23 September 2017

WikiLeaks Releases More In Spy Files Series

Spy Files Russia
This publication continues WikiLeaks' Spy Files series with releases about surveillance contractors in Russia.
While the surveillance of communication traffic is a global phenomena, the legal and technological framework of its operation is different for each country.
 
Russia's laws - especially the new Yarovaya Law - make literally no distinction between Lawful Interception and mass surveillance by state intelligence authorities (SIAs) without court orders.
Russian communication providers are required by Russian law to install the so-called SORM ( Система Оперативно-Розыскных Мероприятий) components for surveillance provided by the FSB at their own expense. The SORM infrastructure is developed and deployed in Russia with close cooperation between the FSB, the Interior Ministry of Russia and Russian surveillance contractors.
All Releases
PETER-SERVICE - 19 September, 2017
PETER-SERVICE
19 September, 2017
|
Today, September 19th 2017, WikiLeaks starts publishing the series "Spy Files Russia" with documents from the Russian company Петер-Сервис (PETER-SERVICE). This release includes 209 documents (34 base documents in different versions) dated between 2007 and 2015.
PETER-SERVICE was founded 1992 in St. Petersburg as a provider for billing solutions and soon became the major supplier of software for the mobile telecommunications industry in Russia.
Today it has more than 1000 employees in different locations in Russia, and offices in major cities in Russia and Ukraine. The technologies developed and deployed by PETER-SERVICE today go far beyond the classical billing process and extend into the realms of surveillance and control. Although compliance to the strict surveillance laws is mandatory in Russia, rather than being forced to comply PETER-SERVICE appears to be quite actively pursuing partnership and commercial opportunities with the state intelligence apparatus.
 
 
As a matter of fact PETER-SERVICE is uniquely placed as a surveillance partner due to the remarkable visibility their products provide into the data of Russian subscribers of mobile operators, which expose to PETER-SERVICE valuable metadata, including phone and message records, device identifiers (IMEI, MAC addresses), network identifiers (IP addresses), cell tower information and much more. This enriched and aggregated metadata is of course of interest to Russian authorities, whose access became a core component of the system architecture.
 
Selected components of PETER-SERVICE software

The base architecture of the software from PETER-SERVICE (SVC_BASE) includes components for data retention (DRS [en], [ru]), long-term storage in SORM (SSP, Service СП-ПУ), IP traffic analysis (Traffic Data Mart, TDM) and interfaces (adapters) for state agencies to access the archives.

Traffic Data Mart (TDM)

The Traffic Data Mart is a system that records and monitors IP traffic for all mobile devices registered with the operator. It maintains a list of categorized domain names which cover all areas of interest for the state. These categories include blacklisted sites, criminal sites, blogs, webmail, weapons, botnet, narcotics, betting, aggression, racism, terrorism and many more.
Based on the collected information the system allows the creation of reports for subscriber devices (identified by IMEI/TAC, brand, model) for a specified time range: Top categories by volume, top sites by volume, top sites by time spent, protocol usage (browsing, mail, telephony, bittorrent) and traffic/time distribution.

Data Retention System (DRS)

The data retention system is a mandatory component for operators by law; it stores all communication (meta-)data locally for three years.
State intelligence authorities use the Protocol 538 adapter built into the DRS to access stored information. According to PETER-SERVICE, their DRS solution can handle 500,000,000 connections per day in one cluster. The claimed average search time for subscriber related-records from a single day is ten seconds.

Service СП-ПУ

In SORM call monitoring functions are concentrated in control points (пунктах управления, ПУ) which are connected to network operators. The Service СП-ПУ is a data exchange interface based on HTTPS between components in SVC_BASE/DRS and SORM. The interface receives search requests from state intelligence authorities and delivers results back to the initiator. Search requests for lawful interceptions (based on a court order) are processed by the operator on the same system.
Deep Packet Inspection products
As a related document, this first release contains a publically available slide show presentation given by Валерий Сысик (Valery Syssik, Director of Development) from PETER-SERVICE at the Broadband Russia Forum in 2013. Titled "National stacks of DPI / BigData / DataMining technologies and solutions for collection and analysis of information, as well as means of predicting social and business trends - the key to digital and financial sovereignty of the state and business in the XXI century", the presentation - which appears to already be publicly available on PETER-SERVICE's website - is not targeted at the usual telecom provider, but at a closed group of people from the ФСБ (FSB, Russian Federal Security Service), МВД (Interior ministry of Russia) and the три ветви власти ("three pillars of Power" - legislature, executive and judiciary).
The presentation was written just a few months after Edward Snowden disclosed the NSA mass surveillance program and its cooperation with private U.S. IT-corporations such as Google and Facebook.
Drawing specifically on the NSA Prism program, the presentation offers law enforcement, intelligence and other interested parties, to join an alliance in order to establish equivalent data-mining operations in Russia.
PETER-SERVICE claims to already have access to a majority of all phone call records as well as Internet traffic in Russia, and in the description of the current experiences, it claims to have deployed technology for Deep Packet Inspection "with not just the headings of IP packets, but the contents of whole series".
PETER-SERVICE is presented as a natural ally for intelligence agencies in "the most lucrative business [of] manipulating minds".
However, the core of the presentation is about a new product (2013) called DPI*GRID - a hardware solution for "Deep Packet Inspection" that comes literally as "black boxes" that are able to handle 10Gb/s traffic per unit. The national providers are aggregating Internet traffic in their infrastructure and are redirecting/duplicating the full stream to DPI*GRID units. The units inspect and analyse traffic (the presentation does not describe that process in much detail); the resulting metadata and extracted information are collected in a database for further investigation. A similar, yet smaller solution called MDH/DRS is available for regional providers who send aggregated IP traffic via a 10Gb/s connection to MDH for processing.

