15.10.2012

Взлом Skype?

В нашумевшей "Анатомии протеста - 2", прошедшей по НТВ, на 43-й минуте был в очередной раз продемонстрирован фрагмент записи разговоров Удальцова и Таргамадзе (политическую оценку ни участникам переговоров, если они были, ни каналу НТВ давать не буду). Самое интересное, что голос за кадром утверждал, что это был разговор по Skype. Если не рассматривать это как ошибки 1-го или 2-го рода и проанализировать сей факт по существу, то можно выделить 5 основных версий получения записи разговора по Skype:
  1. На компьютере одного из участников переговоров стоял троян, который писал все звуковые переговоры и пересылал их на некий сервер управления или просто кидал на FTP, откуда его потом забирали авторы трояна. Версия вполне допустимая, ибо по такому же принципу работают некоторые DLP-решения, заявляющие о контроле Skype. Реального контроля там конечно нет - просто идет захват голосового трафика и передача его на станцию контроля, где сидит слухач и слушает разговор в поисках ключевых слов. Тут могла быть использована похожая техника.
  2. Направленный микрофон или скрытый жучок, установленный у одного из участников. Тоже вполне реальная версия. Причем судя по качеству речи, которую дали в эфир, голос Удальцова слышится гораздо лучше, чем голос Таргамадзе. Хотя если судить по другим записям в "Анатомии протеста - 2" (включая и видео), с дикцией у Таргамадзе не все хорошо (или он по русски так просто говорит).
  3. Обычный запрос в Microsoft в рамках СОРМ. Но не тот СОРМ, который для операторов связи, а тот, который просто "по запросу". Тут, как говорится без комментариев. Если вспоминать заявления MS с полгода назад о том, что они будут сотрудничать с правоохранительными органами, ничего странного в этом нет. В России так вообще это не проблема.
  4. Запись вел один из участников, которая затем попала силовикам, передавшим ее затем журналистам. Сам передал или его заставили или украли - вопрос десятый. Интересен сам факт записи всех переговоров участниками оппозиции. Для чего? С целью сбора компромата?...
  5. Дешифрование Skype. С точки зрения информационной безопасности - это наиболее интересная версия, но и наименее реальная на мой взгляд. Это как раз тот случай, который демонстрирует, что оперативные методы получения доступа к конфиденциальной информации зачастую гораздо эффективнее термо-ректального криптоанализа или прямого дешифрования.
  6. У меня в Twitter высказали идею, что в Microsoft сидели агенты ФСБ ;-) но я в это верю слабо. По крайней мере в то, что их использовали для такой задачи. Как и в то, что в MS работают идеологически выдержанные последователи российских властей, которые проявили сознательность и сдали запись (при условии, что запись вообще ведется).
Вот такие версии. Какая из них верна - мы врядли когда-нибудь узнаем. Просто помните, что несанкционированный доступ к конфиденциальным переговорам, которые ведутся через какой-либо сервис якобы защищенных от прослушки переговоров, это не так уж и сложно. Криптография решает только одну из задач защиты информации - про остальные забывать не стоит. 

ЗЫ. Вопрос законности демонстрации видео- и аудио-записей в "Анатомии протеста - 2" оставляю за рамками поста. Я считаю, что прямое нарушение телеканалом НТВ ст.137 и ст.138 УК РФ.

27 коммент.:

ivlad комментирует...

Надо признать, что со стороны оппозиции виновата исключительно их низкая подготовка в области защиты информации.

Saint Despe комментирует...

пункт 4, наиболее вероятен

на сей счет уже где-то в сети разбор был

Mikhail комментирует...

ещё есть вариант 6, на котором вроде как настаивает сама оппозиция - это фейк. Монтаж.

Алексей Лукацкий комментирует...

Ну я бы и 2-й пункт не исключал. Хотя уровень подготовки оппозиции в области ИБ очень низкий, согласен. Я как-то вел в Twitter дискуссию с кем-то, кто готовил выборы в КС. Они не знакомы с ФЗ-152 ;-)

Алексей Лукацкий комментирует...

А я написал, что ошибки 1-го и 2-го рода не рассматриваю ;-)

Saint Despe комментирует...

