О конфиденциальности информации говорят все и временами даже требуют ее обеспечения. Но мало кто задумывается о том, куда такие требования нас заводят? С одной стороны - да, приватность, тайна личной жизни, тайна переписки... Все это нам даровано Конституцией и вроде как является правом неотчуждаемым. Отсюда и рост объема зашифрованного трафика в Интернете согласно последним исследованиям Cisco.
Положительным образом на увеличение этого показателя влияет внедрение шифрования в различные стандарты (например, PCI DSS) и лучшие практики, которым начинают следовать многие организации и поставщики услуг. Например:
- поставщики мобильного контента и сервисов, внедривших шифрование у себя по умолчанию,
- видео-хостинги и настройки браузеров, включающих шифрование по умолчанию,
- сервисы хранения и резервного копирования данных в режиме онлайн.
Доходит до того, что компании начинают применять шифрование даже в контролируемых зонах, в которых ранее это шифрование не требовалось, так как было сопряжено с необходимостью обновить инфраструктуру на более производительную, а также с различными законодательными препонами со стороны ФСБ. Но сегодня ситуация меняется - и оборудование становится более мощным и содержащим встроенные функции шифрования, и регулятора уже меньше заботит, что делают компании для защиты информации для собственных нужд. Ниже пример одного исследования компании Lancope, изучившей некоторое количество компаний и обратившей внимание на рост энтропии во внутренних сетях предприятий.
Но у шифрования есть и другая сторона. Во-первых, оно создает иллюзию защищенности, когда все внимание уделяется шифрованию в канале передачи данных, но совершенно забывается про шифрование данных в местах их хранения (тех же центрах обработки данных). Во многих последних случаях утечки информации злоумышленники крали ценные данные именно в процессе их хранения, а не передачи. Но это не единственная проблема шифрования.
Им стали активно пользоваться и злоумышленники, скрывая свою деятельность от мониторинга или просто используя шифрование в недобрых целях (те же шифровальщики TeslaCrypt или CryptoWall). Контролировать такие потоки информации становится очень сложно, но и от шифрования отказа не произойдет ни с точки зрения ИБ, ни с точки зрения злоумышленников. Поэтому так важно использовать дополнительные механизмы анализа сетевого трафика, который позволяет мониторить сопутствующие параметры, не погружаясь в содержимое самих коммуникаций - Netflow, домены и IP-адреса и даты их появления на свет, репутацию взаимодействующих узлов и другие метаданные. Также важно не забывать про интегрированную безопасность, которая должна стоять не "в разрыв", как это часто бывает, а быть встроенной в сетевое оборудование, операционные системы, базы данных, сервера, рабочие станции и т.п. В этом случае работа с зашифрованным трафиком будет более эффективной, чем попытка перенаправить его куда-то для расшифрования.
Есть и третья сторона у применения шифрования. Откуда ни возьмись у нас возникает государство с его требованиями по обеспечению национальной безопасности, защиты от террористов и экстремистов, и т.п. безусловно важными вопросами. Возьмем, к примеру, последнюю инициативу наших властей, о которой я на днях писал . Спецслужбы и иные заинтересованные лица по сути признаются в неспособности повсеместно установленных элементов СОРМ решать стоящие перед ними задачи. СОРМ, традиционно ориентированный на обычную голосовую связь, неплохо справлялся с этой задачей, так как шифрование в обычной телефонной сети не применялось никогда, а в мобильной - спокойно обходится на уровне оператора мобильной связи (голос шифруется только от телефонного аппарата до базовой станции).
С контролем данных и Интернет ситуация гораздо сложнее - там шифрование можно легко сделать сквозным и никакой СОРМ тут не сильно поможет. А тут еще и переломный момент в использовании шифрования - свыше 50% трафика в Интернет стало неприступным для анализа спецслужбами. Поэтому остается только одна - либо запрещать шифрование вообще (что маловероятно), либо заставлять всех депонировать ключи шифрования и делиться сертификатами открытых ключей для "законного" вклинивания в поток данных, как пытались сделать в середине 90-х годов в США в рамках проекта Clipper , либо развивать негласную СОРМ.
