта Шереметьево в Москве. США требуют выдать им государственного преступника, но, поскольку транзитные залы аэропортов считаются нейтральной территорией, с юридической точки зрения Сноуден не находится на территории Российской Федерации, так что оснований для его выдачи нет. Кроме того, его американский паспорт аннулирован.

2. Frenchelon и EMERAUDE

5 программ разведки разных стран мира, угрожающих личной жизни граждан

Frenchelon — это французская система электронной разведки, аналогичная американской PRISM: она управляется DRM (французским Управлением военной разведки) и DGSE (Генеральным директоратом внешней безопасности). Станции для перехвата интернет-трафика и телефонных звонков расположены во многих населённых пунктах Франции, есть и станции в бывших французских колониях вроде Джибути или Сен-Бартелеми.

Основное предназначение Frenchelon — слежение за иностранными гражданами в целях предотвращения террористических актов и других угроз безопасности страны, однако, как известно, подобная система позволяет отслеживать всё информационное сообщение внутри страны и её бывших колоний.

5 программ разведки разных стран мира, угрожающих личной жизни граждан

Frenchelon — не единственная во Франции программа разведки: существует также EMERAUDE — станции радиоперехвата, выполняющие схожие задачи. Отличие от первой системы заключается в том, что EMERAUDE предназначены в основном для перехвата сообщений в ультракоротковолновом диапазоне.

Официально власти Франции никогда не подтверждали существование подобных программ в своей стране, тем не менее, информация об этом неоднократно появлялась в СМИ — функционирование системы противоречит французской конституции.

Наиболее примечательно то, что когда в начале лета стало известно о существовании PRISM, французские власти потребовали у правительства США прекращения шпионажа под угрозой прекращения сделок или переговоров по многим направлениям, включая торговлю.

3. Onyx

5 программ разведки разных стран мира, угрожающих личной жизни граждан

Программа Onyx функционирует на территории Швейцарии и курируется Федеральной разведывательной службой Швейцарии: она успешно работает с 2000-го года и предназначена для решения тех же задач, что и упомянутые выше системы других стран.

Onyx осуществляет мониторинг как за гражданскими сообщениями, так и за передачами военного характера: для фильтрации огромного количества поступающей в Onyx информации используются списки ключевых слов, одобренных независимой комиссией под руководством президента страны.

Надо отдать должное правительству Швейцарии: оно признаёт существование Onyx, и гражданам страны известно о ней почти с момента введения системы в эксплуатацию. Власти отмечают, что Onyx никак не связана с иностранными аналогами вроде Frenchelon или британского Эшелона — представители, контролирующие работу Onyx, являются независимыми экспертами и назначаются правительством страны, которому полностью подконтрольны.

4. NATGRID

5 программ разведки разных стран мира, угрожающих личной жизни граждан

Natgrid CEO Raghu Raman

NATGRID, или Национальная разведывательная сеть, — интегрированная компьютерная сеть, широко используемая спецслужбами Индии для получения оперативной информации, и позиционирующаяся как система для борьбы с угрозой терроризма. Формально NATGRID ещё не запущена в эксплуатацию — запуск планируется осуществить в 2013-м году.

Работа над проектом была начата по инициативе индийского правительства в 2008-м году после терактов в Мумбаи: по официальным данным, теракты стали возможными, поскольку организаторы до их свершения несколько раз посетили город под разными паспортами и сумели вступить в контакт с несколькими гражданами страны, впоследствии содействовавшими в организации терактов.

Разумеется, есть и недовольные: оппозиция считает, что NATGRID не окажется достаточно эффективным инструментом для решения подобных вопросов. Тем не менее, власти утверждают, что система имеет высокую степень защиты и тщательно спланированную структуру, так что её запуск — только вопрос времени.

Впрочем, ещё одна подобная система, чьим усовершенствованным аналогом и станет NATGRID, в Индии уже есть — она называется CMS (Централизованная система мониторинга) и введена в эксплуатацию в апреле этого года: с её помощью можно отслеживать сообщения в социальных сетях и историю поиска каждого, кто пользуется услугами индийских интернет-провайдеров. Общественность реагирует на её существование неоднозначно: в частности, некоторые политические деятели заявляли, что CMS ставит под угрозу частную жизнь граждан.

5. СОРМ

5 программ разведки разных стран мира, угрожающих личной жизни граждан

СОРМ, или Система технических средств для обеспечения функций оперативно-рoзыскных мероприятий, функционирует в России: система работает в соответствии с Приказом Министерства информационных технологий и связи РФ от 16 января 2008-го года N 6 «Об утверждении Требований к сетям электросвязи для проведения оперативно-разыскных мероприятий». Она предназначена для тех же целей, что иностранные аналоги, — слежение за всеми видами связи на территории страны.

Интересно то, что всем операторам связи в России выдвинуто требование содействовать СОРМ под угрозой аннулирования лицензии — это противоречит Конституции РФ, в частности, статье 23, где говорится, что ограничение тайны связи допускается только по решению суда, с оговоркой, что СОРМ может использоваться до суда «в случаях, установленных федеральными законами».

Иными словами, для прослушивания разговоров действительно необходимо разрешение суда, но для установления факта звонков — нет. Тем не менее, не существует технических ограничений, которые могли бы помешать спецслужбам в любой момент получить доступ к любому разговору или сообщению.

Оцените статью: Поделитесь с друзьями!

www.publy.ru

Страшный и ужасный СОРМ2: немного практики / Хабр

На Хабре половина участников постоянно пугает другую порабощающим всех и вся СОРМом, который круглосуточно мониторит трафик, сохраняет все торренты, которые вы качаете, а потом когда-нибудь — «к вам выедут» (с)

Казалось бы, на Хабре должны присутствовать профессиональные телеком-админы, которым это все знакомо на практике, но топиков по этой теме я что-то не встречал (хотя, возможно, плохо искал). Поэтому исходя из личного опыта хотелось бы немного рассказать, как это все работает на практике и чем страшный СОРМ, которым всех пугают, является реально. Подчеркиваю, что я не делаю никаких откровений: это знает каждый более-менее серьезный системный администратор или технический директор в любом телекоме, никто никаких подписок не дает и никакой секретной информации в этом нет. Прежде всего — мы говорим об Интернете, т.е. СОРМ2. Про телефонные переговоры и т.п. я ничего не знаю — об этом нужно спрашивать у «телефонистов».

Итак, в соответствии с лицензионными условиями, оператор связи перед началом эксплуатации своей сети (т.е. предоставлением услуг абонентам) должен получить Разрешение на Эксплуатацию у того органа который назывался РосСвязьНадзором, РосСвязьОхранКультуры и тысячью других названий (они меняются в среднем раз в два года), ныне же он называется РосСвязьКомНадзор. Разрешения выдаются в соответствии с Правилами утвержденными Правительством, в которых черным по белому написано, что оператор должен решить вопрос с СОРМом, о чем предъявить «бумажку» в Надзор. А теперь самое главное: этот вопрос решается, а бумажка предъявляется за подписью только ФСБ и никого другого. Никакие органы МВД — ни местное ОВД, ни отдел «К», — или налоговой, ни кто-либо еще не имеет к этому никакого отношения. Мониторить интернет-трафик может только ФСБ и точка. У других органов или ведомств для этого чисто физически нет технических возможностей — они никакое оборудование никуда не ставят. Кстати, это еще косвенно следует из того, что когда от оператора/хостера что-то нужно тому же отделу «К» — он вынужден присылать официальный документ на своем бланке и за подписью руководителя. Никто не может просто позвонить и попросить «скинуть инфу по трафику вот с этого IP» — операторы/хостеры в таких случаях обычно просто «посылают» (правильно — зачем им нужны лишние проблемы?) и просят прислать официальный запрос.

