[ayf]

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.

Согласно законодательству, Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

Как говорит источник РБК, между «Яндексом» и ФСБ идёт дискуссия в юридической плоскости. В частности, юристы «Яндекса» считают «слишкой широкой» трактовку «закона Яровой» сотрудниками ФСБ: «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователя к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — сказал он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК.

Сессионные ключи шифруют только одно соединение между пользователем и сервером, в том числе логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке. Вероятно, именно это юристы называют «широкой трактовкой» закона.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис: «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно».

Один из собеседников РБК также добавил, что «Яндекс» озабочен своим имиджем в глазах пользователей. Компания беспокоится, что сотрудничество с ФСБ может привести к оттоку пользователей и потере доли на рынке: «ФСБ не принуждает к такому сотрудничеству иностранные компании, например Google, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — сказал собеседник.

Партнёр Центра цифровых прав Саркис Дарбинян считает позицию «Яндекса» довольно сильной в том смысле, что вряд ли ФСБ осмелится инициировать постоянную блокировку на территории России сервисов крупнейшей российской интернет-компании, но и у ФСБ есть рычаг давления, который спецслужба может использовать: «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведёт к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — сказал он.

В реестр ОРИ на данный момент включено более 170 сервисов, в том числе Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и другие. В январе 2019 года в реестр включён сервис «Сбербанк Онлайн».

[pppoetest]

Цитата

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи

Ну как дети, чессло. Кому надо, всё что надо, давно предоставлено.

[sdy_moscow]

Внимание! Все хакеры и другие преступные элементы! Пользуйтесь Яндексом! Он не выдаст Ваши данные ФСБ НИКОГДА!

(Шутка)

 

З.Ы.

С другой стороны, ребята реально видимо захотели слишком много, типа: "отдайте нам все пароли мы тут сами разберемся". А это, уже явный перебор, особенно, с учетом того насколько у нас неподкупные органы. А они же в отделе К все честные и неподкупные, правда? По крайней мере миллиардеров, подкупить ведь не так-то просто!

 

Так вот отдай сегодня ключи - завтра расскажи откуда в интернете все пароли пользователей и их переписка.

 

Поэтому:

 

ЯНДЕКС ДЕРЖИТЕСЬ! КЛЮЧИ НЕ ВЫДАВАТЬ! ПУСТЬ БЛОКИРУЮТ Д.Б.

 

Блокировка Яндека РКН - это будет уже не дно, а фиаско. Фиаско всей системы управления в стране. После этого на наших начальниках можно ставить большой жирный крест. Хотя, там уже маленьких столько, что рисовать большие и жирные места не найти.

[rm_]

21 minutes ago, sdy_moscow said:

ребята реально видимо захотели слишком много, типа: "отдайте нам все пароли мы тут сами разберемся"

А вы нормативку разве не читали? Ту самую из-за которой и ТГ блокируют. Там именно "отдайте нам все пароли ключи шифрования, и мы сами всё посмотрим".

[snvoronkov]

21 минуту назад, sdy_moscow сказал:

После этого на наших начальниках можно ставить большой жирный крест.

Анекдот вспомнился:

 

Вызвал Д'Артеньян Илью Муромца на дуэль и говорит:

- Арамис, поставьте этому мужлану крестик на сердце. Я его туда проткну.

Ильюшенька призадумался, да и басит:

- Алешенька, посыпь-ка голубчика мелом. Я его палицей отоварю.

[Ivan_83]

Это новость в виде фарса :)

Первый раз эта новость была про ФБР и огрызок.

И многие даже поверили, что огрызок будет защищать их, не граждан, интересы от родного патриотического фбр, в обход всех законов. И там даже их другие компании типа поддержали.

Так что ждём заявлений от мылару, контакта и однокласников, интересно им хватит наглости заявить что они тоже никого не сдавали и не сдадут или просто пообещают установить квоты, типа больше 100 хомяков в месяц не сдавать %)))

Может рамблер из под земли что то прохрепит или ещё кто вылезет :))))

[Sergey Gilfanov]

Кстати, по поводу этого:

21 час назад, ayf сказал:

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис

Как бы всем этим компаниям объяснить, что Single Sign-On, конечно, удобно, но не так чтобы  безопасно. Я, например, не хочу, чтобы старый (и потому насквозь дырявый) смарт, используемый в качестве плеера, имел доступ к той же почте. И поэтому хорошо бы прикрутить уровни и управление доступом.

[Tosha]

Какие ключи?  Система записи Яровой в Яндексе все запишет в готовом нешифрованном виде. Кто куда что распространил.

Ключи надо трясти с тех, кого нельзя заставить внедрить "Яровую" и чей трафик придется записывать операторам связи. С Телеграм, например.

[st_re]

Нет, эти ребята не просят писать трафик, они просят ключи. Писать будут операторы as is.(ну в общем в законе им яровой именно так и написано)

[Ivan_83]

Я думаю тема довольно быстро дойдёт до белых списков: вк, мыло, яндекс и прочие ОРИ на территории которые и так доступ дают и логируют каждый чих. Будутх их подсети списками рассылать как то что можно не писать провайдерам.

[Tosha]

Кстати а что это за "список" организаторов и на каком основании там Яндекс диск?  Сам добавился или чиновники добавили?  Оспорить нельзя? Можно же знатно судиться на тему кто распространяет а кто сдает в аренду оборудование...

[st_re]

9 часов назад, Ivan_83 сказал:

Я думаю тема довольно быстро дойдёт до белых списков: вк, мыло, яндекс и прочие ОРИ на территории которые и так доступ дают и логируют каждый чих. Будутх их подсети списками рассылать как то что можно не писать провайдерам.