Что характерно, "разоблачения" Сноудена, как раз являются демонстрацией третьего пути борьбы с шифрованием, по которому пошли спецслужбы США. Запрещать что-то в самое демократической стране никому и в голову бы не пришло. Требовать от Facebook, Twitter, Microsoft публичного отказа от конфиденциальности депонирования ключей бессмысленно (опять же демократия мешает). Остается только одно - развивать технологии негласного съема информации, а также принуждать Интернет-компании делиться информацией по секретным решениям секретного суда.
Россия сейчас тоже вплотную подошла к этой дилемме, с которой США столкнулись 20 лет назад, начиная проект Clipper, Capstone и Skipjack. Мы пока выбрали второй путь, так как первый является ну очень уж одиозным (а главное, что террористы и экстремисты все равно плевать будут на этот запрет), а третий плохо работающим и не масштабируемым (достаточно вспомнить, как Twitter, Google и Facebook "посылали" Роскомнадзор с его запросами относительно блокировок аккаунтов, публикующих нелицеприятные для российских властей сведений).
Вот такая история у нас получается с шифрованием. И какой будет ее финал пока непонятно...
14.06.2017 | Владимир Хазов
Мировая статистика показывает, что доля шифрованного трафика сети Интернет уже превысила 50 %, и эта тенденция будет сохраняться. Получить SSL-сертификат для своего сайта или сервиса становится проще, и каждый владелец ресурса выбирает протокол HTTPS, защищая данные своих пользователей. Для операторов связи и интернет-провайдеров остро встает вопрос выбора способов классификации шифрованного трафика. О них мы и расскажем сегодня.
Почему растет доля шифрованного трафика?
Большую часть зашифрованного трафика генерируют такие крупные поставщики контента, как Facebook, YouTube, Netflix и другие. Их стремление перевести доступ к своим сервисам на протокол HTTPs вызвано глобальной тенденцией обеспечения конфиденциальности в Сети и защиты передаваемых данных.
Аналогично поступают и ведущие дата-центры мира: Yahoo, Google и Microsoft шифруют весь свой внутренний трафик, а также до 25 % трафика , используемого веб-приложениями, электронной почтой и облачными платформами.
Российские реалии немного отличаются от общемировых: примерно 40 % от всей полосы пропускания занимает P2P-трафик, на веб-доступ приходится еще 40 %, остальные 20 % – другие протоколы. Причем за последние 4 года доля HTTPs увеличилась в 2 раза (с 5–10 % до 15–20 %), что обусловлено переходом мировых поставщиков контента на SSL-шифрование (по данным аналитических исследований телекоммуникационной компании УралВЭС).
Отчет по полосе пропускания УралВЭС
Принцип работы HTTPs
HTTPs – это обычный HTTP, который работает с использованием шифрованных механизмов SSL и TLS. В процессе обмена между пользователем и удаленным узлом данные передаются в зашифрованном виде и не могут быть перехвачены и использованы третьими лицами.
Безопасность HTTPs. Изображение: yandex.ru
Принцип работы протокола SSL/TLS заключается в использовании общих секретных ключей. Устанавливая соединение по HTTPs, ваш ПК сначала с его помощью шифрует информацию, а затем передает ее в Интернет. Взломать или подобрать ключ практически невозможно, так как он сложный и длинный, но существует вероятность перехвата и подделки адреса отправителя, в результате чего получатель будет думать, что пакет пришел от вас, а не от злоумышленника. Таким способом перехвата пользуются для создания man-in-the-middle -атак, но их можно избежать благодаря использованию цифровых сертификатов для идентификации сервера.
Сертификат помогает подтвердить:
- Что абонент, которому он выдан, действительно существует.
- Он управляет сервером, который указан в сертификате.
Выдача сертификата формализована и производится только центрами сертификации, что гарантирует их надежность. Поэтому при использовании HTTPs любой браузер сразу проверяет подлинность сертификата и только после успешной проверки устанавливает сессию.
Как классифицировать зашифрованный трафик?
