8. Израильские партнеры

Начиная с 1995 года, слухачи со всей Америки ежегодно в мае месяце собирались на свой слет, официально называвшийся конференцией по системам обеспечения разведывательной деятельности. На эту конференцию, которая проводилась в поселке Кристалл на противоположной стороне федеральной автострады напротив Пентагона, съезжались американские инженеры и ученые, которые занимались разработкой и производством подслушивающей аппаратуры.

Здесь они обсуждали последние достижения в области массовой электронной слежки, делились опытом подслушивания телефонных разговоров народонаселений целых континентов при минимальных затратах и рассказывали о методах перехвата трафика в новейших системах интернет-телефонии.

На конференции можно было встретить докторов наук по компьютерным технологиям, инженеров с более чем 30-летним стажем работы в телекоммуникационном бизнесе, сотрудников АНБ и богатых бизнесменов. Отличительной особенностью конференции являлось полное отсутствие представителей средств массовой информации.

Они сюда не допускались ни под каким видом, чтобы информация о последних научно-технических достижениях, которыми пользовались в своих разработках американские слухачи, не стала достоянием широкой общественности. Охрана на входе внимательно следила, чтобы ни один репортер не проник внутрь здания, где проходила конференция.

Чтобы составить примерное представление о круге вопросов, которые затрагивались на конференциях по системам обеспечения разведывательной деятельности, достаточно обратиться, например, к программе конференции, состоявшейся в мае 2006 года.

В понедельник 22 мая в 16 часов сотрудник израильской компании «Verint» делал доклад на тему «Подключение станций перехвата к широкополосным сетям совместной передачи данных и голосовой информации».

Во вторник 23 мая в 13 часов другой сотрудник «Verint» докладывал о расширении масштабов перехвата и обеспечении сохранности перехваченных данных. Два часа спустя третий сотрудник «Verint» рассказывал про «Deep View» — комплексное решение для перехвата сетевых пакетов с данными.

В программе конференции этот доклад был снабжен аннотацией, в которой, в частности, говорилось, что «DeepView» является системой для перехвата пакетов с данными, позволяющей глубоко проникать в коммуникационные сети и преобразовывать сырые данные в разведывательную информацию, пригодную для анализа и использования в качестве неопровержимых улик.

И, наконец, в среду 24 мая в 10 утра опять же представитель «Verint» выступал перед участниками конференции на тему «Проблемы практической реализации пассивного перехвата в системах мгновенного обмена сообщениями».

Спрятанная от посторонних глаз индустрия электронного подслушивания появилась на свет в США после принятия в 1994 году американского «Закона о содействии правоохранительным органам в области коммуникаций». Согласно этому закону, операторы связи в США были обязаны проектировать и создавать свои коммуникационные сети таким образом, чтобы в случае наличия судебного ордера к ним можно было подключиться для осуществления перехвата. Соответственно появились и компании, которые стали торговать системами, предназначенными для такого «законного» перехвата.

После террористических атак 11 сентября 2001 года и секретного распоряжения президента США Буша приступить к перехвату из коммуникационных сетей без получения ордера индустрия электронного подслушивания начала развиваться бурными темпами. Выражалось это не только в росте продаж, но и в остром соперничестве между участниками рынка.

Они создавали все более мощные системы электронной слежки, которые объединяли в себе возможность перехвата данных из сетей связи в масштабах всей страны с развитыми методами интеллектуального анализа перехваченной информации. Эти системы выставлялись на продажу, и купить мог любой, у кого хватало средств, включая правительства самых авторитарных и репрессивных стран в мире.

В США две самые крупные телекоммуникационные компании «АТ&Т» и «Verizon» выбрали сторонних подрядчиков для организации подслушивания в своих сетях связи. В тайной комнате в здании «АТ&Т» в Сан-Франциско весь входящий трафик контролировался при помощи оборудования, произведенного израильской компанией «Narus».

