Интернет-Россия. Требование о хранении переговоров («пакет Яровой»)

Шифр и меч

ФСБ собирается взять интернет-трафик на контроль // www.kommersant.ru

 

Двое собеседников "Ъ" утверждают, что один из обсуждаемых вариантов дешифровки — установка на сетях операторов оборудования, способного выполнять MITM-атаку (Man in the Middle). "Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь. Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ). Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя",— объясняет собеседник "Ъ". О том, что в России планируется создать УЦ для выдачи SSL-сертификатов и добавить его в доверенные корневые центры сертификации во всех популярных браузерах, таких как Google Chrome, Mozilla Firefox, Opera, "Ъ" сообщал еще в феврале 2016 года. Глава подгруппы "ИТ+Суверенитет" при АП Илья Массух, ранее подтверждавший, что создание УЦ будет обсуждаться рабочей подгруппой, сообщил, что не знает о планах использования данного УЦ в рамках исполнения "закона Яровой".
О таком предложении по расшифровке трафика слышал основатель "Энвижн Групп" и совладелец производителя телекоммуникационного оборудования РДП.РУ Антон Сушкевич. "Два основных метода шифрования в интернете — end-to-end, который очень популярен в мессенджерах, и SSL-сертификаты — с их помощью около 80% интернет-трафика шифруется. Для того чтобы выполнять задачу, поставленную "законом Яровой", то есть бороться с терроризмом, нужно расшифровывать и анализировать трафик в прямом эфире, а не какое-то время спустя. Организация MITM — один из возможных путей",— отмечает господин Сушкевич.
Опрошенные "Ъ" эксперты считают данную схему дешифровки трафика неидеальной. "Когда о данном факте станет известно, из всего ПО, обеспечивающего работу с шифрованным трафиком, сертификат подобного удостоверяющего центра будет вырезан в очередном обновлении. И это будет правильно, потому что возможность создавать "левые" сертификаты дискредитирует всю электронную коммерцию: все банковские карточки, учетные данные всех пользователей во всех системах становятся перехватываемыми",— говорит гендиректор АРСИЭНТЕК Денис Нештун. "MITM хорошо, а местами и легально работает для клиент-серверных технологий на базе SSL. Но от него стали чаще отказываться и переходить на TLS, для которого MITM сделать сегодня нельзя. А в случае с end-to-end шифрованием, на котором построено большинство мессенджеров, MITM вообще нереализуем",— утверждает консультант по интернет-безопасности Cisco Алексей Лукацкий.
Для анализа нешифрованного и уже расшифрованного трафика планируется использовать DPI-системы (Deep Packet Inspection), которые и сейчас применяются многими операторами, например для URL-фильтрации по спискам запрещенных сайтов (их ведет Роскомнадзор), утверждают трое собеседников "Ъ", знакомых с обсуждением между ведомствами. По этой причине, предполагает один из них, в проекте "дорожной карты" по импортозамещению телекоммуникационного оборудования в России на 2016-2020 годы, разработанном подгруппой "ИТ+Суверенитет", которая создана в рамках рабочей группы помощника президента Игоря Щеголева, появилось предложение законодательно обязать даже частных операторов связи использовать только российское оборудование и софт для выполнения функций DPI (см. "Ъ" от 9 сентября).
"У каждого пакета данных есть заголовок — набор служебной информации, на основе которой пакет обрабатывается сетевым оборудованием. DPI заглядывает дальше заголовка — непосредственно в данные, которые несет в себе пакет. Дальнейшие действия с этой информацией ограничиваются лишь фантазией заказчика и вычислительной мощностью решения. Это может быть как банальный поиск по ключевым словам, так и построение полного профиля поведения пользователя с оценкой его психологического состояния и выявления вкусовых предпочтений и склонностей",— объясняет гендиректор Qrator Labs Александр Лямин.
В России есть ряд компаний, которые разрабатывают DPI-системы, например РДП.РУ и Vas Experts. "На базе продукта Eco3in1 у нас реализованы URL-фильтрация по спискам, возможность вытаскивать метаданные из http-трафика и таким образом собирать информацию о том, на какие URL ходят пользователи. В данный момент Eco3in1 используется множеством провайдеров по всей России. В разработке находится и другая система DPI, которая позволит определять до 6 тыс. протоколов, то есть все имеющиеся на сегодняшний день",— говорит гендиректор РДП.РУ Сергей Никулин. При этом он отмечает, что если использовать данный функционал "во зло", то можно "с успехом шпионить за всеми абонентами провайдеров, у которых такие системы установлены, что порождает риски нарушения конституционных прав граждан и государственной безопасности".

