На днях разразился большой скандал вокруг заявлений главы Национального антикоррупционного бюро Украины Артема Сытника относительно возможностей прослушки популярных мессенджеров WhatsApp и Viber. Сытник сказал, что спецслужбам это вполне под силу. На данное утверждение тут же отреагировал основатель WhatsApp Ян Кум, который категорически отверг возможность несанкционированного доступа к мессенджеру. «Страна» решила разобраться, кто и как может прослушивать мессенджеры.
Аккаунты не горят
Первое правило, которое нужно помнить пользователю любого публичного интернет-сервиса, — ни переписка, ни аккаунт не удаляются никогда. В дата-центрах на катушках с магнитной лентой все равно хранится бэкап (резервная копия). Их делают на случай сбоя, чтобы можно было восстановить любую информацию (за любое число). Стоимость хранения данных сегодня настолько мала, что корпорации вроде Google это не стоит ничего. Поэтому лучше вообще ничего не писать лишнего в интернете, если ваша персона хоть как-то интересна спецслужбам или хакерам.
Даже если доступа к данным не было сегодня, они могут «вылезти» через годы. Аналогично и с информацией о передвижениях пользователя (их записывают и сервис-провайдеры вроде Google, и операторы связи) — они сохраняются навсегда.
Всего есть два наиболее распространенных способа прослушки.
Способ 1. Взлом
Прослушать (взломать) можно все что угодно. Вопрос только в сложности доступа, цене, а также времени, когда спецслужба или просто заинтересованное частное или юридическое лицо доберутся до информации, если она нужна. Например, в АТО сейчас в экспериментальном режиме работают автоматизированные системы управления боем. Информация между звеньями передается в зашифрованном виде. Взломать и расшифровать можно, но на это уйдет около трех часов, а за это время данные становятся бесполезными для противника. Поэтому спецслужбы не тратят время на то, что вызывает какие-то сложности (только в случае крайней необходимости).
Важное замечание. Большинство публичных интернет-сервисов используют так называемые классические алгоритмы шифрования (RSA и Диффи–Хеллмана), которые с ростом доступности для хакеров быстрого интернета и мощных серверов уже не являются надежными. Для спецслужб, оснащенных нужной аппаратурой, взломать аккаунт еще проще (особенно если в этом помогает провайдер).
«Алгоритмы, подобные RSA, становятся менее пригодными для шифрования. Дело в том, что современных вычислительных мощностей хватает для проведения атаки методом перебора, — считает Дмитрий Днепровский, эксперт консорциума Intecracy Group. — Поскольку RSA основан на сложности факторизации больших чисел, то как только эта сложность исчезнет, алгоритм перестанет быть надежным для серьезного применения. Поэтому для защиты действительно важных данных от злоумышленников, располагающих такими вычислительными мощностями, нужно либо использовать другие алгоритмы, либо увеличивать длину ключа».
Если СБУ (или другая спецслужба) не справляется, они привлекают специалистов частных компаний. Например, на взлом "неуязвимых" реестров Минюста в 2013 году им понадобилось только три дня. Другой вопрос, что на это были потрачены существенные финансовые и интеллектуальные ресурсы.
Сегодняшние возможности спецслужб не позволяют осуществлять тотальный контроль — собирать данные несложно, а вот обрабатывать их пока толком не научились. Поэтому во многих странах на законодательном уровне спецслужбы обязывают IТ-компании предоставлять доступ к данным клиентов по конкретному запросу. В РФ, например, чтобы упростить задачу, еще и обязали всех перенести сервера на территорию России, а провайдеров — предоставлять беспрепятственный доступ в случае интереса спецслужбы. В США ФБР получает доступ через суд. Известны случаи, когда был получен доступ к кодам Skipe и к мессенджеру Facebook. Иногда это приводит к конфликтам, как вокруг недавней тяжбы Apple c ФБР. 16 февраля суд обязал Apple предоставить спецслужбам доступ к информации на iPhone 5c одного из открывших стрельбу в Сан-Бернардино (Калифорния). От компании потребовали создать специальное программное обеспечение, которое позволило бы обойти пароль без потери данных, хранящихся на смартфоне. Apple опротестовала это решение в суде.
Большой резонанс получил и арест вице-президента Facebook Диего Джодана (Diego Dzodan) после того, как компания не удовлетворила повторное судебное распоряжение о предоставлении доступа к переписке в WhatsApp.
Но чаще всего спецслужбы и ИТ-компании решают свои вопросы без лишнего шума.
Украинский УПК (глава 21) позволяет проводить до десятка различных негласных следственно-розыскных действий (НСРД). Самые основные из них — установление места нахождения радиоэлектронного устройства (проще говоря, где находится мобильный, ноутбук или планшет), визуальное наблюдение за человеком или вещью, аудио- и видеоконтроль лица, снятие информации с телекоммуникационных систем (электронная почта, аккаунты в соцсетях, переписка в телефоне), негласное проникновение в жилище и прочее.
Однако УПК выписан таким образом, что легально провести любую из "негласок" следователь не может без согласования с прокурором и получения разрешения суда. Единственное НСРД, которое можно провести только с разрешения прокурора, — это контроль за совершением преступления. Здесь постановления суда не требуется.
К тому же МВД не может самостоятельно проводить, скажем, аудиоконтроль, то есть прослушку, так как все технические комплексы для проведения этого вида НСРД еще в 2005 году были переданы министром Луценко в СБУ. Поэтому СБУ отдает полиции записи уже расшифрованных разговоров.
