Просмотров: 17404

Снятые с канала: ФСБ против https


Сейчас можно прочитать много материалов об усилении регулирования интернета со стороны государств. О таинственных и вездесущих спецслужбах, которые суют свой нос буквально во все сферы сетевой жизни среднестатистического обывателя. Это касается в равной степени не только американских пользователей Сети, но также и её российских или белорусских пользователей.

И если про американский контроль написано в последний месяц всего очень много (взять, хотя бы скандал связанный с Эдвардом Сноуденом и АНБ), то в данной заметке мне бы хотелось сосредоточиться исключительно на российском опыте интернет-контроля, который всё-таки как-то ближе, а потому намного интересней и наглядней, чем пресловутая американская программа PRISM.

И показать возможности российской системы интернет-мониторинга мне бы хотелось на примере недавнего судебного разбирательства, детали которого чрезвычайно показательны с одной стороны, а с другой — по необъяснимой для меня причине, — остались практически за кадром освещения прессы.

Речь пойдет об очередном (самом свежем) эпизоде суда бывшего владельца платежной системы Chronopay Павла Врублёвского, по т.н. делу о DDoS-атаке против «Аэрофлота». С подробностями и действующими лицами этого затяжного и громкого дела я предлагаю (всем желающим) ознакомиться отдельно (ссылка 1, ссылка 2, ссылка 3), а сегодня речь пойдёт лишь о его самом последнем на данный момент заседании. Технические детали именно этого акта разбирательства ИМХО просто сенсационны — судите сами: российское ФСБ в итоге смогла получить личную электронную переписку в Facebook между свидетелями этого дела, причём, сделала она это вопреки отказу в помощи со стороны самой социальной сети.

Давайте попробуем разобраться поподробнее, что же произошло на этом необычном судебном разбирательстве в июне 2013 года.

Фейсбук был взломан?

Чтобы не перегружать деталями долгих прений, поверхностно восстановлю хронологию происходивших на этом суде событий. В интересах следствия Тушинский районный суд Москвы удовлетворил соответствующее ходатайство прокурора и выдал санкцию Центру информационной безопасности (ЦИБ) ФСБ на «выемку данных с ресурса Фейсбук» в отношении указанных обвиняемых. После некоторых попыток договориться с Facebook, ФСБ уведомил суд, что:

«компания „Фейсбук“ расположена на территории США и не имеет представительства в России, а потому произвести выемку переписки с официальной позиции указанной компании не представляется возможным».

Снятые с канала безопасность фсб https соединений суд взлом Facebook прослушка СОРМ

А вот дальше начинается самое интересное и интригующее. Пожевав сопли для проформы, российское ФСБ решило действовать самостоятельно.

Далее цитата из судебного решения:

ЦИБ ФСБ, в соответствие с Законом «Об оперативно-розыскной деятельности», осуществил самостоятельный съем информации с каналов связи указанных лиц и записал ее на DVD-диск.

Полученная таким образом переписка была публично и торжественно зачитана прокурором на судебном заседании. Сразу после этого в суде наступили бурные прения, слово тут же взял Дмитрий Артимович — один их хакеров-технарей, который и обвинялся в непосредственном проведении DDoS-атаки.

В частности, он сказал:

«Доступ к Facebook осуществляется посредством зашифрованного протокола https, а потому получить переписку таким образом нельзя. К тому же непонятно, каким образом можно было вообще осуществлять съем данных с канала связи Врублевского, если соответствующее разрешение суд выдал одновременно с решением о заключении его под стражу».

Иначе говоря, технарь бурно офигевает, пытаясь достучаться к разуму судей-гуманитариев: как вообще можно снять что-то «непосредственно с канала связи» после решения суда в 2013 году, уже после ареста всех участников инцидента, когда сама переписка велась ещё в 2011 году? Его логичные вопросы встречают лишь молчаливые усмешки со стороны обвинения.

Следующий за ним технический эксперт попросил обвинение более подробно прокомментировать технический смысл понятия «съем информации непосредственно с канала связи», на что прокурор Сергей Котов с раздражением парировал этот вопрос, обращенный вообще-то к представителям ФСБ: «Кто ж вам будет рассказывать, как и кто осуществляет оперативные мероприятия? Может, вам еще и ключи от квартиры дать, где деньги лежат?», таким образом, завершив, широко улыбаясь, дискуссию по этой странной теме.