А компания «Verizon» выбрала другую, но тоже израильскую компанию — «Verint». Ее оборудование и программное обеспечение было установлено в ничем не примечательном 2-этажном здании в американском городе Хьюстоне для фильтрации интернет-трафика на предмет присутствия в нем ключевых слов, список которых компания «Verizon» периодически получала из АНБ.

Отобранные в Хьюстоне сообщения отправлялись в режиме реального времени в центр перехвата в городе Стерлинг в штате Вирджиния. Этот центр располагался в пристройке к зданию Лаборатории инженерных исследований (далее — ЛИИ) ФБР.

По заказу ЛИИ была разработана целая серия устройств для электронного подслушивания. Среди них был анализатор пакетов «DSC-1000», который мог использоваться, например, если анализ трафика, поступавшего с комплекса «Verint» показывал, что объект наблюдения являлся клиентом интернет-провайдера в Калифорнии.

Тогда ФБР могло установить «DSC-1000» в офисе калифорнийского интернет-провайдера, чтобы регистрировать все действия его клиента. Аппарат под названием «DSC-5000» являлся усовершенствованной моделью «DSC-1000». Он предназначался для слежки по решению судебной комиссии по надзору за внешней разведкой.

Еще один аппарат из этой же серии «DSC-3000» представлял собой автоматический регистратор телефонных звонков Он использовался для записи всех набираемых номеров с телефона, к которому он был подключен. И наконец, «DSC-6000» записывал телефонные разговоры.

Аббревиатура «DCS» обозначала систему цифровой коллекции (англ. Digital Collection System), которая была предназначена для тотального сбора всей информации без фильтрации. После обновления системы «DCS-1000» ФБР сделало «ребрендинг» и сменило ее название на «Carnivore».

«Carnivore» — автоматическая система шпионажа для прослушки информации поступающей и уходящей с веб-сайтов, анализа их баз данных, а также для вскрытия и анализа электронной почты. На текущий момент эта система является элементом суперкомьютерного кластера тотального слежения «Insight» компании «Narus».

«Carnivore» предназначена для обнаружения, расследования и сбора доказательств для судов по широкому спектру преступлений от наркоторговли, до неуплаты налогов и коррупционных сделок. Как известно, пакеты с данными в сети перемешаны, и дополнительная трудность заключается в том, что в большинстве случаев при каждом сеансе связи пользователь получает новый «IP» — адрес.

Это предъявляет еще больше требований к системе. Она должна просматривать весь трафик, чтобы затем вычленить необходимую информацию. Таким образом, «Carnivore» просматривает все письма, чтобы найти подпадающие под определенные критерии, например содержащие ключевое слово «бомба».

По заявке ФБР письма, не отвечающие критериям поиска, уничтожаются, т. е. информация о них не остается в ФБР. Как вы понимаете, в любом случае ситуация с перлюстрацией всех сообщений недопустима (просмотр юридически не обоснован и совершенно бесконтролен), и правозащитные организации выступили против несанкционированных действий ФБР.

Были инициированы слушания в Сенате США о допустимости использования программ, подобных «Carnivore». В ходе слушаний независимые эксперты заявили, что программа представляет собой «черный ящик» и непонятно, какую информацию и каким образом она собирает.

Министерство юстиции попыталось отклонить подобные обвинения, обратившись к одному из отцов основателей сети интернет Винтону Серфу, который заявил, что «Carnivore» является компьютером, который контролирует поток трафика (интернет-пакеты) в сети. Цель — пытаться отыскать лишь те пакеты, которые могут иметь отношение к ведущемуся расследованию, и игнорировать остальные.

Было выработано предложение отдать программу на анализ в несколько университетов, занимающихся вопросами кибербезопасности. В частности, были названы 5 известнейших научных центров: Массачусетский технологический институт (далее — МТИ), Калифорнийский университет Сан-Диего, Мичиганский университет, Дартмутский колледж и Университет Пэдью.

Ни один из перечисленных университетов в итоге не взял программу для анализа, и вот как это объяснил представитель МТИ Джефри Шиллер: «Это просто попытка правительства использовать нашу репутацию, поскольку им нужен только такой отчет, который подтвердит, что „Carnivore“ делает именно то, о чем говорит министерство».

