ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса»

root

СисАдмин Форума
Команда форума
Действительный члены НП "МОД"
Регистрация
17 Февраль 2007
Сообщения
291
Репутация
187
Баллы
43
Возраст
53
Веб-сайт
carolina-reaper.info
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram
04 июня 2019г.


Фото: Сергей Коньков / ТАСС

ya1.jpg


Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу». Оба собеседника РБК утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.

Почему «Яндекс» не готов передавать ключи и чем это обернется для компании, разбирался РБК.

Почему ФСБ потребовала от «Яндекса» ключи

«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

В ФСБ не ответили на запрос РБК. В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В свою очередь, основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.

Что ответил «Яндекс»

Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством». Он отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.

Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. «Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — отметил он.

ya2.jpg

Фото: Сергей Коньков / ТАСС

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя». Он указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис. «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно», — рассуждает Лукацкий.

Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.

По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. «Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — говорит он.

Чем грозит «Яндексу» отказ

Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.

По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации», — говорит Дарбинян.

Однако он считает маловероятным развитием событий блокировку сервисов «Яндекса» на территории России, как это было с Telegram. «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — говорит Саркис Дарбинян.

По данным SimilarWeb, число посещений «Яндекс.Почта» в апреле 2019 года составило 432 млн, а «Яндекс.Диск» — 27,32 млн.

По закону «Об оперативно-розыскной деятельности» ФСБ уже на протяжении многих лет может получать доступ к телефонным переговорам граждан или запрашивать у интернет-компаний их переписку, но для этого ей необходимо получать постановление суда. По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Еще 6,6 тыс. таких ходатайств было отклонено.

«Получение ключей шифрования и последующего доступа к переписке для ФСБ — более удобная схема, чем идти в суд, просить постановление и лишь затем запрашивать переписку, как это работало ранее. Не вижу никаких логичных и понятных причин, кроме возможного сокращения скорости информационного обмена (то есть отсутствия необходимости ждать постановление суда) и потенциального перехвата сессий для выемки данных и других действий в обход стандартных процедур», — считает Леонид Евдокимов.

У кого еще могут потребовать ключи шифрования

В реестр ОРИ на данный момент включено более 170 сервисов, среди которых Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и др. У любого из этих сервисов ФСБ в какой-то момент может потребовать предоставить ключи для дешифровки переписки пользователей.

Собеседников РБК тревожит включение в реестр ОРИ в январе 2019 года сервиса «Сбербанк Онлайн» — это система дистанционного банковского обслуживания для клиентов Сбербанка.

Включение «Сбербанк Онлайн» в реестр ОРИ выглядит довольно странно, хотя и понятно с точки зрения законодательства, поясняет Алексей Лукацкий. Многое зависит от того, как разделены в этом сервисе функции защиты финансовых транзакций и встроенного мессенджера, из-за которого, собственно, сервис и попал в реестр Роскомнадзора. «Если они шифруются разными ключами, то тогда все более-менее в порядке. Если же нет, то передача ключей шифрования от такого «чувствительного» сервиса — законодательно понятное, но с точки зрения безопасности очень сомнительное решение», — отмечает собеседник РБК. Представитель пресс-службы Сбербанка отказался от комментариев.

Подробнее на РБК
 
Thread starter Похожие темы Forum Replies Date
root Сотрудниками ГУСБ МВД России и ФСБ России выявлены нарушения в сфере расходования бюджетных средств Новости МВД России 0
root В Брянской области сотрудники МВД России и ФСБ России пресекли деятельность преступного сообщества, специализировавшегося на незаконном сбыте сигарет Новости МВД России 0
root Сотрудниками МВД России и ФСБ России пресечен сбыт незарегистрированных аппаратов ИВЛ Новости МВД России 0
root Сотрудниками МВД России и ФСБ России пресечена деятельность организованной группы, занимавшейся хищением углеводородного сырья Новости МВД России 0
root В Костроме полицейские совместно с сотрудниками ФСБ задержали подозреваемого в совершении мошеннических действий Новости МВД России 0
root В Астрахани полицейские совместно с сотрудниками регионального Управления ФСБ России изъяли крупную партию чёрной икры Новости МВД России 0
root В Иркутской области сотрудники полиции и ФСБ предотвратили крупномасштабные рубки леса Новости МВД России 0
root Сотрудники МВД и ФСБ пресекли деятельность преступного сообщества, незаконный оборот которого составлял около 300 млн рублей в месяц Новости МВД России 0
root Сотрудниками МВД России и ФСБ России задержаны подозреваемые в убийстве депутата Раменского района Московской области и членов ее семьи Новости МВД России 0
root ФСБ намерена заблокировать два сервиса по примеру Telegram Информационная безопасность. 0
root Сотрудниками МВД России и ФСБ России перекрыт канал контрабанды наркотиков Новости МВД России 0
НСК-СБ А вы говорили, что Дуров не сотрудничает с ФСБ Статьи, которые стоит обсудить. 5
root Сотрудниками МВД России и ФСБ России во Владивостоке задержан участник организованной группы, который более 14 лет находился в международном розыске Новости МВД России 0
НСК-СБ Личные данные 40 сотрудников ФСБ утекли в сеть Интересные статьи и заметки. 0
root В Смоленской области полицейскими совместно с сотрудниками ФСБ пресечена попытка вывоза бивней мамонта за границу Новости МВД России 0
root В Москве сотрудниками полиции во взаимодействии с ФСБ России пресечена деятельность группы лиц, занимавшейся организацией незаконной миграции Новости МВД России 0
НСК-СБ Директор ФСБ призвал мировое сообщество предоставить спецслужбам доступ к переписке Спецслужбы. ФСБ, ГРУ, ЦРУ, ФБР, Ми-5, МИ-6, СБУ, КГБ и др. 0
root ФСБ не считает смартфон и ручку с видеокамерой шпионскими гаджетами Информационная безопасность. 6
root Сотрудниками МВД России совместно с ФСБ России задержаны подозреваемые в организации незаконной миграции Новости МВД России 0
root В ХМАО – Югре полицейскими и сотрудниками ФСБ задержаны члены террористической ячейки, планировавшие совершение серии терактов и убийства сотрудников органов внутренних дел Новости МВД России 0
НСК-СБ Полковника ФСБ и экс-сотрудника «Лаборатории Касперского» осудили за госизмену Шпионо-разведовательные скандалы. 0
root ФСБ России и МВД России пресечена деятельность фальшивомонетчиков Новости МВД России 0
root Сотрудниками МВД России и ФСБ России по "горячим следам" задержан подозреваемый в хищении картины Куинджи Новости МВД России 0
root Сотрудниками МВД России и ФСБ России задержаны подозреваемые в организации незаконной миграции Новости МВД России 0
root Сотрудниками МВД России и ФСБ России в Москве пресечен факт незаконной банковской деятельности, доход от которой превысил 17 миллионов рублей Новости МВД России 0
НСК-СБ МВД создало рабочую группу после призыва ФСБ «что-то делать» с детьми-радикалами Интересные статьи и заметки. 0
НСК-СБ ФСБ нашла тех, кто «слил» информацию о Петрове и Боширове Спецслужбы. ФСБ, ГРУ, ЦРУ, ФБР, Ми-5, МИ-6, СБУ, КГБ и др. 0
НСК-СБ ФСБ ищет тех, кто «слил» анкеты Петрова и Боширова Статьи, которые стоит обсудить. 0
DronVR ФСБ разработает алгоритмы шифрования для российских сим-карт сетей 5G Информационная безопасность. 0
DronVR Минсвязи отказалось от перевода россиян на одобренные ФСБ сим-карты Информационная безопасность. 0
НСК-СБ Telegram задал вопросы ФСБ в Верховном суде Спецслужбы. ФСБ, ГРУ, ЦРУ, ФБР, Ми-5, МИ-6, СБУ, КГБ и др. 4
НСК-СБ Переписку в мессенджерах нельзя считать охраняемой законом тайной, заявили в ФСБ Мобильный телефон и скрытные опасности. 1
НСК-СБ Глава московского СК подтвердил планы создать «русское ФБР» с функциями СК, МВД и ФСБ Спецслужбы. ФСБ, ГРУ, ЦРУ, ФБР, Ми-5, МИ-6, СБУ, КГБ и др. 0
Детективное агентство Тула ФСБ задержала звезду сериала «Детективы» Интересные статьи и заметки. 4
НСК-СБ ФСБ раскрыла масштабную аферу по недоливу бензина Криминал. Мошенничество. Коррупция. 0
Матушкин Андрей Николаевич ФСБ выявила вирус для кибершпионажа в сетях. Использование высоких технологий разведкой и контрразведкой. 0
Детективное агентство. Инициатива. Самара. ФСБ пресекла продажу ключевого алгоритма "Яндекса" Интересные статьи и заметки. 8
Matt ФСБ вышла на "охоту" на частных детективов. Приватный раздел 106
Гудимов Анатолий Геннадиевич Глаза Следящие За Вами Или ФСБ Онлайн. Интересные статьи и заметки. 10
Детектив-Юг ФСБ получила полномочия для борьбы в интернете Интересные статьи и заметки. 8
Eugen ФСБ России и британская разведка возобновили сотрудничество Спецслужбы России, США, Англии и других стран мира. 6
Марат Как спецслужбы России следят за гражданами в сети Курилка. Общение обо всём. 12
Марат ФСБ создает единую систему связи для защиты от кибератак Курилка. Общение обо всём. 8
Матушкин Андрей Николаевич КНБ и ФСБ знают все о китайской армии. Спецслужбы России, США, Англии и других стран мира. 11
НСК-СБ Два офицера ФСБ задержаны в Москве Другие интересные темы. 5
Частный детектив Воронеж ФСБ разоблачила детективов, прослушивавших высокопоставленны Интересные статьи и заметки. 26
Детективное агентство ИКС-Инфо. Центр Специального Назначения ФСБ России Интересные статьи и заметки. 16
Растаман Березовский и ФСБ (терракты в России) Правда ли нет? Интересные статьи и заметки. 11
Гудимов Анатолий Геннадиевич Подмосковная часть ФСБ заказывает фейерверки за 3,3 млн руб. Интересные статьи и заметки. 5
Гудимов Анатолий Геннадиевич ФСБ нейтрализовала банду, совершившую теракт в Пятигорске ле Интересные статьи и заметки. 2
Похожие темы