Я как-то вел в Twitter дискуссию с кем-то, кто готовил выборы в КС. Они не знакомы с ФЗ-152 ;-)

Алексей, этот "кто-то" - господин Волков глава оппоЦИК-а, по совместительству держатель и разработчик системы голосования
а с фз152 он не то чтобы не знаком, он его презирает - что в общем то есть стандартная реакция убежденного ИТшника

Евгений Родыгин комментирует...

ИМХО твердая 4-ка!

Turkish комментирует...

Может голосовалку замутить?
Алексей есть такая возможность - организовать анонимное голосование по этому вопросу в формате блога?
Получим малорепрезентативную выборку по профи/любителям ИБ :)

doom комментирует...

Леня Волков, конечно, не специалист в области ИБ, но говорить, что он прям не знает 152 ФЗ - неправильно.

В целом, у них достаточно изящное решение, как уйти от создания монстроидальной ИСПДн и оставить только обезличенные данные.

Алексей Т. комментирует...

Как-то легко и изящно обсуждение перешло на КС. Алексей, ждем пост с анализом выборов в КС с точки зрения ИБ и ПДн... ;-)
"а с фз152 он не то чтобы не знаком, он его презирает - что в общем то есть стандартная реакция убежденного ИТшника" +1
И решение по обезличиванию у них действительно изящное.

doom комментирует...

2 Алексей Т.
Между прочим, в конце вот этого поста http://leonwolf.livejournal.com/442561.html есть немного и по нашей тематике - так что вполне уже начинать анализ :)

Алексей Лукацкий комментирует...

Нет ничего у них изящного ;-( Он думает, что оно изящное. Я ему расписал, что он как минимум по почте получает ФОТОГРАФИИ, используемые для идентификации лиц, т.е. обрабатывает биометрию в чистом виде. И совсем не важно, что он делает с ней потом. Он ее СОБИРАЕТ. Т.е. должен получить письменное согласие, которого у него нет. А это грубое нарушение ФЗ-152. И Волков с этим в итоге согласился, но заявил, что тупой закон они выполнять не готовы - им идея важна. На что я ему ответил, что он таким образом подставляет всех, кто им доверился и прислал свои ПДн. Что РКН достаточно дождаться начала выборов, чтобы предъявить претензии по ст.13.11 или прокуратура придет. Или поправки в КоАП примут с штрафом до 700 тысяч рублей и нагнут КС по полной. На что Волков ответил, что они готовы к наездам и осознают нарушение ФЗ. После этого о чем с ними можно говорить? Люди, ратующие за выполнение закона, сами его нарушают и признают это.

doom комментирует...

А, ну это про верификацию по фотографии - там-то да - нарушение.
Я про базовый вариант говорил - с хэшами.

Алексей Т. комментирует...

А каким образом доказать факт обработки ПДн (тем более биометрии)? Фото пришло, обработано, верифицировано, удалено. Можно хранить на любом почтовом серваке, сложно будет доказать принадлежность конкретному лицу почтового ящика. То есть это как бы две независимые системы. Никто не запрещает 100 000 друзей пересылать друг другу фотографии с паспортами :-) Хотя конечно верификация по банковским карточкам или через Яндекс более легитимная (но банковские платежи заблокировали в первую очередь ;-)).

Алексей Т. комментирует...

"Люди, ратующие за выполнение закона, сами его нарушают и признают это."
2 Алексей: а есть в нашей стране люди, не нарушающие законы?

Алексей Лукацкий комментирует...

Алексей, достаточно одному доброхоту направить фото в ЦИК КС и дождаться ответа о верификации, как можно сразу писать жалобу в РКН или прокуратуру. На каких серверах и в каких системах это все хранится - это уже неважно. Важно, кто определяет цели обработки. Это ЦИК. По закону он должен получить согласие. Его нет. Технические вопросы тут вторичны. Хотя вспоминая кейс в Уфе, там тоже есть где развернуться для прокуратуры ;-)

Ну а что касается закона... Вопрос неоднозначный ;-) Все нарушают. Но не все это признают так явно ;-) И уж тем более не все стремятся занять место лидера оппозиции, которая ратует за главенство закона ;-)

Алексей Т. комментирует...

