Как правоохранительные органы контролируют канал с интернет-провайдером?

Question

[Павел]

Собственно такие вопросы, на которые я уже долго время не могу получить вразумительного ответа:


1. Сотрудник правоохранительных органов может поставить на контроль электронный почтовый ящик. Я в этом убедился лично, когда пришёл в обычное отделение милиции в Питере и попросил провести расследованое по одной угрозе, поступившей на е-майл. На это рядовой сотрудник милиции мне спокойно ответил «Хорошо, поставим ваш е-майл на контроль». Я был немного удивлён, потому как ни пароля ни местонахождение конторы, из которой осуществляется дооступ к мыльнику сотрудник не спросил. Как именно ставится мыло на контроль? Значит ли это, что у провайдера (например mail.ru) заключен договор с МВД/ФСБ/и_т.д. и они просто просят провайдера предоставить им доступ к такому-то ящику? Значит ли это что пользование забугорными серверами безопаснее так как к ним у россйиских служб нет доступа? Или как точно ящик ставится на контроль и в каком виде при этом сотрудники служб видят информацию ящика?


2. Есть чёткое подтверждение, что МВД контролирует интернет-канал одного предприятия. Но вот что я не могу понять — что точно они видят при этом. Наверняка товарищи просто сели на канал между клиентом и интернет-провайдером, но что точно при этом они видят? Сайты, которые открвает клиент? Могут ли они видеть пароли если они передаются по http, а не по https?

Answer 1

[peter23]

Взаимодействие провайдеров с правоохранительными органами в России не скрывается и подчиняется законам.
Я работаю сисадмином провайдера. Чтобы получить лицензию на осуществление деятельности необходимо организовать канал до ФСБ, а также установить у себя их железо (тот самый СОРМ). Интересно, что правила взаимодействия с ФСБ предусматривают, чтобы провайдер не знал, какую именно информацию мониторит ФСБ. На практике это означает что весь интернет-трафик, все звонки попадают на их железо, дальше уже они решают что с этим добром делать.
Однако это касается лишь ФСБ. МВД (в том числе отдел К), прокуратура, следственное управление и прочие структуры не имеют доступа к трафику без санкции на это суда. Причем, имея санкцию суда, эти структуры обычно взаимодействуют с провайдером, а не с ФСБ.

1. В рамках ОРМ (оперативно-розыскных мероприятий) вполне могут поставить на контроль. Скорее всего mail.ru будет сотрудничать даже по письменному запросу МВД, если есть признаки преступления.
2. МВД скорее всего не имеет доступ к трафику. Одно дело запросы о предоставлении какой-либо информации об абонентах, IP-адресах, трафике и т.д., которые провайдер может дать и без санкции суда, на основании запроса, а другое дело — мониторинг всего трафика. Такое провайдер вряд ли допустит без веских оснований.

Comments

[riga]

1. Сервису могут и не показывать все детали дела. Даже дела может и не быть, а акк мониторить будут для «предварительного разбирательства». Сам в руках держал копию ответа на запрос от одной очень крупной социальной сети.
2. МВД если очень надо может очень вежливо попросить, и сотрудники пойдут навстречу. При технической возможности, конечно.

[Dm Po]

Большое спасибо за информацию, очень важно знать подобное!
как админ крупного провайдера, подскажите как изолироваться от подобной услуги =)

[peter23]

Как изолироваться от прослушки трафика? Шифрованным туннелем. Однако IP-адрес назначения все равно видно. Можно конечно строить цепочку шифрованных туннелей… А Ваш трафик правда настолько интересен ФСБ? :)

[Dm Po]

я не думаю что им интересен мой трафик, я думаю что мне как-то не по себе от этого всего.
>Шифрованным туннелем.
ок, тунель так тунель. Спасибо

[Владимир Чернышев]

В туннели, кстати, входят и такие «банальные протколы» как https, pop3+ssl, smtp+ssl, так что для довольно технически и юридически надёжного сохранения контента писем (своих исходящих и своих входящих, но не входящих и исходящих ваших корреспондентов) от МВД/ФСБ РФ достаточно поднять свой pop3/smtp сервер где-нить вдали от «административного ресурса», настроить ssl и работать с почтой в клиенте через ssl, или использовать веб-клиента через https. При этом надо учитывать, что:
— трафик ваших корреспондентов в пределах своей юрисдикции они просмотреть все равно могут (проблематично будет доказывать, что именно вы автор/получатель письма), если адресаты не пользуются аналогичными инструментами
— получить содержание писем теоретически возможно через жёсткие диски (легко шифруется)и ОЗУ вашего компа (от внедрения троянов до внедрения группы захвата)
— самый ненадёжный элемент системы — лично вы (терморектальные криптоанализы и прочий социальный инженеринг никто не отменял)
— если потенциальная угроза власти высока, то могут быть попытки получения ваших данных и от зарубежных лиц на официальном и не официальном уровне

[Dm Po]

а вот такой вопрос:
я решился таки изолироваться и начал регистрацию на vpn сервисе. Там заполняю мыло, логин, пароль… по https
это уже зафиксировал СОРМ?
Хотя можно после реги поменять пароль используя тоннель этот уже =)

Answer 2

[habl]

Как-то задавался похожим вопросом. Ничего страшного в этом нет, работа у людей такая ).

>>1. Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.

ru.wikipedia.org/wiki/СОРМ

habrahabr.ru/blogs/telecom/65924/

Comments

[wearymax]

Совершенно верно! Не будут же они снифить трафик «жертвы» сидя на чердаке в его доме с «щипцами» на кабеле :))

[Dm Po]

да какой чердак ))
мой хороший знакомый работает инженером в одном питерском провайдере, дык раз в 2-3 месяца к ним приходят из органов с ящиком, а другой ящик уносят. Вот и думай теперь!

Answer 3

[13alex]

Всё достаточно просто, ни ФСБ, ни МВД не мониторят весь трафик, они умерли бы его снифать весь. У нас например в виде СОРМ принесли не самой последней свежести сервера, при этом системы различаются на юр лиц и физ лиц. Когда поступает письмо о том, что надо бы помочь в ОРМ им на порт делается миррор порта клиента и они сидят его снифают. Получают они всё как вы понимаете — tcpdump рулит.
Так же сотрудники ФСБ имеют доступ к билингу и IT-системам крупных провайдеров, тут уже у них свои логины и пароли. Но доступы просто рядовых сотрудников, найти по IP логин, или наоборот, посмотреть историю заходов, с какого оборудования, паспортные данные и т.д.
Так что техническая возможность снифать трафик есть, но вы сами можете представить его объем у крупного оператора, у нас это несколько сотен гигабит на каждом магистральном узле, так что тут можете представить себе железку для снифа :))) Но никто этого не делает на практике, даже на зарубежных каналах не сидит никаких жуков, технически дорого и сложно :)

Answer 4

[Niazza]

почему-то у меня закрадывается мысль о том что все-таки самые важные вещи лучше все-таки обсуждать не в письменном виде, а face to face…

Comments

[Niazza]

девиз гугла — не будь злым!

[schastny]

О, да! Кстати, а может кто-нибудь «как админ крупного провайдера» рассказать про анальные зонды поподробнее? :D

[Dm Po]

кстати вот на Эхо пишет чел www.echo.msk.ru/blog/v_makarov/731541-echo

Answer 5

[Wott]

Про СОРМ уже тут написали. Видят они могут все, но что конкретно анализирует СОРМ — информация закрытая. Возможности есть логгировать любую нешифрованную информацию. И не смотря на распил бабла, что потрачен на этот СОРМ, за те годы что он есть, его вроде как допилили до рабочего состояния.
Они пытались скрыть сам факт мониторинга, но это проблематично сделать технически.

Comments

[WEBROVER]

Если бы я создавал СОРМ, я бы наоброт писал товарищей, которые слишком часто используют защифрованные протоколы или Tor (его вообще возможно вычислить путем анализа заголовков протокола прикладного уровня?)

Answer 6

[Павел]

Спасибо большое за ответы.
Содержательно и доступно. Особенно интересно было узнать про ящичек, который ставит ФСБ.

«Всё достаточно просто, ни ФСБ, ни МВД не мониторят весь трафик, они умерли бы его снифать весь...»
Вопрос в этом не стоит, если могут снифать, значит могут. И тут уже нельзя положиться на то, что «а врядли в данный момент снифают — ведь это такой геморрой». Тоже самое касается санкций. Не думаю, что в каких-то случаях товарищи будут утруждать себя получением санкций, если и без санкций можно сделать что надо.

А никто не видел в каком виде отображается информацию у, так сказать, уже конечного пользователя СОРМ? :) Что именно видят товарищи на мониторах своих компьютеров?

Я так понимаю если траффик идёт по https или ssl, то видно url, но не видно содерживание формы, которая передаёт трафик закодировано, а если http, то видно и url и содержание?

На самом деле после изучения всей это темы, чтобы не говорили, но TOR мне показался наиболее приемлемым средством. Попробовал его поднять — вообще без проблем хоть из под винды, хоть из под линукса. Скорость конечно упала раз в 10, но если оно того требует, то и хрен с ней.

Приятно, что tor и DNS запросы отправляет через свои сервера, а также что регулярно меняется шифрование и пиры. В общем пока явных минусов не заметил.

Писали, что в качестве пира может выступать машина злоумышленника, но ведь машина (если она в цепи первая) не видит какой сайт запрашивает клиент, а если машина злоумышленника последняя, то она не видит кто запрашивает сайт. Также цепочка из трёх пиров регулярно меняется и ключи шифрования тоже.