В России начали искать способы расшифровки трафика мессенджеров

Российские компании для реализации «закона Яровой» приступили к поиску способов перехвата и расшифровки трафика популярных мессенджеров — WhatsApp, Viber, Telegram, Facebook Messenger и Skype, узнала газета «Коммерсантъ»





Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. Это следует из переписки (копия есть у "Ъ") сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ). Подлинность данной переписки подтвердили технический специалист и гендиректор этой ИБ-компании, сотрудник Con Certeza не ответил на вопросы "Ъ", но пообещал переслать их "тем, кто в курсе ситуации".

"Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM (атака Man-In-The-Middle.— "Ъ") и, если возможность есть, продемонстрировать прототип на локальном стенде",— говорится в письме сотрудника Con Certeza.

Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber. Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса "в случае получения идентификаторов сторон либо текста при использовании MITM". Цель исследования — "реализация или аргументация о невозможности реализации (данных функций.— "Ъ") в системах СОРМ согласно нормативным требованиям к операторам сотовой связи", пишет сотрудник Con Certeza. "Я был готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ",— рассказал "Ъ" специалист ИБ-компании, с которым вели переписку из Con Certeza.

По данным kartoteka.ru, 76% ООО "Кон Цертеза" принадлежит Михаилу Лемешеву, а 24% — ООО "НЛП Груп", владельцами которого также являются Михаил Лемешев и ООО "Кон Цертеза". На сайте "НЛП Груп" указаны ряд проектов с МТС, двое собеседников "Ъ" на рынке телекоммуникаций утверждают, что группа создана людьми из числа бывших сотрудников МТС и в основном обслуживает этого оператора. Глава Con Certeza Андрей Лемешев упоминался в закупочной документации МТС в 2007 году как сотрудник оператора. В МТС от комментариев отказались.

"Исходя из описания, исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения идентифицируемых пользователей, их переписки и в случае успешной реализации MITM подмены ее содержания",— отмечает гендиректор Qrator Labs Александр Лямин. Для реализации положений "закона Яровой" ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят реализовать доступ ко всему интернет-трафику россиян, включая перехват и дешифровку трафика с помощью MITM-атак (когда для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем). Однако собеседники "Ъ" еще на стадии обсуждения закона ставили под сомнение возможность этого применительно к мессенджерам, использующим end-to-end шифрование.

"Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать. Есть технологии, нацеленные на защиту от такого типа атак,— Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя",— поясняют в Digital Security.

Представители Viber, Telegram, WhatsApp и Facebook Messenger не ответили на запросы "Ъ", в Microsoft, владеющем Skype, отказались от комментариев. "Цена мутная. Примерно столько стоит взлом WhatsApp конкретного человека с полным доступом к переписке. Но это неофициальные расценки, и на поток они не ставятся",— отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий. Он утверждает, что до сих пор не удавалось организовать массовый доступ к переписке в мессенджерах, "поэтому заключение о возможности перехвата, скорее всего, будет отрицательным и никакого прототипа тут быть не может". Господин Лямин добавляет, что уязвимость к перехвату топовых мессенджеров может стоить десятки тысяч долларов на "черном рынке уязвимостей".

Источник: «Коммерсантъ»



Комментарий Milkavkaz в качестве безопасного средства коммуникации мы рекомендуем использовать мессенджер Tox

Tox — мессенджер для текстовой, голосовой и видеосвязи в интернете. Эталонная реализация протокола представляет собой свободное программное обеспечение с открытым исходным кодом, обеспечивающее полный набор привычных функций: голосовая и видеосвязь, режим конференции с несколькими участниками, указание и смена сетевого статуса, поддержка эмотиконов, возможность отправлять мгновенные сообщения и передавать файлы.

Взаимодействие участников Tox реализовано примерно так же, как в облачном сервисе BitTorrent Sync. Используется пиринговый обмен информацией для улучшения пропускной способности, но в отличие от Skype, не требует регистрации для использования, а идентификатор пользователя создаётся локально. После установки Tox автоматически создаётся пара ключей. Публичный ключ можно передавать кому угодно — он служит как уникальный идентификатор для поиска собеседника. Секретный ключ хранится только у владельца и подтверждает его подлинность не раскрывая персональные данные. Центральный сервер отсутствует, поиск собеседников происходит через DHT.

При общей идее проекта разработка клиентских приложений ведётся отдельно для каждой операционной системы. Команды пишут десятки вариантов с отличающимся набором функций, но для скачивания с официальной страницы будут предлагаться только наиболее стабильные. qTox или μTox станет своего рода официальной версией для пользователей Linux и Windows, Antox — мобильный вариант для ОС Android, а Antidote для iOS.

Совместная работа над проектом Tox осуществляется с помощью сервиса GitHub, где уже доступны исходники тестовой версии. Как видно из кратких описаний «ночных сборок», защита соединения достигается за счёт использования SOCKS прокси-серверов. Также поддержка SOCKS5 позволяет перенаправлять весь трафик через Tor. Криптографические функции выполняются с помощью криптобиблиотеки NaCl, созданной международной группой специалистов по безопасности под руководством Дэниела Бернштейна (англ.)русск. (Daniel J. Bernstein) из Университета штата Иллинойс в Чикаго.


Основные достоинства Tox:

проект полностью находится вне досягаемости российских законов и спецслужб, они не в состоянии применить к tox никакие санкции или заблокировать его. Сотрудничество проекта с властями РФ исключено.

открытый код программы

End-to-end шифрование

Шифрованные групповые чаты

Шифрованные голосовые звонки

нет промежуточных серверов, зашифрованный трафик идет от собеседника к собеседнику напрямую, нигде не перехватывается и не хранится.  


в Tox нет удостоверяющего центра и идентификаторов которые можно подменить. Если два пользователя TOX обменялись TOX ID который содержит открытую часть ключа MITM атака не возможна в принципе! ТОХ не разрешает коннектится двум устройствам с одинаковым ID!



ВАЖНО! Для того чтобы избежать MITM атаки необходимо держат в секрете публичный ключ, обмениваться с собеседниками публичными ключами лично и не пользоваться сторонними сервисами tox-DNS вроде ToxMe (через которые можно организовать MITM атаку).

В России начали искать способы расшифровки трафика мессенджеров В России начали искать способы расшифровки трафика мессенджеров Reviewed by milkavkaz on 4.10.16 Rating: 5





Технологии Blogger.