23 января Роскомнадзор и Генпрокуратура потребовали заблокировать на территории России почтовый сервис Startmail.com. Именно с его адресов с конца ноября прошлого года отправлялись сообщения о якобы заминированных зданиях в 16 регионах страны. Все они оказались ложными. Бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий объяснил, повлияет ли блокировка сервиса на сообщения о «минированиях» и какие другие лазейки могут найти отправляющие их злоумышленники.
Минирование школы в России. Фото из соцсетей
— Сколько относительно популярных сервисов вроде Startmail.com существует сегодня?
— Если честно, то сегодня, наверное, сложно сосчитать количество сервисов, которые рассылают почту, — как платных, так и бесплатных, начиная от всяких Protonmail и заканчивая Startmail.com. Я бы не взялся даже порядок такого количества сервисов называть, потому что создать их не так сложно, любой желающий может это сделать на любом хостинге с помощью бесплатного программного обеспечения.
— Можно ли с таких сервисов отправлять письма от имени других пользователей, не от своего лица или как бы от других почтовых провайдеров?
— Безусловно. К сожалению, тот протокол, который лежит в основе электронной почты, сегодня позволяет подменять так называемые заголовки и, соответственно, менять поле, [в котором указывается], от кого пришло это сообщение, поэтому с любого почтового сервиса на самом деле, в том числе со Startmail и так далее [есть возможность отправлять такие письма]. Можно даже самому написать простейшую программу, которая будет отправлять письмо от имени любого абсолютно человека, начиная от президента страны и заканчивая абсолютно обычным человеком, о котором никто не знает.
— Такие почтовые сервисы умеют сами определять и блокировать «опасные» письма: с угрозами, сообщениями о минировании и так далее?
— Нет, такого рода сервисов я не знаю. Для этого необходимо, чтобы эти сервисы умели читать содержимое почтовой переписки, а это может вступать в противоречие с законодательством о тайне переписки, которая существует в конституциях многих стран. Поэтому обычно максимум, что делают поставщики такого рода сервисов, как и поставщики подобных программ, — это обнаружение в автоматическом режиме вредоносных программ или спама, а вот анализировать контент и выявлять какие-то угрозы — такого рода систем я не знаю.
— В сообщении ФСБ [о блокировке Startmail.com.] указывается, что сообщалось о 16 000 заминированных объектах. Эвакуировали в 10 раз меньшее число. Существует ли способ распознать «опасные» письма не со стороны провайдера?
— Безусловно. Во-первых, надо отметить, что сам факт двухмесячной задержки в части выявления сервиса Startmail вызывает вопросы, потому что выявить, откуда, с какого сервиса было отправлено почтовое сообщение, — это занимает порядка 30 секунд. То есть любой заголовок почтового сообщения доступен абсолютно любому пользователю, и понять, откуда сообщение пришло, даже если у него в заголовке написано другое, не составляет большого труда. Идентифицировать Startmail можно было в день отправки первого сообщения об угрозе. Здесь есть свои вопросы, почему только сейчас об этом стало известно, и был заблокирован этот сервис.
Что касается методов защиты — здесь есть два инструмента. Вариант номер один — блокировка сообщений, которые отправлены от подставных адресов. Это могут автоматически делать многие почтовые программы, кроме того, есть специализированные средства защиты электронной почты, которые позволяют это делать. Второй инструмент — это уже мониторинг контента на уровне, возможно, провайдера, но такого сегодня не делает никто. Есть различные системы в рамках оперативно-разыскных мероприятий, то есть системы СОРМ, которые позволяют мониторить контент, передаваемый в сетях связи, но обычно это делается в отношении конкретных подозреваемых лиц. Так, чтобы мониторить абсолютно все без ограничений по времени, — этого не делается, по-моему, сегодня ни в одной стране мира. Хотя «пакет Яровой» потенциально разрешает это делать, то есть накапливаются все данные, по которым можно осуществлять поиск, но инструментов для этого и фильтрации по собранной операторами связи информации сегодня не существует.
— То есть можно было достаточно быстро обнаружить, откуда отправляются сообщения?
— Да, можно было обнаружить, что это идет с сервиса Startmail. Для этого было достаточно открыть самое первое письмо, которое, наверное, поступило либо в какой-то суд, либо в школу, либо в детский сад. Понятно, что представители спецслужб и правоохранительных органов должны были открывать такого рода сообщение и видеть его, анализировать. Они могли сразу после первого сообщения понять, что идет отправка со Startmail, а дальше просто давалась бы команда на блокирование этого сервиса, и поток сообщений как минимум со Startmail сократился бы до нуля. Это не защита от того, что телефонные или почтовые террористы не стали бы использовать какие-то иные сервисы, но и их тоже выявить не составляло большого труда.
— Можно ли надежно заблокировать письма с этого сервиса и есть ли у злоумышленников обходные пути, кроме других подобных почтовых сервисов?
— Блокировка — тот инструмент, который применил Роскомнадзор по представлению в сторону операторов связи, требование блокировать всю переписку, все сообщения с этого сервиса, он достаточно надежен. Я думаю, он закроет более чем 99 % всей переписки. Разумеется, остаются пользователи, которые применяют VPN-технологии либо какие-то иные способы обхода блокировок, но их процент очень небольшой, и точно это не школы и не суды, и поэтому эти организации с угрозами именно со стороны Startmail уже не столкнутся.
Алексей Лукацкий. Фото: Computerworld
— Возможна ли не полная блокировка почтового сервиса, а частичная, когда спецслужбы отсекают только письма с угрозами, а письма обычных людей с безобидным содержанием они не трогают?
— Теоретически это возможно, но для этого необходимо отфильтровать абсолютно всю переписку, что сегодня в реальном времени не делается практически ни в одной стране мира.
— Существуют ли профилактические меры по борьбе с «опасными» сообщениями?
— К сожалению, как и, наверное, в большинстве стран мира, работа правоохранительных органов начинается уже после совершения какого-то преступления, в данном случае — это преступление в виде угрозы. Профилактику как таковую представить себе очень сложно, кроме оперативных методов. Учитывая, что, как правило, такого рода сообщения об угрозах рассылаются из-за пределов страны, при наличии разных юрисдикций и непростой геополитической ситуации запросы со стороны российских правоохранительных органов в другие государства, особенно в сопредельные, с которыми у нас непростые отношения сегодня, остаются без ответа, и провести такое расследование очень сложно, зачастую невозможно. Поэтому здесь остается только реагировать по факту. Единственное — реагировать можно чуть быстрее, чем это произошло сейчас.