Почему я акцентируюсь на ФСБ и чем это важно на практике? Очень просто: ФСБ — действительно серьезная организация, которая занимается охраной и защитой безопасности страны в целом. Ей абсолютно плевать на то, кто какие скачивает торренты, чьи авторские права нарушает, и чьи сайты ломает (если это, конечно, не сайты государственных органов). Ее намного более заинтересует тот факт, что вы постите на двадцати форумах предложение купить у вас запчасти для боевого вертолета.

Теперь вернемся к нашему оператору связи, которому нужно согласовать вопрос СОРМа с ФСБ. Да, формально оператор действительно должен купить специальное оборудование за $10k и протянуть в местное УФСБ выделенный кабель связи. Однако, реально из небольших провайдеров этого не делает никто (по крайней мере, я о таком не слышал). Все ограничиваются договоренностью с ФСБ сотрудничать, если у них возникнут вопросы (по сути просто обмениваются контактами со своим офицером-куратором и ФСБшным техником), и подписанием «Протокола о порядке взаимодействия в рамках ввода в эксплуатацию СОРМ» (или «Плана ввода в эксплуатацию...» — не суть важно), суть которого, если изложить кратко, сводится к тому, что провайдер обязуется сделать «настоящий» СОРМ когда-нибудь потом (обычно лет через пять). Действует классический принцип Ходжи Насреддина — через пять лет или компания закроется, или денег на полноценный СОРМ заработает, или что-нибудь еще изменится. Более того, многие через пять лет подписывают следующий такой же протокол и в ус не дуют.

Что происходит, если кто-то из клиентов провайдера действительно продает запчасти от вертолетов или как-то иначе угрожает федеральной безопасности? Ну, просто звонят (или даже пишут по e-mail) и просят сделать tcpdump трафика с определенного адреса, а потом скинуть им на ftp. Провайдер берет и делает. Вот и все, собственно.

Если же провайдер стал достаточно большим и уже «созрел» для того, чтобы не возиться с дампами — он ставит у себя ФСБшное оборудование. Что оно из себя представляет? Я не могу ручаться на всех и вся, но то, что я видел — были обычные самосборные компьютеры в стоечных корпусах GenesysRack с установленным Линуксом и двумя сетевушками — «вход» и «выход». На «вход» провайдер просто mirror'ит трафик (свой интернетовский, но до NAT'а, естесственно), а на «выход» присваивает (ну, т.е. сообщает в ФСБ, а уж они сами присвоят) внешний IP, по которому все это управляется. Что конкретно крутится под Линуксом я, конечно, не в курсе, но тут и семи пядей во лбу не надо быть — какой-нибудь анализатор пакетов, чтобы можно было «выцеплять» только то, что требуется и не гонять тонны трафика в ФСБшный дата-центр.

Вот, пожалуй, и все. Если посмотреть реально с практической стороны, то «страшный и ужасный» СОРМ — это не Большой Брат и не попытка всех промониторить и поработить. Это действительно средство защиты интересов безопасности государства, которое используется только для этого и в целом решает достаточно скромные и ограниченные задачи. Прямо скажем: корпоративная политика во многих крупных организациях намного суровей — и на «одноклассники» не пускают, и «вконтакте» блочат… Если вы не устраиваете революций и не торгуете запчастями от вертолетов, то вам нечего опасаться.

PS: В комментариях указали на то, что упомянутый в топике самосбор уже не используется. Да, я это дело действительно видел года 3 назад. Рад за наших ФСБшников, что они стали заказывать оборудование у других подрядчиков — которые используют или готовые вендорские сервера или собирают что-то более-менее прилично выглядящее.

PPS: Не хотел поднимать топиком никаких политических дебатов по поводу слежки государства за гражданами и т.п., но в комментариях их таки подняли. Поэтому кратко поясню свою позицию и цель топика: независимо от политических взглядов и убеждений, нужно относиться ко всему реально и если что-то существует (например, СОРМ или то же управление «К») — нужно всегда стараться узнать об этом максимум, чтобы уметь этим «пользоваться». А от воздевания очей горе и всяческого всплескивания руками толку нет в любом случае.

PPS: Разместил в блоге «Телекомы». Если будут предложения по более адекватному выбору тематического блога — скажите.

habr.com

Кто в России производит оборудование СОРМ

02.02.2017 | Владимир Хазов

47-01 sorm_dev

По действующему законодательству (приказ Минкомсвязи России № 83 от 16 апреля 2014 года и Постановление Правительства РФ № 538 от 27 августа 2005 года), чтобы оператор связи или интернет-провайдер, предоставляющий услуги на территории России, не потерял лицензию, он должен установить на своей сети оборудование СОРМ и организовать к нему удаленный доступ сотрудников ФСБ.

Рассмотрим российских производителей СОРМ и решения, которые они предлагают.

Виды СОРМ

В настоящий момент под термином СОРМ мы понимаем три типа систем.

СОРМ-1 – была разработана еще в 80-х годах прошлого века, необходима только для прослушивания телефонных разговоров. Сейчас практически неактуальна для рассмотрения.

СОРМ-2 – осуществляет выборочный контроль за российскими пользователями интернета, представляет собой сервер, который пропускает через себя весь трафик провайдера, собирает и передает сотрудникам спецслужб запрашиваемую информацию.

СОРМ-3 – собирает статистику о пользователе со всех информационных систем провайдера (биллинг, radius, NAT, DPI), осуществляет классификацию и длительное хранение. В результате сотрудники ФСБ получают полный профиль абонента.

47-02 vrag

Задача любой системы СОРМ – обеспечение безопасности граждан и государства, она позволяет не только искать преступников, совершивших правонарушение, но и предотвращать незаконную деятельность лиц, занимающихся организованными правонарушениями в крупных размерах (терроризм, экономические преступления и т. п.).

Производители СОРМ

VAS_900

«VAS Experts»

Российская инновационная компания, специализирующаяся на создании и внедрении сервисов в области контроля и анализа трафика. Разработала и успешно продает систему DPI СКАТ «Система контроля и анализа трафика». В конце прошлого года представила рынку операторов связи и интернет-провайдеров программное решение ИС СОРМ-3 и ведет работу над ИС СОРМ-2.

46-03 CORM

ИС СОРМ-3 производства VAS Experts обеспечивает выполнение требований ПП РФ № 538, осуществляет сбор и накопление информации об абонентах телефонии и (или) сети передачи данных.