 ОРИ не пишут свой трафик (если они конечно по совместительству не операторы связи). Вообще. Никак. Трафик пишут операторы и только они. Пишут как есть. весь. 100%. ОРИ отдают сессионные ключи куда следует. и уже кто следует, пользуясь теми ключами, будет искать в записях что им надо. Если ори еще и оператор, то ничего не меняется. они пишут свой же шифрованный трафик как оператор и отдают свои же ключи как ори (ну и списки пользователей). Доступ к базе сообщений в рамках этого закона никому не нужен. нужен доступ к трафику, причем, возможно, снятому со стороны оператора связи клиента. Поэтому трафик будет писаться и 2 и больше раз. чтобы на любом конце его можно было бы найти и расшифровать.

 

3 часа назад, Tosha сказал:

Кстати а что это за "список" организаторов и на каком основании там Яндекс диск?  Сам добавился или чиновники добавили?  Оспорить нельзя? Можно же знатно судиться на тему кто распространяет а кто сдает в аренду оборудование...

https://97-fz.rkn.gov.ru/ описание

сам список https://rkn.gov.ru/opendata/7705846236-InformationDistributor/data-20190601T0000-structure-20161206T0000.xml (на сегодня)

при чем тут аренда  оборудования ?

[Ivan_83]

1 час назад, st_re сказал:

ОРИ отдают сессионные ключи куда следует.

Я же точно помню что их обязали писать логи вообще всего и давать полный доступ ко всему.

Формально конечно они трафик не пишут, они типа обязаны логировать вообще все действия юзера.

[Sergey Gilfanov]

39 минут назад, Ivan_83 сказал:

Я же точно помню что их обязали писать логи вообще всего и давать полный доступ ко всему.

Формально конечно они трафик не пишут, они типа обязаны логировать вообще все действия юзера.

Цитата

3. Организатор распространения информации в сети "Интернет" обязан хранить на территории Российской Федерации информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети "Интернет" и информацию об этих пользователях в течение шести месяцев с момента окончания осуществления таких действий, а также предоставлять указанную информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами.

...

6. Состав информации, подлежащей хранению в соответствии с частью 3 настоящей статьи, место и правила ее хранения, порядок ее предоставления уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, а также порядок осуществления контроля за деятельностью организаторов распространения информации в сети "Интернет", связанной с хранением такой информации, и федеральный орган исполнительной власти, уполномоченный на осуществление этого контроля, определяются Правительством Российской Федерации."

 

Технически, как я понимаю, сами сообщения в законе не указаны. Но в постановлении:

Цитата

1. Настоящие Правила устанавливают порядок, сроки и объем хранения на территории Российской Федерации организатором распространения информации в информационно-телекоммуникационной сети "Интернет" (далее - организатор распространения информации) текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет" (далее - пользователь), голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей.

2. Организатор распространения информации обеспечивает хранение на территории Российской Федерации указанной в пункте 1 настоящих Правил информации (далее - электронные сообщения) и предоставление электронных сообщений в установленном порядке уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в отношении

 

[Tosha]

3 часа назад, st_re сказал:

 ОРИ не пишут свой трафик (если они конечно по совместительству не операторы связи). Вообще. Никак.

А им и не надо писать трафик. Они пишут кто кому и что отправил. Полное содержание отправленного. Т.е. распространенного. По тому же пакету "Яровой" эта обязанность на них возложена.

Это лучше чем записанный трафик. Нет разбития на "пакеты", нет канального шифрования. Удобно. Ведется логирование типа тогда-то этот тому отправил этот файл. Файл прилагается. Или такой-то запросил такую-то страницу с нашего форума. Содержимое страницы приложено. Информация о персонах в виде  IP + логин + номер мобильного из аккаунта логируется.

[st_re]

Логи да. всего и вся.. связки IP-имя клиента да. сессионные ключи для https для каждого соединения с привязкой к логам и клиентам - да. сами сообщения нет, "спасибо, нам не надо". сами сообщения это сильно проще было бы. они уже есть в открытом виде в базе, но им оно не надоть. Сами сообщения и раньше спрашивали (бла бла бла, по решению такого то суда бла бла бла.) и в будущем будут, к Яровым отношения не имеет. пенты вообще по яровой в пролете.

 

 Судя по тому, что там мелькает по новостям, Я отбивается же не от слива ключей.. а от слива ключей от всего, они, кажется, хотят только от собственно сообщений отдавать, а те походу просят со всех фронтов ключи, вместе с логином. (а логин там запрост о не только от самого Я, я ими не пользуюсь, но там же, наверное, и яденьги).. В списке ещё есть интереный фрукт - сбербанк онлайн.. и там может выйти вообще конфликт с Набибулиной, это её вотчина и прочая банковская тайна.

[straus]

Конечно прогнём. В крайнем случае закроем. Причём и сам Яндекс, и его владельцев. В меня есть гуляш по коридору и отбивная по почкам, но долго на этом меню никто сидеть не хочет.
 

[MobileOneWiFi]

«Яндекс» заявил о решении проблемы с ключами шифрования для ФСБ, а Павел Дуров зовет разработчиков компании к себе

[zoro]

Украина Ликует и радуется :) 

[MobileOneWiFi]

24 минуты назад, zoro сказал:

Украина Ликует и радуется :) 

wtf ????

[jffulcrum]

@MobileOneWiFi Видимо, имелось ввиду, что Яндекс на Украине запрещен и так, мол, не зря запретили.