Родина пока еще не все слышит и не все знает. Но скоро будет слышать и знать

[amalgin]

Российские компании приступили к решению задачи по получению доступа к переписке пользователей WhatsApp, Viber, Facebook Messenger, Telegram и Skype. Это необходимо для реализации "закона Яровой", в рамках которого для борьбы с терроризмом власти намерены осуществлять перехват и полную дешифровку трафика россиян...

Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров: WhatsApp, Viber, Facebook Messenger, Telegram, Skype. Это следует из переписки (копия есть у "Ъ") сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ). Подлинность данной переписки подтвердили технический специалист и гендиректор этой ИБ-компании, сотрудник Con Certeza не ответил на вопросы "Ъ", но пообещал переслать их "тем, кто в курсе ситуации".

"Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM (атака Man-In-The-Middle.— "Ъ") и, если возможность есть, продемонстрировать прототип на локальном стенде",— говорится в письме сотрудника Con Certeza.

Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber. Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса "в случае получения идентификаторов сторон либо текста при использовании MITM". Цель исследования — "реализация или аргументация о невозможности реализации (данных функций.— "Ъ") в системах СОРМ согласно нормативным требованиям к операторам сотовой связи", пишет сотрудник Con Certeza. "Я был готов взяться за работу, если по окончании ее результат будет выложен публично, на что получил отказ",— рассказал "Ъ" специалист ИБ-компании, с которым вели переписку из Con Certeza.

"Исходя из описания, исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения идентифицируемых пользователей, их переписки и в случае успешной реализации MITM подмены ее содержания",— отмечает гендиректор Qrator Labs Александр Лямин. Для реализации положений "закона Яровой" ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят реализовать доступ ко всему интернет-трафику россиян, включая перехват и дешифровку трафика с помощью MITM-атак (когда для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем).

ОТСЮДА

Comments

[vit-r.livejournal.com]

Угу. А потом весь трафик прикажут распечатать в трёх экземплярах.

Незаметно прошел ГОД с момента вступления в силу закона, обязывающего иностранные и отечественные ИТ-компании перенести в Россию персональные данные российских пользователей, под угрозой штрафов, запретов, банов и прочих страшных кар.

Роскомнадзор и так пугал, и сяк пугал, и кнутом тряс, и в кулуарных беседах пряниками угощал.

Результат: некоторые (немногочисленные) компании выполнили требования закона чисто формально, на 1% — типа перенесли в Россию фронт, на котором происходит авторизация и логин (а дальше что там происходит — Роскомнадзор хрен проверит).
Большинство же компаний (в том числе все крупные, ради которых оно и затевалось) не перенесли ничего. Вот совсем: НИ-ЧЕ-ГО. И это отлично. (https://www.facebook.com/leonid.m.volkov/posts/1200681663287798)

[goggy.livejournal.com]

я думаю что следующим шагом будет уголовная ответственность за невыполнение.

В результате провайдеры будут тупо блокировать весь шифрованный траффик у пользователей.

Пользователи будут довольствоваться Мэйл.ру и Одноглазниками (и жалкой кучкой других "православных" интернет-сервисов).

[c-3-c.livejournal.com]

Что-то не пойму, конституцию уже вообще не принимают во внимание...

Статья 23
...
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

[pasha-kiev-ua.livejournal.com]

Вы отстали от жизни. Чтение конституции - это нарушение порядка.

[urman-patrial.livejournal.com]

Смешно. :) А они в курсе, что все эти мессенджеры давно протестированы на безопасность? При чём, лучшими специалистами. Забавный попил бабла.

[pusets.livejournal.com]

НИР как НИР, ничего особенного. Другое дело, что при двусторонней аутентификации MITM невозможен, но там же и написано: "Подготовить экспертное заключение по возможности перехвата чувствительных данных"

[vesse-v-belom.livejournal.com]

уже справедливо заметили (тут даже из порядка цен ясно) -- это про то, чтобы кто-то написал аналитическую записку "ничего сделать нельзя". потом, наверное, будут показывать важным эмтээсовским топменеджерам

[efimpp.livejournal.com]

но цены-то какие смешные!

[anonymus.livejournal.com]

?!? За отписку в один абзац очень даже неплохие цены. Я за 10% готов написать "аргументацию о невозможности реализации" так, что хрен кто подкопается.

