Слежка

Хакеры из "Сирийской электронной армии" — группировки, которая взломала уже половину интернета, — снова отличились. На этот раз им удалось заполучить в свое распоряжение документы, которые прямо указывают на то, что Microsoft выставляет секретному подразделению ФБР счета на сотни тысяч долларов. И это плата за доступ к данным миллионов пользователей.

Украденные документы (счета и письма электронной почты) свидетелсьтвуют о довольно тесном сотрудничестве между департаментом Global Criminal Compliance корпорации и Отделом по перехвату цифровых данных ФБР (Digital Intercept Technology Unit, DITU). Кроме того, украденная информация проливает свет и на финансовый аспект этого сотрудничества.

К примеру, в декабре 2012 года, Microsoft отправила в DITU по электронной почте счет на $145 100 — по $100 за один запрос, сделанный ФБР. В августе 2013 был выслан похожий счет, на этот раз на $352  200 — цена подросла до $200 за запрос. Последний из украденных документов датирован ноябрём 2013 года и, согласно этому счету, "федералы" должны были заплатить Microsoft $281 000.

Журналисты, заинтересовавшиеся темой, обратились за комментариями к экспертам и получили довольно удивительные ответы — никто из профессионалов сферы безопасности не стал осуждать корпорацию за сотрудничество со спецслужбой. Более того, по их мнению, в данном случае Microsoft лишь воспользовалась своим законным правом на компенсацию расходов, а "утекшие" в сеть документы лишь свидетельствуют о том, как часто государство обращается к частным компаниям за информацией об их клиентах. В некоторых счетах, отправленных в DITU, содержались данные о сотнях запросов в месяц.

Директор по технологям в ACLU Кристофер Согоян (Christopher Soghoian) считает, что ведение подобной бухгалтерии даже позволяет лучше контролировать поведение государственных органов и вести учет их активности в плане сбора данных о пользователях.

Адвокат Electronic Frontier Foundation Нэйт Кардосо также согласен с этим мнением и считает, что граждане имеют право знать, сколько, по сути, их денег ФБР тратит на получение данных о них же самих.

Налогоплательщики должны иметь полное представление о том, как много денег тратится на подобные вещи.

Отдел по перехвату цифровых данных (DITU) не столь известен, как оскандалившееся благодаря Эдварду Сноудену на весь мир АНБ, но, по увереням экспертов, суть этих двух организаций примерно одинаковая.

Кстати, в слайдах Сноудена о программе PRISM фигурировал и DITU:

Подтверждения подлинности украденных сирийскими хакерами документов нет — что неудивительно, — но и никаких признаков фальсификаций эксперты также не видят. Тот же Кардосо считает, что в случае подделки можно было бы сфабриковать нечто, что вызвало бы куда больший резонанс.

Пока я не вижу никаких признаков фальсификации. Да и, честно сказать, если бы я хотел устроить такой скандал, то подделал бы какие-то более сенсационные документы.

До момента утечки документов, "Сирийская электронная армия" дважды атаковала Microsoft, применяя фишинговые схемы. В январе хакерам удалось взломать корпоративный блог и аккаунт в Twitter. Тогда же представитель группировки в разговоре с The Verge намекал на то, что эти атаки являются частью более крупного плана.

Microsoft ранее признала тот факт, что злоумышленникам удалось получить несанкционированный доступ к почтовым ящикам некоторых сотрудников, в результате чего были похищены некие документы, связанные с запросами правоохранительных органов.

Журналисты обратились за комментариями в ФБР, но там их отправили в Microsoft с формулировкой из разряда "данные были украдены у них, вот там и спрашивайте", а представитель корпорации отделался общими словами о том, что по закону компании имеют право на компенсацию издержек, связанных с оказанием содействия государственным органам.

Несмотря на то, что ситуация, когда спецслужбы платят за доступ к пользовательским данным самим компаниям, выглядит довольно странно, на самом деле это вовсе не является чем-то из ряда вон выходящим. Например, источники в правительстве подтвердили изданию New York Times тот факт, что ЦРУ платит провайдеру AT&T больше $10 млн в год за доступ к записям телефонных разговоров. Guardian со ссылкой на документы, предоставленные Эдвардом Сноуденом, заявляла о том, что АНБ уплатила Microsoft и другим компаниям миллионы долларов за доступ к данным их пользователей.

