电子监控技术,如网络安全技术、合法监控技术、开源情报分析技术、深度包检测技术、情报融合中心技术、开源情报技术,已经成为当今世界各国政府打击严重有组织犯罪及恐怖主义犯罪的有力武器,对保护人们生命财产安全、维护社会稳定起到了至关重要的作用。
美国在电子监控技术领域拥有一批世界知名的企业,本文结合国际互联网信息,对美国最新电子监控技术方案进行概览。
一、美国 Endgame 公司网络安全产品
https://www.endgame.com/
美国Endgame公司成立于 2008 年,主要提供网络安全技术方案。然而,该公司的系列产品缺乏透明度,一方面服务于政府机构,另一方面服务于商业市场。 在政府机构方面,Endgame 公司可提供先发制人或者报复性的网络攻击手段,不仅包括用于实施网络攻击“零日攻击”程序软件,还包括用于获取目标系统、设备和位置有关信息的 Bonesaw 软件。
据悉,Bonesaw 已经成为美国国家安全局、中央情报局、网络司令部以及英国军情六局等机构不可或缺的工具。
在商业市场方面,Endgame 公司提供“漏洞情报”网络安全产品,此类产品可以分析客户的网络防御方案和多源信息数据,并将这些信息与 Endgame 的网络威胁研究进行比对。
Endgame 的技术方案以基于并行处理的大数据分析为特点,能将数据量减少 至可管理的水平。此外,在不断加剧的网络威胁驱动 下,Endgame 公司还运用“实时预测分析”(RTPA) 来查询和评价“动态数据”,而由此形成的深度见解可以提醒客户注意潜在的网络安全漏洞。
二、美国惠普公司合法监控技术方案
惠普公司在合法监控领域一直保持低调,即使 在 有 FinFisher、Hacking Team、AQSAQAM、 Utimaco、SS8 等知名公司参加的 ISS World 会议上, 也坚称其一直致力于网络威胁检测,而很少提及合法 监控。然而,惠普在合法监控领域拥有强大而全面的产品套装,可满足执法机构实施合法监控和电信运营商协助实施合法监控的需求。
惠普公司的核心合法监控技术方案名为 DRAGON, 即 Data Retention and Guardian Online(数据存留和在线监测)的缩写。惠普公司拥有超过 20 年的数据存留业务经验,因此数据存留和分析无疑是DRAGON 的核心技术。
DRAGON 作为一个端到端的解决方案,为电信运营商提供其所需的全方位技术组件,以及实时或事后数据存留和分析功能,以支持执法机构的需求、法院授权和法院命令。
对于较大的电信运营商而言,每天收到大量的呼叫数据记录(CDR)和 IP 数据记录(IPDR)查询请求是很正常的,DRAGON 的管理系统提供了统一的前端, 改善了工作流程,在降低内部成本的同时也提高了服 务速度。
惠普公司提供了两种探测器,惠普网络探测器和惠普 DRAGON Blue IP 探测 器。 惠普网络探测器是一个典型的被动式合法监控设备,其部署在电信运营
商网络边缘,提供针对特定目标的通信监控,贯穿了 电路交换、移动、IP 和宽带网络。该探测器实时提取数据的速度最高可以达到 40Gbs。
惠普 DRAGON Blue IP 探测器可以从 IP 数据包的有效载荷中获取完整的数据内容,覆盖 TCP/IP 协议的应用层和传输层,适用于社交媒体、渐进式媒体、流媒体、点对点会话发起协议(SIP)和实时传输互联网协议 (RTP VoIP)、聊天软件、电子邮件和短信服务等。
DRAGON Blue IP 探测能实时、 准确地识别跨多个应用程序、地理位置、设备和身份的目标对象,并 且通过滤掉无关外部数据来节省资源。
惠普公司有多种数据存留方案,每一种都针对特定类型的数据库( 如 Oracle、MySQL、RainStor、 Teradata、HP Vertica 等)。 电信运营商可以基于对数据量的预期值,选择对存留数据的分析深度、查询速度、性能水平和本地 Hadoop 集成能力。
