Blogerator.org
Эксклюзивные ИТ-новости, обзоры и интервью
Снятые с канала: ФСБ против https
Сейчас можно прочитать много материалов об усилении регулирования интернета со стороны государств. О таинственных и вездесущих спецслужбах, которые суют свой нос буквально во все сферы сетевой жизни среднестатистического обывателя. Это касается в равной степени не только американских пользователей Сети, но также и её российских или белорусских пользователей.
И если про американский контроль написано в последний месяц всего очень много (взять, хотя бы скандал связанный с Эдвардом Сноуденом и АНБ), то в данной заметке мне бы хотелось сосредоточиться исключительно на российском опыте интернет-контроля, который всё-таки как-то ближе, а потому намного интересней и наглядней, чем пресловутая американская программа PRISM.
И показать возможности российской системы интернет-мониторинга мне бы хотелось на примере недавнего судебного разбирательства, детали которого чрезвычайно показательны с одной стороны, а с другой — по необъяснимой для меня причине, — остались практически за кадром освещения прессы.
Речь пойдет об очередном (самом свежем) эпизоде суда бывшего владельца платежной системы Chronopay Павла Врублёвского, по т.н. делу о DDoS-атаке против «Аэрофлота». С подробностями и действующими лицами этого затяжного и громкого дела я предлагаю (всем желающим) ознакомиться отдельно (ссылка 1, ссылка 2, ссылка 3), а сегодня речь пойдёт лишь о его самом последнем на данный момент заседании. Технические детали именно этого акта разбирательства ИМХО просто сенсационны — судите сами: российское ФСБ в итоге смогла получить личную электронную переписку в Facebook между свидетелями этого дела, причём, сделала она это вопреки отказу в помощи со стороны самой социальной сети.
Давайте попробуем разобраться поподробнее, что же произошло на этом необычном судебном разбирательстве в июне 2013 года.
Фейсбук был взломан?
Чтобы не перегружать деталями долгих прений, поверхностно восстановлю хронологию происходивших на этом суде событий. В интересах следствия Тушинский районный суд Москвы удовлетворил соответствующее ходатайство прокурора и выдал санкцию Центру информационной безопасности (ЦИБ) ФСБ на «выемку данных с ресурса Фейсбук» в отношении указанных обвиняемых. После некоторых попыток договориться с Facebook, ФСБ уведомил суд, что:
«компания „Фейсбук“ расположена на территории США и не имеет представительства в России, а потому произвести выемку переписки с официальной позиции указанной компании не представляется возможным».
А вот дальше начинается самое интересное и интригующее. Пожевав сопли для проформы, российское ФСБ решило действовать самостоятельно.
Далее цитата из судебного решения:
ЦИБ ФСБ, в соответствие с Законом «Об оперативно-розыскной деятельности», осуществил самостоятельный съем информации с каналов связи указанных лиц и записал ее на DVD-диск.
Полученная таким образом переписка была публично и торжественно зачитана прокурором на судебном заседании. Сразу после этого в суде наступили бурные прения, слово тут же взял Дмитрий Артимович — один их хакеров-технарей, который и обвинялся в непосредственном проведении DDoS-атаки.
В частности, он сказал:
«Доступ к Facebook осуществляется посредством зашифрованного протокола https, а потому получить переписку таким образом нельзя. К тому же непонятно, каким образом можно было вообще осуществлять съем данных с канала связи Врублевского, если соответствующее разрешение суд выдал одновременно с решением о заключении его под стражу».
Иначе говоря, технарь бурно офигевает, пытаясь достучаться к разуму судей-гуманитариев: как вообще можно снять что-то «непосредственно с канала связи» после решения суда в 2013 году, уже после ареста всех участников инцидента, когда сама переписка велась ещё в 2011 году? Его логичные вопросы встречают лишь молчаливые усмешки со стороны обвинения.