[woolfs.livejournal.com]

«Пикет Яровой»: Кремль испугался эры спутникового «Интернета в любой точке земли»
Глобальный проект спутникового Интернета угрожает разрушить систему блокировок, выстраиваемую Роскомнадзором, поскольку предоставит российским пользователям полную свободу доступа к Всемирной сети. Ситуация, при которой Кремль утратит контроль за виртуальной "паутиной", всерьез обеспокоила "Ростелеком". Его представитель заявил об угрозе "суверенитету" в связи с близящейся эрой "Интернета в любой точке земли", говорится в материале Life .ru
"Компания OneWeb планирует обеспечить доступ в Интернет в любой точке земли, есть такие планы у Samsung и других. У наземных операторов могут появиться проблемы. Если здесь выиграют иностранные игроки, будут вопросы с суверенитетом.
Российские власти уже готовятся противостоять новой технологии на всех уровнях — техническом и законодательном. Минобороны сейчас испытывает оборудование для глушения спутниковых сигналов от OneWeb и обещает сбивать аэростаты, пересекающие границы РФ без разрешения. Юристы со своей стороны говорят о наказании за раздачу сигнала без лицензии и незаконное использование частот, напоминая о ряде статей в КоАП и УК, запрещающих, в частности, заниматься незаконным предпринимательством.
newsader .com/30566-piket-yarovoy-kreml-ispugalsya-yery-sp/

[alansilver.livejournal.com]

А пошли они в жопу! Кто их спрашивает? Глушить заебутся.

[Юля xx (from livejournal.com)]

> "Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM (атака Man-In-The-Middle.— "Ъ") и, если возможность есть, продемонстрировать прототип на локальном стенде",— говорится в письме сотрудника Con Certeza.

Мораль: не пользуйтесь мессенджерами на телефоне и с открытым (публичным) вайфаем.

Вообще, вроде как хакерство уголовно наказуемо, а они тут предлагают.

[toropyggka.livejournal.com]

Мораль: ну почему же, пользоваться как раз и можно публичным, просто гнать весь трафик через впн, используя вай-фай только как средство для установки защищенного тоннеля к правильному впн-серверу.

[vladicusmagnus.livejournal.com]

Забавно, даже если найдут одну возможность взлома, буквально же первый легкий патч порушит все нафиг. Хороша песня - запевай сначала. Так что суммы небольшие, зато можно под каждый патч вытребовать :)

[opp-tima.livejournal.com]

инфа к размышлению http://v-n-zb.livejournal.com/7896883.html#/7896883.html

[migmit.livejournal.com]

Да ну его нафиг, этот фейсбук.

[evgen-gavroche.livejournal.com]

«Белые хакеры» СФО соберутся в Томске на соревнования по компьютерной безопасности
«В ходе SibirCTF командам предстоит отыскать уязвимости, обеспечив защиту системы, и в то же самое время попытаться «взломать» систему соперников.
Как отмечают организаторы CTF-турнира, эта задача аналогична задаче специалиста по информационной безопасности, приступившего к работе в новой организации», — говорится в сообщении.

[onborodin.livejournal.com]

>Как отмечают организаторы CTF-турнира, эта задача аналогична задаче специалиста по информационной безопасности, приступившего к работе в новой организации», — говорится в сообщении.

Бред. Ни разу не аналогична.

COBIT 5, ISO/IEC 15408 и иже с ними.

[radonezhskij.livejournal.com]

Пилюля для Путина


подписаться - здесь! (https://secure.avaaz.org/ru/petition/Sovet_Bezopasnosti_OON_Priznat_Prezidenta_RF_Putina_VV_voennym_prestupnikom/?pv=6&fb_action_ids=1816961028538993&fb_action_types=avaaz-org%3Apost)

РАСПРОСТРАНЯЕМ!!!

[Виктор Терехов (from livejournal.com)]

Я конечно может и туповат ,но по компу перестукиваться тоже можно . Вопрос : Зачем деньги тратить ?

[vitalii fersanov (from livejournal.com)]

Перестукивание даже через стенку в камере нельзя расшифровать. Ну, только если в пытошной вас не спросить о чем вы с подельниками либералами проклятыми перестукивались.

[kvas777.livejournal.com]

Помню некий Павел Дуров предлагал 300 тыс. $ за то же самое, только с меньшим объёмом работ, объявил публичный международный конкурс и никто его не выиграл...

[r3po.livejournal.com]

В этом и есть суть бизнес идеи. За 2К найти дыру, за 300К продать. Почему бы и не попробовать, если попытка оплачивается из бюджета?