В утекших счетах, выставляемых ФБР, и впрямь не содержится никаких намеков на незаконные операции — все запросы направлены в соответствии с действующим законодательством США. Судя по комментариям экспертов, и Microsoft нельзя обвинить в выставлении каких-то неоправданно завышенных счетов — цены на "услуги" меняются в зависимости от типа запроса, но, в целом, являются вполне адекватными.

По мнению профессионалов, главное во всей ситуации со взломом — это то, как легко сирийским хакерам удалось получить доступ к такой деликатной информации. Да и сама схема документооборота по электронной почте без всякого шифрования выставляет не в лучшем свете специалистов Microsoft и ФБР.

По сообщению газеты «КоммерсантЪ», Федеральная служба безопасности (ФСБ) хочет максимально контролировать информацию в интернете — и для этого уже согласовала соответствующий проект приказа Минкомсвязи.

ФСБ хочет обязать всех интернет-провайдеров к 1 июля 2014 года установить оборудование для записи и хранение трафика на срок не менее 12 часов, а также предоставить прямой доступ спецслужб к этим устройствам.

Таким образом, бдительная ФСБ, уже внедряющая инновационную систему прослушки на Олимпийских играх в Сочи-2014, получит список пользовательских телефонных номеров, IP-адресов, логинов на сайтах и адресов электронной почты.

Реакция не заставила себя долго ждать. Первым из «большой тройки» операторов сотовой связи «Билайн» направил в Минкомсвязь письмо, в котором отмечено, что приказ нарушает Конституцию РФ, а именно статьи о праве на неприкосновенность частной жизни.

Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а ограничение этого права допускается только на основании судебного решения.

Также представители «Билайна» задались резонным вопросом: на каких основаниях провайдеры должны на свои деньги покупать требуемое оборудование? Вероятно, установка дополнительного недешевого оборудования вполне может обанкротить некоторых локальных интернет-провайдеров.

В проекте документа отдельно оговаривается «Перечень телематических служб, для которых поддерживается отбор и передача на ПУ информации, относящейся к контролируемым соединениям и (или) сообщениям электросвязи в соответствии с заданными параметрами контроля». ФСБ планирует отслеживать электронную почту на mail.ru, yandex.ru, rambler.ru, gmail.com, yahoo.com, apport.ru, rupochta.ru и hotbox.ru.

Кроме того, не останутся без внимания и службы обмена мгновенными сообщениями, а именно ICQ (пользуясь случаем, передаем привет Павлу Дурову и «Телеграму»).

Ожидаемо, общественность восприняла новость отнюдь не позитивно.

 

Минздрав последовал примеру ФСБ и издал приказ, обязывающий провайдеров интернета лечить пациентов. Зачем работать, когда есть провайдеры

— Олег Козырев (@oleg_kozyrev) October 21, 2013

 

Двойная защита Сноудена ФСБ: его и от него. Интернет под колпаком.

— Khakamada Irina (@IrinaKhakamada) October 21, 2013

 

Вернулись шутки десятилетней давности о перлюстрации, сборе трафика и майорчиках ФСБ. )))

— шифровальщик штаба (@_T222_) October 21, 2013

 

ФСБ собирается провести закон, запрещающий спойлеры к сериалам в личной почте

— Захар Май (@ZaxarBorisych) October 21, 2013

В целом, для рядовых пользователей ничего и не поменяется, а вот у провайдеров, если приказ вступит в силу, могут возникнуть серьезные проблемы. Несмотря на то, что оплачивать оборудование должно государство, провайдеры уже взялись за проверку своих финансовых дел. По предварительным расчетам «Билайна», ежегодные инвестиции составят $100 млн, хотя МТС насчитал «всего» 300 млн руб. в год.

Сейчас проект приказа находится на согласовании в ФСБ, а после будет направлен в Министерство финансов и Министерство экономики.

И где бы вы думали? Конечно, в социальных сетях! Недавно мы уже писали о мониторинге деятельности сотрудников ряда компаний в твиттере, и вот аналитики из Garther предсказывают, что больше половины всех компаний будут следить за подопечными, причем уже через пару лет. Утверждают, что сейчас подобным занимается только десятая часть корпораций (хотя кто будет открыто заявлять о наличии в компании такого подразделения).

Целью данного мониторинга, как пишут эксперты, является борьба с утечками информации из стен офисов (что в какой-то степени правильно), но обязательно с соблюдением прав граждан. Проверить это будет довольно сложно - вряд ли босс откажется посмотреть откровенные фотографии сотрудницы (например ВКонтакте) перед ее приемом на работу.

Не расслабляемся, господа!