The Bell Tech 15 февраля 2020

ФСБ читает соцсети, ЦРУ шпионит за всем миром, а Huawei платит за кражу секретов

Тема выпуска — новые требования ФСБ к интернет-сервисам

Онлайн-сервисы начали погружаться в новую реальность «закона Яровой», в которой уже давно живут операторы связи и интернет-провайдеры. Летом 2019 года ФСБ разослала российским сервисам, включенным в реестр операторов распространения информации (ОРИ), письма с требованием дать сотрудникам спецслужб круглосуточный доступ к их информационным системам и ключи для дешифровки переписки пользователей, выяснил The Bell. Объясняем, чем это грозит тем и другим.

Кто под ударом

Письма, подписанные главой Центра оперативно-технических мероприятий ФСБ Михаилом Михайловым, получили участники реестра операторов распространения информации (ОРИ), который Роскомнадзор ведет с 2015 года. Сейчас в реестре 202 участника, от крупнейших интернет-компаний вроде «Яндекса», Mail.Ru Group и Avito до никому не известных региональных сайтов — например, одним из последних в реестр был включен сайт муниципальной администрации 10-тысячного города Шагонар в Туве. Никакой единой логики в формировании реестра нет — ресурсы попадают туда после того, как правоохранительные органы для тех или иных целей запрашивают их контакты.

«До прошлого лета реестром никто не занимался, и никаких действий по нему не предпринималось. Мы в нем давно, но от нас ничего не требовали», — говорит один из собеседников The Bell. Получив письмо, он попробовал проверить соседние идентификационные номера заказных писем с помощью трекера на сайте «Почты России» и удостоверился, что отправленные в тот же день письма из Центра оперативно-технических мероприятий ФСБ получили десятки компаний, входящих в реестр ОРИ, — например, управляющая сервисом Avito компания «КЕХ-екоммерц». «Медуза» таким же образом установила еще 10 адресатов писем.

Крупнейших интернет-холдингов среди найденных «Медузой» адресатов нет, но в июне 2019 года РБК сообщал, что ФСБ потребовала от «Яндекса» сессионные ключи для сервисов «Почта» и «Диск». «Яндекс» предоставлять ключи отказался, но спустя несколько дней управляющий директор компании Тигран Худавердян заявил, что «Яндексу» удалось найти приемлемое решение. Какое — Худавердян не сказал, и этого никто не знает до сих пор.

Что это даст ФСБ

Два основных требования ФСБ к онлайн-сервиcам — дать спецслужбе доступ к данным сайтов и выдать ключи шифрования трафика.

Первое означает подключение сервиса к установленному в ФСБ «пульту», к которому уже подключено, например, оборудование СОРМ, установленное у операторов связи. Сам пульт — это компьютер в отдельном закрытом кабинете в ФСБ, куда может попасть только сотрудник с определенным уровнем доступа и по внутреннему регламенту. Какому — никто не знает, в открытом доступе и в законах никаких отсылок к нему нет, объясняет Кулин.

С помощью пульта ФСБ получает все данные, которые ОРИ обязаны выдавать по закону: текстовые, аудио- и видеосообщения пользователей и всю информацию о них, которую они обязаны хранить полгода после публикации, — логин, ФИО, паспортные данные, адрес, список языков, которыми владеет пользователь, его круг общения, данные учетных записей в других сервисах, IP-адрес. Сотрудник ФСБ с доступом к пульту сможет выгрузить их в любой момент.

Второе требование ФСБ — выдать ключи шифрования, причем как обычные, так и сессионные, которые отвечают за шифровку каждого соединения пользователя с сервером компании и позволяют получить доступ ко всей переписке пользователей сервиса. Кулин отмечает, что из-за широкой трактовки законов в России спецслужбы могут не относить сообщения, расшифрованные с помощью ключей, к охраняемым конституционной тайной переписки: ключи — это так называемые неформатированные данные и в законах отдельно никак не прописаны.

Риски для ОРИ

Требования ФСБ ставит под удар безопасность самих сервисов из реестра ОРИ, считают специалисты.

