ФСБ, Минкомсвязи и Минпромторг собираются получить доступ к решениям, которые позволят перехватывать и в режиме реального времени просматривать весь интернет-трафик россиян, в том числе зашифрованный.


6ksEINCnsFvccnfqVanmgQ

Об этом сообщил «Коммерсантъ» со ссылкой на источники в неназванной ИТ-компании, администрации президента и руководителей одной из компаний-производителей оборудования для дешифровки трафика.

Вероятно, в ФСБ поняли, что хранить огромные объёмы зашифрованного трафика, как это предусматривает пакет законов Яровой, быссмысленно, поэтому сейчас ведомство решило найти способы расшифровки и мониторинга этого трафика. Российские спецслужбы хотят использовать инструмент, анализирующий трафик по установленным ключевым словам, например «бомба». В теории, это позволит правоохранительным органам оперативно реагировать на информацию о готовящихся преступлениях. В реальности, если такой инструмент мониторинга будет создан, власти смогут изучать более широкий спектр людей — не только преступников, но и оппозиционеров, ругающих правительство и президента.

Ведомства обсуждают среди возможных варианта расшифровки трафика установку необходимого для этого оборудования в сетях операторов и провайдеров. Фактически это оборудование будет считаться хакерским, поскольку сможет выполнять атаку Man-in-the-Middle (MiTM).

Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь. Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ). Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя.

Специалисты, опрошенные «Коммерсантом», считают такой способ атаки на пользователей неэффективным, поскольку сертификат ПО, осуществляющего дешифровку трафика может быть выявлен и «вырезан» антивирусом или операционной системой. Если ФСБ будет создавать поддельные сертификаты, это дискредитирует электронную коммерцию, ведь в этом случае окажуутся скопроментированными все финансовые данные россиян: банковские карты, учётные записи в платёжных кабинетах и т.п.

ФСБ предлагает использоваться для анализа трафика уже существующие системы DPI, которые сейчас применяются операторами и провайдерами для фильтрации сайтов, заблокированных Роскомнадзором. Эти системы заглядывают не только в заголовки пакетов данных, но и в сами дынные.

Советник президента РФ, председатель совета Института развития интернета (ИРИ) Герман Клименко поддержал идею ФСБ получить неограниченный доступ к расшифрованному интернет-трафику россиях. По его словам «государство имеет право доступа к данным граждан, к почтовому ящику, например».

Шифрование использует большая часть сайтов в интернете (по разным оценкам — от 60 до 70 процентов). Ключ для дешифровки данных с этих сайотв имеется в сертификате, которые выдают удостоверяющие центры. При обращении к сайту, использующему шифрование браузер спрашивает удостоверяющий центр, действительно ли он выдал именно тот сертификат, который предлагает сайт. Если нет — браузер считает, что сертификат поддельный, и сообщает пользователю о том, что заходить на этот сайт опасно. Если оператор или провайдер перехватит пользовательский трафик и подставит собственный сертификат, браузер не заметит подмены. Многие сайты переходят на защищённый протокол HTTP/2, созданный специально для того, чтобы вообще исключить MiTM-атаки. То же самое касается протокола TLS, при использовании которого клиент и сервер обмениваются новыми ключами несколько раз в секунду, что также сводит к минимуму успешное проведение атаки.

Роскомнадзор придумал ещё один способ контроля за пользователями интернета — обязательную установку на любое устройство с доступом к сети специального ПО, которое позволяет идентифицировать пользователя. Об этом сообщается в официальном пресс-релизе Роскомнадзора, о котором сообщил «Коммерсант»:

Начальник управления контроля и надзора в сфере связи Роскомнадзора Денис Пальцин предлагает использовать специальное ПО, «привязывающее» MAC-адрес Wi-Fi-устройства к компьютеру, смартфону или планшету, пишет «Коммерсантъ». По его мнению, доступ к сети Wi-Fi должен быть только для тех устройств, у которых установлен такой софт. Для этого абонент должен его скачать и установить, а также идентифицироваться. После этого софт «проверяет соответствие введенных идентификационных данных и данных, указанных при покупке сим-карты, и привязывает MAC-адрес к идентификационным данным пользователя и оконечному оборудованию Wi-Fi». Пока это только идея, подчёркивают в ведомстве.

Система Orphus