Вы думаете что ваша анонимность надежно защищена. Но к сожалению это не так. Существует один очень важный канал утечки вашей приватной информации — служба DNS. Но к счастью на это тоже придумано решения. Сегодня я раскажу как зашифровать свой DNS трафик с помощью утилиты DNSCrypt.

При использовании HTTPS или SSL твой HTTP трафик зашифрован, то есть защищен. Когда ты используешь VPN, шифруется уже весь твой трафик (конечно, все зависит от настроек VPN, но, как правило, так оно и есть). Но иногда, даже когда используется VPN, твои DNS-запросы не зашифрованы, они передаются как есть, что открывает огромное пространство для «творчества», включая MITM-атаки, перенаправление трафика и многое другое.

Тут на помощь приходит опенсорсная утилита DNSCrypt, разработанная хорошо известными тебе создателями OpenDNS, - программа, позволяющая шифровать DNS-запросы. После ее установки на компьютер твои соединения также будут защищены и ты сможешь более безопасно бороздить просторы интернета. Конечно, DNSCrypt - это не панацея от всех проблем, а только одно из средств обеспечения безопасности. Для шифрования всего трафика все еще нужно использовать VPN-соединение, но в паре с DNSCrypt будет безопаснее. Если тебя такое краткое объяснение устроило, можешь сразу переходить к разделу, где я буду описывать установку и использование программы.

Попробуем разобраться глубже. Этот раздел предназначен для настоящих параноиков. Если ты ценишь свое время, тогда можешь сразу перей ти к установке программы.
Итак, как говорится, лучше один раз увидеть, чем сто раз услышать. Посмотри на рисунок.

Допустим, клиент (ноутбук на рисунке) пытается обратиться к google.com Первым делом он должен
разрешить символьное имя узла в IP-адрес. Если же конфигурация сети такова, что используется DNS-сервер провайдера (незашифрованное соединение, красная линия на рисунке), то разрешение символьного имени в IP-адрес происходит по незашифрованному соединению.

Да, какие данные ты будешь передавать на dkws.org.ua, никто не узнает. Но есть несколько очень неприятных моментов. Во-первых, провайдер, просмотрев логи DNS, сможет узнать, какие сайты ты посещал. Тебе это нужно? Вовторых, вероятна возможность атак DNS спуфинг и DNS снупинг. Подробно описывать их не буду, об этом уже написано множество статей. В двух словах ситуация может быть следующей: некто между тобой и провайдером может перехватить DNS-запрос (а так как запросы не шифруются, то перехватить запрос и прочитать его содержимое не составит никакого труда) и отправить тебе «поддельный» ответ. В результате вместо того, чтобы посетить google.com, ты перейдешь на сайт злоумышленника, как две капли воды похожий на тот, который тебе нужен, введешь свой пароль от форума, ну а дальше развитие событий, думаю, ясно.

Описанная ситуация называется DNS leaking («утечка DNS»). DNS leaking происходит, когда твоя система даже после соединения с VPN сервером или Tor продолжает запрашивать DNS серверы провайдера для разрешения доменных имен. Каждый раз, когда ты посещаешь новый сайт, соединяешься с новым сервером или запускаешь какое-то сетевое приложение, твоя система обращается к DNS провайдера, чтобы разрешить имя в IP. В итоге твой провайдер или любой желающий, находящийся на «последней миле», то есть между тобой и провайдером, может получить все имена узлов, к которым ты обращаешься. Приведенный выше вариант с подменой IP-адреса совсем жестокий, но в любом случае есть возможность отслеживать посещенные тобой узлы и использовать эту информацию в собственных целях.

Если ты «боишься» своего провайдера или просто не хочешь, чтобы он видел, какие сайты ты посещаешь, можешь (разумеется, кроме использования VPN и других средств защиты) дополнительно настроить свой компьютер на использование DNS серверов проекта OpenDNS (www.opendns.com). На данный момент это следующие серверы:

208.67.222.222
208.67.220.220

При этом тебе не нужно никакое другое дополнительное программное обеспечение. Просто настрой свою систему на использование этих DNS-серверов.

Но все равно остается проблема перехвата DNS-соединений. Да, ты уже обращаешься не к DNS провайдера, а к OpenDNS, но все еще можно перехватить пакеты и посмотреть, что в них. То есть при желании можно узнать, к каким узлам ты обращался.

Вот мы и подошли к DNSCrypt. Эта программулина позволяет зашифровать твое DNS соединение. Теперь твой провайдер (и все, кто между тобой и им) точно не узнает, какие сайты ты посещаешь! Еще раз повторюсь. Эта программа не замена Tor или VPN. По-прежнему остальные передаваемые тобой данные передаются без шифрования, если ты не используешь ни VPN, ни Tor. Программа шифрует только DNS трафик.

В КАЧЕСТВЕ ЗАКЛЮЧЕНИЯ

Статья получилась не очень большая, поскольку сама программа очень проста в использовании. Но она была бы неполной, если бы я не упомянул и о VPN. Если ты прочитал эту статью, тебя она заинтересовала, но ты еще не пользуешься услугами VPN-провайдера для шифрования своих данных, то самое время это сделать.
VPN-провайдер предоставит тебе безопасный туннель для передачи твоих данных, а DNSCrypt обеспечит защиту DNS-соединений. Конечно, услуги VPN провайдеров платны, но ведь за безопасность нужно платить?

Можно использовать, конечно, и Tor, но Tor работает относительно медленно, и это, как ни крути, не VPN - весь трафик «торифицировать» не получится. В любом случае (какой бы вариант ты ни выбрал) теперь твои DNS-соединения защищены. Осталось только определиться со средством шифрования трафика (если ты это еще не сделал).

Last updated by at Октябрь 30, 2016 .

Программа SoftEnter VPN Client.

В связи с реальной угрозой расширения карательных функций «Антипиратского закона» и возможным началом переноса его действия на простых пользователей, а именно, возможным введением штрафов за скачивание пиратского контента (фильмов музыки программ и так далее), продолжаю знакомить посетителей моих сайтов с информацией, как этих штрафов избежать, то есть, как скачивать с интернета АНОНИМНО. Ранее, я показал, как скачивать анонимно по прямым ссылкам и с торрентов. В данной статье рассмотрим один из способов, как зашифровать весь интернет-трафик. Шифрование всего интернет-трафика позволит вам стать полностью анонимным в интернете, сменив свой IP-адрес, на сторонний. После смены IP-адреса при помощи предлагаемого в данной статье приложения никто из посторонних уже не сможет узнать какие сайты вы посещали, что скачивали, в том числе будет зашифрован и ваш интернет-трафик в торрент-клиенте.
Речь пойдет о приложении под названием SoftEnter VPN Client. Это клиентская программа для связи с сервисом под названием VPN Gate.
Сервис VPN Gate - это экспериментальный проект Высшей школы университета г. Цукуба (Япония). Идея проекта заключается в организации добровольцами публичной общественной сети туннелей VPN, которые создаются, с помощью специального программного обеспечения, и бесплатно предоставляются в публичное общее пользование. Подключиться к ним может каждый желающий.
Частные публичные сети VPN Gate предоставляются обычными людьми, а не компаниями и, даже гипотетическая возможность получения логов (истории посещённых Вами сайтов и истории скачивания) по запросу компетентных органов исключена. Сервис VPN Gate и создавался для того, чтобы дать возможность гражданам стран, где блокируются определённые сайты свободно и анонимно посещать их, но сервис можно использовать и для скачивания нужного вам контента, не опасаясь неприятных последствий.
Настроить работу программы SoftEnter VPN Client вовсе несложно. Сейчас покажу, как это сделать.

Для начала скачиваем на сайте разработчика по ссылке архив с установочным файлом программного обеспечения SoftEnter VPN Client.

Кстати, информация для тех, кто уже пользовался универсальным моментальным немецким клеем Nano Kleber и для тех, кто еще не знаком с нашим продуктом - наш клей кардинально изменился.
Естественно в лучшую сторону. Во-первых, изменился внешний вид упаковки и флаконов клея. Во-вторых, объем флаконов увеличился на треть! Теперь вес флакона 31,5 граммов, флакона со сварочным гранулятом, 25 граммов.
И главное, улучшено качество самого клея. По многочисленным просьбам покупателей, клей стал гуще. Это позволяет работать с ним, перед сжатием (склеиванием) не торопясь. Срок подготовки увеличен в 2 раза! При этом его цена осталась прежней.
Подробнее узнать о клее Nano Kleber можно на нашем официальном сайте по ссылке . Там же можно его и заказать. Доставка - по всей России.

После скачивания архива распаковываем папку с установочным файлом на рабочий стол.

Открываем ее и запускаем установку программного обеспечения SoftEnter VPN Client.

После установки программного обеспечения SoftEnter VPN Client запускаем его в работу.

Выбираем один из серверов VPN и подключаемся к нему.

После подключения к выбранному серверу VPN весь ваш интернет-трафик будет перебрасываться через сторонний сервер, надежно скрывая ваши действия в интернете.

То что вы подключены к выбранному вами серверу VPN легко можно узнать, посетив один из сервисов проверки IP-адресов. Найти их несложно. В поисковой строке любого поисковика, например, в Яндексе, пишем поисковую фразу «проверка ip».

Отключить VPN-соединение просто. В трее после установки программного обеспечения SoftEnter VPN Client появиться специальный значок. Кликните по нему правой кнопкой мыши и в выпавшем контекстном меню выберете нижнюю строчку отключения программы.

Как видите, зашифровать весь свой интернет-трафик при помощи программы SoftEnter VPN Client и сервиса VPN Gate совсем несложно.
В ближайшее время продолжим изучение темы шифрования интернет-трафика и рассмотрим еще один способ шифрования трафика при помощи сервисов VPN, напрямую, без использования сторонних приложений, а лишь меняя настройки интернет-соединения.

01/08/2018

TunnelBear - программа, позволяющая подсоединяться к VPN-сети. Обеспечивает безопасный доступ к Интернет-сети, защищает личную информацию от краж. Целью TunnelBear является помощь в обеспечении дополнительного уровня безопасности передачи данных, которая происходит между компьютером и удаленным сервером. Утилита использует анонимные услуги для шифрования информации. Посредством программы можно перемещаться в Интернете, не беспокоясь, что данные могут быть перехвачены третьими лицами. Помимо обеспечения безопасности программное средство VPN способно скрывать реальный IP-адрес и задавать адрес другой страны. Можно преодолеть геог...

05/06/2018

Spotflux – небольшая утилита, помогающая пользователю сделать своё пребывание в интернете максимально конфиденциальным. После установки данной программы, в систему ставится специальный сетевой драйвер, который позволяет всему трафику проходить через сервер программы. На сервере происходит очистка данных от пользовательской информации, после чего она будет отправлена на другой сервер, на который вы, собственно, и посылали трафик изначально.Обратные пакеты, идущие к вам, тоже проходят очистку. Программа проверяет их на наличие вирусов, вредоносных программ, а также других нежелательных модулей. Утилита Spotflux обладает достаточн...

29/05/2018

RoboForm представляет собой специальный менеджер паролей и различных индивидуальных информационных данных. Это очень удобно для автоматизации заполнения разных веб-форм постоянно повторяющейся информацией, например, логины, пароли, электронная почта и др. Такая функция существенно сэкономит личное время, которое может быть потрачено для осуществления входа на какие-либо сайты. Все данные сохраняются в специальной единой базе программы. При помощи одного нажатия мыши, они появятся в необходимом окне, если вход на сайт осуществляется повторно. Отличительная черта данного приложения в том, что оно способно различать фишинговые и п...

26/04/2018

UltraSurf – удобная и полезная утилита, позволяющая обойти различную цензуру и запреты, которые накладываются провайдером или правительством вашей страны. Данное приложение позволяет сделать вашу работу в интернете почти полностью анонимной, для чего используются технологии шифрования, а также специальные прокси-сервера. Данная программа настраивает ваш браузер таким образом, чтобы весь трафик, который он передаёт, передавался через прокси-сервер программы UltraSurf. Причем все данные, которые вы отправляете, шифруются с использованием 256 битного ключа, который почти невозможно расшифровать. Тем не менее, программа способна то...

31/01/2018

I2P – приложение, для работы с одноимённой сетью, созданное одной из команд разработчиков в ответ на попытки различных государственных структур установить запрет на использование определённых возможностей интернета. Данная программа позволяет получить доступ к сети, которая строится на основе DHT, однако имеет очень сложную структуру с шифрованием всего трафика. Сеть обеспечивает один из самых высоких уровней шифрования. Помимо того, что ip-адреса пользователей не публикуются, программа использует ещё и дополнительные системы шифрования. Так, например, входящий и исходящий трафик идут по разным тоннелям, которые состоят из неск...

15/11/2017

BCArchive – программа для создания зашифрованных архивов, позволяющая работать с несколькими алгоритмами шифрования. Позволяет выбрать нужный вам алгоритм шифрования. Поддерживаются, как простые алгоритмы, так и сложные алгоритмы, который практически невозможно взломать. BCArchive интегрируется в контекстное меню проводника, что позволяет постоянно иметь к ней доступ. Кроме того переведён на множество языков, включая Русский. Ещё одна особенность программы – возможность создавать самораспаковывающиеся архивы. Это необходимо в тех случаях, когда вам нужно передать архив человеку, у которого может быть не установлен архиватор.

21/08/2017

LastPass Password Manager - популярный менеджер для хранения ваших паролей. Распространяется в виде универсального установщика для браузеров Internet Explorer, Google Chrome, Mozilla Firefox, Opera и Apple Safari. Все данные пользователя в менеджере LastPass защищены мастер-паролем и шифруются локально с возможностью синхронизации между различными браузерами. Кроме этого в программе присутствует помощник для заполнения форм, что позволяет автоматизировать ввод паролей и заполнение типичных форм при регистрациях на веб-сайтах. Утилита поддерживает генерацию паролей, логирование входа на сайты, создание защищенных заметок, горячи...

19/06/2017

Secret Disk - программа, которая предназначена для защиты ваших личных файлов и данных. Позволяет создавать виртуальный жесткий диск, который можно сделать невидимым и защитить паролем. Так у вас будет возможность перекинуть всю важную информацию на этот диск, что бы избежать взломов или просто создать своё личное место где вы можете хранить любую информацию и не бояться что кто то о ней узнает. В бесплатной версии программы присутствует лимит на количество памяти в 5ГБ. В случае не запланированной перезагрузки вашего компьютера, при следующем старте программа автоматически спрячет и заблокирует любой доступ к данному диску и т...

23/05/2017

Hola – сервис, помогающий сотням пользователей интернета получать доступ к заблокированной информации. Принцип работы сервиса напоминает сети-файлообменники P2P, где соединение устанавливается между пользовательскими компьютерами (пирами). Hola кэширует, просматриваемую информацию на компьютере юзера, и делится ею с остальными людьми. Программа позволяет ускорять загрузку видеоконтента путём разделения потоков. Исходя из принципа работы понятно, что чем больше людей установит программу, тем быстрее будет происходить обмен данными. Кэширование данных и их раздача происходит исключительно во время ожидания компьютера и не влияет...

11/01/2017

USB Flash Security – полезная утилита, делающая использование USB- накопителей безопасным. Флеш-накопитель может быть защищен паролем, что делает хранение информации более безопасным. В случае утери либо кражи устройства никто не сможет добраться до файлов, хранимых в памяти USB-носителя. При инсталляции программы необходимо предварительно сохранить все данные на жёстком диске компьютера, так как USB Flash Security может отформатировать флеш-устройство. Работу с приложением довольно легко понять, даже без русской версии. Применение этой программы обезопасит все файлы на флеш-носителе от доступа вредоносных объектов и несанкцион...

10/01/2017

KeePass - менеджер паролей, позволяющий значительно повысить безопасность ваших личных данных. Программа необходима тем, кто постоянно путешествует по интернету, общается в социальных сетях, имеет несколько почтовых ящиков, а также зарегистрирован в нескольких платёжных системах. Как вы знаете, для обеспечения безопасности, необходимо указывать разные пароли ко всем этим сервисам. На практике же, человек использует 4-5 паролей, которые чередуются между собой. Если какой-то из этих паролей будет украден злоумышленниками, то он может получить доступ сразу к нескольким ресурсам, на которые вы заходили. Для повышения вашей безопасн...

27/06/2016

X-Proxy - программа для поддержания анонимности в сети. С помощью приложения можно получить доступ к сайтам, которые заблокированы интернет-провайдерами страны пользователя. Этот инструмент изменяет реальный IP-адрес пользователя на фейковый, что позволяет абсолютно анонимно бороздить просторы бескрайнего интернета. Программа взаимодействует со всеми основными веб-браузерами. Настроить анонимный доступ крайне просто: нужно открыть список доступных серверов и выбрать любой понравившийся. Для удобства пользователей интернет-сети в X-Proxy доступно несколько инструментов: определение скорости интернет-соединения, поиск страны по I...

Доля зашифрованного трафика в общем объёме передаваемых и принимаемых данных постоянно увеличивается. Усиленная защита пользовательских сообщений становится стандартом для мессенджеров, растёт число интернет-ресурсов, гиперссылка у которых начинается с "https", пользуются популярностью VPN-подключения - всё это усложняет или делает невозможным анализ информации в трафике, который необходимо будет сохранять в соответствии с законом.

По оценке рабочей группы экспертного Совета при Правительстве РФ в настоящее время в сетях операторов связи доля шифрованного трафика приближается к 50 процентам. Так как нет причин, препятствующих росту этой доли, можно ожидать, что за ближайшие три года она увеличится до 90 процентов.

17-го февраля вице-премьер Аркадий Дворкович, курирующий в правительстве подготовку подзаконных актов к "пакету Яровой", соберёт совещание, на котором Минкомсвязи должно будет изложить каким образом и какими средствами операторы должны будут выполнять требования закона. Дворковичу должны представить оценку финансовых затрат, а министр связи Никифоров проинформирует о готовности подзаконных актов, которые требуется принять Правительству РФ.

Можно ожидать, что основную часть совещания займёт обсуждение тех моментов, с которыми в процессе выполнения придётся столкнуться не только операторам связи, но и спецслужбам. По словам Абызова, министра открытого правительства и руководителя экспертной рабочей группы, поправки в действующее антитеррористическое законодательство, вошедшие в "пакет Яровой", должны помочь предотвращать преступления и повысить эффективность расследования.

С каждым прошедшим днём возрастает вероятность того, что к нужному по закону сроку операторы, при всём желании, не успеют всё реализовать должным образом. Отсутствие принятых подзаконных актов не позволяет им планировать будущие затраты, неясен размер и "разбивка" по времени, какие источники придётся использовать, как эти затраты повлияют на доходность бизнеса.

До сих пор нет информации о составе программных и технических средств, которые операторы связи могут использовать, как и когда они будут сертифицированы и разрешены для применения на сетях связи. Нужно будет время для принятия решений о том, как интегрировать дополнительное оборудование, какая инфраструктура потребуется. Неизвестна окончательная схема хранения: полностью всеми вопросами занимаются операторы или всё-таки будет привлечён "Ростех" ().

Есть "мелкие", но конкретные, вопросы у отдельных операторов. Например, сотовые операторы хотели бы знать, что делать с трафиком абонентов, находящихся в роуминге.

С учётом характера информации, подлежащей хранению, необходимы дополнительные приказы, инструкции и разъяснения., содержащие требования по защите информации, описывающие порядок доступа и допуска к ней. Должна быть определена ответственность в случае "утечки" (тема "ответственности" почему-то почти не обсуждается общественностью).

Ответы на это множество вопросов все ждут от Минпромторга и Минкомсвязи - эти ведомства должны подготовить проекты нескольких НПА и направить их в Правительство РФ. Есть ощущение, что вряд ли система хранения трафика будет реализована к 1 июля 2018 года. Предположу, что срыв реализации "пакета Яровой" может серьёзным образом "аукнуться" министру связи.

