Снятые с канала: ФСБ сохраняет трафик всех пользователей соцсетей?

Сейчас можно прочитать много материалов об усилении регулирования интернета со стороны государств. О таинственных и вездесущих спецслужбах, которые суют свой нос буквально во все сферы сетевой жизни среднестатистического обывателя. Это касается в равной степени не только американских пользователей Сети, но также и её российских или белорусских пользователей.

И если про американский контроль написано в последний месяц всего очень много (взять хотя бы скандал, связанный с Эдвардом Сноуденом и АНБ), то в данной заметке мне бы хотелось сосредоточиться исключительно на российском опыте интернет-контроля, который всё-таки как-то ближе, а потому намного интересней и наглядней, чем пресловутая американская программа PRISM.

И показать возможности российской системы интернет-мониторинга мне бы хотелось на примере недавнего судебного разбирательства, детали которого чрезвычайно показательны с одной стороны, а с другой - по необъяснимой для меня причине, - остались практически за кадром освещения прессы.

Речь пойдет об очередном (самом свежем) эпизоде суда бывшего владельца платежной системы Chronopay Павла Врублёвского, по т.н. делу о DDoS-атаке против "Аэрофлота". С подробностями и действующими лицами этого затяжного и громкого дела я предлагаю (всем желающим) ознакомиться отдельно (ссылка 1, ссылка 2, ссылка 3), а сегодня речь пойдёт лишь о его самом последнем на данный момент заседании. Технические детали именно этого акта разбирательства ИМХО просто сенсационны - судите сами: российское ФСБ в итоге смогла получить личную электронную переписку в Facebook между свидетелями этого дела, причём, сделала она это вопреки отказу в помощи со стороны самой социальной сети.

Давайте попробуем разобраться поподробнее, что же произошло на этом необычном судебном разбирательстве в июне 2013 года.


Фейсбук был взломан?

Чтобы не перегружать деталями долгих прений, поверхностно восстановлю хронологию происходивших на этом суде событий. В интересах следствия Тушинский районный суд Москвы удовлетворил соответствующее ходатайство прокурора и выдал санкцию Центру информационной безопасности (ЦИБ) ФСБ на "выемку данных с ресурса Фейсбук" в отношении указанных обвиняемых. После некоторых попыток договориться с Facebook, ФСБ уведомил суд, что "компания "Фейсбук" расположена на территории США и не имеет представительства в России, а потому произвести выемку переписки с официальной позиции указанной компании не представляется возможным".

А вот дальше начинается самое интересное и интригующее.

Пожевав сопли для проформы, российская ФСБ решила действовать самостоятельно. Далее цитата из судебного решения:

ЦИБ ФСБ, в соответствие с Законом "Об оперативно-розыскной деятельности", осуществил самостоятельный съем информации с каналов связи указанных лиц и записал ее на DVD-диск.

Полученная таким образом переписка была публично и торжественно зачитана прокурором на судебном заседании. Сразу после этого в суде наступили бурные прения, слово тут же взял Дмитрий Артимович - один их хакеров-технарей, который и обвинялся в непосредственном проведении DDoS-атаки. В частности, он сказал:

"Доступ к Facebook осуществляется посредством зашифрованного протокола https, а потому получить переписку таким образом нельзя. К тому же непонятно, каким образом можно было вообще осуществлять съем данных с канала связи Врублевского, если соответствующее разрешение суд выдал одновременно с решением о заключении его под стражу".

Иначе говоря, технарь бурно офигевает, пытаясь достучаться к разуму судей-гуманитариев: как вообще можно снять что-то "непосредственно с канала связи" после решения суда в 2013 году, уже после ареста всех участников инцидента, когда сама переписка велась ещё в 2011 году? Его логичные вопросы встречают лишь молчаливые усмешки со стороны обвинения.

Следующий за ним технический эксперт попросил обвинение более подробно прокомментировать технический смысл понятия "съем информации непосредственно с канала связи", на что прокурор Сергей Котов с раздражением парировал этот вопрос, обращенный вообще-то к представителям ФСБ: "Кто ж вам будет рассказывать, как и кто осуществляет оперативные мероприятия? Может, вам еще и ключи от квартиры дать, где деньги лежат?", таким образом, завершив, широко улыбаясь, дискуссию по этой странной теме.

Нужно признать, что нечто подобное происходило уже и раньше, это не первый эпизод трюка "со снятием данных непосредственно с канала связи" даже в пределах этого же самого дела.