Следующий за ним технический эксперт попросил обвинение более подробно прокомментировать технический смысл понятия «съем информации непосредственно с канала связи», на что прокурор Сергей Котов с раздражением парировал этот вопрос, обращенный вообще-то к представителям ФСБ: «Кто ж вам будет рассказывать, как и кто осуществляет оперативные мероприятия? Может, вам еще и ключи от квартиры дать, где деньги лежат?», таким образом, завершив, широко улыбаясь, дискуссию по этой странной теме.
Нужно признать, что нечто подобное происходило уже и раньше, это не первый эпизод трюка «со снятием данных непосредственно с канала связи» даже в пределах этого же самого дела.
Ещё летом 2010 г. ЦИБ ФСБ путем анализа трафика интернет-подключения одного из обвиняемых Артимовича не только нашло логин и пароль от панели управления бот-сети Topol-Mailer (физически расположенную на сервере американского провайдера LayeredTech), но и смогло перехватить контроль над этой бот-сетью (хм, представляю рапорта офицеров о награждении — «представить к очередному званию за заслуги по захвату бот-сети злоумышленников...»).
И что интересно: доступ к этой панели также осуществлялся по зашифрованному https-протоколу с соблюдением всех мер предосторожности...
Хронология «снятия канала»
Но на этот раз всё закручено даже ещё круче! Чтобы оценить весь масштаб произошедшего, очень кратко воспроизвожу полную хронологию предшествующих событий в пошаговом режиме:
- В 2013 году районный суд обнаруживает факт личной переписки одного из обвиняемых в Facebook, после чего даёт поручение ФСБ «добыть недостающие сведения»;
- Американский FB посылает следователей ФСБ, образно выражаясь, предлагая служивым «немного покурить в сторонке», о чем ФСБ официально докладывает суду: «с США у нас договоров о правовой взаимопомощи нет»;
- И вот тут-то начинается самое странное, я бы даже сказал, что мистическое — в дело подключается ЦИБ ФСБ, который и производит тот самый «съём данных непосредственно с канала» «своими собственными силами», успешно записав «логин-пароль целевого пользователя на DVD-диск». Задумайтесь на минутку: все обвиняемые физически находятся под арестом уже почти год, естественно, давно не посещая свои аккаунты в Facebook и сеть Интернет вообще;
- По мнению экспертов, возможно лишь одно объяснение (разве что, за исключением наличия Машины Времени): трафик всех https-сессий был ранее сохранен, как минимум на начало 2012 год, что и дало возможность задним числом проснифать его, дабы выковырять оттуда необходимые для доступа в FB-аккаунты обвиняемых логин-пароль.
Согласен, после прочтения всего этого остаётся много вопросов.
Возможно ли такое вообще? И главное — насколько широко это применяется? Сохранялся ли этот трафик только избирательно в отношении этих двух подозреваемых, лишь против кого ведется уголовные дела, в отношении Facebook или, наконец, он вообще хранится в отношении сразу всех посетителей социальных сетей?
Гадать тут можно долго, но фактом остаётся лишь одно: на момент распоряжения прокурора добыть личную переписку в начале 2013 года — доступа (валидных паролей) у ФСБ к аккаунтам FB ещё не было, и добыты они были позже путём уже самой страшной магии — «снятием с канала».
Послесловие для размышления
Мнения специалистов о том «чо ж это деется, пацаны» — сильно расходятся. В силу своего воображения вы также можете поупражняться в самостоятельном объяснении этой последовательности событий как-либо иначе. Большинство же сходится на том, что современный российский СОРМ доведён буквально до совершенства, более того, значительная часть его работы хорошо автоматизирована.
ИМХО, наиболее логичный вывод радикален и малоприменим, он таков: лучше перестать пользоваться национальными (российскими) интернет-каналами, перейдя на двухнаправленную спутниковую связь (или что-то в этом духе, например, на будущие стратосферные шары от Google — Project Loon), хотя бы для наиболее критичных подключений. Либо же начать серьёзно пользоваться VPN-туннелями. Но в отношении последнего, впрочем, стоит добавить — «пока подобное ПО не запрещено на территории РФ».
