«Чистой воды хакерство»: ФСБ хочет «прослушивать» весь Интернет
Опубликовано 26.09.2016 Автор CEO
Ведомство планирует расшифровывать весь трафик в режиме реального времени, а не хранить данные шесть месяцев, как обязывает операторов «пакет Яровой». Возможна ли технически такая дешифровка, и чем это может грозить рядовым пользователям?
ФСБ хочет расшифровывать весь Интернет в режиме реального времени. О планах спецслужбы сообщил «Коммерстантъ» со ссылкой на источники в администрации президента и IT-отрасли.
В заметке говорится, что само по себе сохранение данных в соответствии с «пакетом Яровой» оказалось бессмысленным. Теперь ФСБ ищет способы расшифровывать весь трафик в режиме реального времени. По данным газеты, ведомство обсуждает возможные пути с Минкомсвязью и Минпромторгом. Интернет-обмудсмен Дмитрий Мариничев считает такую инициативу не только трудноосуществимой, но и опасной для россиян.
Дмитрий Мариничев
интернет-омбудсмен
«Я, конечно, не знаком с технологиями, которые позволяют дешифровать абсолютно весь трафик, тем более в режиме real time, но технологии по перехвату трафика и подмены сертификатов, конечно, существуют, здесь ничего сверхъестественного нет. Нужно понимать, что это в некотором роде похоже на хакерство, а если по-другому сказать, то это похоже просто на воровство частной собственности, к которой относится информация. Поэтому для меня не совсем понятно такого рода заявление — дешифровать и перехватить весь трафик россиян. В то же время я вообще не очень представляю, как дешифровать трафик, например, в мессенджерах, который защищен end-to-end шифрованием, это и технологически не особенно возможно. Самое страшное — это ставит под угрозу, например, управление банковским счетом, потому что те же самые ключи и весь ваш трафик по управлению вашими деньгами также будет дешифрован и будет находиться в руках неизвестных людей, а это чистой воды хакерство. Нельзя же на государственном уровне узаконить такую преступную деятельность. Я являюсь абсолютным сторонником и апологетом того, что при условии наличия какого-то дела, оперативно-розыскных мероприятий относительно потенциальных преступников в обязательном порядке у спецслужб должны быть механизмы получения доступа к информации точно так же, как и при проведении обысков, когда они получают ордер. Это нормальное явление, потому что это безопасность общества. Но применять такого рода действия ко всем гражданам России, согласитесь, это за рамками разумного».
По данным газеты, для основной массы шифрованного трафика планируется использовать так называемую атаку man-in-the-middle — «человек посередине»: оборудование спецслужб будет притворяться для пользователя доверенным сайтом и сможет получать ключи шифрования. Однако этот тип «прослушки» трафика давно известен IT-компаниям и расценивается как хакерская атака.
В декабре прошлого года реализовать подобную схему пытались в Казахстане. «Казахтелеком» объявил абонентам, что они все обязаны установить себе государственный сертификат и с 1 января весь трафик будет шифроваться на него. Однако через пару дней это сообщение с сайта «Казахтелекома» исчезло и было объяснено «технической ошибкой». Так что для того, чтобы браузеры не начали автоматически блокировать поддельные сертификаты доступа, властям придется попытаться договориться с зарубежными интернет-компаниями. Эту возможность комментирует генеральный директор компании Zecurion Алексей Раевский:
Алексей Раевский
генеральный директор компании Zecurion
«Конечно, теоретически это возможно: создать такие организационно-технические условия, заставить различные интернет-сервисы типа Google, Facebook и так далее, сотрудничать с ФСБ, чтобы они передали свои сертификаты, секретные ключи. Это единственный возможный метод, просто вопрос в том, что соединение в интернете осуществляется с двух сторон: с одной стороны — пользователь, с другой стороны — интернет-сервис. Нужно, чтобы кто-то из этих сторон был, скажем так, коррумпирован: либо сервис каким-то образом передал свой секретный ключ, либо клиент использовал сертификат, тот, который ему пришлет ФСБ. Если это не делать на добровольной основе, то нужно договариваться с производителем операционной системы или браузера, потому что просто так, если взять «чистую» операционную систему и «чистый» интернет-сервис, эту атаку провести будет нельзя, потому что в этом случае будет ругаться браузер, он будет говорить, что соединение не защищено и так далее. Но сдаст ли Google и Facebook свои ключи, это надо у них спросить».
Принятый минувшим летом «пакет Яровой» обязал операторов связи в течение шести месяцев хранить весь проходящий через них трафик, что вызвало немало недовольства в отрасли. Игроки заявили, что одна только постройка центров хранения данных беспрецедентного масштаба приведет как минимум к троекратному росту тарифов на Интернет. Власти отвергли критику со стороны представителей отрасли, однако появились сообщения о неких будущих «поправках» к пакету законов. В частности, об их необходимости в начале месяца заявил Владимир Путин, после чего в правительстве подтвердили подготовку поправок. Могут ли стать новые планы ФСБ заменой «пакету Яровой»?
Роман Ромачев
генеральный директор агентства разведывательных технологий «Р-Техно»
«Я думаю, что они дополняют все это мероприятие, поскольку дешифровать абсолютно всех довольно проблематично, будет дешифровка по установке, то есть если вас подозревают в каком-то преступлении или терроризме, то вас ставят на контроль и весь ваш трафик дешифруют. Все зависит от внутренних контактов ФСБ с этими разработчиками. Вполне возможно, поначалу будут какие-то конфликты, но если у них есть какие-то негласные контакты, негласные правила, предоставление ключей вполне реально, но здесь опять встает вопрос о сохранности этих данных, поскольку здесь могут и поработать по заказу со стороны, то есть и конкуренты могут заказать у вас и торговать данными потом на «черном рынке», какую-то вашу платежную, банковскую тайну, которую вы шифруете, просто заходя в ваш банк-клиент. Здесь палка о двух концах. Я не вижу особых затрат. Если это программные методы, то есть написать программу дешифрации и все, это 100 тысяч рублей. Но, повторюсь, у нас это могут раздуть в несколько миллиардов, я не исключаю, что и такие бюджеты будут».
Кроме того, есть и типы трафика, не подверженные атакам «человек посередине», в частности, это невозможно при end-to-end шифровании, которое используется в большинстве крупных мессенджеров. В таком случае «прослушивать» трафик не помогут даже договоренности с владельцами сервисов — при этом типе шифрования доступ к ключам не имеет никто, кроме
Источник: https://www.bfm.ru/news/334192