Посмотрим, какая информация об абоненте представляет интерес для спецслужб при выполнении СОРМ.
Телефонная связь
Несмотря на рост популярности средств общения через интернет (viber, skype, социальные сети и т.п.) телефонная связь все еще активно используется и предоставляется как стационарными, так и мобильными операторами. Поэтому при проведении оперативно розыскных мероприятий данные о соединениях абонентов имеют большое значение.
Из всего списка получаемых сведений, можно выделить:
- дату и время начала соединения;
- длительность соединения, с;
- тип соединения;
- услуги связи при соединении;
- тип вызывающего абонента;
- коммутатор, обслуживший соединение;
- тип вызываемого абонента;
- идентификатор оператора связи или филиала;
- идентификаторы вызывающего и вызываемого абонента;
- набранный номер вызываемого абонента;
- телефонный номер при переадресации.
- местоположение вызывающего и вызываемого абонента на начало и конец вызова.
Полученные данные не раскрывают содержимого разговора абонентов, но позволяют отследить историю соединений, номера телефонов, местоположение совершаемых звонков – важные сведения для раскрытия или предотвращения преступлений.
Сети передачи данных (AAA)
Миллионы людей ежедневно пользуются интернетом, смотрят web-сайты, общаются в социальных сетях, смотрят видео, обмениваются файлами, загружают фотографии, переписываются в мессенджерах – все это генерирует огромный объем трафика, изучая который можно создать профиль человека, его социальный портрет. Поэтому сведения об абонентах сети интернет предоставляет огромную важность для правоохранительных органов, потому то они позволяют заранее выявлять потенциально опасных граждан, устанавливать за ними законное наблюдение и предотвращать крупные преступления и незаконную деятельность.
Рассмотрим основные категории снимаемой и хранимой информации:
Информация о подключении/отключении абонента к сети передачи данных (ААА)
Содержит сведения полученные с сервера авторизации (ААА) о том, когда абонент подключился и когда отключился от интернета, под каким логином и паролем вошел в сеть, а также IP-адрес и порт NAS-сервера, объем переданных и полученных данных. Эта информация интересна только с точки зрения получения сведений об учетной записи абонента и способе авторизации в сети.
Общая информацию для всех записей об использовании абонентами услуг связи и ресурсов сети передачи данных
Фундаментальная информация об интернет-сессии: кто оператор связи, начало и конец соединения, IP-адрес клиента и сервера, протокол соединения, а также идентификатор абонента. Идентификатор абонента содержит группу параметров, которые позволяют точно идентифицировать конкретного человека в сети оператора связи.
Информация о HTTP-соединениях с информационными ресурсами сети передачи данных (посещение Интернет-страниц)
Информация о посещаемых абонентам web-страницах, содержащая URL (адрес, наименование информационного ресурса), тип запроса (get\post), объем принятых и переданных данных. Данные сведения позволяют правоохранительным органам отследить ресурсы, которые посещает объект под наблюдением, и принять меры, если он зашел на контролируемый ресурс (например, сайты фондовых рынков при пресечении экономических преступлений).
Информация о соединениях передачи почтовых e-mail сообщений
Полная информация о почтовом сообщении, кроме его содержимого: кто и кому отправил письмо, адрес для ответа, тема письма, размер самого письма и вложений (если они есть), протокол отправки и сервер, который ее выполняет (в том числе и почтовый web-сервер).
Информация о соединениях передачи электронных сообщений между пользователями
К таким сообщениям относятся:
- служебные сообщения,
- мгновенные сообщения (ICQ, MailRu Agent, Jabber, QIP, Yahoo Messenger, Google Talk, AirWay Chat, IRC),
- короткие сообщения,
- мультимедийных сообщениях.
Также сообщения, передаваемые с помощью сервисов социальных сетей, передаваемые посредством сети передачи данных («В контакте», «Одноклассники», «Мой Мир» и т.п.).
Система сохраняет данные учетной записи, общедоступное имя отправителя, идентификатор отправителя, список получателей и их идентификаторы, размер сессии, протокол отправки, информация о передаче файловых данных. С помощью этих сведений правоохранительные органы не узнают содержимого переписки, но получат информацию о том, кто, с кем и как долго общался. Получение и накопление таких сведений возможно при использовании открытых протоколов, таких как HTTP.
Информация о соединениях терминального доступа к оборудованию для удаленного управления
Информация, представляющая интерес для организации сетевой безопасности, и защиты от несанкционированного доступа к сетевому оборудованию. Содержит сведения о фактах удаленного доступа к оборудованию по закрытым и открытым протоколам, объемы переданных и принятых данных.
