КомментарийПолитика

Дыры в «пакете Яровой»

Почему спецслужбы потратили два месяца на поиск источника ложных сообщений о минировании, который технически занимает 30 секунд: комментарий эксперта

Этот материал вышел в № 8 от 27 января 2020
Читать номер

Этот материал вышел в
№ 8 от 27 января 2020

11:41, 24 января 2020

1

Мария Ефимова
11:41, 24 января 2020

1

Мария Ефимова

23 января Роскомнадзор и Генпрокуратура потребовали заблокировать на территории России почтовый сервис Startmail.com. Именно с его адресов с конца ноября прошлого года отправлялись сообщения о якобы заминированных зданиях в 16 регионах страны. Все они оказались ложными. Бизнес-консультант по безопасности компании Cisco Systems Алексей Лукацкий объяснил, повлияет ли блокировка сервиса на сообщения о «минированиях» и какие другие лазейки могут найти отправляющие их злоумышленники.

Минирование школы в России. Фото из соцсетей

— Сколько относительно популярных сервисов вроде Startmail.com существует сегодня?

— Если честно, то сегодня, наверное, сложно сосчитать количество сервисов, которые рассылают почту, — как платных, так и бесплатных, начиная от всяких Protonmail и заканчивая Startmail.com. Я бы не взялся даже порядок такого количества сервисов называть, потому что создать их не так сложно, любой желающий может это сделать на любом хостинге с помощью бесплатного программного обеспечения.

— Можно ли с таких сервисов отправлять письма от имени других пользователей, не от своего лица или как бы от других почтовых провайдеров?

— Безусловно. К сожалению, тот протокол, который лежит в основе электронной почты, сегодня позволяет подменять так называемые заголовки и, соответственно, менять поле, [в котором указывается], от кого пришло это сообщение, поэтому с любого почтового сервиса на самом деле, в том числе со Startmail и так далее [есть возможность отправлять такие письма]. Можно даже самому написать простейшую программу, которая будет отправлять письмо от имени любого абсолютно человека, начиная от президента страны и заканчивая абсолютно обычным человеком, о котором никто не знает.

— Такие почтовые сервисы умеют сами определять и блокировать «опасные» письма: с угрозами, сообщениями о минировании и так далее?

— Нет, такого рода сервисов я не знаю. Для этого необходимо, чтобы эти сервисы умели читать содержимое почтовой переписки, а это может вступать в противоречие с законодательством о тайне переписки, которая существует в конституциях многих стран. Поэтому обычно максимум, что делают поставщики такого рода сервисов, как и поставщики подобных программ, — это обнаружение в автоматическом режиме вредоносных программ или спама, а вот анализировать контент и выявлять какие-то угрозы — такого рода систем я не знаю.

— В сообщении ФСБ [о блокировке Startmail.com.] указывается, что сообщалось о 16 000 заминированных объектах. Эвакуировали в 10 раз меньшее число. Существует ли способ распознать «опасные» письма не со стороны провайдера?

— Безусловно. Во-первых, надо отметить, что сам факт двухмесячной задержки в части выявления сервиса Startmail вызывает вопросы, потому что выявить, откуда, с какого сервиса было отправлено почтовое сообщение, — это занимает порядка 30 секунд. То есть любой заголовок почтового сообщения доступен абсолютно любому пользователю, и понять, откуда сообщение пришло, даже если у него в заголовке написано другое, не составляет большого труда. Идентифицировать Startmail можно было в день отправки первого сообщения об угрозе. Здесь есть свои вопросы, почему только сейчас об этом стало известно, и был заблокирован этот сервис.

«Зарегистрировал аккаунт, не прибегая к ухищрениям»

Как я написал в ФСБ с заблокированного почтового сервиса: СКРИНШОТ

Что касается методов защиты — здесь есть два инструмента. Вариант номер один — блокировка сообщений, которые отправлены от подставных адресов. Это могут автоматически делать многие почтовые программы, кроме того, есть специализированные средства защиты электронной почты, которые позволяют это делать. Второй инструмент — это уже мониторинг контента на уровне, возможно, провайдера, но такого сегодня не делает никто. Есть различные системы в рамках оперативно-разыскных мероприятий, то есть системы СОРМ, которые позволяют мониторить контент, передаваемый в сетях связи, но обычно это делается в отношении конкретных подозреваемых лиц. Так, чтобы мониторить абсолютно все без ограничений по времени, — этого не делается, по-моему, сегодня ни в одной стране мира. Хотя «пакет Яровой» потенциально разрешает это делать, то есть накапливаются все данные, по которым можно осуществлять поиск, но инструментов для этого и фильтрации по собранной операторами связи информации сегодня не существует.

— То есть можно было достаточно быстро обнаружить, откуда отправляются сообщения?

— Да, можно было обнаружить, что это идет с сервиса Startmail. Для этого было достаточно открыть самое первое письмо, которое, наверное, поступило либо в какой-то суд, либо в школу, либо в детский сад. Понятно, что представители спецслужб и правоохранительных органов должны были открывать такого рода сообщение и видеть его, анализировать. Они могли сразу после первого сообщения понять, что идет отправка со Startmail, а дальше просто давалась бы команда на блокирование этого сервиса, и поток сообщений как минимум со Startmail сократился бы до нуля. Это не защита от того, что телефонные или почтовые террористы не стали бы использовать какие-то иные сервисы, но и их тоже выявить не составляло большого труда.