В первых сообщениях, появившихся в интернете на лентах новостей Интерфакса, РИА Новости и т.д., конкретика отсутствовала. Пресс-секретарь Дворковича скупо проинформировала: "Состоялось совещание по закону, обсудили приоритеты и порядок доработки подзаконных актов, а также возможную корректировку закона в случае невозможности отразить согласованную позицию в постановлении ".

Журналисты постарались порасспрашивать участников о ходе обсуждения. Что стало известно:

1. О повышении тарифов. Кто-то из присутствующих на заседании сказал, что вице-премьер Аркадий Дворкович обратился к операторам (на совещании присутствовали представители некоторых компаний - МТС, "МегаФон", "Вымпелком", "Яндекс") с просьбой не увлекаться повышением тарифов на услуги и предложил удерживать рост цен в пределах текущей инфляции. Не знаю, что он услышал в ответ, но многочисленные оценки объёмов затрат на реализацию "пакета Яровой" и ограниченность времени, когда эти деньги придётся потратить, никак не вписываются в экономику всех телекоммуникационных компаний. Последствия: как минимум, остановится на несколько лет развитие сетей и придётся снижать затраты на эксплуатацию, что приведёт к снижени. качества услуг. Как максимум, проще будет свернуть бизнес сразу, без экспериментов "выживу - не выживу".

Как я уже писал, более-менее точную финансовую оценку можно было бы получить в рамках запуска пилотного проекта.

2. О том, что хранить, а что не хранить. Есть у чиновников понимание того, что весь трафик хранить не получится. Это не всё, есть хорошая новость для провайдеров: если точен "пересказ" одного из участников, то на первом этапе могут обязать хранить только трафик голосовых вызовов и SMS-ки, исключив хранение трафика данных. "Пересказ" другого участника отличается (и, возможно, я поторопился обрадовать провайдеров): обсуждали сроки хранения трафика голосовых вызовов и текстовых (SMS) сообщений, операторы сотовой связи хотели бы уменьшить эти сроки. То, что отдельно обсуждался вопрос трафика данных, подтверждается. Но вроде речь шла только об уменьшении времени хранения и объёмов сохраняемого трафика.

То есть, что и как делать с трафиком данных - неопределённость сохраняется, нужно ждать новый версий законопроектов, которые должно будет подготовить Минкомсвязи .

3. Как реализовать систему хранения. ФСБ предлагает произвести расширение "кольцевого буфера" в процессе реализации "пакета Яровой". Операторы не против, считая, что этот путь может оказаться менее затратным, чем создание новой полной системы хранения трафика. Выяснилось попутно, что ФСБ не поддерживает идею Ростеха о едином хранилище информации, так как спецслужбы хотели бы обойтись без промежуточного звена в виде Ростеха между ними и операторами связи. Кроме этого, как я уже писал, нынешняя редакция закона (он же "пакет Яровой") обязывает операторов связи и только их заниматься сбором, записью и хранением трафика абонентов. Так как "внедрение" Ростеха означает необходимость изменений в законе, то этот путь, включающий рассмотрение и принятие поправок в ГосДуме, может "съесть" много времени.

О конфиденциальности информации говорят все и временами даже требуют ее обеспечения. Но мало кто задумывается о том, куда такие требования нас заводят? С одной стороны - да, приватность, тайна личной жизни, тайна переписки... Все это нам даровано Конституцией и вроде как является правом неотчуждаемым. Отсюда и рост объема зашифрованного трафика в Интернете согласно последним исследованиям Cisco.

Положительным образом на увеличение этого показателя влияет внедрение шифрования в различные стандарты (например, PCI DSS) и лучшие практики, которым начинают следовать многие организации и поставщики услуг. Например:

• поставщики мобильного контента и сервисов, внедривших шифрование у себя по умолчанию,
• видео-хостинги и настройки браузеров, включающих шифрование по умолчанию,
• сервисы хранения и резервного копирования данных в режиме онлайн.

Доходит до того, что компании начинают применять шифрование даже в контролируемых зонах, в которых ранее это шифрование не требовалось, так как было сопряжено с необходимостью обновить инфраструктуру на более производительную, а также с различными законодательными препонами со стороны ФСБ. Но сегодня ситуация меняется - и оборудование становится более мощным и содержащим встроенные функции шифрования, и регулятора уже меньше заботит, что делают компании для защиты информации для собственных нужд. Ниже пример одного исследования компании Lancope, изучившей некоторое количество компаний и обратившей внимание на рост энтропии во внутренних сетях предприятий.

Но у шифрования есть и другая сторона. Во-первых, оно создает иллюзию защищенности, когда все внимание уделяется шифрованию в канале передачи данных, но совершенно забывается про шифрование данных в местах их хранения (тех же центрах обработки данных). Во многих последних случаях утечки информации злоумышленники крали ценные данные именно в процессе их хранения, а не передачи. Но это не единственная проблема шифрования.

Им стали активно пользоваться и злоумышленники, скрывая свою деятельность от мониторинга или просто используя шифрование в недобрых целях (те же шифровальщики TeslaCrypt или CryptoWall). Контролировать такие потоки информации становится очень сложно, но и от шифрования отказа не произойдет ни с точки зрения ИБ, ни с точки зрения злоумышленников. Поэтому так важно использовать дополнительные механизмы анализа сетевого трафика, который позволяет мониторить сопутствующие параметры, не погружаясь в содержимое самих коммуникаций - Netflow, домены и IP-адреса и даты их появления на свет, репутацию взаимодействующих узлов и другие метаданные. Также важно не забывать про интегрированную безопасность, которая должна стоять не "в разрыв", как это часто бывает, а быть встроенной в сетевое оборудование, операционные системы, базы данных, сервера, рабочие станции и т.п. В этом случае работа с зашифрованным трафиком будет более эффективной, чем попытка перенаправить его куда-то для расшифрования.

Есть и третья сторона у применения шифрования. Откуда ни возьмись у нас возникает государство с его требованиями по обеспечению национальной безопасности, защиты от террористов и экстремистов, и т.п. безусловно важными вопросами. Возьмем, к примеру, последнюю инициативу наших властей, о которой я на днях писал . Спецслужбы и иные заинтересованные лица по сути признаются в неспособности повсеместно установленных элементов СОРМ решать стоящие перед ними задачи. СОРМ, традиционно ориентированный на обычную голосовую связь, неплохо справлялся с этой задачей, так как шифрование в обычной телефонной сети не применялось никогда, а в мобильной - спокойно обходится на уровне оператора мобильной связи (голос шифруется только от телефонного аппарата до базовой станции).

С контролем данных и Интернет ситуация гораздо сложнее - там шифрование можно легко сделать сквозным и никакой СОРМ тут не сильно поможет. А тут еще и переломный момент в использовании шифрования - свыше 50% трафика в Интернет стало неприступным для анализа спецслужбами. Поэтому остается только одна - либо запрещать шифрование вообще (что маловероятно), либо заставлять всех депонировать ключи шифрования и делиться сертификатами открытых ключей для "законного" вклинивания в поток данных, как пытались сделать в середине 90-х годов в США в рамках проекта Clipper , либо развивать негласную СОРМ.

Что характерно, "разоблачения" Сноудена, как раз являются демонстрацией третьего пути борьбы с шифрованием, по которому пошли спецслужбы США. Запрещать что-то в самое демократической стране никому и в голову бы не пришло. Требовать от Facebook, Twitter, Microsoft публичного отказа от конфиденциальности депонирования ключей бессмысленно (опять же демократия мешает). Остается только одно - развивать технологии негласного съема информации, а также принуждать Интернет-компании делиться информацией по секретным решениям секретного суда.

Россия сейчас тоже вплотную подошла к этой дилемме, с которой США столкнулись 20 лет назад, начиная проект Clipper, Capstone и Skipjack. Мы пока выбрали второй путь, так как первый является ну очень уж одиозным (а главное, что террористы и экстремисты все равно плевать будут на этот запрет), а третий плохо работающим и не масштабируемым (достаточно вспомнить, как Twitter, Google и Facebook "посылали" Роскомнадзор с его запросами относительно блокировок аккаунтов, публикующих нелицеприятные для российских властей сведений).

Вот такая история у нас получается с шифрованием. И какой будет ее финал пока непонятно...