Автор Тема: Кто этот кот догадайтесь сами  (Прочитано 961 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Семаргл

  • www.pravo-slavie.ru
  • Глобальный модератор
  • *****
  • Сообщений: 2373
  • Карма: +1/-1
    • ПравоСлавие
Кто этот кот догадайтесь сами
« : 17 Июня 2020, 20:40:12 »
World Wide Web - реальность.


(кто этот кот догадайтесь сами)

Джордж Оруэлл ещё в 1949 году издал любопытную книжку, по прочтении которой вдруг понимаешь, что всё так вот оно и будет.

В РФ это называется СОРМ (система оперативно-розыскных мероприятий).
В Европе – LI (Lawful Interception).
В США – CALEA (Communications Assistance For Law Enforcement Act).
Солнце с нами!

Семаргл

  • www.pravo-slavie.ru
  • Глобальный модератор
  • *****
  • Сообщений: 2373
  • Карма: +1/-1
    • ПравоСлавие
Re: Кто этот кот догадайтесь сами
« Ответ #1 : 17 Июня 2020, 20:59:29 »
«Закон Яровой».

Как всем нам прекрасно известно, согласно «закона» Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ (а на самом деле и много кто ещё) может потребовать от абсолютно любого сайта из реестра организаторов распространения информации (ОРИ) любые данные о пользователях и их сообщениях. «Любые» следует понимать как «все, какие только есть».

По закону «Об оперативно-розыскной деятельности» ФСБ давно уже имеет доступ к телефонным переговорам граждан и их переписке любого рода и формата, но по постановлению суда.

Действительно, в 2018 году конституционные права граждан на тайну переписки и телефонных переговоров были нарушены таким образом 828500 раз, и в 6600 случаях этого не произошло (суд почему-то отказал). Сами граждане никак и ни о чём при этом не извещаются, и ни про что не ведают.

По опять-таки официальным данным, хоть раз в месяц пользовались Сетью 83.8 млн человек, а ежедневно - 74.7 млн. Данные за тот же, 2018 год. Итого под «колпак Штирлица» только за год попал каждый сотый. Эпизодически и фрагментарно, либо теперь уже на постоянной основе, этого никто не знает.

Что с нами хотят сделать?

Понятно, что уже сложившаяся практика совершенно неудобна, и не позволяет следить за каждым, за кем захочется. Потому контролирующие органы ищут окольные пути. И находят их.

Например, как стало известно издательству «РосБизнесКонсалтинг», люди в погонах затребовали от Яндекса ни много ни мало, а сразу сессионные ключи.

Если кто не в курсе, это вот что такое.

При обращении пользователя к сервису, например, Яндекс Почты, инициируется условно рандомный ключ шифрования, действующий только на протяжении сессии. То есть пока не разорвётся соединение, либо не истечёт срок действия ключа. И этим ключом шифруется всё: логин и пароль, переданные через форму авторизации, а так же вся информация, циркулирующая между сервисом и пользователем.

Более того, конкретно в Яндексе принято применять сессионный ключ для доступа ко всем другим сервисам в пределах аккаунта пользователя. То же самое в Гугле, кстати говоря. И в любом другом месте, где выстроена экосистема сервисов и приложений.

Ну и дальше уже понятно - ежели весь трафик записывается на сервере Яровой, а сессионный ключ открывает доступ хотя бы к логину и паролю, больше никакой тайны не остаётся от слова совсем. Как и проблемы доступа к ней.

Что в этой истории не срастается?

Постановлением Правительства РФ от 18.01.2018 № 21 «О внесении изменений в Правила взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети Интернет с уполномоченными государственными органами, осуществляющими оперативно-разыскную (так это слово написано в оригинале) деятельность или обеспечение безопасности Российской Федерации» запрещено разглашать любые сведения о взаимодействии со спецслужбами.

За несоблюдение требования предусмотрен штраф 300–500 тысяч рублей.
Так что не очень понятно, почему эпопея вообще попала в СМИ.
Не должна была, и с этим что-то не так.

Впрочем, нам интересно другое. Это второе за всю историю требование предоставления ключей шифрования (первым был Телеграм). С Телеграмом эпично сели в лужу, но все мы понимаем, что повториться такое больше не должно.

Что выглядит логичным?

Вот смотрите, заполняется сервер Яровой некими записями о прохождении шифрованного трафика. Дальше что?
А дальше надо этот трафик таки как-то переводить в информацию, и потом конвертировать в деньги. Что осложнено шифрованием трафика. А стало быть, нужны ключи. Сессионные, или какие там ещё, служивые во всём этом мало что понимают.

Но поскольку требовать ключи не у всех получится, пока начали с тех, до кого можно легко дотянуться. До кого нельзя или не получается, просто заблокируют со временем.

