«Закон Яровой», который обязывает операторов связи хранить интернет-трафик, бесполезен без дешифровки этого трафика. Такого мнения придерживаются ФСБ, Минкомсвязи и Минпромторг.
Правда, ведомства предлагают разные подходы: служба безопасности выступает за расшифровку всего трафика в режиме real-time и анализа по ключевым параметрам, условно говоря, по слову «бомба», а министерства настаивают на изучении только тех абонентов, которые привлекут внимание правоохранительных органов. Обсуждение описанных схем «Коммерсанту» подтвердили источники в Администрации президента и в IT-компании.
«Ростелеком» еще в августе предупредил профильные министерства о том, что для исполнения «закона Яровой» понадобится решение для дешифровки интернет-трафика. Один из вариантов — установка на сетях операторов оборудования, способного выполнять MITM-атаку (Man in the Middle). Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем.
Пользователь будет устанавливать SSL-соединение с данным оборудованием, а уже оно — с сервером, к которому обращался пользователь. Перехваченный от сервера трафик будет расшифрован, а перед отправкой пользователю — снова зашифрован SSL-сертификатом, который выдаст российский удостоверяющий центр (УЦ). Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя.
Фото depositphotos
О планах создать подобный УЦ стало известно в феврале. Он должен быть добавлен в доверенные корневые центры сертификации во всех популярных браузерах, включая Google Chrome, Mozilla Firefox, Opera. Работу над проектом подтверждал глава подгруппы «ИТ+Суверенитет» при АП Илья Массух. В настоящее время при помощи SSL-сертификатов шифруется около 80% интернет-трафика, говорит основатель «Энвижн Групп» Антон Сушкевич. Консультант по интернет-безопасности Cisco Алексей Лукацкий утверждает, что в случае с end-to-end шифрованием, на котором построено большинство мессенджеров, MITM нереализуем.
Как полагают эксперты, если рынок узнает о данном факте, его игроки начнут «вырезать» сертификат подобного УЦ при обновлении. Возможность создавать «левые» сертификаты дискредитирует всю электронную коммерцию: банковские карточки, учетные данные всех пользователей во всех системах становятся перехватываемыми, указывает гендиректор АРСИЭНТЕК Денис Нештун.
Анализировать нешифрованный и уже расшифрованный трафик планируется с помощью DPI-систем (Deep Packet Inspection), которые уже применяются многими операторами, например, для URL-фильтрации по спискам запрещенных сайтов. Таким образом можно осуществлять как поиск по ключевым словам, так и построить полный профиль поведения пользователя с оценкой его психологического состояния и выявления вкусовых предпочтений и склонностей, объясняет гендиректор Qrator Labs Александр Лямин.
В России DPI-системы среди прочих разрабатывает компания РДП.РУ. Ее гендиректор Сергей Никулин заявляет, что данный функционал позволяет шпионить за всеми абонентами провайдеров, у которых такие системы установлены, а это порождает риски нарушения конституционных прав граждан и государственной безопасности.