Классификация зашифрованного трафика не предполагает его дешифрацию, информация, содержащаяся внутри пакетов, остается конфиденциальной и видна только пользователю и удаленному узлу. Эти методы предназначены для интернет-провайдеров и операторов связи, которым классификация помогает гибко управлять трафиком и обеспечивать более высокое качество предоставления услуг (QoS и QoE).
Вот несколько методов, позволяющих классифицировать зашифрованный трафик, с определением их точности и ограничений.
Классификация трафика, зашифрованного SSL/TLS (например, HTTPs)
Типовые протоколы : Google, Facebook, WhatsApp и т. п.
Метод классификации : определить имя сервиса в сертификате SSL/TLS (Common Name) или в Server Name Indication (SNI).
Точность : детерминированный метод – точность 100 %.
Ограничения : если SNI не появляется в начале процедуры «рукопожатия», то имя сервиса берется из сертификата SSL/TLS (Common Name), доступность которого появляется только после передачи 5-6 пакетов, что может вызывать небольшую задержку. В зависимости от поставщика контента один и тот же сертификат может использоваться для разных сервисов (таких как электронная почта, новости и другие).
Server Name Indication в процессе «рукопожатия»
Common Name в сертификате SSL
Классификация зашифрованного трафика P2P
Типовые протоколы : BitTorrent, MuTorrent, Vuze и т. п.
Метод классификации : определение IP-адресов известных p2p-пиров.
Во время сессии P2P фаза инициализации соединения не шифруется. На этом этапе возможна идентификация IP-адресов узлов (пиров). Весь трафик, идущий с этих адресов, классифицируется как P2P (например, bittorrent).
Точность : обычно выявляет до 90 % сеансов P2P.
Дополнительная информация : IP-адреса хранятся в L3-4-кэше фиксированного размера, наиболее часто используемые из них попадают в верхнюю часть списка.
Классификация трафика Skype
Метод классификации : поиск бинарных шаблонов (сигнатур) в потоке трафика.
Как правило, эти шаблоны находятся в первых 2-3 пакетах трафика.
Точность : обычно составляет 90–95 %.
Дополнительная информация : такой статистический метод поиска шаблонов используется для идентификации различных сервисов Skype, таких как голосовая передача, видео и чат. Этот метод использует комбинацию различных исследований трафика: джиттер, задержка, длина пакета, расстояние между пакетами и другие.
Благодаря использованию современных методов классификации трафика операторы связи и интернет-провайдеры могут использовать функции приоритизации и оптимизации даже для зашифрованного пользовательского трафика. Это значит, что возможность повышать качество обслуживания клиентов не связана с нарушением конфиденциальности их деятельности в сети Интернет.
Платформа глубокого анализа трафика СКАТ DPI от компании VAS Experts позволяет идентифицировать зашифрованный трафик всеми описанными методами, а также имеет дополнительные способы, оптимизированные для российских операторов связи.
Программа SoftEnter VPN Client.
В связи с реальной угрозой расширения карательных функций «Антипиратского закона» и возможным началом переноса его действия на простых пользователей, а именно, возможным введением штрафов за скачивание пиратского контента (фильмов музыки программ и так далее), продолжаю знакомить посетителей моих сайтов с информацией, как этих штрафов избежать, то есть, как скачивать с интернета АНОНИМНО. Ранее, я показал, как скачивать анонимно по прямым ссылкам и с торрентов. В данной статье рассмотрим один из способов, как зашифровать весь интернет-трафик. Шифрование всего интернет-трафика позволит вам стать полностью анонимным в интернете, сменив свой IP-адрес, на сторонний. После смены IP-адреса при помощи предлагаемого в данной статье приложения никто из посторонних уже не сможет узнать какие сайты вы посещали, что скачивали, в том числе будет зашифрован и ваш интернет-трафик в торрент-клиенте.
Речь пойдет о приложении под названием SoftEnter VPN Client. Это клиентская программа для связи с сервисом под названием VPN Gate.