— Можно ли надежно заблокировать письма с этого сервиса и есть ли у злоумышленников обходные пути, кроме других подобных почтовых сервисов?

— Блокировка — тот инструмент, который применил Роскомнадзор по представлению в сторону операторов связи, требование блокировать всю переписку, все сообщения с этого сервиса, он достаточно надежен. Я думаю, он закроет более чем 99 % всей переписки. Разумеется, остаются пользователи, которые применяют VPN-технологии либо какие-то иные способы обхода блокировок, но их процент очень небольшой, и точно это не школы и не суды, и поэтому эти организации с угрозами именно со стороны Startmail уже не столкнутся.

Алексей Лукацкий. Фото: Computerworld

— Возможна ли не полная блокировка почтового сервиса, а частичная, когда спецслужбы отсекают только письма с угрозами, а письма обычных людей с безобидным содержанием они не трогают?

— Теоретически это возможно, но для этого необходимо отфильтровать абсолютно всю переписку, что сегодня в реальном времени не делается практически ни в одной стране мира.

— Существуют ли профилактические меры по борьбе с «опасными» сообщениями?

— К сожалению, как и, наверное, в большинстве стран мира, работа правоохранительных органов начинается уже после совершения какого-то преступления, в данном случае — это преступление в виде угрозы. Профилактику как таковую представить себе очень сложно, кроме оперативных методов. Учитывая, что, как правило, такого рода сообщения об угрозах рассылаются из-за пределов страны, при наличии разных юрисдикций и непростой геополитической ситуации запросы со стороны российских правоохранительных органов в другие государства, особенно в сопредельные, с которыми у нас непростые отношения сегодня, остаются без ответа, и провести такое расследование очень сложно, зачастую невозможно. Поэтому здесь остается только реагировать по факту. Единственное — реагировать можно чуть быстрее, чем это произошло сейчас.

«Миллионы людей в стране подвергнуты телефонному террору. А почему вы молчите?»

Открытое письмо «Новой газеты» — директору ФСБ Александру Бортникову

Делаем честную журналистику
вместе с вами

Каждый день мы рассказываем вам о происходящем в России и мире. Наши журналисты не боятся добывать правду, чтобы показывать ее вам.

В стране, где власти постоянно хотят что-то запретить, в том числе - запретить говорить правду, должны быть издания, которые продолжают заниматься настоящей журналистикой.

Ваша поддержка поможет нам, «Новой газете», и дальше быть таким изданием. Сделайте свой вклад в независимость журналистики в России прямо сейчас.
#минирование #блокировка #как это устроено

важно

5 часов назад

Что произошло за день 15 марта. Коротко

важно

8 часов назад

Навальный подтвердил, что находится в ИК-2 города Покрова

Slide 1 of 1

выпуск

№ 27 от 15 марта 2021

Slide 1 of 11
  • № 27 от 15 марта 2021
  • № 26 от 12 марта 2021
    № 26 от 12 марта 2021
  • № 25 от 10 марта 2021
    № 25 от 10 марта 2021
  • № 24 от 5 марта 2021
    № 24 от 5 марта 2021
  • № 23 от 3 марта 2021
    № 23 от 3 марта 2021
  • № 22 от 1 марта 2021
    № 22 от 1 марта 2021
  • № 21 от 26 февраля 2021
    № 21 от 26 февраля 2021
  • № 20 от 24 февраля 2021
    № 20 от 24 февраля 2021
  • № 18-19 от 19 февраля 2021
    № 18-19 от 19 февраля 2021
  • № 17 от 17 февраля 2021
    № 17 от 17 февраля 2021
  • В архив выпусков «Новой газеты»

Топ 6

1.
Колонка

Цены строгого режима В Думе хотят остановить подорожание продуктов, сажая в тюрьму покупателей

282220

2.
Расследования

«Я служил в чеченской полиции и не хотел убивать людей» (18+) Старший сержант Полка им. Кадырова Сулейман Гезмахмаев впервые рассказывает о внесудебных расправах над жителями Чечни, не скрывая имен палачей

177660

3.
Сюжеты

Напряжение в Сети Слесарь-сантехник из Колпино, почти не владеющий интернетом, сам того не ведая, стал злоумышленником во Всемирной паутине

151243

4.
Сюжеты

«Есть такая Нина, которая все-таки смогла» История дагестанской женщины, пережившей обрезание в детстве и насилие в браке, которая добивается равноправия в родной республике

127298

5.
Сюжеты

Разговорчики в миру За случайный диалог на улице о Навальном и Фургале протоирея из Хабаровска арестовали на 20 суток. РПЦ не против

114196

6.
Сюжеты

Разгром учредительного собрания Силовики задержали более 200 участников форума «Муниципальная Россия»

113485

Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!
Стать соучастником
;

К сожалению, браузер, которым вы пользуетесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera