4 июня 2019

avmalgin

У вас не должно быть тайн от товарища майора

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу». Оба собеседника РБК утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.

«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет»...

По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.

Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов...

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя»...

Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он...

Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.

По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации», — говорит Дарбинян...

По закону «Об оперативно-розыскной деятельности» ФСБ уже на протяжении многих лет может получать доступ к телефонным переговорам граждан или запрашивать у интернет-компаний их переписку, но для этого ей необходимо получать постановление суда. По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Еще 6,6 тыс. таких ходатайств было отклонено...

В реестр ОРИ на данный момент включено более 170 сервисов, среди которых Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и др. У любого из этих сервисов ФСБ в какой-то момент может потребовать предоставить ключи для дешифровки переписки пользователей.

Собеседников РБК тревожит включение в реестр ОРИ в январе 2019 года сервиса «Сбербанк Онлайн» — это система дистанционного банковского обслуживания для клиентов Сбербанка.

Включение «Сбербанк Онлайн» в реестр ОРИ выглядит довольно странно, хотя и понятно с точки зрения законодательства, поясняет Алексей Лукацкий. Многое зависит от того, как разделены в этом сервисе функции защиты финансовых транзакций и встроенного мессенджера, из-за которого, собственно, сервис и попал в реестр Роскомнадзора. «Если они шифруются разными ключами, то тогда все более-менее в порядке. Если же нет, то передача ключей шифрования от такого «чувствительного» сервиса — законодательно понятное, но с точки зрения безопасности очень сомнительное решение», — отмечает собеседник РБК. Представитель пресс-службы Сбербанка отказался от комментариев.


ОТСЮДА
avmalgin

Хнык-хнык



Бизнесмен Виктор Вексельберг (11-е место в рейтинге богатейших россиян Forbes, состояние оценивается в $11,5 млрд) рассказал Financial Times (FT) о последствиях, с которыми он столкнулся из-за американских санкций. Это первое больше интервью, которое он дал с тех пор, как против него были введены ограничительные меры.

«Люди говорят: «У тебя бизнес в России, ты российская знаменитость, против тебя не введены европейские санкции. Почему ты беспокоишься?». Но для меня это полный кризис в моей жизни. Это не про деньги, не про бизнес. Это про личную ситуацию... Для меня вся жизнь была возможностью. А теперь что я могу сделать?» – сказал Вексельберг. Как отмечает FT, Вексельберг из-за санкций не может приехать в Нью-Йорк и посетить свою дочь и внука. «Всю свою жизнь я пытался быть человеком мира… Я перевез всю свою семью в США. Я никогда не мог бы предвидеть ситуацию, в которой оказался», – отметил бизнесмен.

США ввели санкции против Вексельберга, а также группы компаний «Ренова» в апреле 2018 г. Ограничительные меры предполагают запрет на въезд в эту страну и заморозку активов. Кроме того, американским гражданам и иностранным контрагентам запрещено вести бизнес с Вексельбергом и «Реновой».

Санкции, как объясняло министерство финансов США, введены из-за ситуаций на Украине, в Сирии, а также из-за кибератак, но «прежде всего из-за попыток России подорвать западную демократию». Вексельберг утверждает, что он не участвовал в этой деятельности и стал объектом санкций по трем причинам: «Я россиянин. Я богат. И да, я знаком с Путиным. Сейчас этого достаточно». «Разумеется, я встречался с мистером Путиным. Но многие встречались с ним, причем более регулярно, и многие имели больше тем для обсуждения с ним. Многие говорят мне, что должно быть что-то еще», – подчеркнул бизнесмен.

FT пишет, что некоторые, объясняя введение санкций против Вексельберга, указывают на то, что он пытался наладить сотрудничество между Россией и США. Те, кто придерживаются такой точки зрения, предполагают, что деятельность в США сделала бизнесмена слишком заметным в то время, когда началось обсуждение возможного «вмешательства» России в американские президентские выборы. Вексельберг «подогрел полемику», как отмечает газета, тем, что посетил инаугурацию Дональда Трампа. Вексельберг в интервью FT заявил, что побывал на инаугурации из любопытства – он хотел больше узнать о новом американском президенте: «Когда Трамп победил на выборах, я подумал: «О'кей, вот новый парень, вокруг него много шума, это интересно». Если бы я только понимал, насколько остра была политическая ситуация... Настолько сильны антироссийские чувства».

Вексельберг рассказал, что, пытаясь найти билет на инаугурацию Трампа, сначала получил отказ от Уилбура Росса, который тогда занимал пост министра торговли, а затем обратился к своему двоюродному брату Эндрю Интратеру. Тот смог получить два билета от Майкла Коэна, который тогда был адвокатом Трампа. «Мистер Коэн попросил о встрече со мной, поскольку, предоставив билеты, хотел узнать, кто будет его гостем», – отметил Вексельберг. Встреча прошла в Trump Tower в Нью-Йорке: «Это не была встреча в ресторане, у нас было официальное приглашение. Мы прошли через службу безопасности, зашли в офис мистера Коэна в здании Трампа. Мы пожали руки и говорили минут 15. Ничего особенного. Он не обсуждал с нами вопросы бизнеса в России. Он был заинтересован лишь в инвестициях в США».


ОТСЮДА
avmalgin

Весомый аргумент

Министерство юстиции России подал заявления в Верховный суд Швейцарии об отмене арбитражных решений, вынесенных по искам украинских компаний, требовавших компенсации за активы потерянные в Крыму после присоединения его к России. Об этом во вторник сообщил российский Минюст.

Речь идет об исках компаний «Укрнафта», «Стабил» и других, по которым международный арбитраж принял решения в пользу истца. В сообщении Минюста России говорится, что арбитражные решения обжалованы на основании соглашения между Россией и Украиной о поощрении и взаимной защите инвестиций. По мнению России, к таким спорам указанное соглашение применяться не может.

Среди аргументов неправомерности вынесенных решений Россия указывает на то, что арбитры вынесли решения в пользу истцов, не установив, что полуостров Крым является суверенной территорией России.


ОТСЮДА