IT в России и мире в реалиях мирового кризиса
1,284,243
7,813
|
avt5160701 ( Слушатель ) |
| 04 июн 2019 09:15:54 |
ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса»
новая дискуссия Новость 3.149ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram
Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу». Оба собеседника РБК утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.
Почему «Яндекс» не готов передавать ключи и чем это обернется для компании, разбирался РБК.
«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
В ФСБ не ответили на запрос РБК. В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В свою очередь, основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством». Он отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.
Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. «Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — отметил он.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя». Он указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис. «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно», — рассуждает Лукацкий.
Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.
По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. «Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — говорит он.
Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.
По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации», — говорит Дарбинян.
Однако он считает маловероятным развитием событий блокировку сервисов «Яндекса» на территории России, как это было с Telegram. «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — говорит Саркис Дарбинян.
По данным SimilarWeb, число посещений «Яндекс.Почта» в апреле 2019 года составило 432 млн, а «Яндекс.Диск» — 27,32 млн.
По закону «Об оперативно-розыскной деятельности» ФСБ уже на протяжении многих лет может получать доступ к телефонным переговорам граждан или запрашивать у интернет-компаний их переписку, но для этого ей необходимо получать постановление суда. По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Еще 6,6 тыс. таких ходатайств было отклонено.
«Получение ключей шифрования и последующего доступа к переписке для ФСБ — более удобная схема, чем идти в суд, просить постановление и лишь затем запрашивать переписку, как это работало ранее. Не вижу никаких логичных и понятных причин, кроме возможного сокращения скорости информационного обмена (то есть отсутствия необходимости ждать постановление суда) и потенциального перехвата сессий для выемки данных и других действий в обход стандартных процедур», — считает Леонид Евдокимов.
Подпишитесь на рассылку РБК. Рассказываем о главных событиях и объясняем, что они значат.
Приложение для знакомств Tinder не передавало российским властям никакой информации пользователей, заявил «Коммерсанту» официальный представитель сервиса.
«Мы зарегистрировались, чтобы соответствовать требованиям закона. Тем не менее эта регистрация никоим образом не означает передачу каких-либо пользовательских или личных данных каким-либо российским регулирующим органам. Мы не передавали никаких данных российскому правительству», — приводит слова представителя Tinder газета.
Ранее Роскомнадзор внес компанию Match Group, владеющую Tinder, в реестр организаторов распространения информации.
По российским законам, сервисы, оказавшиеся в этом списке, обязаны собирать, хранить и предоставлять ФСБ и другим уполномоченным госорганам данные о действиях своих пользователей, включая содержимое их переписок.
Ежедневная аудитория мобильного приложения Tinder в марте 2019 года достигла, по данным Mediascope, почти 185 тыс. россиян в возрасте 12–64 лет, проживающих в городах с населением от 100 тыс. человек.
Ранее за отказ передать ключи шифрования ФСБ в России по решению суда был заблокирован мессенджер Telegram.
.
https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main
.
Яндекс - это не Телеграм, скрыться не выйдет.
Пора развивать отечественный поисковик - Спутник, браузер придумали, работает отлично. Поисковика не хватает.
Отредактировано: avt5160701 - 04 июн 2019 10:12:30
ОТВЕТЫ (105)
|
|
Vladislav ( Слушатель ) |
| 04 июн 2019 09:39:00 |
Яндекс - не Телеграм, никто из государства Телеграм как альтернативу Гуглу и пример импортозамещения не объявлял.
Если диалогом с Яндексом займется Роскомнадзор с "телеграммовским" изяществом, то никому хорошо от этого не будет - ни Яндексу, ни государству.
Если чо, то я категорически против доступа к моему яндексовому акку, иначе как по санкции суда.
Все в
|
|
Vladislav ( Слушатель ) |
| 04 июн 2019 09:51:11 |
Всё уже есть? Да вы шо?!