Нужно признать, что нечто подобное происходило уже и раньше, это не первый эпизод трюка «со снятием данных непосредственно с канала связи» даже в пределах этого же самого дела.

Снятые с канала безопасность фсб https соединений суд взлом Facebook прослушка СОРМ

Ещё летом 2010 г. ЦИБ ФСБ путем анализа трафика интернет-подключения одного из обвиняемых Артимовича не только нашло логин и пароль от панели управления бот-сети Topol-Mailer (физически расположенную на сервере американского провайдера LayeredTech), но и смогло перехватить контроль над этой бот-сетью (хм, представляю рапорта офицеров о награждении — «представить к очередному званию за заслуги по захвату бот-сети злоумышленников...»).

И что интересно: доступ к этой панели также осуществлялся по зашифрованному https-протоколу с соблюдением всех мер предосторожности...

Хронология «снятия канала»

Но на этот раз всё закручено даже ещё круче! Чтобы оценить весь масштаб произошедшего, очень кратко воспроизвожу полную хронологию предшествующих событий в пошаговом режиме:

  • В 2013 году районный суд обнаруживает факт личной переписки одного из обвиняемых в Facebook, после чего даёт поручение ФСБ «добыть недостающие сведения»;
  • Американский FB посылает следователей ФСБ, образно выражаясь, предлагая служивым «немного покурить в сторонке», о чем ФСБ официально докладывает суду: «с США у нас договоров о правовой взаимопомощи нет»;
  • И вот тут-то начинается самое странное, я бы даже сказал, что мистическое — в дело подключается ЦИБ ФСБ, который и производит тот самый «съём данных непосредственно с канала» «своими собственными силами», успешно записав «логин-пароль целевого пользователя на DVD-диск». Задумайтесь на минутку: все обвиняемые физически находятся под арестом уже почти год, естественно, давно не посещая свои аккаунты в Facebook и сеть Интернет вообще;
  • По мнению экспертов, возможно лишь одно объяснение (разве что, за исключением наличия Машины Времени): трафик всех https-сессий был ранее сохранен, как минимум на начало 2012 год, что и дало возможность задним числом проснифать его, дабы выковырять оттуда необходимые для доступа в FB-аккаунты обвиняемых логин-пароль.

Согласен, после прочтения всего этого остаётся много вопросов.

Возможно ли такое вообще? И главное — насколько широко это применяется? Сохранялся ли этот трафик только избирательно в отношении этих двух подозреваемых, лишь против кого ведется уголовные дела, в отношении Facebook или, наконец, он вообще хранится в отношении сразу всех посетителей социальных сетей?

Гадать тут можно долго, но фактом остаётся лишь одно: на момент распоряжения прокурора добыть личную переписку в начале 2013 года — доступа (валидных паролей) у ФСБ к аккаунтам FB ещё не было, и добыты они были позже путём уже самой страшной магии — «снятием с канала».

Снятые с канала безопасность фсб https соединений суд взлом Facebook прослушка СОРМ

Послесловие для размышления

Мнения специалистов о том «чо ж это деется, пацаны» — сильно расходятся. В силу своего воображения вы также можете поупражняться в самостоятельном объяснении этой последовательности событий как-либо иначе. Большинство же сходится на том, что современный российский СОРМ доведён буквально до совершенства, более того, значительная часть его работы хорошо автоматизирована.

ИМХО, наиболее логичный вывод радикален и малоприменим, он таков: лучше перестать пользоваться национальными (российскими) интернет-каналами, перейдя на двухнаправленную спутниковую связь (или что-то в этом духе, например, на будущие стратосферные шары от Google — Project Loon), хотя бы для наиболее критичных подключений. Либо же начать серьёзно пользоваться VPN-туннелями. Но в отношении последнего, впрочем, стоит добавить — «пока подобное ПО не запрещено на территории РФ».

Кстати говоря, те, кто увлекается криптографией и подобными Tor’ами/туннелями, в США, например, «палятся» автоматически — то есть все эти лица автоматически ставятся на профилактику. Анекдотичность ситуации в том, что здесь средство анонимизации срабатывает с точностью до наоборот — лишь привлекая пристальное внимание спецслужб к тем, кто его использует.

