ФСБ и Роскомнадзор начали борьбу с кэшем Google

ФСБ и Роскомнадзор начали борьбу с кэшем Google

ФСБ и Роскомнадзор начали борьбу с кэшем Google

Роскомнадзор направил операторам связи по всей стране информацию о том, что Google устанавливает на сетях российских интернет-провайдеров несертифицированные серверы Google Global Cache, используемые для увеличения скорости доступа к ресурсам Google.

Об этом говорится в письмах управлений Роскомнадзора по Курганской, Липецкой и Владимирской областям (копии всех документов есть в распоряжении РБК, их подлинность подтвердили сотрудники двух региональных интернет-провайдеров). В двух письмах говорится, что информация об использовании несертифицированных серверов Google Global Cache была получена Роскомнадзором от ФСБ, пишет rbc.ru.

Роскомнадзор предупредил провайдеров, что установка данного оборудования без сертификатов соответствия повлечет за собой ответственность по ст. 13.6 КоАП, максимальное наказание по которой для юридических лиц составляет до 300 тыс. руб.

«Для обеспечения целостности, устойчивости функционирования и безопасности единой сети электросвязи России является обязательным подтверждение соответствия установленным требованиям средств связи, используемых в сети связи общего доступа», — отмечено в письме временно исполняющего обязанности руководителя управления Роскомнадзора по Липецкой области Романа Бирюкова.

Представитель Роскомнадзора Вадим Ампелонский сообщил, что центральный аппарат действительно проинформировал свои территориальные органы об использовании несертифицированных средств. «К нам поступила актуальная информация, и мы обязаны обратить внимание наших территориальных органов, чтобы они были внимательны при проведении контрольно-надзорных мероприятий. Это обычная практика. Вне зависимости от бренда. Закон одинаково работает для всех», — сказал он РБК.

В Google не ответили на запрос РБК.

Топ-менеджер одного из операторов «большой тройки», а также глава компании, работающей в сфере связи, утверждают, что серверы Google Global Cache не являются средством связи, а потому вообще не должны сертифицироваться.

«Согласно перечню средств связи, подлежащих обязательной сертификации, серверы, которыми являются Google Global Cache, не входят в перечень, подлежащих обязательной сертификации», — подтверждает директор некоммерческой организации «Общество защиты интернета» Михаил Климарев. Он отмечает, что логика обязательной сертификации заключается в том, чтобы обеспечить работоспособность телекоммуникационных сетей и сделать так, чтобы различное оборудование одного оператора работало совместно с сетями и оборудованием других операторов. Поэтому обязательной сертификации подвергаются средства коммутации, оборудование радиосвязи и др. «Подобные предупреждения Роскомнадзора являются прямым нарушением действующего законодательства — они не вправе требовать то, что не запрещено и не оговорено в нормативно-правовой базе», — говорит Климарев.

Топ-менеджер одного из операторов «большой тройки» добавляет, что установкой данных серверов занимается не дочернее ООО «Гугл», как пишет Роскомнадзор, а подразделение глобального Google. Это подтверждает и директор по стратегическим проектам Института исследования интернета Ирина Левова: «Насколько мне известно, за продукт Google Global Cache отвечает глобальное подразделение Google, а не ООО «Гугл».

«Google Global Cache по сути являются воротами для попадания любого контента к российским пользователям. Передача данных между Google Global Cache и серверами Google зашифрована. Поэтому при установке Google Global Cache внутри контура системы блокировки технически невозможно заблокировать контент Google», — говорит управляющий директор интернет-провайдера «Экотелеком» Сергей Никулин. Он отмечает, что серверы Google Global Cache устанавливаются Google за свой счет, провайдеру не принадлежат и им не управляются, но в то же время работают внутри его сети. «Эти факты, судя по всему, вызывают раздражение регулятора и являются препятствием к сертификации», — говорит Никулин.

«У крупного федерального оператора связи кэширующих серверов от Google стоит огромное количество, — рассказывает представитель одного из операторов. — Если представить, что нужно будет от них всех отказаться, то серьезная нагрузка ляжет на серверы самого Google, которые стоят, в частности, на MSK-IX (крупнейшая в России точка обмена трафиком, расположенная в Москве), а также на зарубежные стыки между нашими и иностранными провайдерами», — говорит он .

Ведущий специалист «Технического центра Интернет» Дмитрий Белявский отмечает, что Google Global Cache вряд ли несут какую-то угрозу пользователям или безопасности сети.

«По утверждениям Google — а это единственное, на что мы можем опираться — Google Global Cache образует географически распределенную сетевую инфраструктуру (CDN — Content Delivery Network). Это не несет угроз пользователям: Google Global Cache — лишь кэширующий сервер, предназначенный для снижения нагрузки при доступе к популярным ресурсам. В таком случае в выигрыше остаются все — распределение всегда сильно повышает надежность и стабильность системы. Проблемы в безопасности могут возникнуть, если злоумышленники смогут вмешаться во взаимодействие этих серверов с центральными серверами Google, но тут я склонен ожидать повышения общей надежности или по крайней мере не понижения. Дополнительного сбора чувствительных, в первую очередь персональных, данных тут тоже нет», — говорит Белявский.

Яндекс опроверг слухи о скрытой установке российского сертификата в Windows

В соцсетях снова включили панические настроения в стиле «нас всех прослушивают». Пользователи начали распространять сообщения о том, что Яндекс Браузер якобы скрытно устанавливает в системное хранилище Windows государственный корневой сертификат Russian Trusted Root CA, и это позволяет перехватывать данные.

В Яндексе это опровергли. Как сообщили в пресс-службе компании в комментарии для телеграм-канала «Лапша Медиа», Яндекс Браузер не изменяет системное хранилище сертификатов при установке или обновлении.

Поддержка сайтов с национальными сертификатами реализована внутри самого браузера и не влияет на список доверенных сертификатов операционной системы.

Иными словами, браузер действительно умеет работать с российскими сертификатами, но не прописывает их тайком в Windows.

 

Отдельно в «Лапша Медиа» отметили, что скрытый перехват данных таким образом невозможен. Современные TLS-соединения защищены стандартными механизмами проверки, а сертификаты проходят контроль через систему Certificate Transparency — публичные журналы, где фиксируется выпуск сертификатов. Если сертификат отсутствует в логах или не соответствует требованиям, соединение должно быть заблокировано.

Сами сертификаты Russian Trusted Root CA используются для защищённого доступа к российским сайтам, которые работают с национальными сертификатами. В Яндекс Браузере их поддержка уже встроена, чтобы такие ресурсы открывались без дополнительных действий со стороны пользователя.

Так что история про скрытую установку, тотальный перехват и MITM из коробки выглядит скорее как очередной панический вброс.

RSS: Новости на портале Anti-Malware.ru