Давай попробуем взломать: в России проверяют возможность дешифровки трафика
Компания Con Certeza, которая занимается «легальным контролем» на сетях связи, ищет подрядчика для исследования возможности перехвата и расшифровки трафика популярных мессенджеров. Об этом со ссылкой на переписку сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности.
Издание предполагает, что исследование проводится в связи с необходимостью реализовать «пакет Яровой», в рамках которого для борьбы с терроризмом «власти намерены осуществлять перехват и полную дешифровку трафика россиян».
На самом деле «пакет Яровой» не предполагает, что власти должны выдумывать способы для расшифровки трафика, он запрещает использовать несертифицированные средства кодирования (шифрования) при передаче сообщений в интернете, а также обязывает интернет-компании передавать ФСБ ключи для декодирования сообщений. Согласно приказу ФСБ, ключи шифрования следует передавать по электронной почте или на магнитном носителе заказным письмом.
После принятия пакета законов стало понятно, что, скорее всего, иностранные интернет-гиганты, такие как Google, Microsoft, Facebook и другие не станут передавать ФСБ ключи для дешифровки трафика. Потому что это противоречит их политике, и в большинстве случаев не возможно. При использовании end-to-end-шифрования ключ от переписки формируется на конечном устройстве, например смартфоне пользователя. Возможно, осознав это, правительство решило дешифровывать трафик иначе, и обратилось к Con Certeza, которая давно разрабатывает системы для оперативно-разыскных мероприятий (СОРМ).
«Коммерсант» приводит цитату из письма сотрудника Con Certeza.
«Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM и, если возможность есть, продемонстрировать прототип на локальном стенде»,— говорится в письме сотрудника Con Certeza.
Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber. Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса «в случае получения идентификаторов сторон либо текста при использовании MITM».
Согласилась ли компания, получившая письмо от Con Certeza, заняться исследованием, не сообщается.