Сервис VPN Gate - это экспериментальный проект Высшей школы университета г. Цукуба (Япония). Идея проекта заключается в организации добровольцами публичной общественной сети туннелей VPN, которые создаются, с помощью специального программного обеспечения, и бесплатно предоставляются в публичное общее пользование. Подключиться к ним может каждый желающий.
Частные публичные сети VPN Gate предоставляются обычными людьми, а не компаниями и, даже гипотетическая возможность получения логов (истории посещённых Вами сайтов и истории скачивания) по запросу компетентных органов исключена. Сервис VPN Gate и создавался для того, чтобы дать возможность гражданам стран, где блокируются определённые сайты свободно и анонимно посещать их, но сервис можно использовать и для скачивания нужного вам контента, не опасаясь неприятных последствий.
Настроить работу программы SoftEnter VPN Client вовсе несложно. Сейчас покажу, как это сделать.
Для начала скачиваем на сайте разработчика по ссылке архив с установочным файлом программного обеспечения SoftEnter VPN Client.
Кстати, информация для тех, кто уже пользовался
универсальным моментальным немецким клеем Nano Kleber
и для тех, кто еще не знаком с нашим продуктом - наш клей кардинально изменился.
Естественно в лучшую сторону. Во-первых, изменился внешний вид упаковки и флаконов клея. Во-вторых, объем флаконов увеличился на треть! Теперь вес флакона 31,5 граммов, флакона со сварочным гранулятом, 25 граммов.
И главное, улучшено качество самого клея. По многочисленным просьбам покупателей, клей стал гуще. Это позволяет работать с ним, перед сжатием (склеиванием) не торопясь. Срок подготовки увеличен в 2 раза! При этом его цена осталась прежней.
Подробнее узнать о клее Nano Kleber можно на нашем официальном сайте по ссылке . Там же можно его и заказать. Доставка - по всей России.
После скачивания архива распаковываем папку с установочным файлом на рабочий стол.
Открываем ее и запускаем установку программного обеспечения SoftEnter VPN Client.
После установки программного обеспечения SoftEnter VPN Client запускаем его в работу.
Выбираем один из серверов VPN и подключаемся к нему.
После подключения к выбранному серверу VPN весь ваш интернет-трафик будет перебрасываться через сторонний сервер, надежно скрывая ваши действия в интернете.
То что вы подключены к выбранному вами серверу VPN легко можно узнать, посетив один из сервисов проверки IP-адресов. Найти их несложно. В поисковой строке любого поисковика, например, в Яндексе, пишем поисковую фразу «проверка ip».
Отключить VPN-соединение просто. В трее после установки программного обеспечения SoftEnter VPN Client появиться специальный значок. Кликните по нему правой кнопкой мыши и в выпавшем контекстном меню выберете нижнюю строчку отключения программы.
Как видите, зашифровать весь свой интернет-трафик при помощи программы SoftEnter VPN Client и сервиса VPN Gate совсем несложно.
В ближайшее время продолжим изучение темы шифрования интернет-трафика и рассмотрим еще один способ шифрования трафика при помощи сервисов VPN, напрямую, без использования сторонних приложений, а лишь меняя настройки интернет-соединения.
Проблема воровства персональных данных незаметно превратилась в бич цивилизации. Информацию о пользователе тянут все кому не лень: кто-то предварительно испросив согласие (социальные сети, операционные системы, приложения компьютерные и мобильные), другие без разрешения и спросу (злоумышленники всех сортов и антрепренёры, извлекающие любую выгоду из сведений о конкретном человеке). В любом случае приятного мало и всегда есть риск, что вместе с безобидной информацией в чужие руки попадёт что-то такое, что сможет навредить лично вам или вашему работодателю: служебные документы, частная или деловая корреспонденция, семейные фото...
Но как помешать утечкам? Шапочка из фольги тут не поможет, хоть это, бесспорно, и красивое решение. Зато поможет тотальное шифрование данных: перехватив или украв зашифрованные файлы, соглядатай ничего в них не поймёт. Сделать это можно, защитив всю свою цифровую активность с помощью стойкой криптографии (стойкими называются шифры, на взлом которых при существующих компьютерных мощностях потребуется время, по крайней мере большее продолжительности жизни человека). Вот 6 практических рецептов, воспользовавшись которыми, вы решите эту задачу.