Да и вообще, в свете всего вышеизложенного, последние новости типа «у российских спецслужб появилась возможность прослушивать разговоры в Skype», воспринимаются уже не с таким интересом и пафосом. В качестве заключения, можно помедитировать по этой ссылке над тем, что такое ЦИФ ФСБ и чем эти служивые вообще занимаются, а также на выступлении американского детектива Стива Рамбама — «Частной жизни больше нет».

P.s.: могу лишь пока уведомить своих читателей авансом, что я вернусь к этой теме для её более подробного рассмотрения, в ближайшее время я надеюсь получить новые детали по этому делу. В частности, меня интересует именно технический аспект надежности https-соединения, о чём мы также подробно поговорим в контексте всего произошедшего.

~

Ключевые слова: сорм, слежка и контроль граждан, КГБ под крышей ФСБ, прослушка защищенный протокол https, взлом снифать анонимность и приватность доступ к паролям дело Врублёвского атака на https BEAST, реальные случаи взлома безопасность анонимность тор tor скайп дешифрока спецслужбы слежка мониторинг перехват пакетов человек посредине снятие с канала прямое подключение считывание конфиденциальные данные шпионаж частная жизнь рунет под гнётом спецслужб призм сорм-2

kv.by, 2013

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , , , ,
Эта запись опубликована: Воскресенье, 30 июня 2013 в рубрике МненияНовости.

комментариев

Следите за комментариями по RSS
  1. Все-равно слабо верится в расшифровку трафика.

    Скорее тут все гораздо проще: либо информатор помогший узнать пароль, либо анализ компьютера, с которого проводился доступ в сеть, либо еще какие ухищрения.

  2. Так вот зачем нужен был Джонни-Мнемоник .

  3. Совсем не в курсе дела.

    А здесь точно-точно не применялся терморектальный криптоанализ? Или, быть может, у кого-то пароль был приклеен на монитор.

  4. Сергей Николаевич

    Как же мне нравятся все эти их "ЦИБ ФСБ, в соответствие с Законом «Об оперативно-розыскной деятельности»" или "съем информации с каналов связи указанных лиц". Звучит как красиво, а "Гуманитарии" лишь хлопают ушами и кивают.

    Попробуй, объясни, что такое https многоуважаемому судье, привлекут как соучастника =)

  5. "аспект надежности https-соединения" - миф для случаев, когда хакер/спецслужба находятся с жертвой в одной подсети и, тем более, когда оные лица контролируют канал передачи данных от жертвы в интернет.

    2Александр: сдается мне, что раз уж там были технологии записи данных в мозг, то и вероятность того, что можно создать технологию несанкционированного (со стороны носителя) доступа к этим данным ооооочень как высока. Так что Гибсон тот ещё романтик ;)

  6. "на будущие стратосферные шары от Google" - кто санкционирует их полёты над территорией России? Конечно же, этого не будет.

  7. Эту заметку инстапейпер не съел :)

  8. если кулхацкер использовал открытый канал связи, по которому он обсуждал атаку аэрофлота , то к то ж ему дохтер?

    Пользовалься бы картинками ( или другими медиафайлами) для передачи данных и хрен бы его вычислили бы и отловили.

  9. Думаю все куда проще. Использовал один пароль для кучи сервисов. И на какой-то из этих кучи сервисов у спецслужб был рычаг.

  10. так они скорее все сделали, через закрытый протокол fsb://

    вы что не слыхали про такой ?

  11. Ну зачем так сложно все: ФБ ж наверняка все тоже как гугл в кубышку запасает. ФСБ запасенное и снял с их серверов постфактум - не так уж и сложно для такой структуры.

  12. хотите приватности? используйте PGP - GPG! Для фарефокса есть плагин WebPG -подключите его,сгенерируйте ключи и пишете шифрованные сообщения хоть в "одноклассниках". Для "асек" тоже есть плагины для шифрования, в том числе и для асек работающих на андроидах : Gibberbot, даже GPG есть на Андроиде! Другое дело,что сотовые телефоны не всегда подконтрольны владельцу и могут выполнять код присланный оператором или силовиками, поэтому ваш ключ шифрования может запросто утечь в сеть. Как вариант защиты - использовать андроид без SIM карты(без 3G и GPRS).