Скандал разгорелся с новой силой. Был сформирован новый список компаний, которые могут провести тестирование. В результате Иллинойский технологический институт, проводивший исследования «Carnivore», в своем отчете сделал вывод о том, что система соответствует своим техническим характеристикам, но этого уже было недостаточно.

На следующем этапе Министерство юстиции обязало ФБР опубликовать документы, связанные с этой программой, для их последующего анализа. В октябре 2000 года было опубликовано около 750 листов, в той или иной степени касающихся этой разработки. Большинство наиболее важных фактов было зачеркнуто черной краской из соображений безопасности.

Несмотря на купюры, из текста стало понятно, что «Carnivore» является продолжением программы «Omnivore», разработанной ранее для ОС «Solaris». Первоначальная версия «Carnivore» была разработана в октябре 1997 года на базе ОС «Microsoft Windows» и умела делать только простейшую фильтрацию информации.

Сенат снял все ограничения на использование «Carnivore» для сбора оперативных данных. Сенатор Джадд Грег внес предложение на международный запрет криптосредств, которые затрудняют работу программы «Carnivore», так как не позволяют раскрывать сообщения.

Согласно закону «Патриотический акт» система установлена во всех компьютерных центрах США, её оператором является ФБР, получателями данных — все федеральные ведомства США. Система позволяет вести интеллектуальный анализ данных практически на всех языках мира, в том числе и на русском.

Агенты ФБР могут передать данные правоохранительным органам других стран через Интерпол, в том числе Федеральной Налоговой Службе РФ и МВД РФ, если система обнаружит информацию, похожую на описание действий характерных для преступлений. Аналогом «Carnivore» в России является СОРМ-2, установленный у всех Интернет-провайдеров в РФ.

«Carnivore» представляет собой гибко настраиваемую систему прослушки интернет-пакетов класса «sniffer» (программа или устройство для перехвата и анализа сетевого трафика). Такая архитектура позволяет анализировать любые данные на веб-сайтах, но автоматически изучается, в первую очередь, содержание передаваемых текстов в сообщениях и документах.

В 2005 году система была подключена к суперкомпьютерному кластеру прослушивания и мониторинга «Insight», который собирает информацию не только от прослушки почты и сайтов, но и всех других источников, доступных ФБР, ЦРУ и другим федеральным агентствам США.

Это позволяет проводить с помощью системы искусственного интеллекта глубокий анализ поступившей информации, оповещать агентов спецслужб США об обнаружении подозрительных действий. Путём сопоставления разных источников «Insight» может обнаружить информацию о преступлениях или нежелательных действиях против интересов США, даже если «Carnivore» смогла путем прослушки установить неполную и обрывочную информацию.

Как уже отмечалось, «Carnivore» разработана так, чтобы работать на базе самого обычного компьютера с ОС «Windows». Система анализирует пакеты, передаваемые по компьютерной сети и сохраняет прослушанные данные на переносные жёсткие диски. Информация никогда не удаляется, даже после передачи на анализ суперкомпьютеру «Insight», и жёсткие диски постоянно заменяются на новые.

Старые диски передаются в архив ФБР и могут быть извлечены в тех случаях, когда нужно восстановить данные, которые пользователь стёр на веб-сайте. Программно-аппаратный комплекс, работающий с системой, физически устанавливается во всех центрах обработки данных (далее — ЦОД) на территории США. «Carnivore» прослушивает не только данные поступающие в ЦОД извне, но и данные в локальной сети ЦОД между его внутренними серверами.

Поэтому если данные были переданы в зашифрованном виде и дешифрованы на сервере в ЦОД, то система их перехватит в дешифрованном виде в момент передачи от сервера приложений к серверу базы данных внутри ЦОД и т. п.

Таким образом, против «Carnivore» обычно бесполезны средства защиты трафика с помощью криптографического протокола «SSL» (англ. Secure Sockets Layer — уровень защищённых cокетов), а также любые другие средства шифрования при условии хранения паролей (ключей) к шифрам в самом ЦОД. Только в случае, если сам ЦОД всегда манипулирует зашифрованными данными и никогда их не дешифровывает, то «Carnivore» не сможет их прослушать.