Ещё летом 2010 г. ЦИБ ФСБ путем анализа трафика интернет-подключения одного из обвиняемых Артимовича не только нашло логин и пароль от панели управления бот-сети Topol-Mailer (физически расположенную на сервере американского провайдера LayeredTech), но и смогло перехватить контроль над этой бот-сетью (хм, представляю рапорта офицеров о награждении - "представить к очередному званию за заслуги по захвату бот-сети злоумышленников..."). И что интересно: доступ к этой панели также осуществлялся по зашифрованному https-протоколу с соблюдением всех мер предосторожности...


Хронология "снятия канала"

Но на этот раз всё закручено даже ещё круче! Чтобы оценить весь масштаб произошедшего, очень кратко воспроизвожу полную хронологию предшествующих событий в пошаговом режиме:

  1. В 2013 году районный суд обнаруживает факт личной переписки одного из обвиняемых в Facebook, после чего даёт поручение ФСБ "добыть недостающие сведения";
  2. Американский FB посылает следователей ФСБ, образно выражаясь, предлагая служивым "немного покурить в сторонке", о чем ФСБ официально докладывает суду: "с США у нас договоров о правовой взаимопомощи нет";
  3. И вот тут-то начинается самое странное, я бы даже сказал, что мистическое - в дело подключается ЦИБ ФСБ, который и производит тот самый "съём данных непосредственно с канала" "своими собственными силами", успешно записав "логин-пароль целевого пользователя на DVD-диск". Задумайтесь на минутку: все обвиняемые физически находятся под арестом уже почти год, естественно, давно не посещая свои аккаунты в Facebook и сеть Интернет вообще;
  4. По мнению экспертов, возможно лишь одно объяснение (разве что, за исключением наличия Машины Времени): трафик всех https-сессий был ранее сохранен, как минимум на начало 2012 год, что и дало возможность задним числом проснифать его, дабы выковырять оттуда необходимые для доступа в FB-аккаунты обвиняемых логин-пароль.

Согласен, после прочтения всего этого остаётся много вопросов.

Возможно ли такое вообще? И главное - насколько широко это применяется? Сохранялся ли этот трафик только избирательно в отношении этих двух подозреваемых, лишь против кого ведется уголовные дела, в отношении Facebook или, наконец, он вообще хранится в отношении сразу всех посетителей социальных сетей? Гадать тут можно долго, но фактом остаётся лишь одно: на момент распоряжения прокурора добыть личную переписку в начале 2013 года - доступа (валидных паролей) у ФСБ к аккаунтам FB ещё не было, и добыты они были позже путём уже самой страшной магии - "снятием с канала".


Послесловие для размышления

Мнения специалистов о том "чо ж это деется, пацаны" - сильно расходятся. В силу своего воображения вы также можете поупражняться в самостоятельном объяснении этой последовательности событий как-либо иначе. Большинство же сходится на том, что современный российский СОРМ доведён буквально до совершенства, более того, значительная часть его работы хорошо автоматизирована.

ИМХО, наиболее логичный вывод радикален и малоприменим, он таков: лучше перестать пользоваться национальными (российскими) интернет-каналами, перейдя на двухнаправленную спутниковую связь (или что-то в этом духе, например, на будущие стратосферные шары от Google - Project Loon), хотя бы для наиболее критичных подключений. Либо же начать серьёзно пользоваться VPN-туннелями. Но в отношении последнего, впрочем, стоит добавить - "пока подобное ПО не запрещено на территории РФ". Кстати говоря, те, кто увлекается криптографией и подобными Tor'ами/туннелями, в США, например, "палятся" автоматически - то есть все эти лица автоматически ставятся на профилактику. Анекдотичность ситуации в том, что здесь средство аномизации срабатывает с точностью до наоборот - лишь привлекая пристальное внимание спецслужб к тем, кто его использует.

Да и вообще, в свете всего вышеизложенного, последние новости типа "у российских спецслужб появилась возможность прослушивать разговоры в Skype", воспринимаются уже не с таким интересом и пафосом. В качестве заключения, можно помедитировать по этой ссылке над тем, что такое ЦИФ ФСБ и чем эти служивые вообще занимаются, а также на выступлении американского детектива Стива Рамбама - "Частной жизни больше нет".

Игорь САВЧУК,
Blogerator.ru

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Ржунимагу. Эти хакеры такие хакеры. Называется "профессиональный кретинизм".  :) Просто дети.