Ъ: в России начали искать способы расшифровки трафика WhatsApp и Viber

Российские компании начали решать задачу получения доступа к переписке пользователей онлайн-мессенджеров, пишет"Коммерсантъ". Это необходимо для исполнения антитеррористических законов ("пакета Яровой"), в рамках которых планируется перехватывать и дешифровывать интернет-трафик граждан.

Компания Con Certeza, разрабатывающая системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для исследования возможности перехвата и расшифровки трафика популярных мессенджеров.

В распоряжении "Ъ" оказалась копия переписки сотрудника Con Certeza с техническим специалистом одной из компаний по информационной безопасности. Подлинность переписки подтвердили оба участника диалога.

"Примерный состав работ такой. Рассмотреть основные мессенджеры WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность", — говорится в письме.\

Согласно переписке, на изучение одного мессенджера дается два месяца. Цель исследования — "реализация или аргументация о невозможности реализации в системах СОРМ согласно нормативным требованиям к операторам сотовой связи".

Оплата работ по каждому из сервисов составляет 130 тысяч рублей плюс 230 тысяч рублей бонуса в "случае появления идентификаторов сторон либо текста при использовании MITM" (атака "Man-In-The-Middle"). Сущность такой атаки заключается в том, что для пользователя это оборудование притворяется запрещенным сайтом, а для сайта — пользователем.

Минкомсвязи и Минпромторг обсуждают набор технических решений, которые позволили бы реализовать доступ ко всему интернет-трафику граждан, включая перехват и дешифровку трафика при помощи MITM-атак, добавляет издание. При этом собеседники газеты еще на стадии обсуждения закона ставили под сомнение возможность этого решения применительно к мессенджерам с end-to-end шифрованием.

"Есть технологии, нацеленные на защиту от такого типа атак, — Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key-Pinning, откажутся работать в случае подмены сертификата для защиты пользователя", — отметили в компании Digital Security.

https://ria.ru/technology/2016...