Как государство хакером стать захотело

"По теме расшифровки интернет-трафика. Забудьте о слежке, проблема не в этом

В теме "ФСБ решило все дешифровать" к сожалению слишком много внимания уделяют спорам на тему контроля государства над гражданами. Из-за этого становится незаметной другая часть проблемы, затрагивающая куда больше людей.

Смотрите, в теме дешифровки есть пара таких пунктиков, которые касаются каждого. Пунктики называются:
- логин
- пароль
- пинкод

В теме дешифровки трафика эти три пунктика стоят всех разговоров вообще. Ибо затрагивают доступ к почте, к госуслугам, интернет-банкинг, оплату счетов, доступ к дневнику школьника и т.д. и т.п.

Т.е. проблема уже не в том, что параноики из ФСБ хотят читать письма всех граждан страны. Это уж ладно — мы привыкли к тому, что у силовиков есть такие наклонности. Проблема в том, что пинкод и данные вашей карты, ваши логины-пароли в почты, сайты, соцсети, ваша верификация на госуслугах — это теперь дело не лично ваше, а ваше и еще примерно тысячи человек, если не больше.

Причем ладно бы только это. Но эти ж маньяки будут хранить и дешифрованные ваши данные года по три на серверах своих с последующим неизбежным их обнаружением на Горбушке в виде очередного диска.

Россия может столкнуться с полным обнулением верификации данных пользователей. Не будет способов подтвердить, что вы это вы на госуслугах, вы это вы в интернет-банкинге, вы это вы в переписке с вашим ребенком. Раздолье мошенникам, педофилам, хакерам. Причем не только из числа силовиков — данные ж по закону Яровой (уже и данные самих силовиков) будут года три хранить на серверах, пока до них не доберутся посторонние.

Ну и напоследок небольшая пугалочка. ОК, допустим вы доверяете силовику читать все на своем компе, в своем телефоне. И ловить преступников. Но с момента дешифровки логина-пароля силовик получает и доступ к тому, что написать на вашем компе и в вашем телефоне. Понимаете? И поймать "преступника". К этому вы тоже готовы?"

"Забыли упомянуть клинических докторов, ведущих на компьютере не только историю болезни пациента (зачастую очень и очень высокопоставленного!), но также указывающих результаты анализов и сделанные назначения. Так ведь можно и что-нибудь смертельное пациенту приписать, а затем, бесследно удалив запись, замести следы", — пишет блогер Andy Hart.

Леонид Волков:

"1. До ФСБ дошло, наконец, что "пакет Яровой" полностью бессмысленен. Потому что сейчас доля шифрованного трафика в рунете больше 50% и стремительно растет. А "пакет Яровой" предполагает хранение миллионов тонн этого шифрованного трафика, без возможности его расшифровать. И ищет новые пути. Это хорошо.

2. Путь, которые они предлагают, называется "государственный MiTM". MiTM = man-in-the-middle = "человек посередине" — это вид хакерской атаки, который заключается в том, что злоумышленник П встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают, что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П, который вскрывает их, а потом перешифровывает и отправляет дальше.

3. Очень наглядно показывает ход их мысли и уровень представлений о жизни. Помните из детства книжки про Владимира Ильича и жандармов и суровую царскую цензуру с перлюстрацией и чернила из молока? Вот это в точности оно и есть. Хотят все письма вскрывать и читать, а потом конверты заклеивать так, чтобы нельзя было догадаться, что письмо читали. Цифровая перлюстрация. Сейчас тотальная перлюстрация положена в отношении писем, которые идут с зоны и на зону. Но для ФСБ, детей вертухаев — вся страна это зона.

4. Проблемка заключается в том, что (см. пункт 2) MiTM — это вид хакерской атаки. Для всего используемого в интернете ПО попытка подмена сертификата для перешифровки контента выглядит именно и только так и реакция (автоматическая) будет соответствующей: как только операционная система или браузер выявят, что предъявлен поддельный сертификат, они его тут же забанят. (Это я конечно очень грубо, не вдаваясь в технические детали. Ну и нельзя исключать, что ФСБ пойдет договариваться, чтобы их сертификат предустанавливался в списки доверенных — это предмет для отдельного разговора). То есть работать все это не будет.