对于 Oracle 数据库, 适用 DRAGON 绿色级, 其可深入分析任何数据量,查询时间低于 10 秒,但不具备本地 Hadoop 集成能力; 对于 MySQL 数据库, 适用 DRAGON 橙色级,其可深入分析中、小规模数据量, 查询时间低于 10 秒,但不具备本地 Hadoop 集成能力;对于 RainStor 数据库,适用 DRAGON 红色级,其可深入分析大规模数据量,查询时间低于100秒,具备本地 Hadoop 集成能力;对于 HP Vertica 数据库,适用 DRAGON 紫色级,其可深入分析大、中规模数据量,查询时间低于 10 秒,具备本地 Hadoop 集成能力。
三、美国 Recorded Future 公司开源情报分析工具
https://www.recordedfuture.com/
美国 Recorded Future 公司创立于2009年, 总部位于美国马萨诸塞州,在瑞典哥德堡也设有办公室。公司在创立过程中还得到了美国中央情报局所成立的风投 公 司 In-Q-Tel 的资金注入。
Recorded Future 公司擅长于分析开源情报,其情报来源超过650000 个,涵盖 7 种语言。
所有数据被时序分析引擎(TAE)处理之后,会以可视化的形象出现,使用 户可以快速查看模式和关联,并找出潜在威胁的来源。
时序分析引擎包括即事实搜索、监测、分析执行机制三层,实时事实窗口和事实数据仓库,不仅能对内容进行特定关联分析,还能进行隐式分析(即开源情报中看不见的关系)。
用户可以看到的分析和可视化内容有:事件和事件的数量、事件发生的时间、事件发生的位置、攻击者、攻击者的 URL、攻击者的情绪、被攻击的目标等。
根据需要,时序分析引擎还可以回顾历史,通过相似因素寻找先例。
四、美国 Packet Forensics 公司深度包检测技术
http://www.packetforensics.com/
美国 Packet Forensics 公司是深度包检测技术领域的引领者,早在 2012 年就有信息披露,美国国家安全局与该公司和法国 Vupen 公司(专注于漏洞挖掘)签订了价值 50 万美元的合同。
Packet Forensics 公司的深度包检测技术主要有:
1.Packet Forensics M1, 该技术可用于合法监控以及执行网络安全和其它通信管理政策,可灵活应用于以太网、IP 和 MPLS,可同时提供探针和中介功 能,并记录和缓存元数据。
2.Packet Forensics M1S, 该技术提供类似 Packet Forensics M1 的功能,但数据吞吐量更大, 且具有独特的以太网探针、集成的中介服务器和快速加密能力。
3.Packet Forensics 5BG3, 该技术可以监控、 转发和分析 VoIP 电话,映射 RADIUS 数据,启动笔 式记录器等,同时还能搜索全数据流。
尽管业内对深度包检测的理解不尽相同,有人认为深度包检测始于 OSI 模型的第 4 层(传输层),有人认为深度包检测主要涉及第 5 层至第 7 层(会话层、
表示层和应用层)的“有效载荷”,还有人坚持认为深度包检测针对第 7 层(应用层),但存在一个共识, 即深度包检测的主要工作在第 7 层,用户在这一层可
以利用应用程序和协议看到有效载荷的确切内容。
深度包检测对于执法、情报机构非常重要,既可以作为合法监控工具,又可以作为对加密通信实施“中间人 攻击”和“旁观者攻击”的网关。
深度包检测与“中间人攻击”和“旁观者攻击” 有着密不可分的关系。以“中间人攻击”为例,目前常见的四大“中间人攻击”方法主要有 APR 缓存病毒攻击、会话劫持、DNS 欺骗和 SSL 劫持。
深度包检测会通过这四个步骤来辅助实施“中间人攻击”:
(1) 寻找并分割 SSL/TSL 流量;
(2) 从由法国 Vupen 公司等提供的漏洞库中应用漏洞;
(3)利用漏洞获取公共加密密钥;
(4)通过展示有效的、值得信任的认证权限畅通无阻地访问目标通信及流量。
这四个步骤完成后,“中间人攻击”即可顺利实施,让用户有能力通过操作或注入数据控制目标。
五、美国 Kapow 公司网页抓取技术
http://katalystcommunications.com/
https://imacros.net/
位于美国加利福尼亚州的 Kapow 公司主要提供开源情报和“深网挖掘”技术,其客户包括美国国防部、 美国联邦和州执法机构。
Kapow 公司的核心技术与传统网页抓取技术的原理非常类似,都是将非结构化的 web 数据转变为可以用来分析的结构化数据。
Kapow 公司的两款典型产品有Extraction Browser 和 Katalyst Platform。Extraction Browser 是一款无需 API 接口即可从表示层、应用层提取和加载数据的浏览器。 可使用“合成 API”技术复制应用程序接口的功能以获取信息。
Extraction Browser 利 用 Javascript 引擎, 使 Katalyst Platform 可以查看和处 理网页中的所有动态变化,留下有用的数据,舍弃不需要的数据。如果数据量太大,可以通过增加服务器来确保可扩展性。 如果面对大量没有 API 的应用程序,可以通过“合成 API”技术创建“Kapplets”以获取数据。
所有的数据获取过程都不会被目标发现。
六、美国 Raytheon 公司电子监控技术
https://www.raytheon.com/
1. Gotham 指挥控制系统
Raytheon 公司花费 4.2 亿美元收购了 Blackbird公司,获得了 Gotham 指挥控制系统等一批先进技术产品,大大加强了其在战术情报、监控和侦察方面的 特殊行动能力。
Blackbird 公司最具代表性的产品是 Gotham 指挥控制系统,该系统是一套用于管理和监控 TTL(标签、跟踪与定位)、移动设备、目标地理位置数据的集中式系统。
Gotham 指挥控制系统借助其自身系统或谷歌地图,结合地理围栏与分析技术,可提供可视化的地理映射功能。用户可以利用该系统跟踪设备数据,对设备实施地理围栏处理,并最终在谷歌地图上看到结果。
Gotham 指挥控制系统具有强大的端到端通信功能,一方面可以使用户实时、准确地定位目标,另一方面可以使用户在现场与指挥中心之间更好地进行协作。指挥中心可以查看现场视频,在有必要时对TTL 设备进行重新配置。相反,数据还可以从指挥中 心推送到在现场的用户。
Blackbird 公司还有 FOX II 超低能耗地理跟踪系统、IBAT 手 持 式 卫 星 通 信 设 备、MUSTANG GPS 跟踪设备、OUTLAW 移动计算与通信平台等。
2. 大数据分析技术
美国 Raytheon 公司为执法机构研发的大数据分析技术 1.0 版和 2.0 版服务于犯罪调查工作,可大大 提高不同部门之间的数据共享能力。
大数据分析技术 1.0 版最常见的用途是搜索与目标有关的一切数据,以识别行为模式,检测异常与相似性,提高态势感知能力,确定安全风险等级等。
在执法机构最常用的记录管理系统中,大数据分析技术1.0 版可以在特定目标及其联系人之间创建链接,帮助执法人员绘制关系图。如果配以精确的地理坐标和热点图,还可以清楚地找到任何事件的高发区域。
此外,大数据分析技术 1.0 版还可以打包其它监控技术来完成更多的功能,如利用侵入式监控技术控制目标设备, 窃取目标设备信息。
大数据分析技术 2.0 版赋予执法机构更强的实时 数据共享能力,以提高事件响应速度和态势感知能力。 为验证大数据分析技术 2.0 版本的有效性,Raytheon
公司在纽约建立了一张多点网络,将奥尔巴尼警察局等 17 家执法机构连接在一起。数据库中不仅存储了犯罪记录和案件记录,还加入了人脸识别信息、从业
执照许可、住址照片等其它有助于追踪线索的数据。 实践证明,利用大数据分析技术 2.0 版之后,犯罪调 查的效率得到了明显提升。
Raytheon 公司认为,大数据分析技术将来要想取得更好的应用效果,必须注意数据共享和数据分析这两个问题。更好的数据共享机制和数据分析能力有利于更快捷地处理数据和更有效地获取关键证据。