Зашифруйте активность веб-браузера. Глобальная сеть устроена таким образом, что ваш запрос даже к близко расположенным сайтам (типа yandex.ru) проходит на своём пути через множество компьютеров («узлов»), которые ретранслируют его туда и обратно. Посмотреть примерный их список можно, введя в командной строке команду tracert адрес_сайта. Первым в таком списке будет ваш интернет-провайдер или владелец точки доступа Wi-Fi, через которую вы подключились к интернету. Потом ещё какие-нибудь промежуточные узлы, и только в самом конце сервер, на котором хранится нужный вам сайт. И если ваше соединение не зашифровано, то есть ведётся по обычному протоколу HTTP, каждый, кто находится между вами и сайтом, сможет пересылаемые данные перехватить и проанализировать.
Поэтому сделайте простую вещь: добавьте к «http» в адресной строке символ «s», чтобы адрес сайта начинался с «https://». Таким образом вы включите шифрование трафика (так называемый слой безопасности SSL/TLS). Если сайт поддерживает HTTPS, он позволит это сделать. А чтобы не мучиться каждый раз, поставьте браузерный плагин : он будет принудительно пытаться включить шифрование на каждом посещаемом вами сайте.
Недостатки : соглядатай не сможет узнать смысл передаваемых и принимаемых данных, но он будет знать, что вы посещали конкретный сайт.
Зашифруйте свою электронную почту. Письма, отправленные по e-mail, тоже проходят через посредников, прежде чем попасть к адресату. Зашифровав, вы помешаете соглядатаю понять их содержимое. Однако техническое решение тут более сложное: потребуется применить дополнительную программу для шифрования и дешифровки. Классическим решением, не потерявшим актуальности до сих пор, будет пакет OpenPGP или его свободный аналог GPG , либо поддерживающий те же стандарты шифрования плагин для браузера (например, Mailvelope).
Прежде чем начать переписку, вы генерируете так называемый публичный криптоключ, которым смогут «закрывать» (шифровать) письма, адресованные вам, ваши адресаты. В свою очередь каждый из ваших адресатов тоже должен сгенерировать свой ключ: с помощью чужих ключей вы сможете «закрывать» письма для их владельцев. Чтобы не путаться с ключами, лучше использовать вышеупомянутый браузерный плагин. «Закрытое» криптоключом письмо превращается в набор бессмысленных символов - и «открыть» его (расшифровать) может только владелец ключа.
Недостатки : начиная переписку, вы должны обменяться ключами со своими корреспондентами. Постарайтесь гарантировать, чтобы никто не смог перехватить и подменить ключ: передайте его из рук в руки, либо опубликуйте на публичном сервере для ключей. Иначе, подменив ваш ключ своим, соглядатай сможет обмануть ваших корреспондентов и будет в курсе вашей переписки (так называемая атака man in the middle - посредника).
Зашифруйте мгновенные сообщения. Проще всего воспользоваться мессенджерами, которые уже умеют шифровать переписку: Telegram, WhatsApp, Facebook Messenger, Signal Private Messenger, Google Allo, Gliph и т.п. В таком случае от любопытных глаз со стороны вы защищены: если случайный человек и перехватит сообщения, то увидит лишь мешанину символов. Но вот от любопытства компании, которая владеет мессенджером, это вас не оградит: у компаний, как правило, есть ключи, позволяющие читать вашу переписку - и мало того, что они любят это делать сами, они по первому требованию сдадут их правоохранительным органам.
Поэтому лучшим решением будет воспользоваться каким-либо популярным свободным (open source) мессенджером с подключенным плагином для шифрования «на лету» (такой плагин часто называют «OTR»: off the record - препятствующий записи). Хорошим выбором будет Pidgin .
Недостатки : как и в случае с электронной почтой, вы не гарантированы от атаки посредника.
