Введение
Все слышали про пакет Яровой, большинство слышало про СОРМ, но знаешь ли ты, как происходит монито ринг твоего трафика на самом деле? Вообще, слежка за трафиком называется DPI (deep packet inspection) и не всегда представляет из себя что-то плохое. Например, твой антивирус тоже мониторит твой трафик и предупреждает тебя, если ты качаешь вирус или ходишь по опасным ссылкам.Но, само собой, гораздо чаще в твой трафик лезут не из лучших побуждений. Маркетологи скупают у провайдеров данные, чтобы знать, что тебе продавать. Правообладатели следят за тем, чтобы ты не качал их фильмы бесплатно. И спецслужбы. О них я расскажу подробно.
СОРМ, СОРМ2, СОРМ3
Система Оперативно-Розыскных Мероприятий была создана в 90-е. Она создавалась для прослушки телефонов и сотовой связи. Их прослушка продолжается до сих пор, но нас больше интересует система СОРМ-2, появившаяся в 2000-м году. СОРМ-2 создавался для того чтобы прослушивать Интернет. При помощи этой системы, заинтересовавшись любым пользователем на территории России, спецслужбы могли начать собирать его трафик. Осуществлялось это без уведомления провайдера, но, формально, только по решению суда. Если ты думаешь, что "по решению суда" значит "редко", то вот статистика. В 2012-м году таких разрешений выдали более 150,000 и их число постоянно растёт.
С тех пор спецслужбы продвинулись ещё дальше и теперь у них есть СОРМ-3. Предыдущие версии системы анализировали трафик конкретного пользователя по запросу. Новая система анализирует трафик всех и всегда. Трафик тех, кто представляет интерес для спецслужб, записывается. Для остальных система создаёт "профиль абонента". В него входит список твоих интересов, а также все твои идентификаторы и аккаунты, которые удаётся собрать. Если ты уже попал под наблюдение, система пишет о тебе вообще всё. За исключением фильмов, игр и музыки — как правило, их не хранят, для того чтобы не переполнять сервера очевидно бесполезными вещами. Даже через 3 года можно будет с точностью узнать, на какой сайт ты заходил или кому отправил email. Но подробная информация о посещениях хранится в течение полугода. Поэтому через три года можно будет узнать, на какой сайт ты заходил, но не всегда можно будет понять, что ты там делал.
Как это всё функционирует?
Трафик, который ты направляешь провайдеру, направляется одновременно и в Интернет, и на устройство СОРМ. Запрос в Интернет уходит беспрепятственно — СОРМ действует параллельно и не блокирует твои запросы. Хотя производители устройств предлагают совмещённые решения, которые помимо слежки для спецслужб осуществляют также блокировки для РосКомНадзора. Но это не задача СОРМа, а просто бонус. В рамках своей задачи, он анализирует твой трафик и отправляет всё самое интересное на долгосрочное хранение. А два парня в синих фуражках, сидящие на картинке в правом нижнем углу, могут получить доступ к собранным системой данным в любой момент.
Эта полумифическая штука действительно существует, она установлена у всех провайдеров, и в том числе у твоего. И вот прямо сейчас, пока ты читаешь эту статью через HTTP-протокол на сайте telegra.ph, твой интерес к ней уже записан и будет храниться до 2021 года. Впрочем, наверняка твой профиль абонента уже давно содержит отметку, что ты интересуешься информационной безопасностью. Это не незаконно, за тобой не выехали ;) Но, если когда-нибудь ты станешь объектом интереса спецслужб, они за несколько минут узнают, что ты можешь обладать специальными навыками, и будут это учитывать.
Вот краткий перечень того, что однозначно записывается СОРМом:
# время подключения/отключения к Интернету для каждой сессии
# все соединения — какие сайты открывал, к каким игровым серверам коннектился, с кем делился торрентами и так далее
# более подробные данные о посещениях веб-сайтов — какие ссылки открывал, какого рода данные отпрвлял через формы
# email и разлного рода мессенджеры — если не удаётся прочитать переписку, записывается по крайней мере факт связи
# подключение по ssh и другие виды терминального доступа
# информация о звонках через Интернет (без записи разговоров, если ты пока не стал объектом наблюдения)
# передача файлов — какие файлы и каким способом ты качал или посылал
# онлайн-платежи и покупки в Интернет-магазинах
# сведения про изменения местоположения абонента — тебя определяет не IP, а профиль абонента, так что тебя узнают даже если ты выйдешь из Интренет-кафе
Весь остальной трафик тоже записывается, но не подвергается автоматическому анализу.
Как ни странно, есть и хорошие новости. При прослушке любого трафика производители оборудования для СОРМа отмечают, что подробный анализ возможен только для незашифрованных соединений. Для зашифрованного трафика анализ возможен только при наличии ключа. К безопасному трафику относится большая часть HTTPS-трафика — но имей в виду, что владельцы некоторых сайтов предоставили сертификаты ФСБ и поэтому их трафик мониторится. Это не значит, что зашифрованный трафик не будет писаться. Но это значит, что его не смогут прочитать, пока не получат ключ. Поэтому, пользуйся HTTPS везде, где есть такая возможность. Везде, где её нет, используй дополнительные слои шифрования и стеганографию.
Пакет Яровой
И к плохим новостям. Впрочем, это уже давно не новости. 1 июля 2018-го года вступает в силу нашумевший пакет Яровой. Тебе могло показаться, что он по-сути повторяет СОРМ-3, но дело обстоит хуже. Пакет Яровой действительно устанавливает тот же срок хранения информации, который уже прописан для СОРМ-3, но не ограничивается этим. Пока все обсуждают бесконечные файловые хранилища, которые негде взять, а также неминуемый рост стоимости Интернета, от чего нас здесь отвлекают?
1. Теперь к слежке должны подключиться и Интернет-компании, реализуя своего рода СОРМ у себя.
Это значит, что твой трафик теперь будут мониторить не только у провайдера, но и сайты, которые тебя посещают. Его уже прямо сейчас мониторит ряд крупных российских хостинг-провайдеров и все российские социальные сети. Аналогичной лояльности сейчас добиваются от мессенджеров, и некоторые уже сотрудничают — например, Viber.
2. Запрещено использовать несертифицированные средства шифрования.
Это значит, что нельзя использовать шифрование, которое спецслужбы не могут расшифровать. Правда, пока что существует разъяснение от ФСБ, что речь идёт только о широфвании гостайны. Якобы, к простым пользователям и их данным эту норму применять не будут. Но они прямо сейчас требуют у мессенджеров предоставить ключи к шифрованию. А законе речь идёт не только о мессенджерах — расшифровывать всё зашифрованное теперь будут должны все компании, предоставляющие услуги связи.
Подытожим
Похоже, слухи о способности спецслужб на лету расшифровывать любые запросы - это всего лишь слухи. Рост зашифрованного трафика представляет для них настоящую проблему, и сейчас они пытаются её решить, заставив все крупные сервисы либо перенести свои сервера в Россию и таким образом попасть под СОРМ, либо самостоятельно установить у себя оборудование для СОРМ. Или хотя бы предоставить ключи для расшифровки трафика. Опыт подсказывает, что у нас есть все основания полагать, что они своего добьются.