И это то самое место в длинном списке, про которое говорят «Вы находитесь здесь». Причём от начала списка мы недалеко ушли, всё самое весёлое ещё впереди.

И пока всё совершенно логично.
Но уже видятся просчёты в планах.

Про «ключи от стены» и прочий юмор.

Люди недалёкие пока ещё могут потешаться над требованием выдачи ключей от виртуальных дверей и каменных стен, каковых (ключей) в дискретном и осязаемом виде в природе не существует. Мол, стандарт не предполагает сохранение сессионного ключа и записывание его где-либо, и в этом-то вся фишка.

Опять-таки, для человека в погонах это просто неправильный стандарт, который нужно доработать так, чтобы ключ сохранялся и протоколировался. Внедряйте правильный стандарт, а неправильный надо запретить.

Разбазарит ли Яндекс сессионные ключи?

Поскольку Яндекс (Майл ру, Вконтактик, далее по списку) совершенно точно не станет повторять квест Телеграма, нарываясь на миллионный штраф, а затем и блокировку из-за каких-то там юзеров, передача сессионных ключей рано или поздно состоится.

Возможно, в каком-то варианте бэкдора.
Отечественная криптография, национальный сертификат, вот это вот всё...

Придумают и отговорку, и соответствующий механизм. Но для удобства сдадут сессионные ключи сразу всех пользователей оптом, а не каких-то отдельных юзеров, да ещё и по запросу.

А если думать масштабно?

С большой долей вероятности, подход будет системный, а не выборочный. Когда только Яндекс передаёт ФСБ сессионные ключи шифрования своих пользователей, это репутационные потери, с последующим перетеканием здравомыслящих пользователей туда, где ФСБ не имеет никакой силы. Пока не грянул Чебурнет, такое ещё возможно.

Другое дело, если то же самое провернуть через «отечественную криптографию» и «национальный сертификат». Когда все «организаторы распространения информации» имеют прозрачный для людей в погонах трафик.

Видимо, вот именно к этому всё и идёт.

Ну а простым людям что делать-то?

По идее, чувство брезгливости от профилактического досмотра карманов должно сподвигнуть юзера к миграции на забугорные сервисы, имеющие иммунитет к требованиям слить данные.

Каждому владельцу сайта очень рекомендуется таки сделать над собой усилие, нажать три кнопки в админке своего хостера, и сотворить собственный почтовый сервер. Естественно, уповать на него не стоит, но хоть какая-то часть переписки выпадет из-под «колпака Штирлица».

Но самое правильное, конечно, замкнуть всю переписку в системе тикетов, из которой наружу не выходит ничего.

Есть готовый вариант, но при минимальном умении командовать операторам PHP «стройся» и «равняйся», что-то подобное конструируется за пару вечеров, ежели есть хорошо продуманная идея того, что в итоге должно получиться.

Не пускайте процесс на самотёк, предусмотрите вариант коммуникации без использования публичных сервисов типа Майла с Яндексом. Вскорости они обязательно скомпрометируют себя тем или иным образом.

Ибо никакого другого выхода у них нет.
Капитулируют в итоге, даже не сомневайтесь.

Или начнут всеми силами заботиться о нашей безопасности, но таким странным образом, что приватность на том и кончится.

К примеру, прямо сейчас Майл уже начал что-то втирать про постепенную отмену паролей, с заменой их на SMS авторизацию. Ну а номер мобилы - это автоматически раскрытая личность.

Но дальше - смешнее.

Заявлено о дальнейшем переходе на авторизацию по биометрическим данным, например, путём «сканирования отпечатков пальцев или определения лица». Видимо, никаких слов после такого заявления говорить даже и не нужно.

Не забываем и о профилактике.

Выше акцент делался на сессионных ключах шифрования, посредством которых автоматически устанавливаются авторизационные логин с паролем. Они-то и являются искомым.

Но обратите внимание, SSL сегодня не является надёжным средством сокрытия логина и пароля, ибо, как стало известно, от 4 до 10% якобы шифрованного трафика перехватывается и вскрывается просто «на лету».

Всякие двухфакторные аутентификации, они ведь неспроста появились.
А именно как защитный механизм от случившегося взлома SSL.

Поэтому на своих сайтах ещё и эмулируйте функционал SSL (в дополнение к имеющемуся) всеми доступными Вам подручными средствами. Простор для полёта фантазии тут широкий.

08.06.2019. Всё, расходимся.

По заявлению управляющего директора «Яндекса» Тиграна Худавердяна, все хотелки людей в погонах удовлетворены, но «иным образом».

Видимо, тем открыли полный доступ ко всем серверам.
Никакие ключи шифрования больше никому не нужны.
Солнце с нами!