Мы уже касались темы тотального контроля за всеми, кто пользуется сетью Интернет. В частности, мы писали: «Можно ли защититься от прослушивания? Можно. Использовать шифрование переписки, выделенные каналы, сеть Tor, устройства постановки акустической помехи для блокировки микрофона сотовых». Как оказалось, соответствующие службы также озабочены вопросом перехвата информации тех пользователей, которые знают о необходимости применения защитных мер.
16 апреля в сети появилась информация, что рассматривается вопрос о блокировании нового корневого SSL-сертификата удостоверяющего центра телекоммуникационной компании TeliaSonera, одного из крупнейших провайдеров доступа к магистральным каналам связи на постсоветском пространстве и крупнейшего акционера сотового оператора «Мегафон».
Согласно заявлению, выданные сертификаты могли использоваться для перехвата зашифрованного трафика. Схема перехвата зашифрованной информации проста и красива. При установке защищенного SSL-соединения на уровне интернет-провайдера реальный SSL-сертификат подменяется новым, сгенерированным на лету (сертификатом второго уровня), который не вызывает подозрения у пользователя, так как связан цепочкой доверия с реальным центром сертификации. Поэтому «подменные» сертификаты рассматриваются браузерами и иными клиентскими программами как валидные и не приводят к появлению предупреждений — пользователь не узнает, что он работает уже с иным сертификатом.
Сообщение, которое пользователь должен увидеть при недоверенном соединении.
Соответственно, вторичный сертификат может отдаваться не только пользователю, создавшему соединение, но и заинтересованным лицам в целях расшифровки перехваченного SSL-трафика.
Проблема касается любых протоколов, использующих выданные удостоверяющим центром сертификаты и позволяющих использовать вторичные сертификаты, создаваемые без привлечения удостоверяющего центра — без потери доверенности сертификата. Это защищенная почта (протоколы SMPTS/POP3S/ICAP4S). Это защищенный доступ в Интернет (HTTPS). Посмотрите внимательно на ваш браузер: если вы видите в строке состояния браузера значок в виде замочка — вы используете защищенное соединение. Вы можете проверить подлинность сертификата, щелкнув по значку защищенного соединения:
Данные сертификата должны содержать следующую информацию: кому и кем выдан сертификат, каков его срок действия. Все было надежно. И вот — этой крепости больше нет.
Ни в коем случае не нужно думать, что проблема касается только TeliaSonera. Любой компании, желающей работать, для успешного бизнеса нужно взаимодействовать с властями. И неважно, какая это страна — США, Германия или Россия. Мы просто получили еще одно подтверждение того, что безопасного мира нет. Любой оператор связи обязан выполнять требования по санкционированному перехвату трафика, исходящие от правительства страны, где он работает.
Проект Mozilla протестует против такой практики: год назад всем удостоверяющим центрам было разослано письмо с требованием отозвать все выданные сторонним организациям вторичные корневые сертификаты. Но может ли бороться с ветряными мельницами одинокий рыцарь, когда условия работы ветряных мельниц определяются куда как более мощной структурой?
Интернет изначально дыряв — и это выгодно слишком многим: от хакеров до представителей государственной власти. Идеалисты хотят построить новый Интернет — сеть для свободных людей, всем остальным остается использовать средства шифрования (надеясь на устойчивость ключей и реализаций протоколов шифрования), сети peer-to-peer (P2P), сеть Tor. Но вопрос в том, что для работы с такими средствами нужно быть экспертом по безопасности. Мало поставить надежное средство защиты — нужно его правильно использовать.
Так, сеть Tor достаточно надежна сама по себе. Но тот, кто владеет выходом из нее, правит бал, так как в конечном узле информация расшифровывается. На этом в свое время попались американские дипломаты, активно использовавшие Tor для передачи своих донесений.
P.S. Когда материал уже готовился к публикации, в поле зрения автора попало свежее распоряжение правительства за № 611-р “Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи РФ”.
Пункт 9 этого документа, посвященный нарушениям требований к сетям и средствам связи для проведения оперативно-разыскных мероприятий, гласит: «при нарушении этого (и иных прописанных в ПП нарушений) оператор подвергается проверке Роскомнадзором».
Таким образом, еще раз подтверждено, что все операторы обязаны помогать
госорганам в расследованиях, а значит возможность расшифровки сертификатов, о которых говорилось выше, не просто возможность, а, скорее всего, уже давно применяемый инструмент.