Особенностью решения является использование собственной системы DPI СКАТ для съема трафика с сети оператора связи, которая помимо задач СОРМ может как выполнять полный набор стандартных функций по мониторингу и контролю за трафиком (приоритизация, классифицирование, QoS, оповещения и другие), так и решать дополнительные задачи: CG-NAT, BRAS, защита от DDoS. Доступ к ИС СОРМ-3 сотрудников регионального управления ФСБ России осуществляется по протоколу TCP/IP ASN.1 с пульта управления «Норси-Транс» или «МФИ-Софт».

Решение VAS Experts программное, покупатель вправе сам выбирать аппаратную платформу согласно рекомендуемым требованиям, что в значительной мере сокращает капитальные затраты при внедрении СОРМ.

норси«Норси-Транс»

Предприятие по разработке и производству систем сбора, анализа, регистрации и обработки информации телекоммуникационных сетей. Компания поставляет на рынок аппаратно-программные комплексы, обеспечивающие технические решения для задач правоохранительных органов и всех видов бизнеса. Предлагает полный спектр систем СОРМ-1, -2, -3 для операторов связи и интернет-провайдеров любого уровня, а также решение для управления трафиком КРОЗ.

47-04 norsi Среди производимых компанией «Норси-Транс» устройств есть как съемники трафика, предназначенные для мониторинга интернета (СОРМ-2) – это серия «Виток-IP», так и решения для сбора и накопления полной информации об абонентах оператора связи (СОРМ-3) – серия «Яхонт-ПД». Подключение к пультам управления осуществляется по официальным протоколам взаимодействия. Для сокращения числа устройств и единообразия рабочей схемы можно использовать «Яхонт-С-ПД», включающий в себя решения для СОРМ-2 и СОРМ-3.

Для накопления массивов данных, которые снимаются с трафика ИС СОРМ «Яхонт-ПД» (СОРМ-3), производитель рекомендует использовать собственное хранилище «Яхонт-СХД».

мфи софт«МФИ Софт»

Компания занимается разработкой систем информационной безопасности, фильтрации интернет-трафика, легального контроля (СОРМ), антифрод-систем. В области информационной безопасности и СОРМ ведет деятельность с 2005 года, предлагает решения СОРМ-1, -2, -3, а также систему фильтрации трафика «Периметр-Ф» для блокировки запрещенных ресурсов.

47-05 mfi

«МФИ Софт» предлагает полный спектр технических средств для осуществления оперативно-розыскных мероприятий: СОРМ-1 (реализация требований приказов Госкомсвязи России № 70, Минкомсвязи № 174 и № 268 для обеспечения проведения ОРМ), СОРМ-2 (сбор и обработка информации на СДЭС в соответствии с приказами Минкомсвязи № 73, № 83, приказом Мининформсвязи № 6), СОРМ-3 – ИС СОРМ «Январь» (хранение и доступ к информационным ресурсам согласно требованиям ПП РФ №538).

Комплексы поставляются на собственной технологической базе, за счет этого достигается высокая производительность: до 60 Гбит/с на одном устройстве или до 480 Гбит/с в кластере. В комплект решения могут быть включены: съемник информации, система накопления данных, пульт управления.

tehargos«ТехАргос»

Разработкой, производством и внедрением комплексов СОРМ занимается отраслевое подразделение компании «ТехАргос СпецСистемы». Оно предлагает широкий спектр решений СОРМ как для традиционных сетей с коммутацией каналов, так и для сетей нового поколения (NGN), базирующихся на технологии пакетной передачи данных. В портфеле продуктов компании – версии СОРМ-1, -2, -3, а также специальные устройства для приема и предварительного отбора IP-трафика.

47-06 argosТак же, как у «МФИ Софт», в арсенале «ТехАргос» все три версии СОРМ: АПК «Спектр» (СОРМ-1), АПК «Вектор» (СОРМ-2) и АПК «Янтарь» (СОРМ-3). Комплекс «Вектор» обеспечивает идентификацию и отбор информации, принадлежащей конкретному пользователю, на основании сетевого идентификатора пользователя на скоростях до 100 Гбит/с.

Комплекс «Янтарь» реализует функции сбора стека протоколов TCP/IP с выделением как обобщенной, так и детальной информации (для обрабатываемых протоколов) об используемых абонентом услугах, включает в себя подсистему сбора информации, подсистему хранения информации, удаленный пульт управления.

signatek«Сигнатек»

Компания специализируется на производстве средств обеспечения законного перехвата информации и представляет их на рынке с 1993 года. Компания располагает собственной производственной базой, находящейся на территории Новосибирского научного центра, является резидентом научно-технологического парка новосибирского Академгородка, входит в Ассоциацию документальной электросвязи и некоммерческое партнерство «СибАкадемСофт».

47-10 pulsar

Продукция компании «Сигнатек» в области законного перехвата информации включает оборудование для сетей операторов связи, а также интеграционные решения для систем других производителей телекоммуникационного оборудования. Среди решений компании есть как аппаратура перехвата для телефонных сетей, так и оборудование СОРМ-1 и СОРМ-2. Устройства имеют модульную архитектуру и возможность масштабирования, что делает возможным использовать их как в корпоративных сетях, так и в сетях операторов связи с большим числом абонентов. Устройство съема информации сетей передачи данных «Пульсар» (СОРМ-2) имеет полную поддержку требований приказа Минкомсвязи России от 16.04.2014 г. № 83, осуществляет прием IP-трафика каналов Ethernet 1G и 10G в пассивном режиме, декодирует протоколы сетевого, транспортного, прикладного уровней, а также протоколы туннелирования. Производительность решения – до 9 000 Мбит/с в зависимости от версии.

Отдельно хотелось бы сказать об одной компании:

  • «Специальные технологии» – до недавнего времени компания была одним из крупнейших игроков СОРМ на российском рынке. Но в 2015 году на руководителя компании завели уголовное дело и он потерял свой пост, компания была передана новым владельцам и продолжила свое существование. Однако сейчас невозможно найти ни сайта, ни прайса, ни контактов, ни сведений о продукции. Появился ряд связанных поставщиков, которые предлагают решения данной компании, например «Феникс».

Сколько стоит СОРМ

Цена платформы СОРМ складывается из множества факторов. Не в последнюю очередь решающим является объем закупки или падение стоимости при проведении аукциона и конкурса. Большинство производителей поставляют систему как аппаратно-программный комплекс, то есть в комплект включено оборудование и программное обеспечение. Зачастую аппаратная платформа, выбираемая производителем, не самая надежная и качественная, но ее стоимость составляет значительную часть в итоговой цене.

Некоторые производители, такие как VAS Experts, продают только ПО для осуществления функций СОРМ, сервер для его установки заказчик может купить самостоятельно или использовать имеющийся. Специалисты компании проведут нагрузочное и функциональное тестирование аппаратно-программного комплекса с проверкой на эмуляторе ПУ (ASN.1) и выполнят пусконаладку ИС СОРМ-3.

Также можно понизить стоимость решения СОРМ, если оператор связи будет использовать собственный съемник трафика, в роли которого может выступать система глубокого анализа трафика (DPI), например СКАТ DPI.

