Российские компании приступили к решению задачи по получению доступа к переписке пользователей WhatsApp, Viber, Facebook Messenger, Telegram и Skype. Это необходимо для реализации «закона Яровой», в рамках которого для борьбы с терроризмом власти намерены осуществлять перехват и полную дешифровку трафика россиян.

В частности, компания Con Certeza, которая разрабатывает системы технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ) на сетях операторов связи, ищет подрядчика для проведения исследования по возможности перехвата и расшифровки трафика популярных мессенджеров. Это следует из переписки (копия есть у «Коммерсанта») сотрудника Con Certeza с техническим специалистом одной из российских компаний в сфере информационной безопасности (ИБ).

«Примерный состав работ такой. Рассмотреть основные мессенджеры — WhatsApp, Viber, Facebook Messenger, Telegram, Skype для платформ iOS и Android. Подготовить экспертное заключение по возможности перехвата чувствительных данных, то есть идентификаторов сторон общения, паролей, сообщений, при работе с копией трафика, и продемонстрировать прототип, если есть возможность. Сделать то же самое, но с MITM (атака Man-In-The-Middle) и, если возможность есть, продемонстрировать прототип на локальном стенде», — говорится в письме сотрудника Con Certeza.

Согласно переписке, на исследование одного мессенджера дается два месяца, начать работы предлагается с Viber. Оплата работ по каждому мессенджеру составляет 130 тыс. рублей за выполнение основной части исследования и 230 тыс. рублей бонуса «в случае получения идентификаторов сторон либо текста при использовании MITM». Цель исследования — «реализация или аргументация о невозможности реализации в системах СОРМ согласно нормативным требованиям к операторам сотовой связи», пишет сотрудник Con Certeza.

«Исходя из описания, исследование Con Certeza будет сосредоточено на возможности получения информации о самом факте общения идентифицируемых пользователей, их переписки и в случае успешной реализации MITM подмены ее содержания», — отмечает гендиректор Qrator Labs Александр Лямин.

Для реализации положений «закона Яровой» ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят реализовать доступ ко всему интернет-трафику россиян, включая перехват и дешифровку трафика с помощью MITM-атак (когда для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем).

Однако эксперты еще на стадии обсуждения закона ставили под сомнение такую возможность применительно к мессенджерам. Особенно в том случае, если в мессенджерах используется end-to-end-шифрование, то есть когда ключ от переписки формируется на конечном устройстве, например смартфоне пользователя.