  • Если раньше сервисы хранили всю информацию у себя и к ней имели доступ только сотрудники одной компании, выдававшие ее ФСБ только по запросу, то теперь к ней имеет доступ, по сути, неопределенный круг лиц.
  • Требования ФСБ добавляют сервисам «поверхность атаки»: то есть теперь увеличится число точек, которыми может воспользоваться злоумышленник, объясняет замдиректора департамента аудита Digital Security Александр Романов: «Раньше сервисы могли не хранить эти данные. Сейчас они обязаны хранить их и передавать. И куда именно передавать — вообще не важно, даже если это ФСБ».
  • Очевиден риск, что получившие доступ к данным сотрудники ФСБ могут их использовать в незаконных корыстных целях. Таких примеров много: экс-глава банковского отдела управления «К» Кирилл Черкалин вымогал взятки за крышевание банков, а замглавы Центра информационной безопасности (ЦИБ) ФСБ Сергей Михайлов получил 22 года за шпионаж.

Сколько все это стоит

Пока не ясно, какое именно оборудование ФСБ просит устанавливать сервисы из реестра, однако одно уже очевидно: делать им это придется за свой счет. Владелец сервиса, который уже подключил спецслужбу к серверам компании, рассказал The Bell, что обошлось это в заметную для бизнеса сумму, но уточнять ее порядок не стал.

Другой участник списка ОРИ рассказал, что, по их подсчетам, «железо» для подключения к пульту ФСБ, в зависимости от объемов трафика, может обойтись в несколько миллионов рублей — а учитывая, что в реестре есть совсем маленькие компании, для них это может быть очень чувствительной тратой.

Филипп Кулин говорит, что, не зная, какое оборудование ставят компании, оценить его цену сложно — но можно прикинуть, сколько им придется потратить на программную «стыковку» своих систем с инфраструктурой ФСБ: эта разработка даже небольшому сервису обойдется в 1–2 млн рублей.

Как защититься пользователю

Вопрос, как в этой ситуации защититься пользователю, провокационный: в контексте он звучит как «Как я могу защитить свои данные от ФСБ?», говорит Романов.

Но общие правила есть:

  • не пользоваться мессенджерами и социальными сетями;
  • заходить на новостные ресурсы и блоги только через VPN;
  • использовать браузеры, не отдающие метаданные, которые могли бы быть сопоставлены с вами.

Но золотое правило здесь все то же, говорит Романов: «Если вы не хотите, чтобы какая-либо информация о вас всплыла в интернете, то не выкладывайте ее в интернет».

Шпионский скандал века

The Washington Post и немецкий телеканал ZDF раскрыли удивительную шпионскую историю: американские спецслужбы как минимум 20 лет свободно читали засекреченную переписку дипломатов и спецслужб большей части стран мира. А бывший лидер рынка коммерческой криптографии швейцарская Crypto AG оказался компанией американских и немецких спецслужб в самом прямом смысле слова.

Все началось с того, что еще в 1960-е американские спецслужбы склонили основателя Crypto Бориса Хагелина, эмигрировавшего из России из-за революции, к сотрудничеству шантажом: иначе ЦРУ грозило выпустить на рынок собственные устройства за бесценок. Спецслужбы внедрили в машины Crypto уязвимость, которая позволяла расшифровывать сообщения тем, кто ее знал. И начали продавать правительствам всевозможных стран, зарабатывая десятки миллионов долларов в год. В 1970 году к истории присоединилась западногерманская разведка, узнавшая, чем на самом деле занимается швейцарская. Немцы потребовали свою долю. Зато теперь понятно, как именно США приобрели аппетит к глобальной информационной разведке и почему так сильно не верят компаниям типа «Лаборатории Касперского» и Huawei.