А зачем же им ещё что-то от Яндекса нужно? Может, таки не всё? Или какой-то товарищ майор решил заняться кибер-копоклефилией?
|
lucent ( Практикант ) |
| 04 июн 2019 10:03:38 |
Популярная концепция, которая, однако, разбивается о регулярные словесные интервенции Бортникова насчёт того, что хорошо было бы, если бы спецслужбам дали возможность мониторить социальные сети (и мессенджеры в их числе). И что так жить больше нельзя. Когда "всё есть", спецслужбы обычно сидят тихо и не отсвечивают, чтобы "не спугнуть". А вот в данном случае именно это "спугнуть" с Яндексом и происходит...
|
|
Foxhound ( Слушатель ) |
| 04 июн 2019 10:06:48 |
Цитата: lucent от 04.06.2019 10:03:38
На самом деле тут двойная проблема - бизнес тоже считает, что может не соблюдать законы и очень удивляется когда начинают к этому принуждать. ФСБ еще гуманно работает, а то можно было бы нелегалами напрямую с Воложем и его семьей поработать.
|
|
lucent ( Слушатель ) |
| 04 июн 2019 10:48:29 |
Цитата: Foxhound от 04.06.2019 10:06:48
Это как? Вроде того, что пригрозить, что детей в лесопосадке найдут? Это дело не хитрое. Уверен, Волож, наблюдая такой идиотизм, сразу поймет, что перспектив у страны с такими примитивными методами управления экономикой мало и, роняя тапки, побежит, конечно, продавать яндекс Грефу, а так же убегать на Сент-Невис и Китс. Или в обратной последовательсти. Ну а Греф, конечно, лучше справится с управлением таким параходом, как Яндекс.
Вообще, у меня нет ощущения какой-то системности во всём этом процессе. Больше похоже на какое-то хаотическое движение ради изображения бурной деятельности.
Взять вот хотя бы эпическую историю с хранением траффика пользователей. Пока идея хранить все тысячи петабайт порнухи, игры престолов и прочих фиксиков была гипотетическая, все радостно хлопали в ладоши и строили грандиозные планы. Потом посчитали, прослезились и подумали, что так обильно кормить тайваньскую и корейскую промышленнось как-то жирно и Путин выступил со странным заявлением о том, что надо организовать производство накопителей в России. Потом, видимо, еще немного посчитали и решили, что даже у нас в стране тратить ресурсы на производство бесполезных накопителей не разумно и кратно срезали сроки хранения. Последних новостей с этого фронта не знаю, но, подозреваю, что всё планомерно идёт к заметанию этого сюжета "под ковер"....
Так же и с этим сюжетом с передачей ключей. Наша власть в этом вопросе выглядит абсолютно невнятно. Потому что для любого специалиста очевидно, что либо ты полностью и тотально изолируешь российский сегмент интернета и тогда появляется возможность контролировать интернет сервисы. Либо не надо даже "пистолетик" доставать, потому что у общества это вызовет только иронию и отток пользователей от Яндекса.
|
|
Foxhound ( Слушатель ) |
| 04 июн 2019 10:57:13 |
Цитата: lucent от 04.06.2019 10:48:29
В целом управляемый Греф для системы лучше неуправляемого Воложа, на мой взгляд. Именно для системы, подчеркиваю. Но ведь спецслужбы должны исходить именно из интересов системы и обеспечивать их любыми методами?
Цитата: lucent от 04.06.2019 10:48:29
Именно.
Цитата: lucent от 04.06.2019 10:48:29
Хотят сделать банкет за счет телеком операторов. Думаю сюжет еще не раз будет всплывать.
Цитата: lucent от 04.06.2019 10:48:29
В общем да - сначала изоляция сегмента потом требования или давайдосвидания. У нас почему то все наоборот - изоляция только на уровне разговоров / закона пошла, а требования уже сейчас, причем механизмы принуждения не понятны. Можно пойти иначе, как в США - не изолировать интернет фильтровать траффик, а работать с владельцами и делать предложения. Я больше за второй вариант - он эффективнее.
|
|
lucent ( Слушатель ) |
| 04 июн 2019 11:08:21 |
Цитата: Foxhound от 04.06.2019 10:57:13
Цитата: Foxhound от 04.06.2019 10:57:13
Ну тут вопрос, кто как систему понимает. Есть впечатление, что у Путина да Медведева есть понимание, что для системного развитие стране нужны как раз, в том числе, и такие люди как Волож, которые худо бедно, но пытаются каким-то инновационным бизнесом заниматься.