 

Власти идут на перехват

Работа над дешифровкой интернет-трафика признана официально // www.kommersant.ru

 

Вопрос перехвата и расшифровки интернет-трафика россиян, а затем его шифрования с помощью SSL-сертификата российского удостоверяющего центра (УЦ) поднимался органами власти, подтвердила гендиректор InfoWatch и член рабочей группы "ИТ + Суверенитет" при администрации президента Наталья Касперская. "Тема передачи SSL-сертификата органам власти всплывала, лоббируют ее Роскомнадзор и ФСБ, которым это нужно. И это требование передачи сертификата — абсолютно правильная вещь, потому что сейчас у нас есть кусок интернета, который совершенно неподконтролен собственной стране, это неправильно",— сообщила госпожа Касперская в ходе конференции BIS Summit 2016 в ответ на вопрос "Ъ". "Сбор данных осуществляется в глобальном масштабе много кем, и, к сожалению, эти "много кто" находятся за пределами нашего государства, это совершенно неправильно. Вы положили мобильное устройство в карман — все, на этом приватность закончилась, давайте смотреть правде в глаза",— отметила она.

 

Шифрофрения

Мессенджеры готовят к вскрытию // kommersant.ru

 

Российские компании приступили к решению задачи по получению доступа к переписке пользователей WhatsApp, Viber, Facebook Messenger, Telegram и Skype. Это необходимо для реализации "закона Яровой", в рамках которого для борьбы с терроризмом власти намерены осуществлять перехват и полную дешифровку трафика россиян. О том, что такое требование может оказаться технически неосуществимым, эксперты предупреждали еще на стадии обсуждения закона. Особенно в том случае, если в мессенджерах используется end-to-end-шифрование, то есть когда ключ от переписки формируется на конечном устройстве, например смартфоне пользователя.

Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. Это следует из переписки (копия есть у "Ъ") сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ). Подлинность данной переписки подтвердили технический специалист и гендиректор этой ИБ-компании, сотрудник Con Certeza не ответил на вопросы "Ъ", но пообещал переслать их "тем, кто в курсе ситуации".

"Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM (атака Man-In-The-Middle.— "Ъ") и, если возможность есть, продемонстрировать прототип на локальном стенде",— говорится в письме сотрудника Con Certeza.

Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber. Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса "в случае получения идентификаторов сторон либо текста при использовании MITM". Цель исследования — "реализация или аргументация о невозможности реализации (данных функций.— "Ъ") в системах СОРМ согласно нормативным требованиям к операторам сотовой связи", пишет сотрудник Con Certeza. "Я был готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ",— рассказал "Ъ" специалист ИБ-компании, с которым вели переписку из Con Certeza.

По данным kartoteka.ru, 76% ООО "Кон Цертеза" принадлежит Михаилу Лемешеву, а 24% — ООО "НЛП Груп", владельцами которого также являются Михаил Лемешев и ООО "Кон Цертеза". На сайте "НЛП Груп" указаны ряд проектов с МТС, двое собеседников "Ъ" на рынке телекоммуникаций утверждают, что группа создана людьми из числа бывших сотрудников МТС и в основном обслуживает этого оператора. Глава Con Certeza Андрей Лемешев упоминался в закупочной документации МТС в 2007 году как сотрудник оператора. В МТС от комментариев отказались.

"Исходя из описания, исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения идентифицируемых пользователей, их переписки и в случае успешной реализации MITM подмены ее содержания",— отмечает гендиректор Qrator Labs Александр Лямин. Для реализации положений "закона Яровой" ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят реализовать доступ ко всему интернет-трафику россиян, включая перехват и дешифровку трафика с помощью MITM-атак (когда для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем). Однако собеседники "Ъ" еще на стадии обсуждения закона ставили под сомнение возможность этого применительно к мессенджерам, использующим end-to-end шифрование.

"Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать. Есть технологии, нацеленные на защиту от такого типа атак,— Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя",— поясняют в Digital Security.

Представители Viber, Telegram, WhatsApp и Facebook Messenger не ответили на запросы "Ъ", в Microsoft, владеющем Skype, отказались от комментариев. "Цена мутная. Примерно столько стоит взлом WhatsApp конкретного человека с полным доступом к переписке. Но это неофициальные расценки, и на поток они не ставятся",— отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий. Он утверждает, что до сих пор не удавалось организовать массовый доступ к переписке в мессенджерах, "поэтому заключение о возможности перехвата, скорее всего, будет отрицательным и никакого прототипа тут быть не может". Господин Лямин добавляет, что уязвимость к перехвату топовых мессенджеров может стоить десятки тысяч долларов на "черном рынке уязвимостей".