Да и вообще, в свете всего вышеизложенного, последние новости типа «у российских спецслужб появилась возможность прослушивать разговоры в Skype», воспринимаются уже не с таким интересом и пафосом. В качестве заключения, можно помедитировать по этой ссылке над тем, что такое ЦИФ ФСБ и чем эти служивые вообще занимаются, а также на выступлении американского детектива Стива Рамбама — «Частной жизни больше нет».
P.s.: могу лишь пока уведомить своих читателей авансом, что я ещё вернусь к этой теме для её более подробного рассмотрения, в ближайшее время я надеюсь получить новые детали по этому делу. В частности, меня интересует именно технический аспект надежности https-соединения, о чём мы также подробно поговорим в контексте всего произошедшего.
~
Ключевые слова: сорм, слежка и контроль граждан, КГБ под крышей ФСБ, прослушка защищенный протокол https, взлом снифать анонимность и приватность доступ к паролям дело Врублёвского атака на https BEAST, реальные случаи взлома безопасность анонимность тор tor скайп дешифрока спецслужбы слежка мониторинг перехват пакетов человек посредине снятие с канала прямое подключение считывание конфиденциальные данные шпионаж частная жизнь рунет под гнётом спецслужб призм сорм-2
kv.by, 2013
Эта запись опубликована: Воскресенье, 30 июня 2013 в рубрике Мнения → Новости.
комментариев
Все-равно слабо верится в расшифровку трафика.
Скорее тут все гораздо проще: либо информатор помогший узнать пароль, либо анализ компьютера, с которого проводился доступ в сеть, либо еще какие ухищрения.
Так вот зачем нужен был Джонни-Мнемоник .
Совсем не в курсе дела.
А здесь точно-точно не применялся терморектальный криптоанализ? Или, быть может, у кого-то пароль был приклеен на монитор.
Как же мне нравятся все эти их "ЦИБ ФСБ, в соответствие с Законом «Об оперативно-розыскной деятельности»" или "съем информации с каналов связи указанных лиц". Звучит как красиво, а "Гуманитарии" лишь хлопают ушами и кивают.
Попробуй, объясни, что такое https многоуважаемому судье, привлекут как соучастника =)
"аспект надежности https-соединения" - миф для случаев, когда хакер/спецслужба находятся с жертвой в одной подсети и, тем более, когда оные лица контролируют канал передачи данных от жертвы в интернет.
2Александр: сдается мне, что раз уж там были технологии записи данных в мозг, то и вероятность того, что можно создать технологию несанкционированного (со стороны носителя) доступа к этим данным ооооочень как высока. Так что Гибсон тот ещё романтик ;)
"на будущие стратосферные шары от Google" - кто санкционирует их полёты над территорией России? Конечно же, этого не будет.
Эту заметку инстапейпер не съел :)
если кулхацкер использовал открытый канал связи, по которому он обсуждал атаку аэрофлота , то к то ж ему дохтер?
Пользовалься бы картинками ( или другими медиафайлами) для передачи данных и хрен бы его вычислили бы и отловили.
Думаю все куда проще. Использовал один пароль для кучи сервисов. И на какой-то из этих кучи сервисов у спецслужб был рычаг.
так они скорее все сделали, через закрытый протокол fsb://
вы что не слыхали про такой ?
Ну зачем так сложно все: ФБ ж наверняка все тоже как гугл в кубышку запасает. ФСБ запасенное и снял с их серверов постфактум - не так уж и сложно для такой структуры.
хотите приватности? используйте PGP - GPG! Для фарефокса есть плагин WebPG -подключите его,сгенерируйте ключи и пишете шифрованные сообщения хоть в "одноклассниках". Для "асек" тоже есть плагины для шифрования, в том числе и для асек работающих на андроидах : Gibberbot, даже GPG есть на Андроиде! Другое дело,что сотовые телефоны не всегда подконтрольны владельцу и могут выполнять код присланный оператором или силовиками, поэтому ваш ключ шифрования может запросто утечь в сеть. Как вариант защиты - использовать андроид без SIM карты(без 3G и GPRS).
Не забывайте, что достаточно 1 раз запалиться хоть где-нибудь, и ты считай раскрыт. Достаточно 1 раз забыть написать https и войти по http. У них наверняка есть какие-то автоматические пароль сниферы для известных сервисов. Пароли могут складироваться в БД и храниться вечно "для возможных оперативных мероприятий".
Кроме того, существует известная проблема сертификации HTTPS.
Веб броузер доверяет сотни корневых CA из разных стран, и любой subCA, зверенной ими. Наверняка есть где-то утечки, больше чем уверен государства владеют приватными ключами какой-нибудь CA, которой броузеры будут доверять по умолчанию. Такие сертификаты вполне могут быть уже сохранены в некоторые DPI узлы и готовы к использованию по нажатию кнопки.
Можно 1 раз устроить Main-in-the-middle на фейсбук, чтобы стянуть логин с паролем, дальше снифать не обязательно.
Заходим по логину паролю на страницу, а там все сообщения в истории.
Если ты 1000 раз заходил на фейсбук, ты каждый раз следил, что сертификат был выдан GoDaddy, а не какой-нибудь sub-Thawte-CA ?
Вряд ли
Может быть все еще проще. Пароль на FB совпадал с паролем на что-то другое (веб, pop3, smtp), передаваемое открытым текстом. И есть профилактический сниффинг средствами СОРМ этих открытых паролей. Если бы я был на месте СОРМ, я бы сниффал все пароли и складывал в базу данных. Потом, при оперативной разработке, жизнь ФСБ значительно может упроститься.
Мораль сей басни такова - живи в жизни как человек, а для спецзадач создавай другой образ, другие пароли, другие ники, пиши по другому, проверяй каждый шаг, перестраховывайся.
Статья технически безграмотна. SSL рассчитан и на пассивный перехват и на активный (mitm), кроме того, активный перехват в масштабах страны будет 100% замечен.
>Кстати говоря, те, кто увлекается криптографией и подобными Tor’ами/туннелями, в США, например, «палятся» автоматически — то есть все эти лица автоматически ставятся на профилактику. Анекдотичность ситуации в том, что здесь средство анонимизации срабатывает с точностью до наоборот — лишь привлекая пристальное внимание спецслужб к тем, кто его использует.
Автор забыл указать хотя бы один известный, хотя бы со слов Сноудена, случай расшифровки такого трафика. И чем больше такого трафика - тем больше его задолбутся расшифровывать.
>ИМХО, наиболее логичный вывод радикален и малоприменим, он таков: лучше перестать пользоваться национальными (российскими) интернет-каналами, перейдя на двухнаправленную спутниковую связь (или что-то в этом духе, например, на будущие стратосферные шары от Google — Project Loon), хотя бы для наиболее критичных подключений.
Твое имхо не в теме. Шифрование клиент-сервер или клиент-клиент никакие сети не отменяют.
Всё ещё проще. На компьютеры пользователей внедряется троянское ПО, в телефоны - тоже. В любой момент времени на вас могут поглядеть через веб-камеру. Но вот как траффик передаётся незамеченным - это загадка.
ХА ХА ХА! ФСБ если что и умеет так это делать ровный бордюр из снега XD) Пароли добываются из компов, телефонов, через "восстановление пароля"!!! Имея доступ к куки файлам можно спокойно зайти на вашу страницу в текущую сессию. Следственные мероприятия проводятся до, во время и после ареста. Всю инфу скачивают сразу, а не ждут "санкции суда".
Помните "дело Кировлеса"? Тогда для суда не смогли добыть почту Навального, хоть и добыли тел. переговоры.
Данные получить можно было очень просто.
Найти СВОЕГО (купленного) человека, работающего в Фейсбуке и заставить (попросить) его слить нужную инфу.
Делов-то.
вот обратилась к Олегу мне помог с перепиской моего супруга в соц сети, спасибо вам
вот его почта: mail_crack@rocketmail.com