Иными словами, любой веб-сайт, базирующийся в США, с вероятностью 100 % прослушивается «Carnivore», так как браузер не может выступать в качестве криптографического клиента, кроме как «SSL». В то же время, такие «крутые клиенты», как «Microsoft Outlook», могут поддерживать защиту от прослушки «Carnivore», если в них установлены компоненты для шифрования документов до отправки и никогда не передаются на веб-сайты пароли к шифрам.

Сама по себе «Carnivore» не является интеллектуальной технологией и предназначена просто для сбора данных с записью всего, что удалось прослушать и с простейшей фильтрацией данных. Как уже отмечалось, анализ данных выполняет суперкопьютер «Insight».

Основным интеллектуальным компонентом системы является подсистема фильтрации, которая решает, какие данные не следуют хранить в архиве для сокращения его размеров. Для этого разработана специальная компьютерная модель, которая оценивает стоит ли данные сохранять или нет, при этом текстовые данные и данные документов сохраняются всегда.

В арсенале средств, которыми располагало ФБР, числились также специализированные программные модули. Один из них назывался «Адресный верификатор интернет-протокола» (далее — АВИП). Он внедрялся в компьютер объекта слежки и тайно отсылал по заданному внешнему адресу всю информацию о нем, включая установленную ОС, используемый браузер, сетевой адрес и список запущенных программ.

Затем АВИП самотрансформировался в автоматический регистратор сетевых адресов и протоколировал адресную информацию о соединениях компьютера, являвшегося объектом слежки, с другими компьютерами, периодически отсылая эту информацию в центр перехвата ФБР в Стерлинге.

Другой специализированный программный модуль ФБР носил название «ML» (англ. мagic lantern — волшебный фонарь). Он фиксировал все нажатия клавиш на клавиатуре удаленного компьютера. И АВИП, и «ML», в основном, использовались при слежке за иностранцами. Однако известен, по крайней мере, один случай, когда АВИП был внедрен в учетную запись американского гражданина в социальной сети, и когда тот ею воспользовался, АВИП переселился в его компьютер.

Но если ФБР применяло эти модули при слежке за весьма ограниченным количеством объектов, то оборудование израильских компаний «Narus» и «Verint» активно использовалось в США для крупномасштабного перехвата данных как из международных, так и из внутренних коммуникационных сетей 24 часа в сутки 7 дней в неделю. Обе компании имеют тесные связи со спецслужбами Израиля, которые известны своей активной разведывательной деятельностью, направленной против США.

Компания «Narus», входящая в корпорацию «Boeing», производит высокоскоростное программное обеспечение перехвата разговоров. Она обеспечивает функционирование программы перехвата телефонных разговоров всех американцев, фильтрует и анализирует 60–80 % всей информации, проходящей в американских интернет-сетях.

По мере того, как инженеры компании «Verint» в Израиле создавали все более изощренные системы электронной слежки, ее генеральный директор Яков Александер занимался тем, что старался породить к ним интерес у развивавшегося быстрыми темпами разведывательного сообщества США.

С этой целью он ввел в состав наблюдательного совета компании бывшего директора АНБ Кена Минихана, и вскоре «Verint» заключила ряд выгодных контрактов, в том числе с компанией «Verizon». В соответствии с этим контрактом в компании «Verizon» была установлена система под названием «Звездный ключ» (англ. Star Кey), которая в рекламной брошюре «Verint» была описана так:

«С помощью «Star Кey» поставщики услуг в области коммуникаций могут получать доступ к трафику в практически любой сети связи, хранить накопленные данные сколь угодно долго и анализировать их… Предназначенный для работы с большим количеством объектов, сетевых соединений, регистрационной информации о вызовах абонентов и линий связи «Star Кey» незаметно подключается к выбранным коммуникационным каналам, не вызывая подозрений у их пользователей и не влияя на качество обслуживания…

«Star Кey» может быть быстро модифицирован в соответствии с требованиями заказчика для сопряжения с любым коммутатором, или типом системы хранения данных, или версией программного обеспечения, и легко встроен в любую программно-аппаратную среду. Его модульная архитектура облегчает модернизацию или адаптацию для соответствия новым коммуникационным протоколам или технологиям».

