ФСБ будет следить за перепиской каждого россиянина в реальном времени

ФСБ будет следить за перепиской каждого россиянина в реальном времени

ФСБ совместно с Минкомсвязью и Минпромторгом обсуждают возможность расшифровывать и анализировать весь интернет-трафик россиян в рамках «пакета Яровой».

Об этом 21 сентября сообщил «Коммерсант» со ссылкой на администрацию президента, производителя оборудования для слежки и источники в IT-компаниях. О том, как может быть реализовано чтение трафика россиян, что это означает для пользователей и насколько законна такая слежка, Rus2Web поговорил с главой «Общества защиты интернета» Леонидом Волковым и юристом правозащитной группы Агора Дамиром Гайнутдиновым.

За кем будут следить
ФСБ настаивает на расшифровке всего трафика в реальном времени и анализе его по ключевым параметрам. Министерства считают, что такая практика должна применяться только к пользователям, которые привлекут внимание правоохранительных органов. Интернет-омбудсмен Дмитрий Мариничев поддержал слежку за пользователями, которые находятся под следствием, но расшифровку трафика всех россиян назвал неприемлемой.

Как собираются расшифровывать трафик
По «закону Яровой» часть интернет-сайтов уже обязана отдавать ключи шифрования силовикам по требованию ФСБ. Кроме того, провайдеры должны хранить зашифрованный трафик. Источники «Коммерсанта» рассказали, что возможный вариант его дешифровки — установка оборудования для MITM-атак, которые перехватывают обмен информацией между пользователем и сайтом.

Леонид Волков, глава «Общества защиты интернета»
Эта инициатива немного более реалистична, чем «пакет Яровой», и осуществить ее дешевле. Но сейчас нет готовых технических решений для того, чтобы организовать расшифровку интернет-трафика в масштабах всей страны. Более того, это является видом хакерской атаки: программное обеспечение пользователя, браузер и операционная системой эти действия именно так и воспримут. Кроме того, если эта система будет создана, ее очень быстро «выпилят», и она не будет работать. Чтобы эти сертификаты были доверенными, а компьютер пользователя каждую секунду не выбрасывал предупреждения, что вы собираетесь отправить информацию «не туда», нужно, чтобы сертификаты были предустановлены в браузере или ОС. Я не думаю, что большие интернет-компании на это пойдут.

Цель у этой инициативы одна — распилить денег. После принятия «закона Яровой» идет соревнование, кто будет на нем будет зарабатывать. Есть группа [главы корпорации «Ростех»] Чемезова, которая контролирует производство СОРМа, и они пытаются распилить деньги через создание хранилищ данных.

И есть другая группа. В нее входит ФСБ и, видимо, Ростелеком. Они являются главными бенефициарами в этой истории, и у них есть свой вариант интернет-слежки. Но пока что никто ничего реалистичного предложить не смог. У них нет инструментов, чтобы читать переписку, и то, что они предлагают, не приближает их к получению этих инструментов.

Сейчас, когда пользователи взаимодействуют с сайтом или друг с другом, между ними происходит процедура, которая называется handshake (с англ. «рукопожатие» – прим.). Они предъявляют друг другу свои публичные ключи, подписанные тем или иным сертификатом, и после этого обмениваются зашифрованной информацией напрямую. Идея государственного сертификата в том, чтобы в любое такое взаимодействие встроить государственного посредника. Пользователь будет думать, что он шифрует информацию в адрес сервера, сервер будет думать, что он шифрует информацию в адрес пользователя, а на самом деле они будут шифровать все в адрес государства. Посредник будет все перехватывать и расшифровывать.

Технически это реализуемо, но не в очень больших масштабах. Потом еще появится огромный пакет трафика, с которым нужно проводить процедуру DPI, «глубокую инспекцию пакетов». К примеру, анализировать эти расшифрованные пакеты на предмет наличия кодовых слов, которые позволяют полагать, что это террористы общаются между собой. Такие технологии тоже есть, но никто никогда не пробовал использовать их на всем интернет-трафике в реальном времени.

