Веб-сервисы, приложения и протоколы, во взломе которых
Агентство национальной безопасности США потерпело фиаско либо столкнулось со
значительными сложностями, перестали быть тайной. Среди них оказался и
российский почтовый сервис Mail.Ru.
Почтовый сервис Zoho, анонимная сеть Tor, компьютерное
приложение для шифрования файлов Truecrypt и криптографический протокол
Off-the-Record (OTR) для обмена мгновенными сообщениями оказались «крепкими
орешками» для Агентства национальной безопасности США: оно либо не смогло их
взломать, либо этот процесс оказался крайне сложным — следует из новой порции
документов, обнародованной бывшим системным администратором агенства Эдвардом
Сноуденом и опубликованных журналом Der Spiegel.
Как пишет cnews.ru, документы раскрывают информацию о
внутренней классификации веб-сервисов, компьютерных приложений и протоколов,
которые АНБ взламывает по долгу своей службы — чтобы наблюдать за террористами,
преступниками и рядовыми гражданами США и иностранных государств, в том числе
России.
УРОВНИ
СЛОЖНОСТИ
Наиболее сложные сервисы и технологии классифицируются как
«major». Именно к таким относятся вышеперечисленные Zoho, Tor, Truecrypt и OTR.
Сообщения, зашифрованные с помощью протокола OTR, были переданы АНБ одним из
участников программы PRISM. И агентство «не смогло найти метод их
декодирования». Что это была за компания, не уточняется. Впервые о программе стало
известно в июне 2013 года, сообщалось, что в ней принимают участие девять
крупнейших американских корпораций, включая Google, Facebook, Apple, Microsoft
и AOL.
Но существует в классификации АНБ и более высокий уровень
защиты — «catastrophic». Это пятый последний уровень. К нему не относятся
конкретные сервисы или приложения, а их совместное использование. Например,
если человек пользуется анонимной сетью Tor, еще одним дополнительным
анонимайзером, сервисом обмена мгновенными сообщениями CSpace и протоколом
IP-телефонии ZRTP, то уровень взлома такого пользователя с целью наблюдения
будет «catastrophic». Это означает, что АНБ «практически не будет иметь
возможность прослушки и наблюдения» за таким человеком.
Один из разработчиков протокола ZRTP Филипп Циммерман более
20 лет назад он создал технологию шифрования электронной почты PGP. Данная
технология также представляет для американской разведки существенную сложность.
В документах говорится, что агентство не смогло найти способ прочесть
сообщение, закодированное при помощи PGP, которое оно получило от компании
Yahoo.
Более низкие уровни защиты в АНБ классифицируются как
«moderate», «minor» и «trivial». Российская почтовая служба Mail.Ru относится к
классу «moderate», то есть для ее взлома пришлось приложить определенные
усилия, но существенных проблем не возникло. Доступ к чатам Facebook и их
запись — такая задача для агентства оказалась более легкой (градация «minor»),
а отслеживание маршрута файла в интернете — самой простой из возможных
(«trivial»).
Таким же легким для АНБ является взлом виртуальных частных
сетей (VPN), используемых предприятиями и правительствами (например, Греции)
для закрытых коммуникаций между различными офисами и подразделениями. Все
данные в таких сетях направляются через туннели, защищенные шифрованием.
«Однако защита в виртуальных сетях оказалась такой же, как и сами сети —
виртуальной», — иронизирует журнал. Агентство построило серьезный проект,
посвященный взлому каналов VPN, и сейчас это процедура для него не представляет
каких-либо сложностей. В документе, датированном 2011 годом, говорится, что АНБ
планирует одновременно отслеживать до 20 тысяч VPN-соединений.
Повышенное внимание к охране частной жизни и технологиям
шифрования появилось после того, как Эдвард Сноуден раскрыл масштаб
деятельности американских разведслужб. Недовольны оказались не только рядовые
интернет-пользователи, но и многие правительства. Например, для канцлера ФРГ Ангелы
Меркель стало неприятным сюрпризом узнать, что у АНБ на прослушке находился и
ее телефон. Она обратилась к президенту США Бараку Обаме с просьбой прояснить
ситуацию, на что тот заявил, что не был осведомлен об этом и пообещал
ограничить полномочия ведомства.