Тут же такая история, что это на места, где надо государственные деньги осваивать или какой-нибудь скважиной управлять у нас дефицита кадров нет. Да и то, вон с несчастного антирейтингового Сердюкова пришлось пыль сдувать и на авиастроение ставить. А вот проверенных временем честных и деятельных управленцев в области всяких каршерингов и робомобилей, которым можно легко предоставить государственную поддержку и надеяться на ожидаемые результат, у нас точно не то, чтобы много...
|
|
Born Rules ( Слушатель ) |
| 04 июн 2019 12:13:36 |
Цитата: lucent от 04.06.2019 10:03:38
Так может он наоборот туману напускает. Типа ничего у нас нет, вот просим, дайте, а то сил нет так работать.
|
Luddit ( Слушатель ) |
| 04 июн 2019 12:30:08 |
Цитата: lucent от 04.06.2019 10:03:38
С другой стороны, заявления в стиле "хорошо было бы" обладают анестезирующим эффектом в отношении размышлений "а как оно сейчас?".
|
|
avt5160701 ( Практикант ) |
| 04 июн 2019 09:49:15 |
Цитата: Vladislav от 04.06.2019 09:39:00
Значится есть что скрывать
Мне вот пофиг, пусть читают. Тем более, что безопасность моя и членов моей семьи у меня в приоритете. А это поможет безопасности.
|
ВК ( Слушатель ) |
| 04 июн 2019 09:59:17 |
конечно, есть что скрывать. У нас корпоративная почта на яндексе. Где гарантия, что инфа не попадет к партнерам/конкурентам??
|
|
avt5160701 ( Практикант ) |
| 04 июн 2019 10:01:53 |
Цитата: ВК от 04.06.2019 09:59:17
Гарантии простые, меняете хостинг, раз. Создаете нормальную корпоративную почту два. Тоже мне корпоративная почта на Яндексе, офигеть
|
|
ВК ( Практикант ) |
| 04 июн 2019 10:06:09 |
а почему мы должны куда то бегать?? Как это странно, не находите: находясь в своей стране прятаться от своей же спецслужбы?
|
|
Vladislav ( Слушатель ) |
| 04 июн 2019 10:08:09 |
Именно так должны продвигаться облачные услуги от отечественных софтовых компаний. Рынок эникеев готовится к рывку.
|
Dobryаk ( Практикант ) |
| 04 июн 2019 09:49:47 |
Цитата: Vladislav от 04.06.2019 09:39:00
Молодец! gmail самый надежный почтовик — у него ничего не пропадет, а будет, включая запах вашего исподнего, надежно передано в хранилища американских спецслужб. Подмывайтесь после каждого посещения царских палат.
|
|
avt5160701 ( Практикант ) |
| 04 июн 2019 09:54:07 |
Цитата: Dobryаk от 04.06.2019 09:49:47
Забыли добавить камеру и микрофон компьютера, а так же смартфона на Андроиде
|
|
Vladislav ( Слушатель ) |
| 04 июн 2019 09:55:32 |
Цитата: Dobryаk от 04.06.2019 09:49:47
Вы бы, Добряк, свою исподне-туалетную тему в обществе своих знакомых обсуждали бы. Возможно у вас это считается остроумным. А здесь как-никак "Открытый исследовательский и дискуссионный центр".
|
|
avt5160701 ( Практикант ) |
| 04 июн 2019 09:59:29 |
Цитата: Vladislav от 04.06.2019 09:55:32
Видно для себя на нем Вы ничего не открыли
Зачем Вы здесь? Видимо эра открытий для Вас пока не началась. Надеюсь начнется она не с самых плохих новостей
|
|
Foxhound ( Слушатель ) |
| 04 июн 2019 10:03:51 |
Цитата: Dobryаk от 04.06.2019 09:49:47
Американские спецслужбы далеко, на них большинству плевать, а российские рядом. И благодаря репутации, которую создают им в медийном пространстве (коррупция, злоупотребления) люди им не доверяют.
|
|
Удаленный пользователь |
| 04 июн 2019 11:08:24 |
Цитата: Dobryаk от 04.06.2019 09:49:47
Потому он у меня и стоит для всякой развлекательной хрени - пусть копаются - не жалко.
|
|
Brugge ( Слушатель ) |
| 04 июн 2019 10:23:49 |
Цитата: Vladislav от 04.06.2019 09:39:00
Точно.
Скажем громкое "НЕТ" кровавым ГБшникам.