К 2004 году в результате внедрения системы «Star Кey» в США и во многих других странах значительная часть голосового трафика и обмена данными в мире контролировалась с помощью оборудования, произведенного, установленного и обслуживаемого компанией, которой руководили бывшие сотрудники спецслужб Израиля.

Причём «Verint» в любой момент и из любого места, включая Израиль, могла в автоматическом режиме перехватывать всю информацию, которая циркулировала в контролируемых сетях.

Первой этим озаботилась Австралия, которая была одним из главных клиентов компании «Verint». Австралийская межведомственная комиссия по противодействию коррупции и преступности по единодушному мнению членов комиссии рекомендовала избавиться от «Star Кey» как можно скорее.

Больше всего их раздражал тот факт, что они сами были не в состоянии получить доступ к перехваченным данным так же легко, как это могла сделать «Verint», которая находилась за тысячи километров от Австралии.

В то время, как компания «Verint» предоставляла возможность только перехватывать голосовой трафик и передаваемые данные, другая израильская компания «Persey» продавала средства интеллектуального анализа накопленного перехвата.

По заявлению компании, эти средства позволяли «быстро находить искомую голосовую информацию в большом количестве записанных разговоров вне зависимости от их содержания и используемых средств связи».

Таким образом, имея удаленный доступ к внутренним каналам связи в более чем сотне стран по всему миру, включая США, «Verint» обладала возможностями, сравнимыми с потенциалом АНБ, особенно если эти возможности дополнить интеллектуальным анализом данных.

Помимо «Verint» и «Narus», другим крупным игроком на американском рынке оборудования и программного обеспечения для перехвата из линий связи была еще одна израильская компания «Nice». Она была основана в 1986 году ветеранами израильского подразделения радиоразведки «8200».

В линейке продуктов, разработанных «Nice», присутствовала система «Трюк» — анализатор голосового трафика с возможностью поиска по ключевым словам, оценки эмоционального состояния говорящего, выделения индивидуальных особенностей речи и их визуализации.

Система «Галактика» была предназначена для регистрации телефонных разговоров, электронной почты, изображений на экране компьютерного дисплея и текстовых сообщений, которыми интернет-пользователи обменивались в режиме реального времени.

А в системе «Лаг» была реализована передовая технология сжатия голосового сигнала для одновременной записи телефонных разговоров, которые велись по тысячам аналоговых и цифровых каналов связи.

В 2006 году вышедший в отставку генерал Иар Коэн, который руководил подразделением «8200» на протяжении 2000–2005 годов, возглавил Совет директоров израильской компании «Actel». Двумя годами ранее «Actel» продала «Verint» за 35 миллионов долларов часть своего бизнеса, связанного с «государственным контролем в сфере коммуникаций».

В соответствии с документами, которые «Actel» предоставила в Комиссию по ценным бумагам США для регистрации сделки с «Verint», «продукция нашей компании, предназначенная для контроля в сфере коммуникаций, позволяет правительственным ведомствам осуществлять оперативный и всеобъемлющий контроль сетей телекоммуникаций.

Мы продали этот бизнес «Verint» в марте 2004 года. Сделанное приобретение позволит «Verint» расширить свои возможности по перехвату данных из каналов связи в целях массового сбора и анализа голосового трафика и передаваемых данных… Наши технологии будут встроены в другие продукты «Verint» и предложены клиентам по всему миру».

«Verint» поддерживала тесные связи не только с АНБ, но и с ФБР в лице его прослушивающего подразделения — Отдела по исполнению закона о прослушке «CALEA» (далее — ОИЗ). С момента своего создания ОИЗ стремился получить как можно более полный доступ к перехвату с американских каналов связи.