Чтобы определить уровень стоимости на решения СОРМ, можно обратиться к любому из представленных производителей с запросом цены, узнать условия и комплект поставки и выбрать поставщика. Главное – обращать внимание на действующие сертификаты и лицензии производителя аппаратной платформы, а также соответствие законодательству и правилам использования информационных систем СОРМ.

На текущий момент сертификационные испытания на соответствие требованиям СОРМ-2 прошли только 5 компаний:

  1. «МФИ Софт»,
  2. «ТехАргос»,
  3. «Норси-Транс»,
  4. «Сигнатек»,
  5. «Специальные технологии» («Феникс»).

Более подробную информацию о реализации ИС СОРМ-3 собственной разработки в сетях операторов связи, а также о других функциях систем DPI и их практическом применении вы можете узнать у специалистов компании VAS Experts.

 Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Поделиться в социальных сетях

vasexperts.ru

когда и как за всеми следят?: sosedgeorg

После изобретения телефона в конце 19 века, спецслужбы всего мира задумались над "прослушкой". В России первое оборудование для прослушивания телефонных разговоров было установлено в 1913 году в здании Государственной Думы в Санкт-Петербурге. В советские времена вторгаться в частную жизнь граждан мог только КГБ, а точнее его 12-й отдел, который занимался прослушиванием;  6-й отдел перехватом и перлюстрацией почтовой корреспонденции. Все печатающие машинки проходили обязательную регистрацию в Первом отделе и по "индивидуальной подписи" можно было узнать автора. С появлением сотовой связи, компьютеров и Интернета, проблем у спецслужб увеличилось в разы, а защита государства усложнилась.Развал КГБ и рождение ФСБ

После развала СССР в 1991 году, КГБ был уничтожен одним человеком - Вадимом Бакатиным, которого в США и Великобритании знают лучше, чем на его бывшей родине. Для них он герой.

В 1991 году Бакатин был главой МВД СССР. В ночь с 22 на 23 августа автокраны сбрасывают с пьедестала памятник Дзержинскому и утром Бакатин, допустивший этот произвол, получает должность председателя КГБ.

Оперативному составу МВД, до прихода Бакатина исправно ловившему воров, убийц и насильников, новый начальник запомнился немыслимой акцией, объяснить которую офицеры милиции не могли. Новый босс сразу затребовал дела платной агентуры, которая внедрялась в криминальный мир, в том числе и в тюрьмы, и использовалась в разработке криминальных авторитетов. И одним махом уволил без выходного пособия почти 90 процентов агентов.

Став председателем КГБ он тоже не долго думал и передал американским спецслужбам через посла Роберта Страусса секретную документацию о прослушивающих устройствах, тайно размещенных в новом здании посольства США в Москве.

Как выяснится позднее, среди технических средств разведки, которые Бакатин великодушно передал американцам, многие образцы представляли лишь музейную ценность. Об этом позаботились технари-патриоты. Новейшие средства удалось сохранить, а кое-что, к сожалению, лишь уничтожить.

Потом в КГБ хлынули "белые голуби" - анонимки, которые якобы советские граждане писали Горбачеву, жалуясь на произвол чекистов. Со временем установят, что операцию "Навет" разработали в ЦРУ, чтобы убрать самых опытных и верных офицеров "руками народа".

Вадим Бакатин свою миссию в КГБ назвал "забой скота". Выйдя на пенсию в 1993 году он вдруг оказался среди руководителей частной британско-швейцарской компании. Уехал вместе с семьей в США и до 1995 года жил в штате Алабама на первом этаже двухэтажного коттеджа разведчика-предателя Олега Калугина.

Сразу же после его ухода, Ельцин подписал указ о создании ФСК России (контразведки), а 12 апреля 1995 года произошло переименование в ФСБ РФ. Новая структура стала заниматься несколькими основными направлениями:

  • контрразведывательная деятельность;
  • борьба с терроризмом;
  • борьба с особо опасными формами преступности;
  • разведывательная деятельность;
  • пограничная деятельность;
  • обеспечение информационной безопасности;
  • борьба с коррупцией.
Но еще в 1992 году в свет вышел приказ №226 "Об использовании средств связи для обеспечения оперативно-розыскных мероприятий Министерства безопасности Российской Федерации", в котором требовалось предоставлять помещение и оборудование правоохранительным органам для проведения законного перехвата. После этого в свет, с завидным постоянством, выходили новые приказы, которые дополняли или заменяли отдельные пункты предыдущих документов, которые и ввели понятие СОРМ.

СОРМ - Система Оперативно-Розыскных Мероприятий

СОРМ – комплекс технических средств и мер, предназначенных для проведения оперативно-розыскных мероприятий в сетях телефонной, подвижной и беспроводной связи и радиосвязи (согласно Закону «О связи» и приказу Министерства связи № 2339 от 9 августа 2000 г.). На сегодняшний день действующим нормативным документом является Приказ №6 Министерства информационных технологий и связи РФ 16 января 2008 года.

"СОРМ-1" была организована в 1996 году в качестве системы прослушивания телефонных переговоров.

В соответствии со статьёй 23 Конституции России ограничение тайны связи допускается только по решению суда. В то же время в законе упоминается возможность использования СОРМ до решения суда, "в случаях, установленных федеральными законами".

Для непосредственно прослушивания разговоров требуется официальное решение суда, но для получения другой информации (например, о фактах совершения вызовов) санкции суда не требуется.

Для справки: операторы протоколируют историю использования СОРМ, что обеспечивает защиту от злоупотреблений со стороны отдельных сотрудников правоохранительных органов.

Единственное, что Вы должны понимать: прослушать телефонный звонок может в принципе любой, кому по карману купить оборудование. В свое время на конференциях Black Hat можно было узнать и о расшифровке переговоров в мобильных сетях.

Так что, фраза "нетелефонный разговор", которая появилась в 90-х после целой серии обнародования в газетах телефонных разговоров политиков и бизнесменов, и сейчас актуальна.

Помните, вас могут слушать все: от супруга до конкурента.

Для справки: операторы связи хранят в течение трех лет информацию об абонентах и оказанных им услугах связи (то есть детализацию переговоров).

СОРМ-2 - перехват интернета

Создание СОРМ-2 началось в 2000 году. Но только после 2008 года законный мониторинг сети начал свою работу, по системе пассивного перехвата информации. Преимущества данной схемы очевидны как для оператора связи, так и для правоохранительных органов.

Мониторить интернет-трафик может только ФСБ. У других органов или ведомств для этого физически нет технических возможностей. Ни местное ОВД, ни даже отдел "К". Все он вынужден присылать официальный документ - запрос на своем бланке и за подписью руководителя.

Формально оператор действительно должен был купить специальное оборудование и протянуть в местное УФСБ выделенный кабель связи. Однако, реально из небольших провайдеров этого не делает никто. Все ограничиваются договоренностью с ФСБ сотрудничать, обмениваясь контактами с офицером-куратором.

В результате, если кто-то из клиентов провайдера делает что-то незаконное, то их просят сделать "дамп" трафика с определенного адреса и отправить им. Провайдер берет и делает. Все.

СОРМ-3 - хранение интернет-трафика сроком не менее 12 часов

В 2013 году появился приказ, который обязывал интернет-провайдеров установить к 1 июля 2014 г. оборудование для записи интернет-трафика и его хранения сроком не менее 12 часов.