Таким образом, при проведении НСРД часто задействуется несколько ведомств, и велика вероятность утечки информации.
Если же речь идет о проведении НСРД без санкции прокурора и суда — это должностное преступление. Так было несколько лет назад, когда в ходатайство на прослушку по другому преступлению вписали номер Сергея Кивалова. Майор милиции, который это провернул, получил условный срок в одесском суде. Если процедура не соблюдена, легко попасть под статью, либо же добытая спецслужбами информация не будет считаться допустимым доказательством для суда. Есть решение Конституционного суда по пленкам майора Мельниченко: высокий суд признал, что прослушка без санкции суда — недопустимое доказательство.
Способ 2. Доступ к устройству
Чаще всего на взлом методом перебора (поиском уязвимостей, получение доступа через провайдера и т. д.) у силовиков нет времени. Поэтому чтобы читать сообщения в мессенджерах, они пользуются беспечностью самих пользователей, получая доступ к устройству.
Во-первых, нужно понимать, что ни один мессенджер, клиент которого можно установить на двух-трех и более устройствах, небезопасен с точки зрения конфиденциальности. Всегда можно слушать разговоры через вторую копию аккаунта.
Например, простой способ получить доступ к информации в Viber — установить его на ноутбуке, а для авторизации позаимствовать у пользователя смартфон на 20-30 секунд (получить СМС и ввести ее на ноутбуке). Еще более распространенный способ — договориться с сотрудником компании-оператора (хитростью — сказать ему, что это ваша карта, и назвать телефоны людей, которым часто поступают звонки) либо выпустить симку с помощью спецаппаратуры, которая имеется у спецслужб. Имея вторую симкарту, не составит труда считывать все сообщения другого пользователя.
Существует несколько способов (без помощи хакера) получить доступ и к скайпу. Обычно он автоматически запускается при входе в Windows на компьютере и при загрузке смартфона (то есть достаточно получить доступ к одному из устройств), а аккаунт связан с соцсетью (достаточно получить пароль от нее, а он хранится в браузере).
Плюс пароли у большинства людей простые, а девушки часто любят их записывать на листочке и хранить в ящике рабочего стола (чтобы не забыть). Очень часто для получения доступа к чужому аккаунту используется функция напоминания пароля — проверочным словом является либо девичья фамилия матери, либо марка первого автомобиля, либо кличка собаки. То есть это данные, получить которые не составит труда.
Во-вторых, для доступа к чужим данным используются специально написанные программы. Злоумышленнику или сотруднику спецслужбы достаточно просто заразить устройство пользователя. Обычно ему присылают по почте (или вайберу, скайпу, фэйсбук-мессенджеру) файл с вирусом, который замаскирован под фотографию, видео или обновления любимой игры.
В-третьих, практически невозможно себя обезопасить, если хакер или сотрудник спецслужбы сотрудничает с кем-то из сослуживцев либо членов семьи пользователя. То есть, с человеком, у которого есть непосредственный доступ к устройству (и он может сам установить вирус на устройство), а также владеет нужной для взлома информацией (модель смартфона, номер, ФИО и допинформация — какие мессенджеры установлены). Написанный под конкретную модель смартфона софт, пройдет проверку антивирусом.
В-четвертых, популярным способом взлома является заражение устройства через публичную Wi-Fi-сеть, особенно если пользователь сам по приглашению программы (для получения бесплатного интернета) вводит данные о себе, входит в соцсети.
Что хотел сказать Ян Кум
В своем твиттере основатель сервиса WhatsApp намекнул главе НАБУ Сытнику, что использует технологию криптографических ключей E2EE. Ее суть в том, что контроль над перепиской осуществляется непосредственно пользователями, а расшифровать сообщения не могут ни перехватчики, ни даже сервера, передающие данные. То есть сообщение шифруется локально на устройстве отправителя и может быть расшифровано исключительно на устройстве получателя.
Идеология абсолютно правильная. Вот только сам алгоритм шифрования довольно прост — ключ шифрования, используемый приложением WhatsApp для Android, является MD5-хэш номера IMEI телефона в обратном порядке. Кроме того, на устройствах IOS (iPad/iPhone) WhatsApp создает свой ключ шифрования за счет простого дублирования MAC-адреса Wi-Fi интерфейса и генерации MD5-хэш из него. Поэтому данные для взлома хакер может получить, как только владелец смартфона решит воспользоваться публичной Wi-Fi-сетью.
КАК СЕБЯ ОБЕЗОПАСИТЬ. 5 ГЛАВНЫХ СОВЕТОВ
1. Не пользуйтесь бесплатным публичным Wi-Fi. Отключайте эту функцию (а также GPS), когда она не нужна. Например, когда вы вышли из офиса.
2. Пароли должны быть сложными и на всех аккаунтах разными. То есть чтобы не было ситуации, когда, узнав один пароль, злоумышленник получает доступ ко всему.
3. Функцию восстановления пароля нужно настроить таким образом, чтобы злоумышленник не мог подобрать ответ на контрольное слово.
4. На всех устройствах (компьютер, телефон, планшет, смарт-тв) должен быть установлен антивирус. Желательно платный.
5. Среди всех распространенных мессенджеров единственным защищенным является Telegram и только в режиме secret-chat, а также iMessage. Об этом свидетельствует исследование Electronic Frontier Foundation. Также в лидерах еще несколько программ (ChatSecure, Cryptocat и т. д.), но так как о них мало кто знает, то, скорее всего, вам будет не с кем "защищенно общаться".