Зашифруйте документы в «облаке». Если вы пользуетесь «облачными» хранилищами вроде Google Drive, Dropbox, OneDrive, iCloud, ваши файлы могут быть украдены кем-то, кто подсмотрит (или подберёт) ваш пароль, либо если обнаружится какая-то уязвимость в самом сервисе. Поэтому прежде, чем поместить что-либо в «облако», зашифруйте это. Реализовать такую схему проще и удобней всего с помощью утилиты, которая создаёт на компьютере папку - помещённые куда документы автоматически шифруются и переправляются на «облачный» диск. Такова, например, Boxcryptor . Чуть менее удобно применить для той же цели приложения типа TrueCrypt - создающие целый шифрованный том, размещаемый в «облаке».
Недостатки : отсутствуют.
Зашифруйте весь (не только браузерный) трафик с вашего компьютера. Может пригодиться, если вы вынуждены пользоваться непроверенным открытым выходом в Сеть - например, незашифрованным Wi-Fi в публичном месте. Здесь стоит воспользоваться VPN: несколько упрощая, это защищённый шифрованием канал, протягиваемый от вас до VPN-провайдера. На сервере провайдера трафик дешифруется и отправляется далее по назначению. Провайдеры VPN бывают как бесплатные (VPNbook.com, Freevpn.com, CyberGhostVPN.com), так и платные - различающиеся скоростью доступа, временем сеанса и т.п. Большой бонус такого соединения в том, что для всего мира вы кажетесь выходящим в Сеть с сервера VPN, а не со своего компьютера. Поэтому, если VPN-провайдер находится за пределами Российской Федерации, вам будут доступны сайты, заблокированные внутри РФ.
Того же результата можно добиться, если установить на своём компьютере TOR - с той лишь разницей, что в данном случае провайдера нет: вы будете выходить в интернет через случайные узлы, принадлежащие другим участникам этой сети, то есть неизвестным вам лицам или организациям.
Недостатки : помните, что ваш трафик дешифруется на выходном узле, то есть на сервере VPN-провайдера или компьютере случайного участника TOR. Поэтому если их владельцы пожелают, они смогут анализировать ваш трафик: попробовать перехватить пароли, выделить ценные сведения из переписки и пр. Поэтому пользуясь VPN или TOR, совмещайте их с другими средствами шифрования. Кроме того, настроить TOR правильно - задача непростая. Если у вас нет опыта, лучше воспользоваться готовым решением: комплектом TOR + браузер Firefox (в таком случае будет шифроваться только браузерный трафик) или Linux-дистрибутивом Tails (работающим с компакт-диска или флэшки), где весь трафик уже настроен на маршрутизацию через TOR.
Зашифруйте флэшки и съёмные носители данных, мобильные устройства. Сюда же можно добавить и шифрование жёсткого диска на рабочем компьютере, но его вы по крайней мере не рискуете потерять - вероятность чего всегда присутствует в случае с носимыми накопителями. Чтобы зашифровать не отдельный документ, а сразу целый диск, используйте приложения BitLocker (встроено в MS Windows), FileVault (встроено в OS X), DiskCryptor , 7-Zip и им подобные. Такие программы работают «прозрачно», то есть вы не будете их замечать: файлы шифруются и дешифруются автоматически, «на лету». Однако злоумышленник, в руки которого попадёт закрытая с их помощью, например, флэшка, ничего из неё извлечь не сумеет.
Что касается смартфонов и планшеток, там для полного шифрования лучше воспользоваться встроенным функционалом операционной системы. На Android-устройствах загляните в «Настройки -> Безопасность», на iOS в «Настройки -> Пароль».
Недостатки : поскольку все данные хранятся теперь в зашифрованном виде, процессору приходится их дешифровать при чтении и шифровать при записи, на что, конечно, тратятся время и энергия. Поэтому падение производительности может быть заметным. Насколько в действительности замедлится работа вашего цифрового устройства, зависит от его характеристик. В общем случае более современные и топовые модели проявят себя лучше.