  13. Не забывайте, что достаточно 1 раз запалиться хоть где-нибудь, и ты считай раскрыт. Достаточно 1 раз забыть написать https и войти по http. У них наверняка есть какие-то автоматические пароль сниферы для известных сервисов. Пароли могут складироваться в БД и храниться вечно "для возможных оперативных мероприятий".

    Кроме того, существует известная проблема сертификации HTTPS.

    Веб броузер доверяет сотни корневых CA из разных стран, и любой subCA, зверенной ими. Наверняка есть где-то утечки, больше чем уверен государства владеют приватными ключами какой-нибудь CA, которой броузеры будут доверять по умолчанию. Такие сертификаты вполне могут быть уже сохранены в некоторые DPI узлы и готовы к использованию по нажатию кнопки.

    Можно 1 раз устроить Main-in-the-middle на фейсбук, чтобы стянуть логин с паролем, дальше снифать не обязательно.

    Заходим по логину паролю на страницу, а там все сообщения в истории.

    Если ты 1000 раз заходил на фейсбук, ты каждый раз следил, что сертификат был выдан GoDaddy, а не какой-нибудь sub-Thawte-CA ?

    Вряд ли

  14. Может быть все еще проще. Пароль на FB совпадал с паролем на что-то другое (веб, pop3, smtp), передаваемое открытым текстом. И есть профилактический сниффинг средствами СОРМ этих открытых паролей. Если бы я был на месте СОРМ, я бы сниффал все пароли и складывал в базу данных. Потом, при оперативной разработке, жизнь ФСБ значительно может упроститься.

    Мораль сей басни такова - живи в жизни как человек, а для спецзадач создавай другой образ, другие пароли, другие ники, пиши по другому, проверяй каждый шаг, перестраховывайся.

  15. Автор дурак

    Статья технически безграмотна. SSL рассчитан и на пассивный перехват и на активный (mitm), кроме того, активный перехват в масштабах страны будет 100% замечен.

  16. >Кстати говоря, те, кто увлекается криптографией и подобными Tor’ами/туннелями, в США, например, «палятся» автоматически — то есть все эти лица автоматически ставятся на профилактику. Анекдотичность ситуации в том, что здесь средство анонимизации срабатывает с точностью до наоборот — лишь привлекая пристальное внимание спецслужб к тем, кто его использует.

    Автор забыл указать хотя бы один известный, хотя бы со слов Сноудена, случай расшифровки такого трафика. И чем больше такого трафика - тем больше его задолбутся расшифровывать.

    >ИМХО, наиболее логичный вывод радикален и малоприменим, он таков: лучше перестать пользоваться национальными (российскими) интернет-каналами, перейдя на двухнаправленную спутниковую связь (или что-то в этом духе, например, на будущие стратосферные шары от Google — Project Loon), хотя бы для наиболее критичных подключений.

    Твое имхо не в теме. Шифрование клиент-сервер или клиент-клиент никакие сети не отменяют.

  17. Всё ещё проще. На компьютеры пользователей внедряется троянское ПО, в телефоны - тоже. В любой момент времени на вас могут поглядеть через веб-камеру. Но вот как траффик передаётся незамеченным - это загадка.

  18. ХА ХА ХА! ФСБ если что и умеет так это делать ровный бордюр из снега XD) Пароли добываются из компов, телефонов, через "восстановление пароля"!!! Имея доступ к куки файлам можно спокойно зайти на вашу страницу в текущую сессию. Следственные мероприятия проводятся до, во время и после ареста. Всю инфу скачивают сразу, а не ждут "санкции суда".

    Помните "дело Кировлеса"? Тогда для суда не смогли добыть почту Навального, хоть и добыли тел. переговоры.

  19. Кулхацкер

    Данные получить можно было очень просто.

    Найти СВОЕГО (купленного) человека, работающего в Фейсбуке и заставить (попросить) его слить нужную инфу.

    Делов-то.

  20. вот обратилась к Олегу мне помог с перепиской моего супруга в соц сети, спасибо вам

    вот его почта: mail_crack@rocketmail.com

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз