Posted 4 октября 2013,, 02:19

Published 4 октября 2013,, 02:19

Modified 3 августа 2022,, 23:45

Updated 3 августа 2022,, 23:45

Как защититься от прослушки

4 октября 2013, 02:19
Очередная новость из разряда "кого ты хотел удивить": вопреки российской конституции, спецслужбы сегодня могут следить за абонентами даже без ведома сотовых операторов. Свободный доступ к любой информации ФСБ гарантируют новые приказы Минкомсвязи. Они обязывают всех операторов установить "черные ящики", позволяющие федеральной службе с удаленных пультов прослушивать любого абонента, получать данные из баз данных (в том числе о состоявшихся разговорах, отправленных смс-сообщениях и так далее) и определять местонахождение обладателей мобильных телефонов. Есть ли способ защитить свою частную жизнь – в нашем материале.

Наш собеседник С. – начальник службы безопасности федеральной продовольственной компании. За его плечами – опыт руководства IT-подразделением госучреждения, обеспечение безопасности одного из уральских интернет-провайдеров и работа в одном из операторов сотовой связи.

- До какой степени наша частная жизнь сегодня уязвима для внешнего наблюдения? Можно ли уже говорить о тотальном контроле?

- О тотальном контроле говорить нельзя, потому что для него недостаточно ресурсов. Можно говорить о контроле выборочном, зато затрагивающем практически все сферы нашей деятельности. Сразу предупрежу: я не буду говорить о визуальном наблюдении, а также аудио- и видеослежке – эти вещи не входят в мою компетенцию, а видеослежка так еще и не очень развита в нашей стране. Моя сфера деятельности – это телекоммуникации, и вот здесь уязвим каждый шаг, будь то личная переписка, телефония или социальные сети.

Для начала стоит определить, от кого мы защищаемся. Если от конкурентов по бизнесу – это одно дело, а если, скажем, от правоохранительных органов, то это уже совсем другой коленкор.

- В чем отличие?

- В бизнесе работают, как правило, более квалифицированные люди. Я хорошо знаком с персоналом отделов «К» (управление «К» — подразделение министерства внутренних дел России, осуществляющее борьбу с преступлениями в сфере информационных технологий – прим. редакции) в нескольких крупных городах, они не очень компетентны. Все-таки это госслужба, там нет больших денег и очень ценится лояльность, а IT-специалисты – как правило, люди очень гордые. Однако недостаток квалификации госслужащие с успехом возмещают дополнительными полномочиями. Скажем, если опытный специалист может взломать вашу почту на любом популярном домене, то полиция просто придет к владельцу с решением суда и затребует ваши данные.

- И владелец даст?

- Когда я работал на интернет-провайдера, к нам как-то пришли люди в штатском, помахали распечаткой писем какого-то товарища, который, кажется, кому-то угрожал, и потребовали сказать, какой из наших абонентов в конкретный момент времени сидел под определенным IP. Мы, конечно, информацию дали – никому не хочется ссориться с силовиками.

- А взлом почты – легкое занятие?

- Еще десять лет назад это было гораздо легче. Допустим, был скандал с тем же Mail.ru, когда в html-коде формы восстановления пароля этот пароль был в открытом доступе. Сейчас основные игроки – это уже мегакорпорации, тратящие огромные средства на защиту, и «дыры» в безопасности практически отсутствуют. Если нужно узнать содержимое чужой почты, а ты не работаешь в отделе «К», проще использовать социальную инженерию, то есть провоцировать пользователя на некоторые действия, которые позволят тебе вскрыть его личную информацию.

- Какие это действия?

- Ну, например, древний как мир способ отправить картинку с приложенным к ней исполняемым файлом все еще превосходно работает. Кейлоггеры (программы, анализирующие ввод с клавиатуры – ред.) очень помогают – я лично ловил своих сотрудников на откатах, воровстве у компании с их помощью. Очень популярен фишинг – подсовываешь человеку поддельную страницу входа в его почтовый аккаунт, и вот пароль на блюдечке. Компьютерная грамотность за последний десяток лет серьезно выросла, но все-таки беспечных людей подавляющее большинство.

- И все-таки, как закрыть личную переписку от посторонних глаз?

- Личная переписка в интернете – это не только почта. Это еще всевозможные мессенджеры (Skype, ICQ и т.д.), переписка в соцсетях и т.п. Общие правила: никому не сообщайте пароль, не заходите с чужих устройств, регулярно обновляйте антивирус, не выключайте файрволл. По возможности заведите отдельные устройства для работы и развлечений. Не выбирайте простых паролей и регулярно их меняйте.

Почта – ну, во-первых, заводите ее не на российском сервисе, и лучше даже не клиентоориентированном на Россию (чтобы не стать разменной монетой в беседе владельца сервиса с силовиками). Африканский домен подойдет. Главное – чтобы была возможность шифровать почту (как правило, эту опцию надо отдельно включать). Ну или запустите свой собственный почтовый сервис – надежнее некуда.

Мессенджеры – то же самое, ничего российского. Одно время все пользовались Skype, но лично у меня есть подозрения: года два назад была история с прессингом ФСБ, которая закончилась подозрительно тихо. Самое надежное – это открытое ПО на основе протокола Jabber, мы на работе у себя такой используем. 256 бит шифрования – и даже если ты все исходящие пакеты по зернышку соберешь, ничего не прочитаешь. Можно выбрать какой-нибудь сервер, которому условно доверяешь, можно поднять такой сервер самому, если потребность есть.

Соцсети для личной переписки не используйте вообще, ни при каких обстоятельствах. Честно говоря, лучше вообще их не вести, но если не получается, стоит делать только публичные заявления. Даже если забыть о том, что отдел «К» к владельцам приходит без стука: не раз были случаи, когда криво спроектированные проекты выдавали личные данные поисковикам. И вообще, оставляя хоть что-нибудь в социальных сетях, имейте в виду, что это навсегда: вы потом не сможете это удалить, сделать вид, что ничего и не было и т.д.

Но вообще могу успокоить: спецслужбы не очень интересуются сообщениями в аське. Все-таки любая силовая структура забюрократизирована, а сообщения, неизвестно кем оставленные – это слабая доказательная база. Телефония в этом отношении гораздо интереснее.

- И кто из ОПСОСов (операторов сотовой связи - ред.) надежнее?

- Никто. Любой провайдер вынужден сертифицировать биллинг у надзорных органов. Это, строго говоря, не только телефонии касается, но вообще любого телекоммуникационного оборудования: алгоритм шифрования должен быть сертифицирован ФАПСИ – что, скорее всего, означает, что в него уже заложены дыры. Некоторые компании – например, CISCO, ZYXEL – на российский рынок поставляют оборудование со строго определенными алгоритмами шифрования. Потому что несертифицированный алгоритм ты легально в России уже не продашь. На госслужбу, например, такое купить нельзя.

Поэтому у спецслужб есть возможность прослушивать любой телефон, и читать любые СМС. Но, что важно – не постфактум. Ни у какого оператора не хватит ресурсов писать всех и хранить вечно смски. Я точно могу сказать об МТС: они хранят тексты очень ограниченное время, и то в зашифрованном виде. Но если их попросить – то для того, чтобы «писать» кого-то конкретного, достаточно поставить «галочку» в настройках. Думаю, что у остальных операторов то же самое.

- Есть устойчивая легенда, что даже выключенный телефон может быть использован в качестве жучка.

- Бред это. Производителей телефонов сотни по всему миру, это какая-то безумная конспирология – предполагать, что все они такую возможность «зашивают». Помню, несколько лет назад выяснилось, что один из телефонов Blackberry в выключенном виде обменивается сигналами с базовыми станциями – и то был скандал. А уж писать… нет.

Что точно хранится долго – так это как раз статистика базовых станций, поэтому если узнать, о чем вы говорили, постфактум не получится, то где были – запросто. Собственно, сегодня по этому принципу и вполне коммерческие сервисы работают: в городе отследить местоположение можно с точностью до 150 метров.

- А защититься от прослушки можно?

- Если потребность велика, и есть больше пяти человек, которым надо регулярно обмениваться конфиденциальной информацией, то проще всего – айпи-телефония. Затрат на все про все, включая поднятие сервера – около 15 тысяч рублей. На сервере устанавливаешь АТС, на смартфоны ставишь SIP-клиент – даже ширины канала обычного 3g достаточно для звонка. Но стоит помнить, что все это работает, только пока вы внутри. Стоит позвонить на внешний номер – и мы вновь зависимы от того же ОПСОСа.

Кстати, есть еще один популярный миф – мол, когда приезжают первые лица, Путин-Медведев, то сотовая связь хреновая, потому что отключают шифрование, и можно прослушивать разговоры по специальному радиоканалу. На самом деле это бессмысленно, потому что на обработку информации слишком много времени уйдет. Поэтому по ходу следования кортежа просто глушат все радиочастоты. Это делается потому, что сотовая связь – самый удобный способ дистанционно привести взрывное устройство в действие. Промышленных средств таких немного, а смску отправить – проще некуда.

- Ну а если соблюдать все твои рекомендации, можно жить спокойно?

- Нет, конечно. Во-первых, как я уже говорил: если с кем-то прицельно работают, то, скорее всего, в дело и «жучки» пойдут, и наружное наблюдение, и много всего другого. Во-вторых, что гораздо важнее: вы-то можете соблюсти все меры безопасности. Но общаетесь вы не сам с собой, и если на другой стороне сидит беспечный человек, у которого на почте пароль «qwerty», то все ваши усилия пропадут зря. Хорошо хоть, что Большой Брат у нас ленивый и неповоротливый – тем и живем.

"