"Пакет Яровой"

Новый законопроект, который в народе называют "Пакет Яровой" зарегистрирован на сайте Госдумы, подписан президентом и официально опубликован 8 июля 2016 года нельзя назвать новым "СОРМ-4". В связи с тем, что в нем всего лишь говорится:

Внести в Федеральный закон от 7 июля 2003 года N 126-ФЗ "О связи"

2) в статье 64:

а) пункт 1 изложить в следующей редакции:

"1. Операторы связи обязаны хранить на территории Российской Федерации:

1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи - в течение трех лет с момента окончания осуществления таких действий;

2) текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи - до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.";

Первый подпункт и так действовал, а вот второй...

С "не менее 12 часов" законодатели разрешили хранить информацию максимум "до 6 месяцев", т.е. минимум 0 часов, максимум 183 дня.

При этом Правительство еще будет устанавливать что и как будет храниться. Объемы и нагрузка по хранению на операторов еще не определена.

Жаль, что нет статистики, как СОРМ помогает предотвращать террористические акты в России. Но если взглянуть на общую статистику, то

  • в 2013 году было совершено 10 террористических актов,
  • в 2014 - 4,
  • в 2015 - 2,
  • в 2016 - одно (11 апреля произошло нападение на здание ОВД в селе Новоселицкое Ставропольского края, один из нападавших подорвался, двое других были убиты силами МВД, других пострадавших не было).
На фоне происходящего в мире, хочется снять шляпу перед всеми силовиками.

Что в мире?

Функции законного перехвата (Lawful Interception) реализованы на сетях многих стран мира, включая США, ЕС и т.д.

В США после 11 сентября действовал "Патриотический акт", который 1 июня 2015 года переименовали в "Акт о свободе США".

С 2007 года Агентство национальной безопасности (NSA) собирает и хранит все данные о всем трафике в Соединенных Штатах. В каком объеме общественности неизвестно. В штате Юта строился крупнейший дата-центр, который позволил бы хранить 5 зеттабайт данных.

В 2010 году Washington Post выпустил статью, в которой говорится, что ежедневно системы сбора информации АНБ перехватывали и записывали около 1,7 миллиардов телефонных разговоров и электронных сообщений.

Издание The Guardian в 2013 году написало, что несмотря на чрезвычайную секретность появлялись доклады о серьезных злоупотреблениях. Два сенатора в течение многих лет предупреждали, что американцы будут "ошеломлены" если узнают, что правительство США делает для прослушивания и сбора информации.

sosedgeorg.livejournal.com

Антивирус на помойку

Антивирус на помойку

Автор - Крис Касперски.

Защищенная ось без антивирусов и тормозов

Некоторые воспринимают антивирус как неотъемлемую часть операционной системы и просто не мыслят свое существование без защитных пакетов от разных производителей, свободно пропускающих заразу, но вызывающих жуткие тормоза и целый ворох конфликтов, вплоть до выпадения в BSOD. Самый лучший антивирус — это сама ось! Нужно только научиться правильно ею пользоваться!

Терминологические войны

Windows NT (и все производные от нее системы — W2K, XP и частично Vista) изначально проектировалась как защищенная оси, способные постоять за себя и дать вирусам решительный отпор без каких-либо дополнительных средств, в том числе и широко разрекламированного Microsoft Anti-Spy-Ware. Но, чтобы не увязнуть в терминах, необходимо уточнить ряд определений.

Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS, когда единственным средством добычи новых программ были дискеты товарища или, в лучшем случае, FIDO и BBS. С эпидемиологической точки зрения, все это создавало крайне напряженную обстановку. Копировать программы друг у друга — все равно что ширяться из одного шприца. С другой стороны, антивирус годичной давности считается вполне свежим и актуальным. Основными носителями вирусов были люди, а не файлы, поэтому масштабы эпидемии определялись исключительно интенсивностью копирования программ.

С появлением сети пользователи стали закачивать дистрибутивы программ из инета, а вирусам для размножения перестали требоваться люди. Используя дыры в подсистемах безопасности и ошибки типа переполнения буфера, любой вирус буквально за несколько часов может заразить практически все уязвимые узлы, при этом ему совершенно не обязательно внедряться в исполняемые объекты. Зачем привлекать к себе лишнее внимание, когда можно ограничиться временным проживанием в оперативной памяти. Если заражен хотя бы 1% всех машин в сети, то вирус, умирая при перезагрузке, через незаткнутые дыры будет возвращаться вновь и вновь. Такие вирусы принято называть червями, и это один из наиболее распространенных типов компьютерной заразы на сегодняшний день.

Еще существуют «психологические» вирусы, представляющие собой обыкновенные исполняемые файлы и распространяющиеся через вложения электронной почты, ICQ, web и ftp. Свою историю они ведут от «крэкеров интернета», завлекающих бесплатным доступом в сеть, а на самом деле, форматирующим жесткий диск. Этот подкласс заразы назвали Троянским Конем. Сейчас же времена первобытного варварства остались позади, и большинство троянов не уничтожают информацию, поскольку это сделает их пребывание слишком заметным, а скрыто устанавливают шпионскую закладку, похищающую пароли и содержимое электронных кошельков. Такие компьютеры принято называть зомби или дронами. Собрав огромную армию дронов, хакер может совершать распределенные атаки и делать кучу других антисоциальных вещей. Например, рассылать спам.

Антивирусы — за гранью возможного

Антивирусы в настоящее время практически полностью утратили былую значимость и усиленно пытаются отойти от пропасти, на дне которой они находятся. Вирусы, заражающие исполняемые файлы, за последние несколько лет фактически перевелись, к тому же запретить запись в исполняемые файлы средствами операционной системы намного проще, дешевле, быстрее и надежнее, чем устанавливать антивирусный пакет. И уж совсем бессмысленно пытаться лечить зараженные объекты, ведь в любой момент их можно переустановить с дистрибутивной копии, хранящейся на CD-R/RW или скачанной из сети.

Антивирусный монитор, следящий за всеми создаваемыми/открываемыми файлами и проверяющий их на лету, — это дополнительные тормоза (подчас очень значительные): конфликты, критические ошибки, голубые экраны смерти и прочий ничем не оправданный геморрой. Вся проблема в том, что антивирус может ловить только те вирусы, о которых знает, а вирусы сейчас пишут все кому не лень, так что даже при экстраординарной степени оперативности никакой гарантии, что вся зараза будет распознана, у нас нет. Более того, вирус, упакованный слегка подправленной версией крутого протектора, имеет 100% шансы остаться незамеченным! Сложные протекторы уже не распаковываются на эмуляторе ЦП, и для их снятия требуется статический распаковщик, входящий в «движок» антивирусной базы и справляющийся только со строго конкретными версиями протекторов и очень болезненно относящийся даже к незначительным изменениям структуры упакованного файла. Да что там структура! Обычно бывает достаточно внедрить в точку входа jump на инструкцию, неизвестную эмулятору (например, что-нибудь из набора SSE/SSE2), и антивирус идет лесом, поскольку переменная длина x86 инструкций не позволяет ему определить начало следующей машинной команды!