[iezuitt.livejournal.com]

...они забыли, что на всякую ж есть нечто с винтом. А посему... Да ничего у них не получится! Дебилы, бл....

[jazzylove2010.livejournal.com]

/Илья Вайцман пишет в Facebook:
Что, напугались, страшно? :D
Спокойно!! Только без паники. :) Судя по суммам и срокам, которые выделяются на разработку методики взлома каждого мессенджера (два месяца и 130 тысяч рублей), - ни о каких реальных попытках разработать способы взлома речь даже не идет. Прекрасно понимающие бессмысленность попыток сломать современное шифрование "силовики" просто прикрывают свои задницы на тот случай, если их царь-государь спросят, "почему до сих пор не взломано, холопы?" Тут-то они бумажку и подсунут, дескать "вот, надежа-государь, никак. Даже деньги плочены - не получается, не вели казнить, потому что математика, паскуда! Всякие односторонние функции и прочие алгоритмы. Не слушаются!"
Современные системы шифрования в реально озабоченных безопасностью мессенджерах заведомо устойчивы как к прямому взлому, так и к попыткам атаки типа MITM. Потому что end-to-end шифрование не позволяет расшифровать закриптованный открытым ключом адресата блок данных, не имея доступа к закрытой части пары. Никак. В ближайшие 10000 лет точно.
P.S. А вот забывать телефоны где попало, записывать пароли на бумажках и переписываться SMSками - реально плохие привычки. Гораздо вреднее курения. ;)
P.P.S. TOR наши умельцы ломать уже пробовали. Обломались. (успешная атака специалистами университета Карнеги-Меллон позволила прочитать трафик, но не идентифицировать стороны обмена, насколько я знаю).

[vitalii fersanov (from livejournal.com)]

Вайцман. Вайцманы все умные. Все что пишет так и есть. Если кодирование - декодирование происходит на компе у тебя и у меня, то майор наш трафик хоть и перехватит, но подполковник его за это не похвалит, а скажет ему слова про половые сношения.

[r3po.livejournal.com]

Закон Яровой нужен, чтоб у любого оператора можно было без суда любые данные получить, под страхом проверки на выполнение закона Яровой. Или целиком бизнес отжать. Техническая невыполнимость требований туда намеренно заложена.

[iprip.livejournal.com]

why it's so cheap? Оплата работ по каждому мессенджеру составляет 130 тыс. руб. за выполнение основной части исследования и 230 тыс. руб. бонуса "в случае получения идентификаторов сторон либо текста при использовании MITM"

[vitalii fersanov (from livejournal.com)]

Вайцман и про это правильно написал.

[onborodin.livejournal.com]

Будем пользоваться более сильной криптографией.
Право частного лица.

[zuiderzee.livejournal.com]

Родина слышит, родина чует,
как ее сын в интернете серфует...

[mike7025.livejournal.com]

Где-то есть более лучшая картинка, лень искать, с надписью Родина слышит, что в комментах пишут.

[foreveo.livejournal.com]

Явно "для галочки", чтобы отчитаться о принятых мерах.
Нормальную криптозащиту так не ломают. Однако все это может заставить людей применять еще более навороченные схемы шифрования, просто из чувства противоречия: зашифровать все, вплоть до дисков в домашнем компьютере любой домохозяйки.
Ибо нефиг.

[autax.livejournal.com]

Фигня какая-то…
130 килорублей за взлом вайбера!?!
2 килодоллара за кряк воцапа?!
И на это всерьёз ведуться переговоры?!!!

[colorado-beetle.livejournal.com]

1-я часть задания - идентификация абонента, потенциально выполнима.
Расшифровка записаного трафика - нереальна. Но реальна возможность, при реализации первой части, сделать дубликат абонента и получить расшифрованый архив. По-крайней мере, в части мессенджеров.
Деньги, конечно, смешные. Я так понимаю, что это только за исследования возможностей.

[felixfelicisrus.livejournal.com]

Если трафик будет шифроваться, каким образом они собираются его расшифровывать? Да еще и на лету )))
Это просто распил бабла, ведь задача не решаема, пусть книжки про шифрование почитают

[silly-starling.livejournal.com]

130 тысяч рублей хахаха.

[Сергей И (from livejournal.com)]

Люди хотят просто дать заработать кому то социально близкому 130 тыс. руб.