ФСБ, кажется, придумала, как расшифровать весь трафик в интернете. Это очень страшно?

21 сентября «Коммерсант» сообщил, что ФСБ совместно с министерствами связи и промышленности пытается придумать, как расшифровать весь пользовательский трафик в интернете в режиме реального времени — и проанализировать его по ключевым параметрам. Нужда найти этот способ (в сети большая часть трафика шифруется автоматически) у спецслужб появилась в связи со вступлением в силу «пакета Яровой». В частности, по сведениям газеты, ФСБ для перехвата и расшифровки трафика планирует использовать так называемую MITM-атаку (Man in the Middle), а для глубокого анализа — DPI-системы (Deep Packet Inspection), которые будут установлены у провайдеров. Что это может означать для обычных пользователей? Отвечает специалист в области шифрования, IT-консультант Фонда борьбы с коррупцией Владислав Здольников.

Владислав Здольников

IT-консультант Фонда борьбы с коррупцией, технический директор компании Newcaster.tv

60-70% популярных сайтов в интернете используют шифрование — это значит, что даже если вы перехватите трафик от пользователя к сайту, то не сможете его прочитать. Ключ шифрования есть в сертификате, их выдают специальные компании, которые называются удостоверяющими центрами (УЦ). Браузеры при обращении к ресурсам спрашивают удостоверяющий центр, действительно ли он выдал именно тот сертификат, который предлагает сайт. Если нет — браузер ругается и сообщает, что сертификат поддельный.

Суть атаки MITM (Man-in-the-Middle) в том, что посередке на канале связи устанавливается оборудование, которое будет представляться сайту «пользователем», а пользователю — «сайтом». А чтобы браузеры не ругались и работали с сайтами, эфэсбэшники решили сделать свой УЦ.

Возможны два варианта. В первом УЦ выдает сертификат всем сайтам. Понятно, что его поставят, скажем, какие-нибудь 20 послушных ресурсов, и никто всерьез таким сертификатом пользоваться не будет. Компании, у которых бизнес сильно завязан на российском законодательстве, наверное, поставят — какие-нибудь «ВКонтакте» или «Одноклассники». Но сложно представить, чтобы Facebook или Twitter поставили себе сертификат, который им выписал УЦ ФСБ РФ.

Второй вариант: сам этот УЦ выдает сертификат пользователям, а они все должны будут установить его в браузеры на своих компьютерах.

До сих пор это пытались сделать в двух странах — Иране и Казахстане. Не скажу точно, чем закончилось в Иране, а в Казахстане «Кахазтелеком», один из крупных операторов, выпустил было сообщение: всем пользователям необходимо установить сертификат, который провайдер им выдаст — но потом эту новость очень быстро убрали, объяснив технической ошибкой. Очень сложно обязать всех пользователей взять сертификат. Можно только ввести ответственность за то, что человек его не использует.

Но главная проблема в том, что не все браузеры позволяют установить сертификат. А так как атака MITM очень популярна, почти все браузеры скоро не позволят работать с сайтами с поддельным сертификатом. Например, в последнем Safari в операционной системе iOS 10 на странице с предупреждением уже нет кнопки «продолжить», браузер уже не ругается, а просто не дает работать с таким ресурсом.

Возможно, они попытаются пойти к владельцам браузеров, чтобы внедрить сертификаты, но это нереально. Представьте, ну как они пойдут в Apple и заставят их встроить сертификат в Safari?

В итоге совершить MITM-атаку получится при обращении пользователя только к нескольким российским сайтам.

Дальше трафик анализируется с помощью оборудования DPI, его можно будет изучить вплоть до сообщений «ВКонтакте». Пока такой трафик видимо, будет складываться на систему СОРМ (Система оперативно-розыскных мероприятий — прим. «Медузы»), которая хранит его в течение 12 часов.

У крупных провайдеров типа «Ростелекома» (на них приходится около 60% пользовательского трафика) данные уже «дипиаятся». Им останется только настроить сертификаты. Более мелким провайдерами придется это внедрить, что очень накладно по деньгам — провайдеру с абонентской базой в 100 тысяч человек это будет стоить порядка 30 миллионов рублей. Хотя это все же дешевле, чем просто хранение данных («пакет Яровой» обязывает провайдеров с 1 июля 2018 года года хранить трафик в течение полугода — прим. «Медузы»), но все равно это — неподъемные суммы.

Вообще, все это адская чушь. Есть масса технических нюансов, из-за которых эта схема не заработает. Например, сейчас все чаще используется протокол HTTPS/2, который создан для того, чтобы вообще исключить MITM-атаки. То же самое с протоколом TLS, при его использовании клиент и сервер обмениваются новыми ключами несколько раз в секунду, атака тут невозможна. Есть и другие мелочи.

При этом ФСБ в последние полгода очень активно заставляет провайдеров «сормить» трафик — пропускать через систему СОРМ, которая по закону должна быть внедрена у всех операторов. Оборудование для этого подешевело раз в десять за последнее время. И если раньше ФСБ не придиралось к тому, что оператор «сормит» несколько процентов всего трафика, то сейчас они настаивают, чтобы закон выполнялся. Так что там есть очень серьезные намерения.

Но в конце концов, если ничего не изменится, я думаю, мы придем к «белому списку» сайтов. Спецслужбы разрешат, например, 10 тысяч зарубежных ресурсов, а потом будут исключать из этого списка то, что им не нравится. Как только какой-нибудь ресурс не идет на сотрудничество по любому вопросу, например, по тем же сертификатам, они его исключают.

Но пока ФСБ движется не в эту сторону, а в сторону перехвата трафика, и это очень хорошо. Потому что вся их схема технически маловероятна, и даже если им удастся поставить DPI-оборудование у большинства провайдеров, обычным пользователям спасаться от этого будет можно.

=====================================================================

Число просмотров поста: 8

=====================================================================

Нам нужна поддержка наших читателей.

Если вы ознакомились с содержанием данной страницы, значит вас чем-то заинтересовал сайт "Красная Пенза". Сайт поддерживается Никитушкиным Андреем на собственные средства безработного инвалида III группы. Если вы готовы поддержать финансово проект, пусть даже анонимно, то можете воспользоваться следующей информацией для помощи в оплате размещения сайта (хостинга) в сети Интернет:
* номер российской банковской рублёвой карты - 2202 2008 6427 3097. Средства можно перевести на карту с помощью банкомата любого банка или, например, с помощью "Сбербанк Онлайн".
* BTC(Bitcoin) 1LMUiKrmQa5uVCuEXbcWx2xrPjBLtCwWSa
* ETH(Etherium) 0x7068dC6c1296872AdBac74eE646E6d94595f2e00
* BCH(BitcoinCash) qzrl2ffe4l8k0efe0zaysls48zx83udhfv9rk9phax
* XLM(Tellar) GBHJ33CWEO2I4UFRBPPSHZC6M7KP5RMDVVFG5EURSO6GRIUM3XV2C4TK

Если вам будет необходима квитанция об использовании перечисленных вами средств на оплату размещения сайта "Красная Пенза" в сети интернет (хостинга), то она вам будет предоставлена по первому требованию. Всем откликнувшимся товарищам заранее спасибо за помощь!

 

С большевистским приветом из Пензенской области!

Оставьте ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.