Таков список действий, которые стоит предпринять, если вас беспокоит возможная утечка файлов в чужие руки. Но помимо этого есть ещё несколько соображений общего характера, которые тоже следует иметь в виду:
Свободное приложение для охраны приватности обычно надёжней проприетарного. Свободное - это такое, исходные тексты которого опубликованы под свободной лицензией (GNU GPL, BSD и т.п.) и могут изменяться всеми желающими. Проприетарное - такое, эксклюзивные права на которое принадлежат какой-либо одной компании или разработчику; исходные тексты таких программ обычно не публикуются.
Шифрование предполагает использование паролей, поэтому позаботьтесь, чтобы ваш пароль был правильным: длинным, случайным, разнообразным.
Многие офисные приложения (текстовые редакторы, электронные таблицы и др.) умеют шифровать свои документы самостоятельно. Однако стойкость применяемых ими шифров, как правило, невелика. Поэтому для защиты лучше предпочесть одно из перечисленных выше универсальных решений.
Для задач, которые требуют анонимности/приватности, удобней держать отдельный браузер, настроенный на «параноидальный» режим (вроде уже упоминавшегося комплекта Firefox + TOR).
Javascript, часто используемый в Сети, это настоящая находка для шпиона. Поэтому, если вам есть что скрывать, Javascript в настройках браузера лучше заблокировать. Также безусловно блокируйте рекламу (поставьте любой плагин, реализующий эту функцию, например, AdBlockPlus): под видом банеров в последнее время часто рассылают вредоносный код.
Если пресловутый «закон Яровой» всё-таки вступит в силу (по плану это должно случиться 1 июля 2018 года), запасные ключи от всех шифров в России должны будут быть переданы государству, в противном случае шифр не будет сертифицирован. А за пользование несертифицированным шифрованием даже рядовые обладатели смартфонов смогут быть оштрафованными на сумму от 3 тысяч рублей с конфискацией цифрового устройства.
P.S. В статье использована фотография Christiaan Colen .
Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.
Национальный антитеррористический комитет собирается контролировать зашифрованный трафик в Сети. Представители отрасли опасаются, что это может привести к утечке персональных данных и войти в противоречие с Конституцией.
Руководитель Роскомнадзора Александр Жаров рассказал о том, что в рамках Национального антитеррористического комитета России (НАК) была создана специальная рабочая группа. Её цель - «внесение ясности в происходящее внутри шифрованного трафика» и создание мер по его регулированию.
В группу вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК). Глава Роскомнадзора отметил, что немецкая корпорация (название её не разглашается в связи с коммерческой тайной) разработала метод сегментации шифрованного трафика и предоставила его на рассмотрение рабочей группе.
Группа была создана по поручению Совета безопасности России. По словам Вадима Ампелонского, представителя Роскомнадзора, она должна предоставить Совбезу отчёт о проделанной работе не позднее 1 июля 2016 года. Специальная группа при НАКе ведёт работу по регулированию сервисов, использующих для передачи данных беспроводные сети, а также тех, которые способны работать без подключения к Интернету (мессенджер FireChat, прославившийся после использования демонстрантами в Гонконге в 2014 году). Глава Роскомнадзора обеспокоен использованием подобных сервисов:
«Злоумышленники могут воспользоваться тем, что вне сети можно обмениваться информацией, и применить это для распространения наркотиков, детской порнографии и т.д.».
В феврале 2015 года Жаров говорил, что доля шифрованного трафика в России составила 15%, а в мае 2016 года она может превысить 20%. Согласно отчету компании Cisco по информационной безопасности за 2015 год, объём шифрованного трафика Рунета составляет до 50%. Карен Казарян, главный аналитик РАЭК, говорит, что большая его часть приходится на протокол HTTPS. По словам экспертов, в мире доля шифрованного трафика в сервисах корпораций превышает 75%, и 81% приходится на территорию России.
Андрей Поляков из «Ростелекома» говорит, что их сети принадлежит около 50% шифрованного трафика (представители «Ростелекома» являются участниками рабочей группе при НАКе).
