Как спецслужбы контролируют интернет-форумы?
Просто. С помощью СОРМ.
СОРМ - это система технических средств для обеспечения функций оперативно-розыскных мероприятий.
СОРМ2: немного из практики (2009 год, сейчас могло что-то изменится)
Есть два вида СОРМ - один для телефонии, второй для Интернета. Мы будем говорить о втором - СОРМ2.
Исходя из личного опыта хотелось бы немного рассказать, как это все работает на практике и чем страшный СОРМ, которым всех пугают, является реально. Подчеркиваю, что я не делаю никаких откровений: это знает каждый более-менее серьезный системный администратор или технический директор в любом телекоме, никто никаких подписок не дает и никакой секретной информации в этом нет.
Итак, в соответствии с лицензионными условиями, оператор связи перед началом эксплуатации своей сети (т.е. предоставлением услуг абонентам) должен получить Разрешение на Эксплуатацию у того органа который назывался РосСвязьНадзором, РосСвязьОхранКультуры и тысячью других названий (они меняются в среднем раз в два года ;-) ), ныне же он называется РосСвязьКомНадзор (2009 год). Разрешения выдаются в соответствии с Правилами утвержденными Правительством, в которых черным по белому написано, что оператор должен решить вопрос с СОРМом, о чем предъявить «бумажку» в Надзор. А теперь самое главное: этот вопрос решается, а бумажка предъявляется за подписью только ФСБ и никого другого. Никакие органы МВД — ни местное ОВД, ни отдел «К», — или налоговой, ни кто-либо еще не имеет к этому никакого отношения. Мониторить интернет-трафик может только ФСБ и точка (сейчас известно и другое, но об этом в Доп.4). У других органов или ведомств для этого чисто физически нет технических возможностей — они никакое оборудование никуда не ставят. Кстати, это еще косвенно следует из того, что когда от оператора/хостера что-то нужно тому же отделу «К» — он вынужден присылать официальный документ на своем бланке и за подписью руководителя. Никто не может просто позвонить и попросить «скинуть инфу по трафику вот с этого IP» — операторы/хостеры в таких случаях обычно просто «посылают» (правильно — зачем им нужны лишние проблемы?) и просят прислать официальный запрос. Кстати, машины опломбированы и внутрь лезть никто не даст, у каждого сервера есть датчик вскрытия, который моментально отображает попытку вскрытия на ПУ УФСБ.
Почему я акцентируюсь на ФСБ и чем это важно на практике? Очень просто: ФСБ — действительно серьезная организация, которая занимается охраной и защитой безопасности страны в целом. Ей абсолютно плевать на то, кто какие скачивает торренты, чьи авторские права нарушает, и чьи сайты ломает (если это, конечно, не сайты государственных органов). Ее намного более заинтересует тот факт, что вы постите на двадцати форумах предложение купить у вас запчасти для боевого вертолета.
Теперь вернемся к нашему оператору связи, которому нужно согласовать вопрос СОРМа с ФСБ. Да, формально оператор действительно должен купить специальное оборудование за $10k и протянуть в местное УФСБ выделенный кабель связи. Однако, реально из небольших провайдеров этого не делает никто (по крайней мере, я о таком не слышал). Все ограничиваются договоренностью с ФСБ сотрудничать, если у них возникнут вопросы (по сути просто обмениваются контактами со своим офицером-куратором и ФСБшным техником), и подписанием «Протокола о порядке взаимодействия в рамках ввода в эксплуатацию СОРМ» (или «Плана ввода в эксплуатацию...» — не суть важно), суть которого, если изложить кратко, сводится к тому, что провайдер обязуется сделать «настоящий» СОРМ когда-нибудь потом (обычно лет через пять).
(Возможно сейчас уже везде есть такое оборудование). Действует классический принцип Ходжи Насреддина — через пять лет или компания закроется, или денег на полноценный СОРМ заработает, или что-нибудь еще изменится. Более того, многие через пять лет подписывают следующий такой же протокол и в ус не дуют.
Что происходит, если кто-то из клиентов провайдера действительно продает запчасти от вертолетов или как-то иначе угрожает федеральной безопасности? Ну, просто звонят (или даже пишут по e-mail) и просят сделать tcpdump трафика с определенного адреса, а потом скинуть им на ftp. Провайдер берет и делает. Вот и все, собственно.
Если же провайдер стал достаточно большим и уже «созрел» для того, чтобы не возиться с дампами — он ставит у себя ФСБшное оборудование. Что оно из себя представляет? Я не могу ручаться на всех и вся, но то, что я видел — были обычные компьютеры с установленным Линуксом (говорят, что сейчас они стали заказывать оборудование у других подрядчиков, которые используют что-то более-менее прилично выглядящее) и двумя сетевушками — «вход» и «выход». На «вход» провайдер просто mirror'ит трафик (свой интернетовский, но до NAT'а, естесственно), а на «выход» присваивает (ну, т.е.
сообщает в ФСБ, а уж они сами присвоят) внешний IP, по которому все это управляется. Что конкретно крутится под Линуксом я не в курсе, но тут и семи пядей во лбу не надо быть — какой-нибудь анализатор пакетов, чтобы можно было «выцеплять» только то, что требуется и не гонять тонны трафика в ФСБшный дата-центр.
Вот, пожалуй, и все. Если посмотреть реально с практической стороны, то «страшный и ужасный» СОРМ — это не Большой Брат и не попытка всех промониторить и поработить. Это действительно средство защиты интересов безопасности государства, которое используется только для этого и в целом решает достаточно скромные и ограниченные задачи. Прямо скажем: корпоративная политика во многих крупных организациях намного суровей — и на «одноклассники» не пускают, и «вконтакте» блочат… Если вы не устраиваете революций и не торгуете запчастями от вертолетов, то вам нечего опасаться.
http://habrahabr.ru/post/65924/
Дополнение:
1). Нико ни за кем тотально не следит. Во первых слежку можно начать только с постановления суда. Конечно никто не говорит, что в стране, где правит своего рода беспредел, можно добится всего, плати только, но тем не менее… Сама работа СОРМ это не «скинуть дампик». Я работал с подобными системами, правда для VoIP телефонии. Сама структура очень сложна и работать без спец оборудования, которое имеется в распоряжении только у ФСБ и нескольких НИИ страны, не будет. Я понимаю, что все думают, раз в стране такой беспредел, за нами ведут тотальную слежку. Следят только за тем, кем надо и кому разрешили. Никто не вылавливает слова «бомба» и «презедент» из вашего контента или звукового трафика. Да и не нужно это, слишкмо много средств надо было бы затрачивать. Хватит базировать свои представления на фильмах сделанных в голивуде
(но когда нужна какая либо информация по террористкам шахидками, в правила пакетов добавляются нужные пункты, слепки plain text'а (будь то урл, icq сообщение)).
2). В США есть аналогичная (и даже более развитая функционально и технологически) система слежения за гражданами, и там действительно следят намного более тотально, причём далеко не только за своими гражданами. Эта тема очень неплохо раскрывается в книге «Гигабайты власти. Информационные технологии между свободой и тоталитаризмом».
3). Приведу пример: я знаю, что мой провайдер, к которому я подключен, не имеет СОРМовского оборудования, а просто подписал «План...». Находясь в хороших отношениях с админами провайдера, я всегда буду оперативно знать, интересуется ли кто-нибудь мной или нет. Или, если хотите, вот вам еще более конкретная рекомендация, как бороться за свою свободу: не пользуйтесь услугами больших компаний - у них все уже давно «схвачено». По возможности подключайтесь к небольшим провайдерам и, по возможности, налаживайте отношения с их персоналом - тогда вы всегда будете иметь возможность знать, что происходит.
4). В функционале СОРМ2 решения, одной из фирм, предоставляющих услуги по разработке СОРМ, есть реализация выделения прав на перехват по заданным условиям. Это фича была сделана специально для того, чтобы траффик мониторили органы (не ФСБ).
5). С ФСБ сотрудничать куда приятнее, чем с каким-нить отделом К. Эти ребята грамотные, четко знают что хотят и как это желают получить(чувствуется академия ФСБ за плечами). Но, к сожалению (а кому-то и к счастью), их интересуют лишь политические вопросы: антипутинцы, террористы и т.д.. А вот если вы будете угрожать кому-то через сеть, то скорее всего запрос придет из отдела К, которые не всегда четко могут сформулировать то, что они хотят. Вернее сказать, они это формулируют по своему, с поправкой на то, что они мало представляют, как мы даем людям доступ в сеть. В этом случае мы не будем делать какие-нибудь дампы при помощи tcpdump, а просто вышлем имена предполагаемых интересующих их людей. К примеру, был такой случай с одноклассниками.ру, где МВД делало запрос, кто в такое-то время (вплоть до секунды) там был с такого-то IP (ip был натовский на район в 2500 юзверей). в итоге набралось человек 6 (а вы как думали, сайт то популярный). Так что если вдруг кому позвонит дядя из отдела К, то не стоит хвататься за пачку успокоительного и пытаться удалить все, что было скачано по торрентам, - возможно его интересует то, что вы кому-то угрожали когда-то…).
6). В рамках СОРМа провайдеров иногда требуют передавать информацию о целых сеансах пользователей, если у них динамический адрес, который постоянно меняется. Передавать требуют в формате RADIUS на указанный фсбшниками адрес.
7). У украинских провайдеров тоже стоят машины от СБУ. Но в отличии от России, украинское СБу, это практически частная лавка. И как в ней поступают с вашей информацией можно догадаться по общему климату в стране. Например, вот частный разговор Юрия Луценко, записанный скрытно органами http://ord-ua.com/2009/08/03/eshe-raz-o-himee-ili-gryaznye-ushi-sbu/?lpage=1
Комментарии
Вот реальность: сделал пару запросов в поиске по абсолютно несвязанным вещам.В результате,через пару минут мне выдали рекламу на продажу этих вещей на моей странице в "мыле"...))))))))))))))