3. 美国 Raytheon 公司 SureView 可视化分析平台
美国 Raytheon 公司的 SureView 是一款知名的大数据可视化分析平台。该平台据称甚至可与 IBM I2 公司的产品相媲美。
SureView 可视化分析平台功能强大,可获取多种来源的数据(如电话、电子邮件、短信、视频、第三方应用程序、文本、网页访问记录、犯罪记录等),可对与调查相关的数据或行为进行监控, 可使用户快速安全地检索数据等。
SureView 的 核 心 技 术 是 VisuaLinks,VisuaLinks 通过以下四个方面来更好地实现可视化分析:
1. 时间分析(Temporal Analytics),可针对目标群体或特定趋势的行为突变提供可视化时间轴,使用户即刻注意到值得进一步观察的异常事件;
2. 关系分析(Link Analytics), 揭示目标网络的内在关联关系,以图形方式说明目标群体的主要成员及其关系;
3. 地理空间分析(Geospatial Analytics), 在地图上显示地理坐标及关联系,如揭示 IS 恐怖分子 在全球不同地点的金融交易信息;
4. 统计分析(Statistical Analytics),通过使用色彩分明的图表,将分析后的数据直观呈现,从时间、关系、 地理空间等角度显示与某事件相关的大量精确信息。
七、美国 SS8 公司合法监听产品
https://www.ss8.com/
美国 SS8 公司最初并不从事监控技术开发。在20 世纪 90 年代中后期,该公司主要提供一种名为 ServiceSwitch 的信令和服务平台,该平台主要为公共交换电 话网络(PSTN) 使用的7号信令(SS7) 和当时刚兴起的互联网之间提供桥接业务。出于营销目的,ServiceSwitch 平台提供的服务被命名为8号信令(SS8),这也是 SS8 的公司名称的由来。随着公司转型,SS8 公司迅速在合法监听领域取得了领先地位,逐渐发展完善了包括合法监听、社交媒体监控、 数据分析和木马植入在内的产品系列。
移动通信进入 4G 时代后,数据传输速率和吞吐量都有了巨大的飞跃,这样经常容易导致现有合法监听系统死机。以前仅限于在 PSTN、DSL 和同轴电 缆网络上使用的服务转移到了 4G 网络上,同时也涌现了大量的新应用和新设备。
然而,即使 4G 网络飞速发展, 2G 和 3G 目前仍占很大份额,这就意味着合法监听系统不仅要在 4G 网络中游刃有余,还要能够兼顾现有的 2G 和 3G 网络。为应对这样的挑战,SS8 公 司 推 出 了 以 Xcipio 中 介 设 备、AXS 探 针、Intelligo 平台为代表的合法监听产品。
1.Xcipio 中介设备
Xcipio 中介设备是 SS8 公司的龙头产品,其最大特色在于对 4G LTE 投入了大量精力,能轻松处理以下四个重要节点的任何速率的元数据和呼叫内容:
(1)移动管理实体(MME),它是 LTE 接入网络 的关键控制节点;
(2)服务网关(SGW),它负责 LTE 和 3GPP 之间的流量路由,还可以复制流量;
(3)PDN 网关(PGW),它是介于移动设备和移动网络 之间的接口,可以为数据包过滤和深度包检测技术提供一个攻击点;
(4)归属签约用户服务器(HSS), 它负责在 IP 网络上建立会话,对拦截元数据非常重要。
从使用情况来看,Xcipio 可以与阿尔卡特·朗讯、爱立信、华为、思科等主流硬件厂家生产的网络交换机和路由器中的监控软件模块相兼容。
2.AXS 探针
AXS 探针是 SS8 公司的另一款知名产品。该设备是一种在网络边界被动地采集元数据和语音内容的设备,既可在被动式合法监听系统中单独使用,也可在混合式合法监听系统中与 Xcipio 配合使用。
3.Intelligo 平台
Intelligo 平台负责分析 Xcipio 和 AXS 所收集的数据。该产品效仿美国 Palantir 公司的相关产品,对已知目标的数据进行处理。分析人员通过可视化重建,可以看到目标的互联网活动,如网页浏览、电子邮件、短信和社交媒体等。
Intelligo 平台的社交媒体分析模块将各种图表整合在一个链接图中,用户可以通过调整格式来确定某事件的领导者、串联者或参与者,并对事件和时 间进行回溯。此外,Intelligo 平台的查询引擎还方便分析人员查询元数据、呼叫内容和基于时间的目标行为。
八、美国 NARUS 公司深度包检测技术
http://www.narus.com/、http://www.boeing.com/
美国 Narus 公司于 1977 年成立于以色列,是全世界最早研发深度包检测技术的公司之一。该公司后来搬迁至美国,被美国波音公司收购。20世纪初,Narus公司开始涉足监控领域。
2005 年,Narus 公司推出了 STA 6400, 该设备号称是全球最早的一批用于监控领域的深度包检测产品。 在“棱镜门”事件中,有报道称,美国国家安全局将
STA 6400 用 于“ 上 行(Upstream)” 项 目 中, 以实施高速网络拦截与骨干网络通信设备流量分析。
目前,Narus 公司已经成为美国国家安全局的主要技术支持者。此外,Narus 公司还曾向以埃及为代表的中东、 北非地区国家销售了深度包检测技术。
Narus 公司的深度包检测技术可以打开并检测数据包头文件,确定来源和去向,甚至还能进行深度内容检测。Narus 公司称,在挑选一个或者多个目标数据包时,深度包检测技术越先进,对计算能力的要求会越高。
为提高深度包检测技术的性能, Narus 公 司 还 推 出 了 Nsystem 技 术, 该 技术是一种大数据分析解决方案,具有数据采集和初始化、 元数据生成、数据捕捉 / 处理 / 分析、实时分析、接 口兼容等多种功能。
九、美国 Verint 公司情报融合中心
https://www.verint.com/
美国Verint公司推出的情报融合中心 (Intelligence Fusion Center)可以对来自多方信息源的大量数据进行存储和分析,根据用户选定的周期 (分、时、日、周)重新整合数据,将数据直观清晰地呈现给终端用户,同时对异常情况发出警报。
在大数据分析中,情报融合中心既可以处理结构化数据,也可以处理非结构化数据,支持 100 种数据库和 500 种文件格式。情报融合中心的数据源包括警
方现场调查报告、犯罪记录、机动车信息、个人信息、手机详细信息、呼叫详细记录、网站内容,以及由Verint SkyLock 系统获取的手机定位信息等。
情报融合中心要处理的数据信息量庞大,仅以被侦查对象的个人信息为例,就包括其姓名、年龄、身份、性别、出生地、出生日期、国籍、护照号码、身体特征、家庭住址、工作地点、社交场所、犯罪记录、可疑活动, 以及被侦查对象是否与某已知目标有关联等。
情报融合中心支持用户从三个层次分析数据:
第一层次,用户可以通过预设的数据集(如带特定关键词的推文或带特定三位电话号码前缀的呼叫详细记录)来搜索特定类型的犯罪、恐怖行为(如爆炸、
枪击、绑架、毒品交易等)。情报融合中心通过分析,会得到数千个可能的搜索结果,然后用户可以将查找范围从某个地区缩小到某个城市。情报融合中心会以列表或地图的方式将搜索结果呈现给用户。
第二层次,用户对上一层次的搜索结果进行结构化搜索,置顶可能性最大的目标,并得到该目标的完整个人信息,如个人照片、常去的地点、出行模式的
异常情况、其他记录(购买武器记录或出庭记录)等。
第三层次,用户进行群组化搜索,形成目标的社会关系网。不同类型的关系(如家庭成员、犯罪同伙)用不同颜色的线条连接,线条的密度可以揭示目标和犯罪同伙联系的频繁程度。用户可以根据情报融合中心的分析结果,不断调整监控方案,不断从目标身上 获取新的情报。
十、美国 Keysight 公司 Agilent 射频信号监测设备
https://www.keysight.com
射频信号监测工作能使用户发现无线电频谱中的异常信号,进而对信号发射器进行定位,因此对于情报搜集活动非常重要。在早期,射频信号监测工作主要通过频谱分析仪来完成,随着技术的不断进步,信号分析仪逐渐取代了传统的频谱分析仪,重要原因之 一是其具有矢量分析功能,用户可以实时捕获较大频
率范围的宽带信号。
近年来,随着宽带网络和无线网络的不断普及,利用射频信号传感器建立能够监测大面积信号的网络也越来越受欢迎。 美国 Keysight 公司是射频信号监测领域的知名研发企业,其 X-Series 信号分析仪和 Agilent 射频信 号传感器系统具有良好的性能。
1.X-Series 信号分析仪
X-Series 信号分析仪号称是一款“革命性的” 信号分析设备,既能满足现有的射频信号监测需求,也能针对新出现的技术进行软硬件升级。X-Series 信号分析仪主要有 CXA、EXA、MXA 和 PXA 四 个模块。所有模块均带有可升级 CPU,可支持快速扫描、相位噪声增强、实时频带增强和实时频谱分析等功能。
X-Series 信 号 分 析 仪 由 Agilent 89600 VSA 和 WLA 软件包提供支持。VSA 可以测定和分析大约 75 种 不同的信号类 型, 包括 LTE、LTE-Advanced、 CDMA、HSPA +、802.11、WiMax、 蓝牙等。 WLA 是 对 VSA 的 媒 体 访 问 控 制(MAC) 的 补 充, 可以解码和验证 MAC 消息,然后将信息与物理层(基 本传输硬件)相关联。
2.Agilent 射频信号传感器系统
如果用户不仅想快速定位,还想快速抓捕,那么可以采用带有地理定位软件的 Agilent 射频信号传感器系统。这种系统的规模经扩展后可以监控一个市、县、州、国家。Agilent 射频信号传感器系统的核心模块是 N6854A 地理定位软件,该软件与 N6820ES Surveyor 4D 软件配合使用,可以跟踪和映射某信号发射 器的实时地理位置。 其中,N6820ES Surveyor 4D 软件负责发现信号,N6854A 地理定位软件负责对信号发射器进行定位。
十一、美国 Paraben 公司苹果操作系统取证设备
https://paraben.com/
美国 Paraben 公司创立于 1999 年,位于弗吉尼亚州,是全球移动取证领域的知名厂商。该公司推出了多元化的产品,如:能够在智能手机、个人电脑和其他设备上找回丢失数据的闪存驱动器,能够分析聊天记录的程序,能够检测黑莓手机是否被植入木马的软件,能够让调查人员在不能进行逻辑渗透的情况下进行手工取证的硬件。
然而,Paraben 公司的最主打产品是 Device Seizure, 该产品能在Windows Vista/7/8 上面运行的苹果操作系统取证设备。
在移动取证领域,苹果操作系统的取证问题往往非常棘手。然而,Paraben 公司却不断推出相应的取证设备。如:在苹果公司分别于 2014 年和 2015 年发布 iOS 8 和 iOS 8.3 版 本 之 后 不 久,Paraben 公 司 也 随 即 分 别 推 出 了 Device Seizure 6.8 和 Device Seizure 7 移 动 取 证 设 备。
目 前,Device Seizure 7 能够对苹果 iOS 8.3 版本以下的智能手机、平板电脑, 以及安卓、黑莓和 Windows 操作系统进行逻辑取证, 并对一些硬件模型进行物理取证。Device Seizure 7 能够显示文件系统、当前及被删除文件和数据、文本消息、电子邮件、呼叫历史记录、电话簿、日历、视频、 静态图像、Java 文件、GPS 位置信息等。
十二、美国 Procera 网络公司深度包检测技术
https://www.sandvine.com/
美国 Procera 网络公司在深度包检测领域的主要产品 PacketLogic 有四个版本,分别是 PacketLogic 1000 系列、PacketLogic 7000 系列、PacketLogic 8000 系列和 PacketLogic 20000 系列。
1.PacketLogic 1000 系列。
为 满 足 低 端 需 求,该系列中的 PL1620 针对入门级网络用户研发,将 PacketLogic 软件部署在可靠性强的小型服务器上(该服务器具有基本的深度包检测功能和存储功能)。进一步讲,PL16XX 版本通过单独的控制节点(CN)和一到四个存储节点(SN)提供运营商级别的功能。 存储节点越多,数据存储能力越强,利用四个存储节 点可以存储数亿条统计数据。
2.PacketLogic 7000 系列。
PL7340 和 PL7810 能 处 理 从 1 Gbps 到 5 Gbps 传输速率的带宽。这两款产品都应用了分布式关系型数据库服务(DRDL)来实现精确、实时的目标情报拦截。此外,这两款产品都可以通过扩展模块来突破 5 Gbps 传输速率的带宽限制。
3.PacketLogic 8000 系列。
该系列中的 PL8840、PL8920 和 PL8960 能 处 理 32 Gbps 到 70 Gbps 传 输 速率的带宽。 和 PacketLogic 7000 系列 一 样,PacketLogic 8000 系列也使用 了分布式关系型数据库服务,并支持由用户选择的和被系统强制实施的各种规则。这三款产品都提供实时取证和内容情报功能。
4.PacketLogic 20000 系列。
该系列性能更强,能处理单系统传输速率 600 Gbps,多系统传输速率 10 Tbps 的带宽。 在大多数的合法监听情景中,PacketLogic 1000 系列和 PacketLogic 7000 系列可以满足需求。 当执法机构需要监控国家范围的通信时,PacketLogic 8000 系列和 PacketLogic 20000 系列能提供更有力支持。
十三、美 国 Harris 公司 Hailstorm LTE/GSM 定位设备
https://www.harris.com/
美国 Harris 公司推出的 Hailstorm 是一款先进的双模式 LTE/GSM 定位设备, 能对 LTE 网 络 和 GSM 网络( 包 括 2G、2.5G、2.75G 和 3G 网 络)中的手
机进行定位。目前,全世界许多国家和地区的通信网络正在由 GSM 向 LTE 过渡,双模式网络定位是手机定位用户重点考虑的因素,而 Hailstorm 正好能满足 此需求。
在 LTE 网络中对手机进行定位需要解决三大问题:双向认证、射频信号解码和多下行 / 上行链路信道。 Hailstorm 成功解决了这些问题,而且其定位精度比 SS7 移动定位设备的定位精度要高。SS7 移动定位设备通过定位离手机最近的移动基站来实施定位,这一功能在基站密集的市区非常有用,但若是在郊区、远郊区或荒野,其定位精度会大打折扣。
Hailstorm 则能够将手机锁定在几米的精度范围内,获取该手机的 IMSI、IMEI 和 TMSI 号码。
Hailstorm 不仅能够实现手机定位,还能够实施中间人攻击(MITM)、远程木马植入等。Hailstorm 通过中间人攻击,获取手机的密钥,伪装成网络中的基站,可以控制用户手机并获取手机上的信息。
然而,中间人攻击不一定能获取目标设备中的所有内容,要想实现这一目标,需要利用远程木马植入功能。 Hailstorm 通过远程植入木马,可以获取手机中的电子邮件、短信、VoIP 电话、密码、联系人列表、照片、文件、日历、网页浏览历史记录、系统信息等。
此外,在被动模式下,Hailstorm 还能够收集某特定区域内出现的所有的 IMSI 号码,从而检测出是否有特定目标进入该区域,并阻断特定目标手机的通信。
来源:环球安防 (2018.05)作者:公安部第一研究所 钟鑫
文章转载自微信公众号:丁爸 情报分析师的工具箱(公众号ID:dingba2016)
声明:本文来自丁爸 情报分析师的工具箱,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。