По словам руководителя Роскомнадзора, речь идет о шифрованном трафике, как легальном (в браузерах и других программах), так и нелегальном (способы обхода блокировок: прокси-серверы, анонимайзеры и т.д). По его словам, обсуждается «введение единой системы шифрования, чтобы понимать, что происходит внутри шифрованного трафика». Участники группы решают вопросы, связанные с применением различных средств шифрования: их сертификацией, лицензированием, ограничением количества схем шифрования.
Мессенджер Павла Дурова Telegram уже несколько лет осуществляет шифрование данных по модели end to end (E2E - система, в рамках которой, зашифрованная информация передается от устройства к устройству напрямую, без посредников. Правила закрытого ключа не позволяют расшифровать информацию никому, кроме её получателя. Таким образом, зашифровка и расшифровка сообщений происходят без участия сервера-посредника).
В начале апреля 2016 года мессенджер WhatsApp (принадлежащий Facebook) ввел полное шифрование всех своих сервисов для всех пользователей (мессенджер шифрует сообщения, телефонные звонки, фото и видео. Теперь даже сотрудники WhatsApp не смогут расшифровать данные, передаваемые пользователями).
19 апреля мессенджер Viber усилил систему безопасности данных с помощью введения end to end шифрования для всех устройств, включая компьютеры PC и Mac, а также смартфоны и планшеты на платформах Android и iOS.
Жаров считает, что данную модель (Е2Е) можно «частично заменить» технологией, аналогичной Deep Packet Inspection (DPI — технология "глубокого анализа" трафика через накопление статистических данных, проверку и фильтрацию сетевых пакетов по их содержимому).
Чиновник упомянул, что сегментация трафика нужна и операторам связи. Так он советует отдать приоритет голосовому трафику: для извлечения денежной прибыли за платные услуги, которые он предоставляет, за счёт других видов трафика.
«Или трафик торрентов, который находится в условно легитимном поле», - говорит он.
Представитель одного из операторов связи прокомментировал это так:
«Шифрование может проводиться программными средствами, свободно распространяемыми в Интернете. Проконтролировать этот процесс представляется возможным, только если поставить на каждое конечное устройство по жучку и дистанционно постоянно мониторить работу».
Он выразил мнение о том, что само рассмотрение вопроса о контроле шифрования в сетях связи относится к области нарушения конституционных прав граждан.
Станислав Шалунов, сооснователь Open Garden (компания-разработчик FireChat) считает, что российские власти не понимают природу вещей, которую собираются контролировать. Он говорит, что смысл шифрования заключается в том, что трафик способны прочесть только отправитель и получатель. Шалунов отметил, что регулировать подобный трафик не предоставляется возможным с технической точки зрения и сравнил это с невозможностью распространения звука в космосе.
«И сей факт не сможет изменить создание рабочей группы по вакуумной акустике», - добавил он.
«Трафик приложений типа FireChat не только зашифрован - он не всегда идёт через традиционных провайдеров, поэтому пытаться его каким-то образом контролировать является абсурдом в квадрате», - заключил сооснователь Open Garden. По его мнению, контроль шифрованного трафика Интернета приведёт лишь к утечке информации и распространению махинаций, связанных с этим.
Казарян также считает, что «регулирование шифрования не требуется, более того, с большой вероятностью оно приведет к увеличению киберугроз и утечкам персональных данных граждан».
Жаров понимает, что запретить шифрованный трафик полностью невозможно, так как он абсолютно необходим, например, для хранения банковской тайны и другой личной информации. Поэтому рабочая группа не ставит перед собой цель ужесточить контроль над интернетом, а «лишь найти пути для решения проблем, связанных с его бесконтрольностью».
По его прогнозам, конкретные технологические и законодательные подходы для регулирования шифрованного трафика появятся приблизительно через два года.
Жаров приводит в пример США и страны Европы, в которых разрабатываются аналогичные подходы к регулированию шифрованного трафика. «Там происходит адаптация массового продукта под запросы конкретного потребителя путем его частичного изменения (доукомплектования товара дополнительными элементами); активно обсуждается вопрос сертификации конечного оборудования», - говорит он.
Для государства контроль шифрованного трафика является одним из способов борьбы с терроризмом, экстремизмом и киберпреступностью.
