ФСБ планирует осуществлять мониторинг всего интернет-трафика

В рамках практической реализации законодательной инициативы Ирины Яровой специалисты Федеральной службы безопасности предложили расшифровывать весь интернет-трафик в режиме реального времени с целью его анализа по ключевым запросам вроде «взрывное устройство», «теракт» и пр. В свою очередь, Минпромторг и Минкомсвязи выступают за расшифровку интернет-трафика лишь тех пользователей, которые оказались в поле зрения правоохранительных органов — пишут журналисты авторитетного издания «Коммерсантъ».

В Федеральной службе безопасности полагают, что в хранении эксабайтов зашифрованного интернет-трафика нет никакого смысла, поскольку найти в нем интересующую правоохранительные органы информацию невозможно по определению.

По словам инсайдеров, в качестве одного из вариантов дешифровки интернет-трафика силовики предлагают устанавливать в сетях операторов специальное оборудование, способное осуществлять MITM-атаки. Проще говоря, для пользователей такое оборудование будет претворяться запрошенным веб-ресурсом, а для самого сайта — пользователем. Таким образом, юзеры будут устанавливать SSL-соединение с оборудованием, которое, в свою очередь, будет соединять их с конечным сервером. В процессе такой переадресации интернет-трафик будет подлежать расшифровке, после чего передаваться на сервер зашифрованным SSL-сертификатом, выданным отечественным удостоверяющим центром. А для того чтобы интернет-обозреватель пользователя не сигнализировал ему о наличии небезопасного соединения, представители ФСБ предлагают добавить отечественный удостоверяющий центр в доверенные центры сертификации на пользовательских ПК.

Стоит отметить, что опрошенные журналистами специалисты не считают подобную схему дешифровки интернет-трафика идеальной. Так, по словам генерального директора компании «АРСИЭНТЕК» Д. Нештуна, как только сертификат удостоверяющего центра будет обнаружен, его тут же удалят с помощью очередного обновления программного обеспечения. И это будет однозначно правильной практикой, поскольку создание «левых» сертификатов способно дискредитировать всю электронную коммерцию. Проще говоря, конфиденциальная информация вроде сведений о платежных картах или учетных данных пользователя, по сути, окажется перехватываемой.