PETER-SERVICE advertises its experience in SORM technologies - especially DPI - and its ability to collect, manage and analyse "Big Data" for commercial and intelligence purposes. "From DPI solutions for SORM to contextual advertising, we have the experience and the solution. We are offering to coordinate a scalable national solution for control of the digital network. We strive for effective cooperation within a symbolic network alliance: operator - vendor - search engine - business - state organs."
The above graphics shows the Internet backbone infrastructure in Russia and the nodes at various providers that run components of the proposed DPI*GRID system in different locations.
The node TopGun most likely refers to a multi terabit DPI system developed by PETER-SERVICE.

About SORM
SORM is the technical infrastructure for surveillance in Russia. It dates back to 1995 and has evolved from SORM-1 (capturing telephone and mobile phone communications) and SORM-2 (interception of Internet traffic, 1999) to the current SORM-3.
SORM now collects information from all forms of communication, providing long-term storage of all information and data on subscribers, including actual recordings and locations.
> In 2014, the system was expanded to include social media platforms, and the Ministry of Communications ordered companies to install new equipment with Deep Packet Inspection (DPI) capability. 
> In 2016, SORM-3 added additional classified regulations that apply to all Internet Service providers in Russia. The European Court for Human Rights deemed Russia's SORM legislation in breach of the European Convention on Human Rights in 2015 (Zakharov v. Russia).
Сегодня, 19-го сентября 2017 года, WikiLeaks начинает публикацию серии "Шпионские файлы России" с документами российской компании Петер-Сервис (PETER-SERVICE). Этот выпуск включает в себя 209 документов (34 базовых документа в разных версиях), датированных между 2007 и 2015 годами.
PETER-SERVICE была основана в 1992 году в Санкт-Петербурге как поставщик биллинговых решений и вскоре стал основным поставщиком программного обеспечения для телекоммуникационной отрасли в России. Сегодня она насчитывает более 1000 сотрудников в разных точках России, а также офисы в крупных городах России и Украины. Технологии разработаны и внедрены PETER-SERVICE сегодня выходят далеко за рамки классического платежный процесс и расширить в области наблюдения и контроля. Несмотря на соответствие строгим законам видеонаблюдения является обязательной в России, а не вынужден подчиняться PETER-SERVICE представляется довольно активно развивает партнерство и коммерческих возможностей с государственной разведки.
По сути PETER-SERVICE занимает уникальное место партнера в системе слежки благодаря замечательной видимость их продукты обеспечивают в данных российских операторов мобильной связи, которые приводят к Петер-сервис ценные метаданные, в том числе телефон и сообщение записей, идентификаторы устройства (IMEI и MAC-адрес), сетевой идентификатор (IP-адресов), вышки сотовой связи и многое другое. Эти обогащенные и агрегированные метаданные представляют интерес для российских властей, доступ к которым стал ключевым компонентом архитектуры системы.

Выбранные компоненты программного обеспечения PETER-SERVICE


Базовая архитектура программного обеспечения PETER-SERVICE (SVC_BASE) включает в себя компоненты для хранения данных (ДРС [АН], [ру]), долгосрочное хранение в СОРМ (ССП-служба СП-ПУ), анализа IP-трафика (Административный пользовательский интерфейс продукта TDM) и интерфейсы (адаптеры) для государственных органов, чтобы получить доступ к архивам.

Административный пользовательский интерфейс продукта TDM

Административный пользовательский интерфейс продукта TDM это система, которая регистрирует и отслеживает IP-трафик для всех мобильных устройств, зарегистрированных у оператора. Он ведет список категоризированных доменных имен, которые охватывают все области, представляющие интерес для государства. Эти категории включают в себя черные сайты, криминальные сайты, блоги, веб-почта, оружие, ботнет, наркотики, ставки, агрессия, расизм, терроризм и многое другое. На основании собранной информации система позволяет создавать отчеты для абонентских устройств (определил по IMEI/TAC номер, марка, модель) на определенный промежуток времени: Топ категорий по объему, топ сайтов по объему, топ сайтов, время, проведенное, протокол использования (браузинг, почта, телефония, торрент) и распределение трафика/времени.

