2005年3月9日,38岁的希腊电气工程师科斯塔斯·萨利基迪斯被发现在他雅典的阁楼公寓上吊自杀。这将被证明仅仅是丑闻的第一个公开新闻,该丑闻将困扰希腊数月之久。
第二天,希腊总理被告知他的手机被窃听,雅典市长和至少100名其他高级政要的手机也被窃听,其中包括美国大使馆的一名雇员(见侧栏“首席执行官、议员和总理”)。]
受害者是总部位于雅典的Vodafone-Panafon的客户沃达丰希腊是该国最大的移动电话服务提供商;Tsalikidis负责公司的网络规划。其中的联系似乎很明显。考虑到窃听时的人物名单和他们的职位,我们只能想象敏感的政治和外交讨论、高风险的商业交易,甚至是婚姻中的不检点行为,这些都可能经常被窃听,很有可能被记录下来。
甚至在萨利基迪斯死前,调查人员就发现沃达丰希腊电话网络上安装了不明身份的流氓软件。一些非常有见识的人要么从外部渗透到网络中,要么在特工或内奸的帮助下从内部颠覆它。调查人员后来发现,在这两种情况下,电话系统的核心软件都经过了巧妙和复杂的重新编程,这在以前和以后都是罕见的。
雅典事件无疑是迄今为止一家大型手机服务提供商卷入的最离奇、最尴尬的丑闻。对此事的研究在很大程度上揭示了网络能够、也应该采取哪些措施来减少黑客和“鼹鼠”的攻击。
这也是一个难得的机会来一睹最难以捉摸的网络犯罪之一。任何类型的重大网络入侵都极为罕见。它们很难实现,同样也很难调查。
即使是在重大的犯罪渗透事件中,雅典事件也很突出,因为它可能涉及国家机密,而且它的目标是个人——这种组合,如果以前发生过,也没有公开披露。最臭名昭著的入侵国家机密事件是“布谷鸟蛋”(Cuckoo’s Egg),这个名字是一位狡猾的网络管理员取的,他在1986年成功追踪了一名德国程序员。这名程序员一直在向苏联克格勃出售有关美国战略防御计划(“星球大战”)的机密。
但与“布谷鸟蛋”事件不同的是,雅典事件针对的是具体的高层政府和军方官员的谈话。鉴于这些对话很容易被记录下来,人们普遍认为它们是被记录下来的。但没有人找到任何录音,我们也不知道有多少电话被罪犯录了下来,甚至被他们监听了。虽然这种活动的范围在很大程度上是未知的,但公平地说,没有其他记录在案的计算机犯罪有同样的潜力获取有关国家事务的信息。
虽然这是第一次涉及手机的大规模渗透,但该计划并不依赖于网络的无线特性。基本上,黑客侵入了一个电话网络,并为自己的目的破坏了其内置的窃听功能。这可能发生在任何电话账户上,而不仅仅是手机账户。尽管如此,沃达丰希腊系统中有一些元素是独特的,对犯罪的实现方式至关重要。
我们仍然不知道是谁犯的罪。一个重要原因是,总部位于英国的沃达丰集团(Vodafone Group)在处理一些关键日志文件时出现了失误。沃达丰是全球最大的手机运营商之一。它还条件反射地删除了流氓软件,而不是让它继续运行,这向作恶者提示他们的入侵已被检测到,并给他们一个逃跑的机会。去年12月,该公司被罚款7600万美元。(有关2002年1月至2006年12月的事件时间表,请参阅“从阿尔法到欧米茄“[PDF])。
为了把这个故事拼凑起来,我们仔细阅读了数百页的证词,这些证词是由希腊议会调查该事件的委员会提供的,是通过向希腊议会提交的信息自由申请获得的。我们还阅读了数百页的文件和其他记录,并辅以公开的信息以及与案件有关的独立专家和消息来源的采访。这次极其聪明而复杂的电脑渗透行动,即使没有动机,也只有技术细节。
手机窃听始于2004年8月雅典奥运会狂热准备期间的某个时候。直到2005年1月24日,沃达丰的一个电话交换机产生了一系列错误信息,表明来自另一个手机运营商的短信没有发送出去。交换机是电话网络中由计算机控制的部件,它连接两条电话线以完成一次电话通话。为了诊断这些故障,沃达丰联系了交换机制造商瑞典电信设备制造商爱立信(Ericsson)。这些故障在当时看来非常不寻常,但还算无害。
首席执行官,国会议员和首相
在雅典事件中被非法窃听的手机包括希腊总理、国防部长和外交部长、高级军事和执法官员、希腊欧盟专员、活动人士和记者的手机。
2006年4月6日,爱立信(Ericsson Hellas)首席执行官比尔·兹寇(Bill Zikou)被传唤,向调查该丑闻的议会委员会提供证据。他的公司提供的电信交换设备被流氓程序员入侵。图片来源:Kostas Tsironis/AP Photo
沃达丰希腊首席执行官Giorgos Koronias下令取消监控项目,因为,正如他在2006年2月接受报纸采访时解释的那样,“公司必须立即做出反应。”删除该程序被认为泄露了罪犯的信息,帮助他们逃脱了抓捕。图片来源:Kostas Tsironis/AP Photo
希腊总理科斯塔斯·卡拉曼利斯(Costas Karamanlis)只是被非法窃听的大约100个人中最引人注目的一个,除了该国的政治、执法和军事精英之外,还包括卡拉曼利斯的妻子。图片:Johanna Leguerre/法新社/盖蒂图片社
科斯塔斯·萨利基迪斯被发现上吊,明显是自杀,就在雅典事件曝光之前。作为沃达丰(Vodafone)负责网络规划的电信工程师,他的理想位置要么是内部同谋,要么是数字入侵的发现者。但他与此案的牵连从未得到证实。图片来源:法新社/盖蒂图片社
Giorgos Voulgarakis是第一个向Koronias透露此事的政府官员。总理政治办公室主任扬尼斯·安杰洛(Giannis Angelou)也在场。图片来源:Louisa Gouliamaki/法新社/盖蒂图片社
我们现在知道,最终在沃达丰的四个希腊交换机中发现的非法植入软件,为被窃听的电话创建了并行的数字化语音流。一条小溪是普通的,在两个打电话的人之间。另一个流,一个完全相同的副本,被定向到其他手机上,让窃听者可以听到手机上的对话,也可能把它们录下来。该软件还通过自动短信将这些电话的位置和其他信息路由到这些影子手机。
2005年3月4日,在第一次消息失败的五周后,爱立信通知沃达丰,沃达丰的两个中心办公室安装了未经授权的软件。三天后,沃达丰的技术人员分离出了流氓代码。第二天,3月8日,沃达丰希腊首席执行官Giorgos Koronias命令技术人员删除该软件。
然后,事态发生了致命的转折。3月9日,即将在3个月后结婚的Tsalikidis被发现在他的公寓里上吊身亡。没有人知道他的明显自杀是否与此案有关,但许多观察人士猜测是这样的。
在Tsalikidis的尸体被发现的第二天,CEO Koronias会见了希腊总理政治办公室的主任。Yiannis Angelou和公共秩序部长Giorgos Voulgarakis。Koronias告诉他们,流氓软件使用沃达丰数字交换机的合法窃听机制窃听了大约100部电话,并提交了一份被窃听号码的清单。除总理夫妇外,国防部长、外交部长、司法部长、雅典市长和希腊欧盟委员的电话也都被泄露。还有一些人属于民权组织、和平活动家和反全球化团体的成员;国防部、公共秩序部、商船部、外交部的高级职员;新民主党执政党;希腊海军总参谋部;以及美国驻雅典大使馆的一名希腊裔美国雇员。
在最初发现窃听计划的几周内,希腊政府和独立机构展开了五项不同的调查,旨在回答三个主要问题:谁应为窃听负责?萨利基迪斯的死与丑闻有关吗?罪犯是如何完成这个大胆的计划的呢?
要理解有人可以秘密监听希腊最高级官员的谈话,我们必须审视使之成为可能的基础设施。
首先,考虑一通电话是如何打完的,无论是你的还是首相的。早在你用手机拨打一个号码之前,你的手机就已经与附近的蜂窝基站通信了。这些电台中的一个,通常是最近的,已经同意成为你的手机和整个网络之间的中介。你的电话听筒将你说的话转换成数字数据流,然后发送到基站的收发器。
基站的活动由基站控制器控制,基站控制器是台内的一台专用计算机,负责分配无线电频道,并帮助协调其控制下收发器之间的交接。
该控制器依次与移动交换中心通信,移动交换中心接收电话,并将它们连接到同一交换中心内的电话接收者、公司内的其他交换中心或充当国外网络网关的特殊交换机,将电话路由到其他电话网络(移动或固定电话)。移动交换中心对雅典事件尤为重要,因为这些中心安装了流氓电话窃听软件,窃听活动就是从那里开始的。他们是合乎逻辑的选择,因为他们是网络的核心;入侵者只需占领其中几座就能实施攻击。
基站控制器和交换中心都是围绕着一台名为交换机的大型计算机构建的,原则上,它能够在网络内的电话与世界上任何其他电话之间创建专用的通信路径。开关是20世纪70年代的遗留产物,在那个时代,强大的计算机充斥着房间,并围绕专有硬件和软件建造。虽然现在这些计算机体积较小,但系统的基本架构基本没有改变。
像大多数电话公司一样,沃达丰希腊公司的移动交换中心和基站控制器都使用同一种计算机——爱立信的AXE系列交换机。中央处理器协调交换机的操作,并指示交换机建立从一个电话到另一个电话的语音或数据路径,然后通过它路由呼叫。网络活动日志和账单记录由称为管理处理器的单独单元存储在磁盘上。
了解雅典事件核心黑客的关键在于了解爱立信AXE如何允许合法的拦截——也就是通常所说的“窃听”。尽管具体细节各国有所不同,但在希腊,就像在大多数地方一样,这一程序始于执法官员前往法院并获得搜查令,然后将搜查令提交给要窃听其客户的电话公司。
现在,所有的窃听都在中央办公室进行。在AXE交换机中,一个远程控制设备子系统(RES)通过监控被交换电话的语音和数据流来进行电话窃听。这是一个软件子系统,通常用于设置窃听,只有执法人员才有权访问。当被窃听的电话拨打电话时,RES将对话复制到第二个数据流中,并将该副本转移到执法人员使用的电话线上。
爱立信可选地提供了拦截管理系统(IMS),通过该系统可以建立和管理合法的呼叫拦截。当法院命令提交给电话公司时,其运营商通过在IMS软件中填写一个对话框来启动拦截。操作员界面中的可选IMS和交换中的RES都包含一个窃听列表:IMS中的窃听请求,RES中的实际窃听。RES中只有IMS发起的窃听应该是活动的,因此RES中没有IMS中的窃听请求的窃听很好地表明发生了未经授权的窃听。审计程序可以用来发现两者之间的任何差异。
事实证明,沃达丰在非法窃听时并没有购买合法的拦截选项,而IMS电话窃听管理软件也没有安装在沃达丰的系统上。但在2003年初,沃达丰技术人员升级了希腊交换机,发布了AXE软件套件的R9.1。根据爱立信的一封信,这次升级包括RES软件。因此,在升级之后,沃达丰的系统包含了使用RES拦截呼叫所需的软件代码,尽管它缺乏IMS中通常用于促进此类拦截的高级用户界面。
事实证明,这种奇怪的情况在雅典黑客非法监听电话的过程中起到了一定的作用,但他们却在数月的时间里没有被发现。
这需要狡诈以及在沃达丰的移动交换中心操纵合法的呼叫拦截功能的一些严肃的编程技巧。入侵者的任务尤其复杂,因为他们需要在不被沃达丰或爱立信系统管理员发现的情况下,在交换机上安装和操作窃听软件。入侵者不时需要访问流氓软件来更新被监控号码和影子电话的列表。这些活动必须从所有日志中删除,而软件本身必须对执行日常维护活动的系统管理员不可见。入侵者达到了所有这些目的。
他们利用了AXE允许在不重新启动系统的情况下安装新软件的事实,这是一个重要的特性,因为任何中断都会导致电话中断、短信丢失和紧急服务无法连接。为了让一个AXE交易所像许多交易所那样连续运行几十年,爱立信的软件使用了几种技术来处理故障,并在不暂停交易的情况下升级交易所的软件。这些技术允许对加载在中央处理器中的代码直接打补丁,从而有效地动态地改变操作系统。
现代的GSM系统,如沃达丰的,用一种复杂的加密机制来保护无线链路。打给另一部手机的电话将在远程手机和最近的基站之间重新加密,但在通过提供商的核心网络时不受保护。出于这个原因,以及为了在舒适的巢穴里方便地监听电话,沃达丰的窃听者攻击了沃达丰网络的核心交换机。从链的起点到终点都要加密通信,比如银行,这使得实施合法窃听变得非常困难。
为了简化软件维护,AXE有详细的规则,可以直接给运行在中央处理器上的软件打补丁。AXE现有的代码是围绕存储在中央处理器内存中的独立块或程序模块构建的。2004年使用的版本包括大约1760个区块。每个都包含一个小的“修正区域”,当软件更新补丁时使用。
假设你正在给代码打补丁,以迫使计算机执行一个新的功能Z,在它一直在执行不同的功能Y的情况下,例如,原始软件有一个指令,“如果X,那么执行Y”,打补丁的软件实际上会说,“如果X,那么转到修正区域位置l。”软件到达位置L并执行它在那里找到的指令,也就是z。换句话说,软件补丁的工作原理是用一条指令替换待修复代码区域的指令,将程序转移到包含新版本代码的更正区域的内存位置。
入侵者面临的挑战是使用RES的功能复制和转移调用流的位,而不使用对话框接口到IMS,这将创建可审计的活动日志。爱立信管理人士在负责调查窃听事件的希腊议会委员会作证时表示,入侵者在29个独立的代码块上安装了一系列补丁,从而实现了这一目标。这个流氓软件修改了中央处理器的软件,利用RES的能力直接发起窃听。最重要的是,对于他们来说,由于没有使用IMS及其用户界面,因此操作人员不可见这些按钮。
该软件的完整版本将在交易所的官方注册表中记录被窃听的电话号码。而且,正如我们所指出的,审计可能会发现交易所监控的数字与IMS中活跃的权证之间存在差异。但是流氓软件绕过了IMS。相反,它巧妙地将被窃听的数字存储在流氓软件自己的内存空间的两个数据区域中,这两个数据区域位于交换机的内存中,但与交换机的其他部分隔离,不被交换机的其他部分所知道。
这本身就为流氓软件逃脱检测提供了很长的路要走。但这些罪犯还通过其他方式隐藏了自己的踪迹。沃达丰的技术人员可能在多种情况下发现了AXE软件块的改动。例如,它们可以获取所有块的列表,这将显示在axe中运行的所有活动进程——类似于Microsoft Windows中的任务管理器输出或Unix中的进程状态(ps)输出。然后他们会看到一些过程是活跃的,尽管它们不应该是活跃的。但流氓软件显然修改了列出活动区块的命令,从任何此类列表中省略了某些区块(与拦截相关的区块)。
此外,流氓软件可能是在软件升级过程中发现的,甚至是在沃达丰技术人员安装一个小补丁时发现的。在电信行业,技术人员在执行升级或补丁之前验证现有块内容是标准实践。我们不知道为什么流氓软件没有以这种方式被检测到,但我们怀疑该软件还修改了用于打印校验和的命令的操作,这些代码创建了一种签名,根据这种签名可以验证现有区块的完整性。不管怎样,对操作员来说,这些块似乎没有改变。
最后,该软件还包括一个后门,让作案者将来可以控制它。这也是为了避免被发现而设计得很巧妙。希腊信息与通信安全与隐私管理局(希腊文缩写为ADAE)的一份报告指出,流氓软件修改了交易所的命令解析器——一个接受来自系统管理员状态的人的命令的例程——因此,后面跟着六个空格的无害命令将使交易所的交易日志和与其停用相关的警报失效,并允许执行与合法拦截子系统相关的命令。实际上,这是一个信号,允许与窃听有关的操作,但不留下任何痕迹。它还向系统添加了一个新的用户名和密码,可以用来访问交易所。
不仅改变操作系统代码,还隐藏其踪迹的软件被称为“rootkit”。这个词之所以为公众所知——如果有的话——是因为唱片公司索尼BMG音乐娱乐公司在2005年发行的一些音乐cd中包含了一个词。索尼的rootkit限制拷贝cd;它会潜入个人电脑的Windows操作系统,然后向用户隐藏自己的存在。(由于公众的强烈抗议,索尼停止使用rootkit。)安全专家还发现了其他通用操作系统的rootkit,如Linux、Windows和Solaris,但据我们所知,这是第一次在专用系统上观察到rootkit,在这种情况下是爱立信的电话交换机。
所有这些复杂的托词,那么流氓软件最终是如何被发现的呢?2005年1月24日,攻击者更新了他们植入的软件。那次升级干扰了短信的转发,导致短信无法发送。这些未发送的文本消息反过来触发了一个自动的失败报告。
在这一点上,黑客对交换机AXE软件套件的修改保密的能力达到了他们的极限,因为几乎不可能在其他人的系统中隐藏秘密。
与大多数大型软件系统一样,AXE记录各种网络活动。系统管理员可以查看日志文件,并且可以调查任何他们不能解释为普通使用的事件。
伐木的重要性再怎么强调也不为过。例如,在1986年杜鹃蛋入侵事件中,狡猾的网络管理员克利福德·斯托尔(Clifford Stoll)被要求调查一个75美分的会计错误。斯托尔花了10个月的时间寻找这名黑客,他深入侵入了位于加利福尼亚州的美国核武器实验室劳伦斯利弗莫尔国家实验室(Lawrence Livermore National Laboratory)的网络。他大部分时间都花在研究数千页的日志报告上。
像当今大多数复杂的系统一样,AXE可以帮助运营商在它生成的大量日志中找到有用的信息。它以错误或失败报告的形式自行报告异常活动。此外,交换中心每隔一段时间就会生成一个自己的快照——所有程序和数据的副本或转储。
转储最常用于恢复和诊断目的,但它们也可以用于安全调查。因此,当爱立信的调查人员因为未发送的短信而被叫去调查时,他们做的第一件事就是仔细查看定期转储的信息。他们找到了两个包含所有被监控的电话号码的区域,并检索了这些号码的列表。
调查人员更彻底地检查了转储文件,发现了流氓程序。然而,他们发现的是可执行代码的形式——换句话说,微处理器直接执行的二进制语言代码。可执行代码是当软件编译器将源代码(以AXE为例,是用PLEX语言编写的程序)转换为计算机处理器执行的二进制机器码时产生的结果。因此,调查人员煞费苦心地重建了入侵者开发的原始PLEX源文件的近似值。结果它相当于大约6500行代码,一个令人惊讶的庞大软件。
研究人员在模拟环境中运行这些模块,以更好地了解它们的行为。所有这些调查工作的结果是发现了包含窃听号码和最近截获的时间戳的数据区域。
有了这些信息,调查人员可以回过头来查看之前的转储文件,以确定窃听生效的时间间隔,并获得被窃听的电话号码和通话数据的完整列表——谁打给了谁,什么时候打给了谁,打了多长时间。(实际对话没有存储在日志中。)
虽然黑客攻击很复杂,但窃听本身很简单。例如,当首相用他的手机发起或接听电话时,该交换机将建立与合法窃听中使用的相同类型的连接——连接到一个影子号码,以便窃听谈话。
创建流氓软件以使其不被发现,需要大量编写AXE代码的专业知识,这是一种深奥的能力,在大多数地方都不容易获得。但巧的是,在过去15年里,爱立信为AXE开发的相当一部分软件都是根据合同由一家总部位于雅典的希腊公司完成的,即Intracom Telecom,它是Intracom Holdings的一部分。当地可以获得必要的专业知识,并在大量现在和过去的Intracom开发人员中传播。所以这可能是内鬼干的吗?
内奸?
没有一本推理小说是不完整的,读者会发现“是谁干的”,但现实生活通常比小说更混乱。在雅典事件中,我们只能推测谁可能是有史以来最壮观的细胞系统渗透的幕后黑手。
黑客掌握了爱立信AXE中央办公室交换机编程的神秘技巧,这让一些人相信,犯罪分子要么是沃达丰希腊公司的员工,要么是Intracom电信公司的员工。
Intracom之所以引起怀疑,是因为它向爱立信提供了关键软件,而且这家希腊公司是希腊主要运营商OTE集团的主要电信设备供应商。鉴于OTE的大部分股份由希腊政府持有,一家与OTE有大量交易的企业将有强烈的动机窃听执政党的电话,以检查它或OTE在上届政府期间建立的交易是否有被破坏的危险。根据这一理论,政府监听了阿拉伯人和反威权组织成员的电话,让调查人员徒劳无功。
但真正让人惊讶的是,沃达丰被黑的一个交换机就位于Intracom总部的园区内。任何想要进入沃达丰设施的人都必须通过Intracom的大门,这意味着访问沃达丰交易所的游客将被记录两次。不幸的是,尽管情况非常特殊,沃达丰还是按照常规程序销毁了此次交流的访客记录。因此,调查人员只有Intracom的访问记录,其中不会记录Intracom人员对沃达丰交换机的任何访问。
怀疑沃达丰希腊员工的主要原因是其网络规划主管Costas Tsalikidis的自杀。然而死者的家人质疑这到底是不是自杀。这家人的律师泰米斯托克莱斯·索福斯(Themistokles Sofos)表示:“我确信科斯塔斯·萨利基迪斯不是自杀的,这让我相信他很可能是通过专业的努力了解了电话窃听的情况。”因此,人们的猜测分为两种,一种认为萨利基迪斯自杀是因为他的参与即将被发现,另一种认为萨利基迪斯被谋杀是因为他已经或即将发现谁是凶手。
另一种流行的理论认为,是美国国家安全局、中央情报局或其他美国间谍机构干的。监听电话的位置与美国驻雅典大使馆控制下的公寓和其他财产的位置吻合得很好。
根据这一理论,窃听阿拉伯人和反独裁团体成员的电话是出于对雅典奥运会恐怖袭击的担忧。人们普遍认为,这些美国机构,尤其是美国国家安全局,拥有发动此类攻击所需的所有工具和专业知识。
-史蒂文·切里和哈里·戈德斯坦
在沃达丰内部人员的协助下,早期阶段的渗透要容易得多,但没有确凿证据支持这种情况。这种渗透可能是远程进行的,事实上,根据一份州报告,在短信失败的情况下,确切的事件时间是已知的,最后一个进入交易所的人已经获得了访客徽章。
同样,我们可能永远也不会知道萨利基迪斯是否与窃听有关。许多观察家发现他的死亡时间极具启发性,但直到今天还没有发现任何联系。对于渗透者的动机,观察员们只能猜测。[关于主要猜测的摘要,请参阅侧栏“内幕内幕?”;我们既不能赞同也不能反驳所提出的理论。
正如我们现在无法确定谁是雅典事件的幕后主使或他们的动机是什么一样,我们只能推测入侵者实施袭击时可能采用的各种方法。这是因为关键资料丢失或从未收集到。例如,2005年7月,在调查进行期间,沃达丰升级了用于访问交易所管理系统的三台服务器中的两台。这次升级清除了访问日志,与公司政策相反,没有保留备份。过了一段时间,访客签到簿的6个月保留期失效了,沃达丰销毁了与流氓软件被修改的时间相对应的账簿,引发了短信错误。
流氓软件安装的痕迹可能已经记录在交易所的交易日志上。然而,由于交易所管理系统的存储空间不足,这些日志只保留了5天,因为沃达丰认为,争夺相同空间的账单数据要重要得多。最关键的是,沃达丰在2005年3月7日对流氓软件的停用几乎可以肯定地提醒了阴谋者,给了他们关闭影子电话的机会。结果,调查人员错失了三角定位影子电话的位置并当场抓获罪犯的机会。
那么这件事又能怎么样呢教我们如何保护电话网络?
一旦渗透被发现,沃达丰必须在继续运营网络的需要与发现和起诉犯罪方之间取得平衡。不幸的是,沃达丰和希腊执法部门的反应都不够充分。通过沃达丰的行动,关键数据丢失或销毁,而犯罪者不仅收到了他们的计划已被发现的警告,而且还有足够的时间消失。
在电信行业,流行的最佳实践要求运营商的政策包括应对渗透(如病毒攻击)的程序:保留所有数据,尽可能隔离系统中被侵入的部分,与执法部门协调活动。
希腊联邦电信法规还规定,运营商有安全政策,详细规定了他们将采取的措施,以确保客户通信的机密性和网络用户的隐私。然而,沃达丰的回应表明,即使存在这样的政策,也被忽视了。如果没有新闻发布会和公开调查,执法部门本可以暗中监视影子手机的行为。访问者的物理日志丢失,数据日志被销毁。此外,无论是执法部门还是独立的安全和隐私机构ADAE,都没有直接联系。相反,沃达丰希腊公司通过政治渠道——总理办公室——进行沟通。应该指出的是,ADAE在当时是一个相当新的组织,成立于2003年。
希腊执法官员的反应也有很多不尽如人意之处。警方本可以通过扣押沃达丰所有涉及该事件的电信和计算机设备来获得证据。相反,似乎是对移动电话网络运营中断的担忧导致当局采取了一种更为宽松的方法——基本上是采访员工并收集沃达丰提供的信息——最终导致了法医证据的丢失。他们最终开始对运营商(沃达丰)和供应商(爱立信)提出指控,把受害者变成了被告,失去了他们的善意,这进一步阻碍了他们的调查。
当然,在这种高科技犯罪很少的国家,指望找到一个顶尖的调查团队是不合理的。可否成立一支快速部署部队,以处理这种引人注目和高度技术性的事件?我们希望看到国际警察组织国际刑警组织建立一个网络取证反应小组,各国可以调用它来处理此类事件。
在过去的几十年里,电话交换机已经发展成为基于软件的系统,因此分析它们的漏洞变得非常困难。即使新的软件功能,如会议、号码携带和呼叫者识别已经加载到交换机上,旧的软件仍然存在。子系统之间复杂的交互和巴洛克式的编码风格(其中一些是二三十年前编写的程序的残余)使开发人员和审计人员都感到困惑。
然而,对病毒、蠕虫和rootkit的有效防御关键依赖于深入的分析,这种分析可以穿透源代码的所有巴洛克式异构性。例如,对呼叫日志的统计分析可能揭示了对影子号码的呼叫和对被监控号码的呼叫之间的相关性。电话公司已经对这类数据进行了广泛的分析,以发现客户趋势。但是从安全的角度来看,这种分析是出于错误的原因,由错误的人进行的——营销而不是安全。通过培训安全人员使用这些工具并允许他们访问这些数据,客户趋势分析可以成为对抗流氓软件的有效对策。
通过将通话记录与计费和会计信息合并,可以发现更多的线索。但是,这样做涉及到整合目前由电信组织内不同实体拥有的不同数据集。
另一种防御措施是定期进行审计,这种类型的审计允许爱立信通过仔细检查脱机转储来发现流氓软件。然而,在这种情况下,以及在数据分析情况下,我们必须确保任何流氓软件不能修改存储在日志或转储中的信息,例如通过使用运行其自己软件的单独监控计算机。
数字系统产生大量的信息。早在一条未送达的短信让爱立信和沃达丰希腊公司开始调查之前,它们就已经掌握了发现沃达丰网络渗透情况所需的所有信息。与其他行业一样,现在的挑战是如何利用这些信息。如果一家公司的技术人员和一个国家的警察部队无法应对这一挑战,就需要建立一个能够应对这一挑战的反应小组。
尤其重要的是,不要把调查变成政治迫害。特别是在作案者不太可能被确定的情况下,利用电信运营商作为方便的替罪羊往往是政治上的权宜之计。这只会鼓励运营商及其员工把事件掩盖起来,把他们变成执法部门的对手。与其找个人来指责(或惩罚),不如确定到底是哪里出了问题,以及如何解决,这不仅是针对某家运营商,也是针对整个行业。
仅仅说——或者甚至立法——系统供应商和网络运营商不应该允许这样的事情发生是毫无意义的,因为事后对这些公司几乎没有什么可以做的。相反,应该采取积极的措施,以确保这些系统的开发和安全运行。也许我们可以从航空安全中借鉴几页,在航空安全中,飞机制造商和航空公司都受到国家和国际机构的密切监督,以确保航空乘客的安全。
作者简介
瓦西里斯·普雷维拉基斯(VASSILIS PREVELAKIS)是IEEE成员,是费城德雷克塞尔大学计算机科学助理教授。他目前的研究方向是自动化网络安全和安全软件设计。他在这些领域发表了大量文章,并积极参与标准组织,如互联网工程任务组。
DIOMIDIS SPINELLIS, IEEE成员,雅典经济与商业大学管理科学与技术系副教授,著有代码质量:开源的观点(addison - wesley, 2006)。他的博客地址是http://www.spinellis.gr/blog.
进一步探索
维基百科的文章http://en.wikipedia.org/wiki/Greek_telephone_tapping_case_2004-2005包含新闻报道和背景材料的额外链接。
爱立信的拦截管理系统用户手册(标记为机密)可通过谷歌搜索在Web上获得:http://www.google.com/search?q=IMS+ericsson+manual或在http://cryptome.org/ericsson-ims.htm.