Мария Коломыченко

 

Правительство обсуждает варианты поправок к "пакету Яровой"

При этом отмечается, что с Госдумой пока обсуждение не идет // tass.ru

 

МОСКВА, 26 октября. /ТАСС/. В правительстве ведется обсуждение возможных вариантов поправок к антитеррористическому "пакету Яровой", Минэкономразвития также принимает участие в процессе. Об этом журналистам сообщил замглавы министерства Олег Фомичев в кулуарах форума "Открытые инновации".
"Сейчас в правительстве обсуждается вопрос необходимости подготовки таких поправок. Мы в этом процессе тоже участвуем", - сказал он, не уточнив детали.
Фомичев добавил, что в настоящее время вопрос прорабатывается только на уровне правительства, с Госдумой пока обсуждение не идет.
Ранее Фомичев заявлял, что Минэкономразвития планирует проработать с Госдумой поправки к антитеррористическому пакету законов, авторами которого выступили депутат Ирина Яровая и сенатор Виктор Озеров. По его словам, на тот момент понимания, как отдельные положения закона должны реализовываться в жизни, не было.
Фомичев также говорил, что количества оборудования соответствующего класса для выполнения требований "пакета Яровой" нет даже за рубежом.

 

Эксперты правительства обсудят отмену "закона Яровой"

Экспертная рабочая группа при правительстве, возглавляемая министром по вопросам Открытого правительства Михаилом Абызовым, 19 января обсудит возможность отмены так называемого "закона Яровой" или его модификации, сообщил "Интерфаксу" президент Фонда информационной демократии Илья Массух. // www.interfax.ru

 

"Основная причина данного обсуждения - это то, что петиция за отмену закона на сайте Российской общественной инициативы (РОИ) набрала 100 тыс. подписей", - пояснил он. По данным сайта РОИ, за петицию проголосовало 100 тыс. 98 человек, а против отмены - 1 тыс. 439 человек.
...
По словам Массуха, на встречу будут приглашены авторы инициативы, профильные ведомства, а также автор петиции, с которым будет проведено обсуждение. "Автор должен пояснить, чего конкретно добивался этой инициативой, например, может он предложит внести изменения в закон, а не просто отменить его. И после детального обсуждения рабочая группа примет решение", - отметил он.

 

ФСБ напомнила операторам о предстоящих инвестициях

Спецслужба указывает на необходимость потратиться на исполнение закона Яровой и построить хранилища данных // www.vedomosti.ru

 

Федеральная служба безопасности (ФСБ) написала операторам связи письмо, чтобы они не забыли заложить в бюджеты 2017 г. деньги на исполнение закона Яровой, сообщили «Ведомостям» сотрудники двух крупных операторов связи. По их словам, операторы получили письма около месяца назад.

На подготовку к исполнению закона у операторов остается 1,5 года – пакет антитеррористических поправок Ирины Яровой и Виктора Озерова вступит в силу 1 июля 2018 г. По нему операторы связи и интернет-сервисы обязаны полгода хранить телефонные разговоры, текстовые сообщения, изображения, звуки, видеозаписи и другие электронные сообщения пользователей.

Правда, оценки стоимости исполнения закона до сих пор нет, нет и технического задания на создание системы хранения данных. Поэтому непонятно, что бюджетировать, рассуждает сотрудник одного из операторов связи. Вряд ли какой-то оператор заложил исполнение закона в бюджет 2017 г., считает сотрудник другого оператора, а это равносильно тому, что в 2018 г. ничего не будет готово. Бюджет на следующий год обычно формируется в октябре-ноябре, продолжает он. «Цыплят и деньги по осени считают», – соглашается с ним человек из первого оператора.

В конце июня 2016 г. руководители большой четверки операторов связи оценили затраты на исполнение закона в 2,2 трлн руб.

Определение точных параметров хранения – что именно и сколько должны будут хранить операторы – в окончательном варианте, подписанном президентом Владимиром Путиным, закон перепоручает правительству. Операторы надеялись, что правительственный документ предусмотрит смягчение условий, но надежда оказалась тщетной.

В конце декабря Минкомсвязи опубликовало проекты постановлений правительства, регламентирующих применение поправок Яровой и Озерова, и основные параметры хранения в них остались теми же, что и раньше.