5. Пример: в декабре 2015 года в Казахстане пытались реализовать эту схему. КазТелеком бодро объявил абонентам, что они все обязаны установить себе государственный сертификат и с 1 января 2016 года весь трафик будет шифроваться на него. Через пару дней, однако, это сообщение с сайта КазТелекома исчезло и было объяснено "технической ошибкой". Очевидно, потому что нашелся умный человек, который объяснил, что через неделю после того, как у всех абонентов появится "государственный сертификат", интернет в Казахстане просто перестанет работать.

6. Прозвучали важные три буквы: DPI (deep packet inspection — глубокий анализ пакетов). ФСБ говорит: хотим не просто расшифровывать трафик "на лету", но и делать DPI, то есть в онлайн-режиме искать слова "бомба", "Путин", "жулики и воры", "дача Медведева", "Крым", "Володин — гей", "покемоны", "Чайка" и другие, которые в данный момент времени признаны угрожающими основам конституционного строя и национальной безопасности Российской Федерации. Хорошо известно, чьи уши торчат за DPI: это главный "национал-патриот" рунета Игорь Ашманов (сопредседатель партии "Великое Отечество", политического структуры НОДа) и супруга его Наталья Касперская. У них есть софт для DPI и для семантического анализа, они очень давно с ним носятся и мечтают продать государству и подороже.

7. РЕЗЮМЕ.
У меня для вас только хорошие новости.
— "Пакет Яровой" в нынешнем виде будет похоронен; ФСБ признает, что он абсолютно лишен смысла;
— Предлагаемое вместо него решение звучит многократно более дешево и разумно, но при этом не будет работать все равно (что хорошо для всех нас), а если и будет работать, то будет легко обходиться (защититься от MiTM нетрудно);
— В битву за распил государственных денег, выделяемых на "контроль за интернетом" включаются новые силы: если "пакет Яровой" в изначальном виде отвечал бизнес-интересам производителей СОРМа и группы Чемезова, то предложения ФСБ им резко противоречат, тут совсем другие бенефициары;
— Пока они будут между собой драться (возможно, с применением огнестрельного оружия) с интернетом не будет происходить ничего плохого".

Дмитрий Гудков:

"Советник президента по интернету" Герман Клименко не смог остаться в стороне от пакета Яровой: "Я считаю, что государство имеет право доступа к данным граждан, к почтовому ящику, например".

И ведь ни словом не солгал. Право государство имеет и уже давно — как почта в России появилась, так государство право и имеет. Красивое слово "перлюстрация" не сегодня родилось, как и "цензура".

В России исторически сложилось, что государство имеет право на все и совершенно не нуждается в подтверждении этого своего права от господина Клименко.

Власть уже всерьез рассуждает о том, имеет ли она право быть третьей в нашей переписке или спальне".

"Ну хорошо, тогда я, как неоспоримая часть государства — полноправный гражданин, имею право доступа к данным Владимира Владимировича Путина в качестве примера. Или сфера государственности начинается где-то вне граждан, только в особом месте для особенных людей? Тогда нужно законодательно закрепить факт исчезновения государства в своих границах и образовании его заново в неком месте, куда вход не по паспорту", — пишет блогер Алексей Янг.

"Так может при таких раскладах обменяемся доверием? Гражданину Клименко — доступ к моему почтовому ящик, а мне — к его почте. На благо родины, так сказать, для укрепления скреп", — предлагает Денис Халаза.

Денис Сущев:

"Основной момент, который упущен во всех размышлениях, что пусть даже все будет реализовано в том виде, как видится. Только после этого роль оператора связи в этом процессе явно повышается и что делать с трафиком прокуроров, милиции, органов власти, который непременно будет проходить там же и станет так же доступен. Или будет интернет для гос.службы и интернет для населения?"

Михаил Белкин:

"Я чего-то пропустил? Часть 2. статьи 23 Конституции России уже отменили? "Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения".

"Я пару лет назад, как раз так же написал. Сторожевая собака захватила дом своего хозяина и управляет им", — пишет Андрей Тараканов.