Российские компании ищут подрядчика для исследования возможности перехвата и расшифровки трафика мессенджеров. Об этом «Коммерсант» узнал из переписки сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности.
Речь идет о программах WhatsApp, Viber, Facebook Messenger, Telegram и Skype, наиболее популярных среди российских пользователей. Сотрудник компании Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-розыскных мероприятий на сетях операторов связи в письме сотруднику ИБ обозначил основные цели исследования. Подлинность переписки подтвердили технический специалист и гендиректор этой ИБ-компании.
"Примерный состав работ такой. Рассмотреть основные мессенджеры - WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность.
Сделать то же самое, но с MITM (вид атаки, когда злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты - прим. ред.) и, если возможность есть, продемонстрировать прототип на локальном стенде", - цитирует выдержки из письма сотрудника Con Certeza Коммерсант.
Иллюстрация depositphotos
Однако еще до принятия «закона Яровой» эксперты отмечали, что осуществить подобные требования практически невозможно. Технические сложности возникают, в частности, в тех случаях, когда приложения используют end-to-end-шифрование: ключ от переписки формируется на конечном устройстве, например, смартфоне или планшете.
"Теоретически перехватывать зашифрованный трафик, в том числе и от мессенджеров, использующих end-to-end-шифрование, осуществимая задача. Мессенджеры обмениваются публичными частями криптографических ключей перед началом переписки, которые можно подменить, что позволит расшифровать.
Есть технологии, нацеленные на защиту от такого типа атак,— Key Pinning, то есть привязка конкретных сертификатов к конкретному веб-сайту или приложению. Мессенджеры, как и другие приложения, например банковские клиенты, использующие Key Pinning, откажутся работать в случае подмены сертификата для защиты пользователя",— прокомментировали ситуацию в Digital Security.
Con Certeza предлагает начать работу с Viber. За один мессенджер, исследование которого должно занять не более 2 месяцев, компания предлагает оплату в 130 тыс. рублей и 230 тыс. руб. бонуса "в случае получения идентификаторов сторон либо текста при использовании MITM". Сотрудник ИБ-компании был готов взяться за работу, если ее результат будет выложен публично, но получил отказ.