俄羅斯監控網路的 SORM 揭密

作者 | 發布日期 2017 年 11 月 07 日 11:30 | 分類 科技政策 , 網路 , 資訊安全 follow us in feedly

關於蘇聯解體後諸多前共黨國家的網路言論管控,華語世界的網路媒體幾乎沒有足夠資訊,這使許多企業前進東歐、俄羅斯等國時,常遇到不必要的麻煩。筆者今年有幸參與 RightsCon 世界數位人權大會,吸收到許多相關資訊,這次就來分享。



▲ 筆者攝於 RightsCon 大會,某位講者解說 SORM 金三角。會議中有很多各國不適合露臉的民運人士,故筆者貼個「海苔」以策人身安全。

跟中國建立 GFW 網路長城把自己國家跟全球網路隔絕的做法不同,以俄羅斯為主的其他前共黨國家是用一套叫 SORM(此為俄文縮寫,意思為調查行動用系統)的機制;GFW 的設置目是阻礙本國網友存取境外網路資訊,SORM 則是全面監控國內網民的所有網路通訊行為。SORM 鐵三角由 FSB 、ISP、SORM 技術方案提供者組成。FSB 是俄羅斯聯邦安全局的縮寫,前身就是蘇俄時代的 KGB,雖然現在 FSB 的任務名目上是保護國家安全及反恐,但實際上是監聽所有網民的上網行為。三方的關聯性,是 FSB 出資給 SORM 技術提供者進行裝置開發,產製出來的監控伺服器放在 FSB 裡,然後所有 ISP 公司都必須向 SORM 技術提供者取得 SORM 監聽裝置,配置在自家公司裡,對所有境內電話、手機、網路封包做全面性的監控。

如果你想說,反正我的電腦或手機使用加密,那 SORM 就沒轍了吧?當然 FSB 沒那麼笨,從 2016 年開始,所有在俄羅斯境內銷售的電腦、手機等 3C 硬體產品都必須植入特殊硬體晶片;通訊軟體、俄羅斯境內要上架的社群網站(例如 Facebook、Twitter、ICQ )等,也都必須加入可監控的後台,才能取得許可證書,得以在俄羅斯境內銷售或上架,不然就是非法裝置會被政府罰款。不願意合作的境外網站,在俄羅斯隨時有被封鎖的可能(例如俄文版維基百科就常常只因一個頁面而全站被封)。

在這樣的天羅地網下,當然所有電子通訊裝置對 FSB 來說全都是透明的,例如手機通話言論只要監聽到批評執政黨,就可追查到手機的 IMSI、IMEI 碼而得知使用者是誰,甚至知道位置;使用網站時,連線 gmail.com、yahoo.com、hotbox.ru 等網站,https 的加密機制等於無效,因為你的裝置在加密訊息前已先被 FSB 看光光了,而 ISP 也完全不能信任。

更進一步,你可能想說要監聽的話,不是要有法院拘票才行嗎?然而俄羅斯總統普丁 2016 年簽訂了亞洛瓦亞(Irina Yarovaya)的「老大哥」反恐法,該法要求各電信公司、ISP 商必須保留所有通訊紀錄 6 個月、所有原始資料還得保存 3 年,且必須幫助情治單位解碼加密訊息,最重要的,這一切不需要有法院命令,只要 FSB 懷疑誰是「恐怖份子」,就可以任意監聽人民,這使俄羅斯的反對黨、政治異議人士都很艱難。

SORM 這種箝制言論自由的機制,大家可能想說是普丁總統搞的吧?其實不然,SORM 是 1995 年就開始發展,至今已歷經了三代:

  • 第一代 SORM:1995 年啟用,用來攔截電話(類比)訊號與手機網路訊號。
  • 第二代 SORM:1998 年啟用,針對網際網路通訊,還包含 VOIP 電話,此外傳說連信用卡交易都在監控之列。
  • 第三代 SORM:2014 年開始發展,針對各種形式的通訊,提供長時間的儲存紀錄(包含衛星定位紀錄、錄音等)。

1995 年時的俄羅斯總統還是葉爾欽,是不是很意外呢?葉爾欽當年讓共產蘇聯解體,可能讓人一時以為俄羅斯就此進入民主國家之林,其實不然,新成立的俄羅斯聯邦本國變成總統權力極大化的體制,前蘇聯時代的 KGB 轉型成 FSB 後,發展了 SORM。這是不是很諷刺?葉爾欽結束了極左共產專政體制,卻讓俄羅斯變成極右威權國家,當初 SORM 也許是設計監聽原來的共產黨,然而現在卻變成威權政府「處理」異議人士的利器,更有趣的是,現任總統普丁以前也當過 FSB 局長呢。

此外,除了俄羅斯,其他蘇聯解體時獨立出來的諸多前共黨專政國家,也都有自己的 SORM,例如白俄羅斯、塔吉克、喬治亞共和國;更有意思的是喬治亞跟俄羅斯關係不好,所以他們的 SORM 就是針對親俄羅斯份子,而烏克蘭也曾經有自己的 SORM,唯獨 2014 年把親俄總統趕下台以後,烏克蘭政府是否還有在繼續使用 SORM 就不得而知了。

所以若有任何企業公司或 NGO 組織到這些國家做生意與活動,都需要特別留意 SORM 與相關法規。

(首圖來源:Flickr/Yuri Samoilov CC BY 2.0) 

關鍵字: , , ,