Российские компании приступили к решению задачи по получению доступа к переписке пользователей WhatsApp, Viber, Facebook Messenger, Telegram и Skype. Это необходимо для реализации «закона Яровой», в рамках которого для борьбы с терроризмом власти намерены осуществлять перехват и полную дешифровку трафика россиян. О том, что такое требование может оказаться технически неосуществимым, эксперты предупреждали еще на стадии обсуждения закона. Особенно в том случае, если в мессенджерах используется end-to-end-шифрование, то есть когда ключ от переписки формируется на конечном устройстве, например смартфоне пользователя.
Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. Это следует из переписки (копия есть у «Ъ») сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ).
Подлинность данной переписки подтвердили технический специалист и гендиректор этой ИБ-компании, сотрудник Con Certeza не ответил на вопросы «Ъ», но пообещал переслать их «тем, кто в курсе ситуации».
«Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность.
Сделать то же самое, но с MITM (атака Man-In-The-Middle.— «Ъ») и, если возможность есть, продемонстрировать прототип на локальном стенде», — говорится в письме сотрудника Con Certeza.
Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса «в случае получения идентификаторов сторон либо текста при использовании MITM».
Цель исследования — «реализация или аргументация о невозможности реализации (данных функций.— “Ъ”) в системах СОРМ согласно нормативным требованиям к операторам сотовой связи», пишет сотрудник Con Certeza. «Я был готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ», — рассказал «Ъ» специалист ИБ-компании,с которым вели переписку из Con Certeza.
По данным kartoteka.ru, 76% ООО «Кон Цертеза» принадлежит Михаилу Лемешеву, а 24% — ООО «НЛП Груп», владельцами которого также являются Михаил Лемешев и ООО «Кон Цертеза».
На сайте «НЛП Груп» указаны ряд проектов с МТС, двое собеседников «Ъ» на рынке телекоммуникаций утверждают, что группа создана людьми из числа бывших сотрудников МТС и в основном обслуживает этого оператора. Глава Con Certeza Андрей Лемешев упоминался в закупочной документации МТС в 2007 году как сотрудник оператора. В МТС от комментариев отказались.
«Исходя из описания, исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения идентифицируемых пользователей, их переписки и в случае успешной реализации MITM подмены ее содержания», — отмечает гендиректор Qrator Labs Александр Лямин. Для реализации положений «закона Яровой» ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят реализовать доступ ко всему интернет-трафику россиян, включая перехват и дешифровку трафика с помощью MITM-атак(когда для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем).
Однако собеседники «Ъ» еще на стадии обсуждения закона ставили под сомнение возможность этого применительно к мессенджерам, использующим end-to-endшифрование.
«Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать. Есть технологии, нацеленные на защиту от такого типа атак, — Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя», — поясняют в Digital Security.
Представители Viber, Telegram, WhatsApp и Facebook Messenger не ответили на запросы «Ъ», в Microsoft, владеющем Skype, отказались от комментариев. «Цена мутная. Примерно столько стоит взлом WhatsApp конкретного человека с полным доступом к переписке. Но это неофициальные расценки, и на поток они не ставятся», — отмечает консультант по интернет-безопасностиCisco Алексей Лукацкий.
Он утверждает, что до сих пор не удавалось организовать массовый доступ к переписке в мессенджерах, «поэтому заключение о возможности перехвата, скорее всего, будет отрицательным и никакого прототипа тут быть не может».
Господин Лямин добавляет, что уязвимость к перехвату топовых мессенджеров может стоить десятки тысяч долларов на «черном рынке уязвимостей».
