Российские компании начали решать задачу получения доступа к переписке пользователей онлайн-мессенджеров, пишет "Коммерсантъ". Это необходимо для исполнения антитеррористических законов ("пакета Яровой"), в рамках которых планируется перехватывать и дешифровывать интернет-трафик граждан.
Компания Con Certeza, разрабатывающая системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для исследования возможности перехвата и расшифровки трафика популярных мессенджеров.
В распоряжении "Ъ" оказалась копия переписки сотрудника Con Certeza с техническим специалистом одной из компаний по информационной безопасности. Подлинность переписки подтвердили оба участника диалога.
"Примерный состав работ такой. Рассмотреть основные мессенджеры WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность", — говорится в письме.
Согласно переписке, на изучение одного мессенджера дается два месяца. Цель исследования — "реализация или аргументация о невозможности реализации в системах СОРМ согласно нормативным требованиям к операторам сотовой связи".
Оплата работ по каждому из сервисов составляет 130 тысяч рублей плюс 230 тысяч рублей бонуса в "случае появления идентификаторов сторон либо текста при использовании MITM" (атака "Man-In-The-Middle"). Сущность такой атаки заключается в том, что для пользователя это оборудование притворяется запрещенным сайтом, а для сайта — пользователем.
Минкомсвязи и Минпромторг обсуждают набор технических решений, которые позволили бы реализовать доступ ко всему интернет-трафику граждан, включая перехват и дешифровку трафика при помощи MITM-атак, добавляет издание. При этом собеседники газеты еще на стадии обсуждения закона ставили под сомнение возможность этого решения применительно к мессенджерам с end-to-end шифрованием.
"Есть технологии, нацеленные на защиту от такого типа атак, — Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key-Pinning, откажутся работать в случае подмены сертификата для защиты пользователя", — отметили в компании Digital Security.