Дамир Гайнутдинов, кандидат юридических наук, правовой аналитик Международной правозащитной группы Агора

«Закон Яровой» неконституционен. Он не отвечает минимальным стандартам правовой определенности (расплывчатость формулировки —фирменный стиль новых российских законов) и, как следствие, предоставляет спецслужбам неограниченные полномочия по слежке за гражданами. Согласно ст. 23 Конституции каждый имеет право на неприкосновенность частной жизни и тайну переписки.

В теории, гарантией от незаконного вмешательства в частную жизнь служит судебный порядок: правоохранителям нужно разрешение суда для получения доступа к переписке и другим данным о частной жизни человека. Однако деградировавшая судебная система в реальности не может никого защитить. Российские суды удовлетворяют 97% ходатайств о прослушивании телефонных переговоров и снятии информации с каналов связи.

Кроме того, сама система контроля за коммуникациями технологически так устроена, что «органам» приходится обращаться в суд только в тех случаях, когда результаты прослушки нужно «легализовать», — например, в качестве доказательства по уголовному делу. То есть более 4,5 миллионов судебных решений о разрешении прослушки, принятых с 2007 года, — скорее всего, только верхушка айсберга. Если переписка представителей оппозиции и гражданских активистов просто сливается в Lifenews, ВГТРК или на НТВ, никакого судебного решения не требуется.

В декабре 2015 года ЕСПЧ вынес постановление по делу «Роман Захаров против Российской Федерации». Европейский суд констатировал, что в России очень высокая вероятность злоупотреблений по части вмешательства в личную жизнь гражданина. Правоохранительные органы с помощью технических средств имеют прямой доступ ко всем телефонным переговорам и не обязаны предъявлять разрешение на прослушивание кому бы то ни было.

То есть, на сегодняшний день единственным ограничением тотальной прослушки абсолютно всех граждан России является отсутствие технологий и недостаток ресурсов. И если деньги на прослушку предлагается взять из пенсионных накоплений граждан, то с технологиями сложнее. Трафик мало собрать и хранить, его еще нужно расшифровать. Зарубежные сервисы, по-видимому, проигнорировали требование «закона Яровой» предоставить ключи шифрования. Мессенджеры, вроде Telegram или WhatsApp, которые сами не имеют доступа к таким ключам, в принципе не могли его выполнить. Остается попытаться внедрить свой собственный SSL-сертификат для перехвата трафика, проходящего через https-соединения, FTPS, IMAP и прочие.

В принципе, в создании собственных сертификатов безопасности ничего незаконного нет. Проблема в том, что цели, которые преследуют в этом случае российские власти, прямо противоположны тому, для чего изначально разрабатывались технологии безопасного соединения. Это можно сравнить с поручением лисе охранять курятник. Внедрение национального сертификата безопасности дало бы российским спецслужбам очень эффективный инструмент слежки в виде полного доступа к переписке, паролям, данным банковских карт и прочей самой приватной информации граждан. Однако для этого необходимо, чтобы разработчики ПО, такие как Google, Apple, Microsoft, Mozilla и все-все прочие согласились принять предложенный им сертификат, включив его в свои хранилища доверенных сертификатов. Вряд ли они на это пойдут, а значит, российским пользователям можно лишь посоветовать не пользоваться российскими сервисами, включая браузеры, почтовые клиенты и прочее.
В отсутствие правовой охраны частной жизни, самым эффективным способом защитится от слежки становится шифрование. Кстати, совсем недавно ООН признала возможность использования шифрования и анонимного доступа в интернет одним из прав человека. Рискну предположить, что одной из причин судорожных попыток «сохранить весь интернет на флешке» (помимо желания заработать на госзаказах), как раз и стало предельное упрощение разнообразных бесплатных средств шифрования и анонимности.



загрузка...

Читайте також

Коментарі