Подсистема «Адаптер взаимодействия по протоколу 538 – сторона DRS

Система хранения данных является обязательным компонентом для операторов по закону; она хранит все коммуникационные (мета-)данные локально в течение трех лет. Государственные разведывательные органы используют встроенный в DRS адаптер протокола 538 для доступа к хранимой информации. По данным PETER-SERVICE их решение DRS может обрабатывать 500,000,000 соединений в день в один кластер. Заявленное среднее время поиска связанных записей абонента за один день составляет десять секунд.

Сервис-СП-ПУ

В SORM функции мониторинга вызовов сосредоточены в контрольных точках (пунктах управления,.), которые подключены к сетевым операторам. В СП-ПУ-сервис-это интерфейс обмена данными на основе протокола https между компонентами в SVC_BASE/DRS и СОРМ. Интерфейс получает запросы на поиск от органов государственной разведки и возвращает результаты инициатору. Поисковые запросы на законные перехваты (по решению суда) обрабатываются оператором в той же системе.

Продукты Deep Packet Inspection (DPI)

В качестве смежного документа этот первый релиз содержит публично доступную презентацию слайд-шоу от компании PETER-SERVICE на форуме широкополосной связи Россия в 2013 году. На тему: "национальные штабеля точек на дюйм / Размер / Датамайнинга технологий и решений для сбора и анализа информации, а также средства прогнозирования социальных и бизнес тенденций - ключ к цифровому и финансовому суверенитету государства и бизнеса в XXI веке", презентации - который, кажется, уже быть в открытом доступе на сайте PETER-SERVICE - не предназначен для обычной связи провайдера, но замкнутой группы людей из ФСБ, МВД и три ветви власти ("три столпа власти" - законодательной, исполнительной и судебной власти).
Презентация была написана всего через несколько месяцев после того, как Эдвард Сноуден раскрыл программу массового наблюдения АНБ и ее сотрудничество с частными американскими корпорациями, такими как Google и Facebook. Конкретно опираясь на АНБ программу PRISM, презентация предлагает правоохранительным органам, разведке и другим заинтересованным сторонам вступить в альянс с целью установления эквивалентных операций по добыче данных в России. PETER-SERVICE утверждает, что уже есть доступ к большинству всех телефонных звонков, а также интернет-трафик в России, и в описании актуального опыта, он утверждает, что развернута технология для углубленной проверки пакетов "не только в заголовках IP-пакетов, но содержание все серии". PETER-SERVICE представлена как естественный союзник для спецслужб в "самый прибыльный бизнес [в] манипулирование сознанием".
Однако ядро презентации - это новый продукт (2013 год) под названием DPI*GRID-аппаратное решение для "Deep Packet Inspection", которое поставляется буквально как "черные ящики", которые способны обрабатывать трафик 10 Гбит/с на единицу. Национальные провайдеры объединяют интернет-трафик в своей инфраструктуре и перенаправляют/дублируют полный поток на DPI*GRID. Подразделения проверяют и анализируют трафик (презентация не содержит подробного описания этого процесса); полученные метаданные и извлеченная информация собираются в базе данных для дальнейшего изучения. Аналогичное, но меньшее решение, называемое MDH/DRS, доступно для региональных провайдеров, отправляющих агрегированный IP-трафик через соединение 10 Гбит/с в MDH для обработки.

PETER-SERVICE рекламирует свой опыт в СОРМ технологий - особенно ДОИ - и его способность собирать, обрабатывать и анализировать "большие данные" в коммерческих целях и в целях разведки. “От ДОИ и решений для СОРМ до контекстной рекламы, имеем опыт и решения.Предлагаем выступить в роли координатора темы по созданию решений национального масштаба для контроля над цифровыми сетями. Стремимся эффективно сотрудничать в рамках обозначенного альянса: оператор – поставщик – поисковик – бизнес – госорганы»

На приведенной выше графике показана магистральная инфраструктура Интернета в России и узлы у различных провайдеров, которые работают с компонентами предлагаемой сеточной системы DPI*в разных местах. Узел TopGun, скорее всего, относится к мультитерабитной системе ДОИ разработанной компанией PETER-SERVICE.

О СОРМ

СОРМ это техническая инфраструктура для наблюдения в России. Он восходит к 1995 году и эволюционировал с СОРМ-1 (захват телефонной и мобильной связи) и СОРМ-2 (перехват интернет-трафика, 1999 год) до нынешнего СОРМ-3. В настоящее время SORM собирает информацию со всех форм связи, обеспечивая долгосрочное хранение всей информации и данных о абонентах, включая фактические записи и местоположения. В 2014 году система была расширена до социальных медиа-платформ, и Министерство связи приказало компаниям установить новое оборудование с возможностью Deep Packet Inspection (DPI). В 2016 году СОРМ-3 добавила дополнительные классификационные правила, которые применяются ко всем поставщикам услуг Интернета в России. Европейский суд по правам человека признал российское законодательство SORM нарушением Европейской конвенции о правах человека в 2015 году (Захаров В. Россия).

Media Partners
  • L'Repubblica - Italy
  • Mediapart - France
 

No comments: