В течение следующих нескольких недель после обнаружения прослушки по инициативе греческого правительства были созданы сразу пять различных комиссий по расследованию инцидента. Они должны были выяснить, как функционировало шпионское программное обеспечение, внедренное в сотовую сеть компании «Водафон-Панафон», как была связана с подслушиванием смерть Цаликидиса, и по чьему заказу оно было организовано.
Чтобы попытаться ответить на первый вопрос, необходимо сначала составить общее представление об инфраструктуре сотовой сети, которая сделала возможной прослушку.
Еще до того, как человек, пожелавший совершить телефонный звонок, начинал набирать нужный номер, его мобильный телефон уже, как правило, успевал установить соединение с ближайшей базовой станцией. Именно она потом служила в качестве посредника между мобильным телефоном и сотовой сетью в целом. Мобильный телефон преобразовывал человеческую речь в поток цифровых данных, которые отсылались на базовую станцию.
Функционированием базовой станции управлял контроллер— специализированный компьютер, распределявший радиочастоты для связи с мобильными телефонами, которые находились поблизости, и помогавший осуществлять их переключение между базовыми станциями при перемещении. Контроллер взаимодействовал с коммутационным центром, который соединял вызывающего абонента с вызываемым абонентом, если последний был подключен к тому же самому коммутационному центру, либо с другим коммутационным центром, либо со шлюзом, если вызов был адресован абоненту другой телефонной сети. Именно в коммутационных центрах сотовой сети компании «Водафон-Панафон» было установлено шпионское программное обеспечение для прослушивания телефонных разговоров.
И базовые станции, и коммутационные центры строились вокруг коммутаторов – быстродействующих компьютеров, которые создавали выделенный канал связи между вызывающим абонентом и в общем случае любым другим телефонным аппаратом во всем мире. Эти компьютеры были наследием 1970-х годов, когда они занимали целые комнаты и конструировались производителями из аппаратных и программных средств собственной разработки. Стечением времени они стали меньше по размеру, однако основные принципы их конструирования остались неизменными.
Подобно другим операторам сотовой связи, компания «Водафон-Панафон» использовала однотипные компьютеры в качестве контроллеров базовых станций, коммутационных центров и коммутаторов. Они принадлежали семейству коммутаторов «АХЕ» компании «Эрикссон». Сопутствующие их работе регистрационные журналы и биллинговая информация хранились на диске в другом выделенном компьютере.
В коммутаторы «АХЕ» были встроены аппаратные средства для законного перехвата телефонных разговоров, в народе именуемого прослушкой. Детали прослушки могут быть разными в зависимости от страны. В Греции постановка телефона на прослушку начиналась с получения сотрудником правоохранительных органов судебного ордера, который затем передавался сотовому оператору, обслуживавшему объект прослушки.
Вся прослушка должна была выполняться удаленно из центрального офиса. Для этой цели в «АХЕ» имелась программная «Дистанционно управляемая подсистема» («ДУП»), которая перехватывала телефонные разговоры и данные. Когда объект прослушки совершал свой звонок, «ДУП» копировала его телефонные переговоры во второй параллельный поток, который поступал на телефонную линию, используемую правоохранителями.
Для удаленного подключения к «ДУП» и ее администрирования в компании «Эрикссон» была разработана так называемая «Система управления перехватом» («СУП»), которая поставлялась опционально. Когда сотовый оператор получал судебный ордер на прослушивание своего абонента, специально выделенный для этой цели сотрудник в диалоговом окне «СУП» вводил всю необходимую для прослушки информацию. Оттуда она поступала в «ДУП». Согласно действовавшим правилам, только после инициирования прослушки в «СУП» она могла осуществляться в «ДУП». А следовательно, если «ДУП» прослушивала какие-то телефонные номера без запроса на прослушку, оформленного через «СУП», это было явным свидетельством незаконности операции. Для выявления таких операций в коммутаторах «АХЕ» были предназначены регистрационные журналы.
Случилось так, что изначально при покупке коммутаторов «АХЕ» компания «Водафон-Панафон» не приобрела опцию законного перехвата. Соответственно ни «ДУП», ни «СУП» не были установлены в коммутаторах «АХЕ», которые стали использоваться в компании «Водафон-Панафон». Однако в начале 2003 года ее технические специалисты произвели модернизацию программного обеспечения коммутаторов «АХЕ» до версии 9.1. Эта версия включала в себя и «ДУП». То есть с 2003 года в сотовой сети компании «Водафон-Панафон» появилось программное обеспечение для прослушки, хотя в ней и отсутствовал высокоуровневый пользовательский интерфейс для управления прослушкой в виде «СУП».
Задачи, которые стояли перед злоумышленниками, вознамерившимися прослушивать телефонные разговоры в сотовой сети компании «Водафон-Панафон», были из разряда непростых. Требовалось тайно установить в коммутаторах «АХЕ» шпионское программное обеспечение, чтобы управлять «ДУП», не будучи замеченными системными администраторами компании «Водафон-Панафон». Время от времени необходимо было обновлять список подслушиваемых телефонных номеров, а также номеров, на которые копировалась перехваченная информация. Эти манипуляции не должны были находить отражение в регистрационных журналах, а само шпионское программное обеспечение должно было оставаться невидимым для системных администраторов, обслуживавших коммутаторы «АХЕ».
Злоумышленники умело воспользовались тем, что в коммутаторах «АХЕ» можно было обновлять программное обеспечение без перезагрузки системы, дабы не разъединять действующие телефонные соединения, не терять текстовые сообщения и не отключать службы экстренного вызова. Разработанная в компании «Эрикссон» методика позволяла прямое «латание» кода, исполняемого центральным процессором, в буквальном смысле на лету.
Чтобы оптимизировать обновление программного обеспечения своих коммутаторов «АХЕ» компания «Эрикссон» разделила его на отдельные блоки, хранимые в оперативной памяти центрального процессора. В версии 9.1 таких блоков было более полутора тысяч. Каждый содержал так называемую «область коррекции», которая использовалась всякий раз, когда требовалось сделать обновление программного обеспечения.
Для примера, можно предположить, что коммутатор должен был научиться выполнять новую функцию X вместо старой Y. Тогда там, где прежде стояла команда «Если верно условие Z, то выполнить Y», обновленное программное обеспечение должно было теперь выполнять команду типа «Если верно условие Z, то перейти в область коррекции по адресу L». А по адресу L в «области коррекции» прописывалась новая функция X.
Путем такого обновления злоумышленники сумели подменить 29 блоков программного обеспечения в коммутаторах «АХЕ», чтобы напрямую задействовать возможности, предоставляемые «ДУП». В результате им удалось инициировать прослушку в обход «СУП» и тем самым избежать отражения своих действий в регистрационных журналах.
Эта подмена могла бы быть обнаружена системными администраторами компании «Водафон-Панафон» путем составления списка всех исполняемых блоков в коммутаторе «АХЕ» подобно тому, как в операционных системах семейства «Виндоуз» можно вывести на экран список всех исполняемых процессов с помощью диспетчера задач. В результате было бы обнаружено, что некоторые блоки были активны, хотя этого не должно быть. Однако внедренное в коммутаторы «АХЕ» шпионское программное обеспечение модифицировало команду, перечислявшую активные блоки, чтобы пропускать те из них, которые отвечали за незаконную прослушку.
Вдобавок прослушка могла бы быть выявлена в процессе планового обновления программного обеспечения коммутаторов «АХЕ» или при установке «заплат». В этих случаях было принято сначала проверять все блоки, а уже потом устанавливать обновление или заплатку. Скорее всего, шпионское программное обеспечение модифицировало и команду, вычислявшую и выдававшую контрольные суммы блоков, и подмененные блоки выглядели вполне легально.
И наконец, злоумышленники модифицировали синтаксический анализатор команд коммутатора «АХЕ». В результате безобидные команды, за которыми следовало 6 пробелов, деактивировали запись в регистрационные журналы и аварийный сигнал, предупреждавший об этой деактивации, а также позволяли исполнять команды, связанные с управлением шпионским программным обеспечением. В системе также был заведен новый пользователь, с помощью которого злоумышленники могли регистрироваться в системе для получения к ней доступа.
Как же все-таки было обнаружено присутствие злоумышленников, если они замаскировали его столь искусно?
24 января 2005 года злоумышленники обновили свое шпионское программное обеспечение, установленное в сотовой сети компании «Водафон-Панафон». В результате возникли помехи доставке по назначению текстовых сообщений, что, в свою очередь, послужило причиной для автоматической генерации сообщения об ошибке. Последующий анализ дампов системы позволил выявить шпионское программное обеспечение вместе со списком телефонных номеров, которые подвергались незаконному прослушиванию. Методом обратного проектирования был восстановлен исходный код. Проведенный анализ показал высокую компетентность его авторов. За пятнадцать лет, предшествовавшие описываемым событиям, значительная часть программного обеспечения для коммутаторов «АХЕ» была написана программистами из греческой компании «Интраком» со штаб-квартирой в Афинах. Так что необходимые знания для написания шпионского программного обеспечения оказались в распоряжении немалого количества программистов, которые в разное время работали в компании «Интраком».
В ходе расследования выявить среди сотрудников компаний «Водафон-Панафон» и «Интраком» лиц, причастных к взлому сотовой сети компании «Водафон-Панафон», не удалось. Этот взлом вполне мог быть осуществлен посторонними людьми. Выяснилось, например, что перед тем, как произошел отказ подсистемы доставки текстовых сообщений, последний человек, который работал с коммутаторами «АХЕ», не являлся сотрудником компании «Водафон-Панафон» и его впустили внутрь по гостевому пропуску.
В июле 2005 года, когда еще продолжалось расследование обстоятельств этого дела, в компании «Водафон-Панафон» были заменены два из трех серверов, которые использовались для управления сотовой сетью. На них были затерты регистрационные журналы, и вопреки действовавшим требованиям для них не были сделаны резервные копии. Потом истек полугодовой срок хранения журналов, в которых фиксировался проход посторонних лиц на территорию компании «Водафон-Панафон» за период, когда было обновлено шпионское программное обеспечение, и возник сбой в доставке текстовых сообщений.
Следы установки шпионского программного обеспечения могли бы сохраниться на коммутаторах компании «Водафон-Панафон». Однако из-за нехватки на них места регистрационные журналы хранились всего 5 дней и потом стирались. А слишком поспешная деактивация шпионского программного обеспечения 7 марта 2005 года наверняка послужила предупредительным сигналом для злоумышленников. В результате следователи так и не смогли воспользоваться возможностью засечь с помощью триангуляции мобильные телефоны, на которые дублировались подслушиваемые телефонные разговоры.
С другой стороны, компанию «Водафон-Панафон» можно понять. Расследование расследованием, а бизнес есть бизнес. Так же, как и полицию, которая могла бы конфисковать у компании «Водафон-Панафон» все оборудование, вовлеченное в инцидент, но не стала этого делать из-за опасений нарушить работу сотового оператора. Допросы персонала компании «Водафон-Панафон» и изучение данных, предоставленных самой компанией, какого-либо заметного результата не дали.
Что касается смерти Цаликидиса, то по этому поводу мнения разошлись. Одни утверждали, что Цаликидис покончил жизнь самоубийством, поскольку его причастность к прослушке вот-вот должна была стать достоянием гласности. Другие считали, что он выявил злоумышленников или был на пороге их разоблачения и потому был убит.
«Афинское дело» породило различные спекуляции на тему о том, кто был заказчиком прослушки в сотовой сети компании «Водафон-Панафон». В первую очередь подозрение пало на компанию «Интраком», которая продавала телекоммуникационное оборудование компании «ОТЕ», основному поставщику услуг связи в Греции. Большинством акций «ОТЕ» владело греческое государство. Поэтому у коммерсантов из «Интраком» был повод интересоваться телефонными разговорами руководителей правящей элиты в Греции: некоторые выгодные сделки с «ОТЕ» были заключены еще при прежнем правительстве, и в «Интраком» наверняка желали знать, не будут ли они сорваны при новом. А подслушивание членов организаций по защите гражданских прав, борцов за мир и антиглобалистов могло быть специально организовано, чтобы направить расследование по ложному следу.
Получила распространение и теория, согласно которой вся эта прослушка в Афинах была делом рук АНБ, обладавшего необходимыми подсобными шпионскими средствами и квалификацией. Географическое местоположение мобильных телефонов, на которые скидывались подслушанные телефонные разговоры, точно соответствовало расположению апартаментов и другой собственности, находившихся под контролем американских дипломатов в Афинах. А сама прослушка могла вестись из-за опасения террористических атак во время проведения Олимпийских игр в Афинах.
Сотрудничество
Сотрудничество американских разведывательных ведомств с телекоммуникационными корпорациями в США с целью получения доступа к их сетям связи стартовало еще в начале прошлого века. В 1970-е годы в ходе проведения операции АНБ «Трилистник» в это сотрудничество оказались вовлечены все без исключения крупные провайдеры магистральной связи, причем на совершенно безвозмездной основе. В 2000-е годы это сотрудничество получило успешное продолжение и дальнейшее развитие.
Правда, не обошлось без проблем. Одна из них возникла в 2003 году, после того как американская телекоммуникационная компания «Глобал кроссинг» обанкротилась и была продана одной сингапурской компании. Для переговоров с новыми владельцами «Глобал кроссинг» в США была срочно сформирована команда юристов из ФБР, министерств обороны, юстиции и внутренней безопасности. Они потребовали, чтобы в сингапурской компании, купившей «Глобал кроссинг», было сформировано секретное подразделение из американских граждан, имевших оформленный допуск к государственной тайне. В их задачу входило обеспечение бесперебойного перехвата в интересах АНБ трафика из магистральных каналов оператора, купленного сингапурцами.
Стремление правительства США сохранить для себя возможность подключаться к магистральным каналам связи по мере того, как все более значительные сегменты мировой телекоммуникационной инфраструктуры оказывались в распоряжении иностранных инвесторов, нашло выражение в так называемом «Соглашении о сетевой безопасности». Впервые оно было подписано в 2003 году с компанией «Глобал кроссинг». «Соглашение о сетевой безопасности» никоим образом не санкционировало прослушку со стороны спецслужб США. Однако его подписание гарантировало американскому правительству наличие специальных подсистем в коммуникационных сетях компании-подписанта, которые позволяли безо всякого риска и особых затрат быстро получать сетевой доступ в целях перехвата циркулировавшей информации.
С тех пор все зарубежные телекоммуникационные компании, желавшие работать в США, были вынуждены подписывать «Соглашение о сетевой безопасности». А иначе Федеральное агентство по связи США отказывало им в выдаче соответствующей лицензии. Более того, даже при наличии принципиального согласия со стороны иностранного телекома на подписание «Соглашения о сетевой безопасности» Федеральное агентство по связи месяцами специально задерживало визирование необходимых бумаг. Это было нужно для того, чтобы команда юристов из ФБР, министерств обороны, юстиции и внутренней безопасности США успевала доработать все документы для обеспечения максимального сотрудничества со стороны соискателя лицензии для осуществления перехвата из его сетей связи.