Пусть нашу почту читают демократические ЦРУ, АНБ, ФБР и много разных других аббривиатур. Уж они-то точно не будут воровать наши порнофотки. Бутина не даст соврать.
|
|
Brugge ( Слушатель ) |
| 04 июн 2019 10:19:48 |
Мечты о свободном интернете давно пора забыть. Годы молодости и анархии сетей заканчиваются. Пора уже с этим смириться. Тот же Телеграм поделился своими ключами со спецслужбами США. И есть подозрение, что с Россией он не поделился, как раз по настоятельной просьбе тех же самых спецслужб. Его просто поставили перед выбором - или ты там, или ты здесь.
|
|
Foxhound ( Слушатель ) |
| 04 июн 2019 10:25:01 |
Цитата: Brugge от 04.06.2019 10:19:48
Потому что американские спецслужбы делают предложение владельцу, от которого очень трудно отказаться, а не как наши шлют официальные запросы. Выбор не или ты там или тут, а или ты даешь нам ключи или потеря бизнеса это лучшее что может тут случиться. И чем важнее для них вопрос тем настойчивее они будут. Наша ФСБ (по публичным новостям) на их фоне что маленький ребенок, пытаются действовать не как спецслужба, а как налоговая или полиция.
|
|
Проходил мимо ( Слушатель ) |
| 04 июн 2019 10:37:20 |
Цитата: Foxhound от 04.06.2019 10:25:01
Оценка ситуации по публичным новостям еще дальше от истины, чем гадание на кофейной гуще.
|
|
Foxhound ( Слушатель ) |
| 04 июн 2019 10:39:00 |
С одной стороны да, с другой - Телеграм не додавили. Уже по этому довольно жалко все смотрится. Это уровень полиции или налоговой, а не спецслужбы (контрразведки).
|
|
Brugge ( Слушатель ) |
| 04 июн 2019 10:39:14 |
Цитата: Foxhound от 04.06.2019 10:25:01
Потому что рынок у Телеграмма на Западе больше, чем в России. Не стоит придумывать сущности.
И вообще, разговор велся о свободе в Интернете, и о том, что скоро конфиденциальность в Интернете станет труднодостижимой. В МИРОВОМ интернете, не только у нас. Мы как раз в "отстающих".
А способы принуждения к содействию, в данном случае вторичны. У нас хотя бы действуют по закону, а не исподтишка, как в "эталонных" штатах.
|
|
Foxhound ( Слушатель ) |
| 04 июн 2019 10:46:32 |
Цитата: Brugge от 04.06.2019 10:39:14
Точно? Насколько я помню там самый большой рынок в Иране вообще.
Цитата: Brugge от 04.06.2019 10:39:14
По закону неэффективно. Ничего хорошего в том, что у нас так работают нет.
|
|
Vladislav ( Слушатель ) |
| 04 июн 2019 11:03:40 |
Цитата: Brugge от 04.06.2019 10:39:14
Сколько было смеху с европейцев, живущих в домах с окнами без занавесок, а как тема докатилась до нас, то все сразу в лоялисты "мне скрывать нечего" записались.
Цитата: ФилипС от 04.06.2019 10:51:52
Он был прекрасен!
Зухель, курьеры, босы и пойнтовки.
И никакого оверквотинга и анонимности! Только хардкор, только реал.
|
|
Удаленный пользователь |
| 04 июн 2019 11:04:30 |
Цитата: ФилипС от 04.06.2019 10:51:52
Аха, уж там-то конкуренты корпоративную почту прочитать не смогут!
|
|
avt5160701 ( Практикант ) |
| 04 июн 2019 13:36:02 |
Цитата: Brugge от 04.06.2019 10:19:48
Есть большое подозрение, что Телеграм - это проект наших спецслужб, иначе бы они его так не пиарили
|
|
qurvax ( Слушатель ) |
| 04 июн 2019 10:21:23 |
Опять тугие струи творчества журналистов пачкают людям мониторы и мозги. Метаданные шифруются сессионным ключем TLS-сессии? Настало время очумительных открытий, хых. Ну по контексту судя - всетаки они.
Сессионные ключи TLS сессий, насколько знаю, никто не хранит. (Или не хранил...
) Незачем было. Все выделенное получается совсем не из вскрытия TLS-сессий, а из логов сервера. Кроме "кто", этой инфы как таковой там нету.
|
Senya ( Слушатель ) |
| 08 июн 2019 08:44:02 |
Цитата: Поверонов от 07.06.2019 19:54:45
Достаточно их хэша. Без канала, защищённого от подделки (пусть разведенного по времени), никакое шифрование не возможно.
|
|
Удаленный пользователь |
| 04 июн 2019 13:09:13 |
ЦитатаВ ФСБ не ответили на запрос РБК.
......
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством».
Закрывать не Яндекс надо, а помойку РБК. Вынес в цитату из-за чего. Слышали звон, да не знают где он.
Вы лично можете переходить на "Спутник браузер" или на маил ру которые себя кроме как навязчивыми установками, непрошенными, никак распространить не могут. С кучей всякого рекламного хлама который даже лаба касперского за вирус давно признала.