Впрочем, даже если антивирусу удастся побороть упаковщик и передать эвристику, распакованный код никаких вирусных признаков все равно там ни за что не обнаружит, ну разве что это будет пионерский вирус. Наличие незашифрованных текстовых строк с ключами реестра, ответственными за автозапуск, имен исполняемых файлов антивирусных программ, команд в стиле «rm -rf/» с высокой степенью указывает на зловредную программу, но их очень легко зашифровать. Еще эвристик может анализировать таблицу импорта и аргументы, передаваемые функции GetProcAddress. А если там встретится WriteProcessMemory, VirtualAllocEx, CreateRemoteThread или что-то еще в этом роде, он сделает вывод, что имеет дело с программой, способной внедряться в другие процессы. Верный признак червей и отладчиков. Ситуация сильно осложняется тем, что многие вирусные приемы сейчас активно используются протекторами, и, если эвристик не утихомирить, он отправит в топку добрую половину легальных программ, чего допускать ни в коем случае нельзя! Да и вообще, если создатель вируса неглупый человек, то он многократно прогонит его через различные эвристики, добиваясь их полной и безоговорочной капитуляции.

Что же касается червей (и, в частности, нашумевшего MS BLAST, известного также под кличкой Love San), то это вообще песня. Удаляют его антивирусы, не удаляют — что толку? Пока есть дыра, он словно феникс из пепла будет появляться вновь и вновь. К тому же всегда существует вероятность, что кто-то умный напишет свой собственный shell-код, не имеющий с MS BLAST'ом ничего общего, а потому и не детектируемый никаким антивирусом! Некоторые дыры можно закрыть брандмауэром, но в общем случае для этого необходимо установить заплатку от производителя уязвимого продукта, которым может быть как сама ось, так и один из ее компонентов: IE, FireFox и т.д.

Еще существует такой тип антивирусов, как ревизоры, в задачу которых входит проверка целостности существующих файлов и контроль за вновь созданными. Некоторые ревизоры также контролируют и реестр, особенно ветки, прямо или косвенно ответственные за автоматический запуск программ. Во времена MS-DOS это была очень хорошая штука, но сейчас винчестеры так разжирели, что процедура сканирования отнимает кучу времени, к тому же многие сканеры содержат ошибки, позволяющие заразить файл без изменения его контрольной суммы (см. статью «Как подделывают CRC16/32», опубликованную в «Хакере»), не говоря уже о том, что при правильной политике разграничения доступа сводит актуальность сканеров на нет, тем более, начиная с W2K, система сама контролирует целостность жизненно-важных файлов через механизм SFC. Ну вот, сейчас кто-то скажет, что SFC легко обмануть, особенно если вирус стелсируется на уровне ядра или вообще не внедряется ни в какие объекты файловой системы, существуя лишь в виртуальной памяти какого-нибудь процесса.

Контроль над целостностью виртуальной памяти процессоров берут на себя как антивирусы, так и персональные брандмауэры, распознающие и отсекающие все известные способы внедрения в чужое адресное пространство, да вот только работает этот механизм кое-как. Зловредному коду, запущенному с пониженными привилегиями, доступ к чужим процессам можно запретить средствами самой операционной системы, а код, запущенный с правами администратора, пройдет сквозь все уровни защиты, как нож сквозь масло (при условии, что его писал не пионер, а хотя бы комсомолец). Самое неприятное, что существует множество легальных программ, например, мультимедийных клавиатур и мышей, использующих внедрение в чужое адресное пространство для реализации своих мультимедийных возможностей, поэтому слепой запрет брандмауэра/антивируса приведет к их неработоспособности! Значит, необходимо предоставить пользователю возможность выбора. А сможет ли он отличить честную программу от нечестной? Но даже не это самое страшное. Чем глубже внедряется брандмауэр/антивирус в систему, тем сложнее зловредному коду его обойти, но и тем больше конфликтов и глюков он (брандмауэр/антивирус) вызывает.

Получается так, что грамотно настроенной системе никакой антивирус не нужен, а с безграмотной никакой антивирус все равно не справится (брандмауэр стоит ставить только затем, чтобы отделить домашнюю локальную сеть от интернета и следить за сетевой активностью установленных программ, выявляя не только шпионов, но и легальные программы, пытающиеся проверить корректность регистрации).

Никакие, даже самые совершенные антивирусы ни от чего не спасают! При этом они стоят немалых денег, пожирают сетевой трафик частыми обновлениями, вызывают конфликты и тормозят работу системы, между тем система вполне может справиться с вирусами и сама — никакие дополнительные костыли ей не нужны!

Разграничение доступа — попробуй пробей

В отличие, например, от BSD, Windows NT не является многопользовательской операционной системой, поскольку только один пользователь может работать с компьютером в любой момент времени, и прежде чем переключиться на другого, необходимо завершить текущий сеанс, закрыв все приложения, и лишь потом… А вот в BSD все очень просто: нажал Alt-F#, переключился на соседнюю консоль — и все! В Windows XP наконец-то появилась возможность переключения сеансов разных пользователей без завершения, но механизма взаимодействия между пользователями как не было, так и нет.

Правда, в текущем сеансе можно запускать программы от имени другого пользователя, но это, во-первых, совсем не то, а во-вторых, далеко не все программы соглашаются на такой запуск, и еще меньше из них сохраняют свою работоспособность в полном объеме. Так что без бубна здесь не обойтись. Если нет бубна, то сойдет и обычный оцинкованный таз.

Идея противостояния вирусам заключается в выборе правильной политики разграничения доступа, тогда вирус (или другая зловредная программа) просто не сможет напакостить и нанести значительный урон. А для этого все потенциально опасные программы нужно запускать в своеобразной песочнице. В идеале — на виртуальной машине типа VMware, но про VMware мы уже неоднократно писали, а вот про разграничение доступа материалов практически нет.

Начнем с того, что никогда, ни при каких обстоятельствах не следует постоянно сидеть под «администратором», поскольку любая запущенная программа может делать с системой все, что ей вздумается. Под администратором следует заходить в систему только для выполнения «ремонтных» работ — установки новых драйверов, изменения параметров конфигурации и т.д. А все остальное время проводить под «опытным пользователем» или просто «пользователем» с ограниченным доступом. Чем меньше у вас привилегий, тем меньше их и у каждой запущенной вами программы, однако под обыкновенным пользователем многие программы работать отказываются, поскольку требуют записи в каталог Program Files или в другие «злачные» места. Зато потом наступает тишь да гладь — ни вирусов, ни другого малваре.

Необходимость в периодическом резервировании, естественно, до сих пор существует. Надежнее всего резервироваться на CD-R/RW, DVD-RW, ZIP, стримеры и прочие внешние носители информации, однако это непроизводительно, неудобно, да и надежность у винчестеров все же повыше будет, чем у того же CD-RW. Поступим так. Создадим нового пользователя с администраторскими правами (Пуск -> Панель Управления -> пользователи и пароли -> Имя -> Пароль -> Другой -> Администраторы), назовем его, к примеру, «backup», зайдем под его именем в систему, создадим каталог general-stores (то есть общее хранилище) и скопируем туда все, что необходимо. Затем, щелкнув по каталогу правой кнопкой мыши, в появившемся контекстом меню выбираем вкладку «свойства», а там — «безопасность» со списком допущенных лиц. По умолчанию каталог доступен для всех, что никак не входит в наши планы, поэтому удаляем «всех» напрочь, предварительно сбросив галочку «переносить наследуемые от родительского объекта разрешения на этот объект». Все!!! Теперь этот каталог недоступен никому, даже системе! И только владелец, создавший его (то есть «backup»), может войти в раздел «безопасность» и вернуть «всех» на место. Внимание! Администратор не сможет этого сделать! Ну вообще-то, чтобы так не извращаться, после удаления «всех» можно добавить пользователя «backup», делегировав ему полный доступ к каталогу. Все же остальные пользователи, включая членов группы, добраться до этого каталога не смогут. Хорошая защита от вирусов и прочих деструктивных программ, неправда ли? Кстати говоря, задумаемся, а что произойдет, если случайно (преднамеренно) удалить пользователя «backup»? Ведь тогда доступ к архиву не сможет получить никто! К счастью, штатная утилита chkdsk распознает такую ситуацию, и, если видит подобный каталог-зомби, она автоматически возвращает «всех», воскрешая информацию из небытия.

Песочница — не только детская радость

Нашей следующей задачей будет постройка «песочницы» для всех тех программ, что могут быть атакованы из сети, к числу которых принадлежит IE, Fire Fox, Outlook Express, The Bat, ICQ и другие. Каждая из них должна быть запущена из-под ограниченного пользователя, не имеющего доступа ни к каким каталогам, кроме тех, которые явно нужны самой программе. В принципе, можно завести одного ограниченного пользователя на всех, обозвав его, к примеру, «sandbox» (то есть песочница), однако в этом случае червь, пробравшийся через IE, сможет разрушить почтовую базу, накопленную за многие годы, что будет обидно. Поэтому лучше всего дать каждой программе по пользователю (конечно, это увеличивает потребности системы в памяти, но не столь радикально).

Итак, создан ограниченный пользователь «sandbox», в свойствах «безопасности» каждого каталогов (или всех дисков целиков) «sandbox» добавлен, и доступ ему запрещен (политика запрета имеет приоритет над политикой разрешений, поэтому удалять «всех» совершенно не обязательно). По завершению этой нехитрой операции у sandbox'а останутся только те каталоги, которые ему нужны (как правило, это каталоги самой программы, причем без права записи в исполняемые файлы).

Попробуем запустить в песочнице, например, Firefox. Создаем ярлык с firefox.exe (если только это не сделал инсталлятор), щелкаем по нему правой клавишей, идем в «свойства», затем — в «дополнительно» и там взводим галочку «запускать от имени другого пользователя». Говорим «ОК» и запускаем. Появляется грозное диалоговое окно, требующее ввода имени и пароля. Вводим. И… Горящий Лис не запускается! Между прочим, в Linux/BSD подобная операция протекает без каких бы то ни было проблем (в XP и выше проблем с конкретной Firefox также не возникает. — Прим. редактора). А здесь нужен бубен или более конкретно — файловый монитор Марка Руссиновича, показывающий, на каких именно файловых операциях программа обламывается (вот так, значит, разработчики относятся к сообщениям об ошибках). Качаем файловый монитор: www.sysinternals.com/Utilities/Filemon.html (он, кстати, занимает меньше двухсот килобайт и распространяется совершенно бесплатно). Запускаем из-под администратора: создаем ярлык и взводим уже известную нам галочку «запускать от…»! В данном случае файловый монитор запускается, потому что запрограммирован правильно, и мы быстрым спортивным шагом идем в Options -> Filter/Highlight или нажимаем <CTRL-L>. В появившемся диалоговом окне взводим все галочки, кроме «Log Successes», поскольку мониторить успешные операции нам незачем! Нам нужны ошибки! Нажимаем «OK» и перезапускаем программу (фильтр будет действовать только после запуска). Вновь запускаем Горящего Лиса. Что мы видим? Сначала идут ошибки поиска динамических библиотек в тех каталогах, где их нет — это нормально. А вот дальше Горящий Лис пытается создать папку Mozilla прямо в каталоге WINNT (в ней он хранит свои настройки, кэш страниц и т.д.), куда его, естественно, не пускают, и он тихо умирает.

Да… задача. Пробуем утилиту командной строки runas, запустив ее так: «runas /user:sandbox firefox.exe» (при этом firefox.exe должен быть в текущей директории). Нас деловито спрашивают пароль и… ничего! Теперь Горящий Лис лезет в Document n SettingDefault User, куда ему также нет доступа! В чем же дело?! В чем причина?! А в том, что для корректной работы большинства программ необходимо загрузить еще и профиль пользователя, от имени которого мы их запускаем, поэтому правильный вариант выглядит так: «runas /profile /user:sandbox firefox.exe». Теперь запуск проходит без проблем!

А вот Опера хранит кэш не в профиле пользователя, а непосредственно в своем каталоге (впрочем, это зависит от ее настроек), поэтому sandbox'у необходимо присвоить права на запись в «program filesopera».

Остальные программы «распутываются» аналогичным образом. Если не помогает файловый монитор, то качаем монитор реестра (www.sysinternals.com/Utilities/Regmon.html) и смотрим, в каких ветвях нуждается программа. Маленький подводный камень: перенаправить ввод с клавиатуры на файл, увы, не удастся, и пароль придется каждый раз вводить вручную, что напрягает. Впрочем, программисты запросто напишут программу, лишенную этих недостатков. Нам же главное — создать кучу пользователей, распределив права доступа так, чтобы зловредные программы не имели никаких шансов ни для размножения, ни для шпионской деятельности.

Заключение

Создание защищенной системы без использования антивирусов — это реально! Пускай на первоначальном этапе нам придется проделать большой объем работы и очень много думать головой, создавая столько пользователей, чтобы полностью изолировать одно потенциально опасное приложение от всех остальных. Зато будешь знать наверняка, что, работая на твоей любимой машине, домашние ничего плохого с ней сделать не смогут.

http://www.inattack.ru/article/537.html

bezopasnik.org

СОРМ

СОРМ ( сокр. от С истема технических средств для обеспечения функций о перативно- р азыскных м ероприятий ) — комплекс технических средств и мер, предназначенных для проведения оперативно-разыскных мероприятий в сетях телефонной , подвижной и беспроводной связи и радиосвязи (согласно Закону «О связи» и приказу Министерства связи № 2339 от 9 августа 2000 г. [1] ).

Типы

Следует различать понятия «СОРМ-1» (систему прослушивания телефонных переговоров, организованную в 1996 году) и «СОРМ-2», разработанную рабочей группой представителей Госкомсвязи России , ФСБ России , ЦНИИ связи и Главсвязьнадзора под руководством Ю. В. Златкиса [2] и организованную в 2000 году ( , ).

Ограничение тайны связи в России

Всем операторам связи в России предъявляются требования согласования плана мероприятий по внедрению «СОРМ» [6] [7] , в противном случае их лицензия может быть аннулирована [8] [9] .