Новый виток в войне с Huawei

Свою шпионскую победу ЦРУ прямо называла «разведывательной победой века» и гордилась тем, что «власти многих стран платили большие деньги за право сдавать свои самые большие секреты двум иностранным государствам». Но чужие шпионские ухищрения в США воспринимают крайне болезненно. На этой неделе минюст США официально обвинил Huawei в сговоре для хищения интеллектуальной собственности. Более того, из иска следует, что китайская компания поощряла сотрудников за промышленный шпионаж — и даже запустила программу бонусов для тех, кто сможет украсть секрет у конкурентов. А еще минюст считает, что Huawei пыталась похитить интеллектуальную собственность у шести американских компаний (среди них — Cisco), нелегально использовала интеллектуальную собственность для проектирования антенн и роботов, вербовала и переманивала сотрудников других компаний и нарушала санкции США — с ведома своего финдиректора Мэн Ваньчжоу, дочери основателя Huawei Жэнь Чжэнфея. Мэн была арестована по обвинению в мошенничестве в декабре 2018 года и ожидает экстрадиции в США.

Вирус захватил App Store

Уже три недели топ платного американского App Store возглавляет игра Plague Inc. — симулятор, в котором необходимо весь мир заразить смертоносным вирусом. Побеждает игрок в том случае, если успевает заразить болезнью все население до того, как врачи найдут лекарство. В конце января довольно старая игра успела стать самым популярным приложением и в самом Китае, а потом пробраться в топ платных приложений App Store как минимум в пяти десятках стран — в том числе в России. Игру написал еще в 2012 году консалтер Джеймс Вон в свободное от работы время, как хобби. Для разработки алгоритмов распространения вируса он изучал специализированную литературу, а после релиза — советовался с врачами-эпидемиологами, которым игра сразу понравилась. Plague ждал успех: в 2012 году она попала в топ-15 самых скачиваемых игр для iPhone, и за эти годы ее скачали 120 млн раз. Но были у этой любви и очевидные пики: например, в 2014 году, когда в мире зверствовала эпидемия Эболы. А за время эпидемии коронавируса сайт игры успел упасть из-за наплыва игроков, а самой компании пришлось напомнить, что Plague Inc. — просто игра и с ее помощью нельзя узнать информацию о реальной эпидемии.

Read later

  • Компании все чаще используют разные технологии, чтобы следить за своими сотрудниками. Перевозчики устанавливают в грузовиках трекеры, которые следят за геолокацией и скоростью и составляют графики сна и работы, постоянно подгоняя отстающих водителей. Другие компании ставят следящее ПО на компьютеры, а некоторые даже выдают носимые устройства, вроде умных курток и шлемов. Проблема в том, что иногда это помогает повысить эффективность, а иногда — приводит к авариям. И все чаще стирает границы конфиденциальности.
  • Истории про то, как скандалы о сексуальных домогательствах из мира Голливуда и крупнейших компания просачиваются в IT-стартапы. Стартап Clinc делает умных чат-ботов для Ford и других крупных компаний. Боты умеют вести реалистичные беседы и из контекста находить ответы даже на запутанные вопросы. За пять лет с момента создания стартап при Мичиганском университете привлек почти $60 млн. Но все изменилось, когда основателя Clinc Джейсона Марса, профессора того же университета, обвинили в нескольких случаях домогательств к студентам и сотрудникам. Большинство жертв годами не давали жалобам ход, потому что боялись потерять место из-за влиятельного профессора. В итоге после череды скандалов Марсу пришлось уйти из собственной компании, заявив, что обвинения полны выдумок.
  • Для SoftBank Масаёси Сона наступили непростые времена: сначала объявил о закрытии ритейлер Brandless, в который фонд вложил $240 млн меньше двух лет назад, потом SoftBank не сумел собрать второй полноценный фонд на $108 млрд из-за отказа партнеров в нем участвовать. Bloomberg анализирует еще историю другой портфельной компании Vision Fund, роботизированной пиццерии Zume (помимо Масаёси Сона в нее инвестировал экс-гендиректор Mail.Ru Group Дмитрий Гришин), которая решила больше не делать пиццу и сокращает сотрудников: почему харизматичные и дерзкие основатели и доступ к «шлангу с деньгами» для бизнеса не решают проблемы, а только создают новые.

Валерия Позычанюк