Информация о соединениях голосовой связи посредством сети передачи данных
Полные сведения о звонках абонента без самого содержимого разговора: кто и с кем общался, как долго длился разговор, какой объем данных белы передан, технический маршрут передачи данных во время соединения. Данные сведения также полезны для организации наблюдения за абонентом с целью выяснения его преступных связей.
Информация о соединениях передачи файловых данных
Если абонент через интернет обменивается файлами, передает их напрямую другому пользователю, загружает на сервер файлового обмена, скачивает что-то к себе на компьютер, то система сохранит название сервера, имя пользователя, его учетную запись и пароль, объемы переданных и полученных данных.
Информация о трансляции сетевых адресов пользователей
Сведения о NAT-трансляциях, включающие в себя дату и время, тип записи, внутренний и внешний сетевые адрес и порты, сетевой адрес назначения и порт, тип трансляции сетевых адресов.
Информации о совершенных платежах
Сведения о финансовых операциях с лицевым счетом абонента, в частности совершенных пользователями платежах: пополнение баланса (банковский перевод, карта экспресс-оплаты, платежный терминал, центр обслуживания клиентов, перевод со счета другого абонента), перевода средств со счета абонента на банковскую карту или счет в банке.
Информация об изменении местоположения абонента
С помощью этих данных правоохранительные органы могут вести слежку за абонентом по его идентификатору, так как получают сведения о местоположении для услуг телефонной связи в сетях подвижной радиосвязи (код зоны, номер сектора базовой станции, компенсацию задержки прохождения сигнала от мобильной станции), о местоположении для услуг передачи данных в сети подвижной связи ( код зоны/контроллера доступа, номер сектора базовой станции, либо MAC-адрес сетевого оборудования базовой станции и идентификатор сектора; информацию о широте/долготе местоположения абонента с указанием типа проекции координат).
Все перечисленные сведения несут информационный характер, не раскрывая содержимого. По ним можно определить профиль абонента и используемые им услуги, а также вести статистику действий абонента в сети передачи данных.
С более подробной информацией о требованиях к составу накапливаемой СОРМ информации можно ознакомится в приложениях к Частным техническим требованиям региональных УФСБ РФ к Постановлению Правительства Российской Федерации от 27 августа 2005г № 538. Постановление четко не регламентирует необходимость накапливания информации, передаваемой по шифрованным протоколам HTTPS, поэтому многие производители оборудования СОРМ работают только с HTTP трафиком. Но так как объем HTTPS в общей доле передаваемых данных неуклонно растет, имеет смысл уже сейчас, покупая систему СОРМ-3, позаботиться об поддержке этих протоколов, что реализовано в ИС СОРМ-3 от «VAS Experts».
Также, о поддержке СОРМ стали заявлять некоторые производители систем DPI, предлагая «Комплексные решения для обеспечения законности в сетях операторов связи», например, КРОЗ от «Норси-транс». Однако, используются ли в таких решениях открытые и стандартизированные протоколы выгрузки данных или они совместимы только с СОРМ своего же производства, компании не уточняют.
Для привлечения клиентов комплексы обрастают дополнительными бесполезными для оператора связи функциями: межсетевой экран (без необходимых сертификатов), защита от DDoS, детектирование аномалий и «расширенная» статистика. В реальной практике, для организации доступа в интернет и предоставления других услуг связи, необходимы другие важные функции: CG-NAT, BRAS, разметка приоритета трафика, выгрузка статистических данных по открытым протоколам (netflow), взаимодействие с Radius.
Функция | СКАТ DPI («VAS Experts») | Carbon Reductor («Carbon Soft») | КРОЗ («Норси-транс») | Периметр-Ф («МФИ Софт») | Eco3in1 («RDP.RU») |
Поддержка СОРМ | Да | Нет | Да | Нет | Нет |
CG-NAT | Да | Нет | Нет | Нет | Да |
BRAS | Да | Нет | Нет | Нет | Да |
Radius | Да | Нет | Нет | Нет | Нет |
Netflow | Да | Нет | Да | Нет | Нет |
Блокировка URL | Да | Да | Да | Да | Да |
Разметка трафика | Да | Нет | Да | Нет | Нет |
Скорость больше 40Гб/с | Да | Да | Нет | Нет | Да |
При всем многообразии предоставляемых функций, только СКАТ DPI поддерживает все необходимое, а также получает бесплатно новые возможности в рамках договора технической поддержки.
Для получения полной информации о системах СОРМ и DPI, вы можете обратиться к специалистам компании VAS Experts, разработчика ИС СОРМ-3 и системы глубокого анализа трафика СКАТ DPI.