В соответствии со статьёй 23 Конституции России ограничение тайны связи допускается только по решению суда , кроме случаев, предусмотренных пунктом 3 статьи 55:

Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В то же время в законе упоминается возможность использования СОРМ до решения суда , «в случаях, установленных федеральными законами» [10] :

В российском СОРМ спецслужба самостоятельно, без обращения в суд, определяет пользователя, которого необходимо поставить на контроль и самостоятельно это осуществляет, поэтому на модели российского СОРМ нет отдельной административной функции, можно сказать, что она интегрирована в ПУ СОРМ [11] .

Из Статьи 64: «Об Обязанностях операторов связи при проведении оперативно-розыскных мероприятий и осуществлении следственных действий» федерального закона «О связи»:

1. Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами [12] [13] .

Для непосредственного прослушивания разговоров требуется официальное судебное решение (таких разрешений выдается более ста тысяч в год [14] ), но для получения другой информации (например, о фактах совершения вызовов) санкции суда не требуется [ источник не указан 646 дней ] . Кроме того, сотрудник ФСБ или МВД должен только получить ордер , но не предъявлять его оператору связи, которому запрещается [ источник не указан 139 дней ] [ цитата не приведена 139 дней ] требовать этот документ при отсутствии со своей стороны допуска к государственной тайне . Система СОРМ создана как дистанционная , когда сотрудник спецслужб сидит в отдельном кабинете у пульта управления и вводит команды, которые удаленно передаются в сеть оператора связи, но тот не может вести протоколирование и контроль соединений [15] .

31 июля 2014 года премьер-министр РФ Дмитрий Медведев подписал постановление правительства № 743 [16] , по которому соцсети, форумы и любые сайты для общения, доступные всем пользователям интернета, должны подключать оборудование и ПО для силовиков согласно плану мероприятий, разработанных ФСБ. С помощью этого спецслужбы смогут в автоматическом режиме получать информацию о действиях пользователей этих сайтов, схема работает аналогично СОРМ. При этом представители интернет-отрасли не были ознакомлены с итоговым текстом закона, также неизвестно, за чей счёт будет устанавливаться оборудование [17] .

Решение Европейского суда по правам человека

В другом языковом разделе есть более полная статья Zakharov v. Russia   (англ.) .

В декабре 2015 года Европейский суд по правам человека вынес решение по делу о российском законодательстве о СОРМ. [18] [19] Единогласным решением Большой Палаты Суд постановил, что «положения законодательства Российской Федерации, регулирующие прослушивание связи, не содержат адекватных и эффективных гарантий против произвола и риска превышения полномочий, которые присущи любой системе скрытого наблюдения и которые особенно высоки в системе, где специальные службы и правоохранительные органы имеют прямой доступ с помощью технических средств ко всем мобильным телефонным сообщениям» [20] , и, следовательно, это законодательство нарушает статью 8 Европейской конвенции по правам человека . [18] [19]

См. также

Примечания

  1. ↑ О порядке внедрения системы технических средств по обеспечению оперативно-разыскных мероприятий — Приказ № 130 от 25.07.2000 г.  — утратил силу 16 января 2008 г.: Приказ Министерства информационных технологий и связи РФ от 16 января 2008 г. N 6 «Об утверждении Требований к сетям электросвязи для проведения оперативно-разыскных мероприятий»: "В целях реализации требований пункта 2 статьи 64 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи» …, приказываю: …2. Признать утратившим силу приказ Министерства Российской Федерации по связи и информатизации от 25.07.2000 N 130…
  2. ↑ СОРМ-2 на сайте Agentura.ru   (недоступная ссылка — история ) . Проверено 19 августа 2009. Архивировано 5 июня 2009 года.
  3. ↑ О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий — Приказ № 130 от 25.07.2000 г.
  4. ↑ СОРМ-2 на сайте Agentura.ru   (недоступная ссылка — история ) . Проверено 19 августа 2009. Архивировано 5 июня 2009 года.
  5. ↑ http://ria.ru/infografika/20130815/956535235.html Прослушка телефонных разговоров и перехват трафика в России
  6. ↑ «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность» — Постановление Правительства РФ от 27 августа 2005 г. N 538
  7. ↑ «Об утверждении Требований к сетям электросвязи для проведения оперативно-разыскных мероприятий. Часть I. Общие требования» — Приказ № 6 от 16.01.2008 г. Архивная копия от 10 марта 2008 на Wayback Machine / Опубликовано: 2 сентября 2005 г. в «Российская Газета» — Федеральный выпуск № 3864
  8. ↑ Аннулирование лицензии из-за нереализации Плана СОРМ (форум)
  9. ↑ http://msk.arbitr.ru/docimg_filePage.asp?id_src=F9A4C6EBE20BF468826679C9070B0B30&filename=%C040-79723_05-96-515.pdf   (недоступная ссылка с 22-05-2015 [1199 дней])
  10. ↑ Слушать подано. Операторов связи обязали обеспечить дистанционный доступ к переговорам // Газета «Коммерсантъ» № 35 от 04.03.2008, стр. 20
  11. ↑ Б. C. Гольдштейн, B. C. Елагин, Законный перехват сообщений: подходы ETSI, CALEA и СОРМ // Журнал « Вестник связи » № 3, 2007
  12. ↑ Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи» / Портал Гарант
  13. ↑ Постановление Правительства РФ от 27 августа 2005 г. N 538 («Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность») / Опубликовано: 2 сентября 2005 г. в «Российская Газета» — Федеральный выпуск № 3864
  14. ↑ Филипп Кац . Прослушка телефонных разговоров и перехват трафика в России. Кто и как следит за разговорами в России. Инфографика , РИА Новости (15.08.2013). Проверено 22 мая 2015.  «Количество разрешений на контроль и запись телефонных и иных путей передачи информации, выданных судами РФ. Данные предоставлены судебным департаментом при Верховном суде РФ: 2012 - 156751 (ст 9 фз 144-ФЗ 1995), 372744 (в рамках следствия п.11 ч.2 ст.29 УПК РФ)».
  15. ↑ Попасть в сети. «Ъ» спросил ведущих российских экспертов, чего в сети стоит бояться и как защитить личную информацию // «Коммерсантъ» от 28.08.2013
  16. ↑ Постановление Правительства РФ от 31.07.2014 N 743 («Об утверждении Правил взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети „Интернет“ с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности РФ») / Опубликовано: 11 августа 2014 г. в «Российская Газета» — Федеральный выпуск № 6451
  17. ↑ Дарья Луганская, Медведев обязал соцсети подключить ФСБ к «прослушке» пользователей // РБК ПОТРЕБРЫНОК, 07.08.2014
  18. ↑ 1 2 ECHR, Russian Federation: Breaches of Human Rights in Surveillance Legislation – Global Legal Monitor . www.loc.gov (2 марта 2016).
  19. ↑ 1 2 CASE OF ROMAN ZAKHAROV v. RUSSIA (Application no. 47143/06) . HUDOC – European Court of Human Rights .
  20. ↑ http://www.consultant.ru/cons/cgi/online.cgi?req=home#doc/ARB/405944/4294967295/0

Ссылки

Исследования и публикации Программные и аппаратные средства СОРМ Защита частной жизни

www.cruer.com