近日,中东记者死亡一案持续成为全球媒体关注的焦点。关于记者遇害的更多细节被挖掘出来。据路透社报道,最新情报来源称,是中东某位王子的一名高级助手通过SXXXe软件指挥了谋杀中东记者的过程。(以下简称助手)
在本文的开始,我们先来介绍下3位配角
- 美洲国家:是这起事件的炮灰
- 中东某国:这起事件中,号称自己是正义的仲裁者
-
中东国家:是这起事件的发起者。
在这里笔者提出一个疑问,媒体为什么会知道是通过sXXXe这一软件去指挥谋杀的过程呢?带着这个疑问,笔者结合VOIP通信的原理,在这里先简单的分析一下,IP电话通讯被监听的过程。我们先了解网络通信的一些基础知识。
sXXXe是一种基于voip的软件。voip协议简称就是基于互联网的语音传输协议。优点就是只要是网络通的地方就可以进行语音传输,简单的说就是只要网络是通的就可以进行视频通话和语音通话。
VOIP中一个比较大的缺点,由于是基于网络来传输,如果选择经过互联网来传输视频和语音,就容易被别有用心的人通过网络来监听。我们回到主题,“助手“这一通过sXXXe拨打的电话是被如何被截取了呢?
这里简单推测,有两方势力可能截取到了这个数据,一个是中东国家,另一个就是美洲国家。下面通过一张网络拓扑图来给大家简单介绍一下。两者截取通话的方式不同,一种是通过监听网络的语音通话数据流。另外一种是读取服务器的语音数据。
图中讨论的场景,是笔者基于自己的推测画出来的一张拓扑图。这里先来简单说一下SXXXE软件,虽然这款软件是对用户之间的语音通话和视频通话具有一定的加密效果的。但是对于国家级别的对手而言,这种加密程度是可以忽略不计的。比如说中东某国和美洲国家。两者都是发达国家,科学研究实力强。尤其是美洲国家。大家知道SXXXE属于一家软件巨头的产品。而这家软件巨头就是一家美洲公司。所以是有概率美洲国家政府直接监听SXXXE软件的语音流的。这里截取一段SXXXE的隐私条款
“如果适当的司法、执法或政府权力机构依法提出要求,SXXXE、SXXXE当地合作伙伴或提供通讯服务的运营商或公司将应要求提供个人资料、通讯内容和/或流量资料。 SXXXe会提供必要协助和信息以满足该要求,而您特此同意SXXXe进行此等披露。”
最近这几年人工智能发展迅速,现在监听都不是依靠人力的,只要AI机器人抓住关键字和声音和声音中的情感,就可以识别是属于是否属于敏感信息,然后直接通知相关工作人员。
再者,通过棱X门事件之后。大家都知道默些的网络设备都是具有某种程度监听效果的,而主要发达国家之间运营商和网络的设备都是采用一个美洲品牌的。
在这一事件之中,我们得到的教训就是要知道有没有什么方法可以最大程度的提高网络电话通讯的安全性呢。绝对安全是有的,但是时间和人力的成本太大。这里不在本文讨论的范围之内。
我们只能在安全性和容易部署之间取一个平衡。下面我们简单谈下几种可以提高VOIP通话的安全性的措施。
1.IP语音通话服务器私有化部署
这里我们对通信提出的一个要求就是,对通讯系统一定要支持私有化部署。中东国家王子的“助手“采用是公用的sXXXe软件进行通话。这就是安全意识淡薄的第一步。sXXXe通话所有的数据流会先经过互联网然后经过美洲国家的服务器。如果通讯系统是私有化部署,那通话的流量就不会经过美洲国家。这一设计会在安全性会提高一个等级,所以,通讯系统的选择就非常重要了,在这里我们不建议用美洲国家品牌的产品,尤其是大品牌。因为大品牌一般都会跟某些国家政府签订某些协议(具体参考棱X门事件)。这里提到一个产品3CX,可以部署在中东国家机构内部的linux服务器上。这样可以避免某些别有用心的机构通过“公用的语音电话服务器“监听。
这种方式下,因为语音通话还是经过互联网。虽然3CX的通话是经过加密的(具体往下看)。但是暴露在互联网上,还是比较危险的。必须在网络层面也要提高安全性。
2.不用采用公有的互联网传输语音
在上面我们介绍了3CX私有化部署通信服务器在中东国家内部,可以在一定程度上够降低美洲国家监听的概率。因为电话传输的语音流没有经过美洲国家。但并不能从根本上杜绝监听的可能性。因为中东某国还是可以能够通过互联网监听到通话。那我们要在这种方式的基础上提高一个安全等级。办法就是不要使用公共的因特网传输语音。比如说采用MPLS专线,简单说,MPLS是运营商之间内部的网络线路。可以部署在两个地点之间特殊网络。该网络是隔绝外部互联网的。
但是话又说回来了,欧美绝大多数的运营商的网络设备,都是采用美洲国家的。所以即便上运用到MPLS专线,也只能把安全性提高一个等级。还有另外一个方法是,用卫星传输网络,这对于经济比较强的国家来说,比如说中东国家是一个不错的选择。因为他们
人好,钱多!
采用这一方式后,网络语音通话没有暴露在互联网。只是在机构内部的网络进行。会相对比较安全。
3.语音传输层通道加密
这是一种属于3CX特有的加密协议,等于在语音通话的道路上在加一层防护罩。在这层防护罩上,有3CX内部的私有协议+独特的密钥。
只有破译了下面这一层,才能进入到监听网络通话这一步。下面是私有协议的密钥。该密钥会经过转换
虽然看上去不是很复杂。但是如果破译密钥失败3次。3CX系统就会启动IP地址黑名单功能。也就是同一IP地址只有3次破译的机会。但是对于强大的对手来说,这根本也不是问题。在如今云计算的时代,因为可以频繁更换服务器地址。在进行攻击,换一个服务器地址,尝试一次。仅仅是也个时间的问题。但是前面已经经过一层保护,就是MPLS专线(运营商之间私有的内部专线)。在这种情况下,被监听的概率已经大大降低了。因为现在只有先黑入中东某国电信运营商的MPLS网络,才可以进行通话监听。能到这一步,一定是一个有政治背景,或者是黑客中的超级黑客团队。
4.语音通话加密。
这个是在我们讨论的方案中,在3CX电话音视频通信上的最后一到防线,假如这个黑客,突破了卫星传输/MPLS网络防线,突破了语音加密通道3CX 的防线,到了最后,还要再突破一层防线。这一层上采用TLS+SRTP对通话内容加密。读者可以先看看密钥大概是怎么样的。
好吧,一般人看起来,可能会有点晕。要提高安全等级,这些都是必须的。其实当个黑客也并不是个容易的事情。
内行看门道,外行看热闹。这4层防护叠加在一起,也并不是绝对安全的。只是多几层防护,会让黑客监听通话要消耗更多的时间而已。毕竟要监控全球的互联网网络,还要黑进运营商内部的网络,还要突破私有协议和密钥,再要突破N位数的密钥+私有的证书,才可以监听通话。这也不是件容易的事情了。笔者通过这一事件总结了IP通信提高安全性的几种应对方案。在当今的互联网中,安全的进行电话和视频通话,永远都是最重要的。
谢谢读者观赏。