После принятия закона свой вариант его исполнения предлагал «Ростех». По задумке госкорпорации одна из ее структур – Национальный центр информатизации мог бы стать единым оператором системы хранения данных, а операторы связи станут его клиентами. Так можно было бы сэкономить на унификации технических решений. Этот сценарий тогда поддерживал Минпромторг.

Летом стало также известно, что и ФСБ предлагала свой подход к исполнению закона Яровой: использовать оборудование СОРМ (система оперативно-розыскных мероприятий), уже установленное на сетях операторов связи и предназначенное для прослушки. Сейчас оно 12 часов хранит трафик передачи данных. Для соответствия закону систему нужно было бы расширять до возможности хранения данных в течение шести месяцев, причем не только передачи данных, но и голоса, рассказывали источники «Ведомостей».

В опубликованных Минкомсвязи проектах документов единый оператор не фигурирует. Эти документы свидетельствуют в пользу сценария, предложенного ФСБ, рассуждал собеседник «Ведомостей», знакомый с ходом обсуждения проектов подзаконных актов.

Еще один вариант предлагал летом гендиректор «Мегафона» Сергей Солдатенков: государство вводит дополнительный налог на компании связи и из этих поступлений финансирует создание системы хранения трафика. «Дополнительный налог в размере 1% от выручки никак не повлияет на отрасль. Если сделают 20%, тогда это совсем другая история», – говорил он в июльском интервью «Коммерсанту». 1% от выручки российской отрасли связи – это около 20 млрд руб. в год, на эти деньги государство могло бы создать мощный дата-центр и избирательно хранить в нем переписку, записи звонков и т. д., объяснял представитель «Мегафона» Петр Лидов.

На исполнение требований закона «Мегафону» нужно будет потратить свыше 938 млрд руб., свыше трех годовых выручек, говорил «Ведомостям» директор оператора по связям с государственными органами Дмитрий Петров.

Представители «Вымпелкома», «Мегафона», Tele2, МТС и «Ростелекома» отказались от официальных комментариев. Запрос в ФСБ остался без ответа.

 

Эксперты правительства посчитали недопустимой отмену "закона Яровой"

Петиция за отмену закона набрала 100 тыс. подписей // www.interfax.ru

 

"Недопустима отмена фундаментального закона, защищающего россиян от глобальной террористической угрозы, в угоду интересов отдельной группы коммерсантов" - указано в перечне выводов по итогам заседания, на котором обсуждалась петиция об отмене "закона Яровой".
...рабочая группа установила, что закон полностью соответствует Конституции РФ и не нарушает прав граждан. Параллельно эксперты указывают, что профильные ведомства проводят работу по "существенному" смягчению норм закона, которые позволят избежать сверхрасходов.

 

Минкомсвязь договорилась о снижении в 10 раз хранимого трафика по "пакету Яровой"

Как сообщил замминистра Алексей Волин, сократить объемы можно за счет избыточной информации, к которым относятся интернет-видео, IP-TV, торренты // tass.ru

 

"У нас состоялся, на наш взгляд, достаточно конструктивный диалог с нашими коллегами из силового блока, потому что уже на сегодняшний день мы имеем договоренности и понимания в отношении того, что объемы информации могут быть сокращены примерно в 10 раз", - сказал он на заседании экспертной рабочей группы, которая рассматривает инициативу отмены "пакета Яровой".

Замминистра пояснил, что сократить объемы можно за счет избыточной информации. "Речь идет о том, что к избыточной информации относятся интернет-видео, IP-TV, торренты и ряд других очень тяжелых для хранения информационных ресурсов", - сказал Волин.
...
"Второе, о чем была достигнута договоренность, и на что мы также получили согласие со стороны коллег из силовых ведомств, это на поэтапность углубления хранения информации. Потому что сегодня эта информация хранится 12 часов. У нас есть понимание того, что переход с 12 часов до 6 месяцев можно проводить постепенно", - заявил Волин.

 

Минкомсвязи оценило затраты операторов на выполнение "закона Яровой" в 100 млрд рублей

Затраты операторов при исполнении требований антитеррористического "пакета Яровой" составят около ста миллиардов рублей, заявил замминистра связи и массовых коммуникаций Алексей Волин. // www.interfax.ru

 

"В целом, те расчеты, которые мы делали вместе с коллегами из министерства промышленности, пока по сокращенному объему хранения выводят нас на цифры около ста миллиардов рублей", - сказал Волин на заседании экспертной рабочей группы федерального уровня, которая в четверг рассматривает петицию об отмене "закона Яровой". Он отметил, что понадобится порядка двух лет для согласования поэтапной реализации закона.

 

"Процесс идет, поправки к закону находятся в стадии написания. Первые нормативные документы появятся, когда будут согласованы со всеми участниками", - сказал Волин.

По его словам, точное время сейчас обозначить нельзя, так как "это зависит от того, какие позиции к окончательному варианту выскажут ведомства и участники рынка".

Он отметил, что если учесть, что поправки вступают в силу в июле 2018 года, у правительства и ведомств "достаточно времени".

Отвечая на вопрос, стоит ли пойти навстречу операторам связи, которые просят отложить вступление "пакета Яровой" на 3-5 лет, замминистра ответил, что у Минкомсвязи нет по этому поводу никакой позиции. "Мы ничего по этому поводу не считаем, мы не занимаемся законотворчеством, мы занимаемся исполнением принятых законов. Предлагая те или иные поправки, мы думали о том, как его реализовывать. А откладывать его или нет - это депутаты должны решать. У нас разделение полномочий - каждый своим делом занимается", - сказал Волин.

 

Власти компенсируют операторам часть расходов на закон Яровой

Минэкономразвития предлагает пустить на это средства программы по ликвидации цифрового неравенства, но этих денег недостаточно // www.vedomosti.ru

 

Подписывая летом 2016 г. закон Яровой, последствия которого операторы оценивали в астрономические суммы, Владимир Путин, оказывается, поручил правительству поддержать операторов в связи с «учетом необходимости недопущения роста тарифов на услуги связи выше уровня инфляции». Информация об этом поручении появилась на официальном портале правовой информации: на документ ссылалось Минкомсвязи в дискуссии о подзаконных актах к поправкам Яровой. Представитель ведомства не стал обсуждать эти сообщения, а к вечеру понедельника все комментарии министерства со ссылками на закрытое поручение президента были удалены с портала.

До сих пор было известно лишь поручение президента правительству и ФСБ подготовить до 1 ноября 2016 г. проекты нормативных актов, которые минимизировали бы риски, связанные с применением закона. Речь о поддержке операторов и борьбе с ростом тарифов не шла. Они были в закрытой части этих поручений, говорят три собеседника в операторах связи.

 

Закон Яровой могут обкатать на пилотном проекте

Это может привести к отсрочке вступления закона в силу // vedomosti.ru

 

Логично организовать пилотный проект на сетях «Ростелекома» как крупнейшего оператора с госучастием, считает консультант ПИР-центра Олег Демидов. С высокой вероятностью пилотный проект покажет, что реализация закона в части хранения и обработки требует очень сложного и масштабного комплекса мер, считает эксперт. Это, по его мнению, может привести к тому, что сроки начала хранения будут сдвинуты на 3–4 года либо в закон будут внесены существенные корректировки, которые ограничат перечень хранения метаданными.

 

Операторы начнут тестировать сбор и хранение трафика по "закону Яровой"

Рабочая группа "Связь и IT" экспертного совета при правительстве разрабатывает предложения по тестовым испытаниям реализации "закона Яровой", сообщает "Коммерсантъ" со ссылкой на куратора рабочей группы Ирину Левову. // www.interfax.ru

 

...
В испытаниях должны принять участие минимум десять операторов связи и пять интернет-площадок, которые числятся "организаторами распространения информации в интернете". Технические испытания предложено провести до 1 августа 2017 года, результаты будут переданы в правительство и администрацию президента. При этом Минкомсвязи, Минпромторгу и ФСБ эксперты предложили до 1 октября утвердить требования к оборудованию связи, необходимые для реализации "закона Яровой", а также порядок, сроки и объем хранения информации операторами связи и интернет-компаниями.
...
Представитель МТС подтвердил, что компания принимала участие в разработке предложений по тестовым испытаниям. Проект готовы обсуждать в "Вымпелкоме" и "МегаФоне", сообщили представители этих операторов. В "Яндексе" отказались от комментариев.

 

"Закон Яровой" вписали в инфляцию

Объемы хранения данных и затраты операторов могут вырасти // www.kommersant.ru

 

В пресс-службе Минкомсвязи не стали комментировать выводы РСПП. Но, по оценкам министерства, которые приводятся в сводном отчете к проекту, затраты субъектов хозяйственной деятельности на реализацию закона составят 4,5 трлн руб. При этом, по данным Минкомсвязи, годовой доход от оказания услуг связи, на которые накладываются обязательства по хранению информации, составляет 1,1 трлн руб. Получается, что затраты операторов, по оценке самого разработчика проекта, в четыре раза превысят их годовой доход, констатирует комиссия РСПП.