Алексей, для начала нужно запросить информацию у ЦИК по вопросам обработки - что, зачем, почему? А ЦИК вполне правдиво может сказать, что в момент запроса ПДн не обрабатываются (после верификации фото удаляются). Плюс какие основания полагать что ЦИК обрабатывает ПДн - отправка фото с сайта? (мне кажется неубедительный аргумент, а других подтверждений нет - даже ФИО они не хранят, везде используется номер телефона).
И только после получения ответа от ЦИКА гипотетически субъект может подать жалобу в РКН на "бездействие" оператора, но опять же какое-то подтверждение надо (на самом деле, неть ;-)). Подождем, увидим, хотя ИМХО по ПДн докопаться чисто никак не получится.

Алексей Т. комментирует...

ИМХО лучше честно признать, чем лукавить и бить себя в грудь. ;-) И оппозиция ты или власть никакой разницы нет.

Алексей комментирует...

"ЗЫ. Вопрос законности демонстрации видео- и аудио-записей в "Анатомии протеста - 2" оставляю за рамками поста. Я считаю, что прямое нарушение телеканалом НТВ ст.137 и ст.138 УК РФ."

Для целей посадки нарушивших ст.279 УК РФ средства вполне приемлемы.

Публично нам показали чтобы поменьше было воя что якобы оппозиционеров судят только за то что они оппозиционеры.

Алексей Лукацкий комментирует...

ЦИК даннае СОБИРАЕТ, а это уже обработка

Алексей Т. комментирует...

ЦВК не собирает ПДн - почитайте ФАК, ПДн им не нужны в принципе. Доказать факт сбора ПДн ИМХО нереально. Если раскрутить Вашу теорию, то ЛЮБОЕ юрлицо в нашей стране можно наказать след образом: отправить по почте ПДн в каком-нибудь виде (свои, чужие, какие угодно), а затем написать в РКН жалобу на хранение моих ПДн. Что вы там говорили про наши законы, Алексей?

Алексей Лукацкий комментирует...

А фото я кому шлю? Ты допускаешь классическую ошибку. Важно КТО определяет цели обработки. Если ты САМ куда-то что-то пошлешь, то это ТВОИ проблемы. А вот если кто-то у тебя ЗАПРАШИВАЕТ, то именно он и отвечает за это, т.к. именно он и устанавливает цели и содержание обработки.

Насчет "не собирают"... У ЦИК КС есть официальная позиция РКН, что ФИО, дата рождения и номер мобильного не являются вместе ПДн?

А про фото с паспортом в руке я уже вообще не говорю ;-) Вы будете доказывать, что паспорт - это не ПДн?

doom комментирует...

> А вот если кто-то у тебя ЗАПРАШИВАЕТ, то именно он и отвечает за это, т.к. именно он и устанавливает цели и содержание обработки.

Ну, кстати, тут можно даже поспорить - как отличить добровольную отправку от запроса? Я бы сказал так - без предоставления этих ПДн, ты не получишь какой-то нужный тебе сервис, но в случае ЦВК - это не так (кроме верификации по фото, есть микроплатеж или оффлайн верификация)... Так что непонятно.

>Насчет "не собирают"... У ЦИК КС есть официальная позиция РКН, что ФИО, дата рождения и номер мобильного не являются вместе ПДн?
Это ПДн, очевидно, собственно тут я это отмечал: http://leonwolf.livejournal.com/419466.html?thread=24945546#t24945546
Но при подсчете хэша на клиенте, это уже не назвать обработкой ПДн.


Алексей Лукацкий комментирует...

Отличить просто - почитать сайт ЦВК ;-) Там как раз ЗАПРАШИВАЮТ.

Про хэши я вообще молчал, скромно не уточняя, что по закону обезличивание - это тоже обработка ПДн ;-)

doom комментирует...

Посмотрел на сайте: http://www.cvk2012.org/electorial/verify/

ВНЕЗАПНО, очень аккуратно написано - ни намека на обязаловку :)
Слова запрашивают точно не видно.

>Про хэши я вообще молчал, скромно не уточняя, что по закону обезличивание - это тоже обработка ПДн ;-)

Обработка, только выполняется она не ИСПДн ЦВК и вообще не ЦВК - а самим субъектом ;)

Алексей Т. комментирует...

Странное перевоплощение произошло с владельцем блога... А где же "ущерб субъекту", "адекватность требований", "оператор сам определяет" и другие принципы Евроконвенции, пропагандируемые ранее? :-)))))

Алексей Лукацкий комментирует...

Не понял сарказма