Страшный и ужасный СОРМ2: немного практики

:

На Хабре половина участников постоянно пугает другую порабощающим всех и вся СОРМом, который круглосуточно мониторит трафик, сохраняет все торренты, которые вы качаете, а потом когда-нибудь — «к вам выедут» (с)
Казалось бы, на Хабре должны присутствовать профессиональные телеком-админы, которым это все знакомо на практике, но топиков по этой теме я что-то не встречал (хотя, возможно, плохо искал). Поэтому исходя из личного опыта хотелось бы немного рассказать, как это все работает на практике и чем страшный СОРМ, которым всех пугают, является реально. Подчеркиваю, что я не делаю никаких откровений: это знает каждый более-менее серьезный системный администратор или технический директор в любом телекоме, никто никаких подписок не дает и никакой секретной информации в этом нет.

Прежде всего — мы говорим об Интернете, т.е. СОРМ2. Про телефонные переговоры и т.п. я ничего не знаю — об этом нужно спрашивать у «телефонистов».
Итак, в соответствии с лицензионными условиями, оператор связи перед началом эксплуатации своей сети (т.е. предоставлением услуг абонентам) должен получить Разрешение на Эксплуатацию у того органа который назывался РосСвязьНадзором, РосСвязьОхранКультуры и тысячью других названий (они меняются в среднем раз в два года ;-) ), ныне же он называется РосСвязьКомНадзор. Разрешения выдаются в соответствии с Правилами утвержденными Правительством, в которых черным по белому написано, что оператор должен решить вопрос с СОРМом, о чем предъявить «бумажку» в Надзор. А теперь самое главное: этот вопрос решается, а бумажка предъявляется за подписью только ФСБ и никого другого. Никакие органы МВД — ни местное ОВД, ни отдел «К», — или налоговой, ни кто-либо еще не имеет к этому никакого отношения. Мониторить интернет-трафик может только ФСБ и точка. У других органов или ведомств для этого чисто физически нет технических возможностей — они никакое оборудование никуда не ставят. Кстати, это еще косвенно следует из того, что когда от оператора/хостера что-то нужно тому же отделу «К» — он вынужден присылать официальный документ на своем бланке и за подписью руководителя. Никто не может просто позвонить и попросить «скинуть инфу по трафику вот с этого IP» — операторы/хостеры в таких случаях обычно просто «посылают» (правильно — зачем им нужны лишние проблемы?) и просят прислать официальный запрос.
Почему я акцентируюсь на ФСБ и чем это важно на практике? Очень просто: ФСБ — действительно серьезная организация, которая занимается охраной и защитой безопасности страны в целом. Ей абсолютно плевать на то, кто какие скачивает торренты, чьи авторские права нарушает, и чьи сайты ломает (если это, конечно, не сайты государственных органов). Ее намного более заинтересует тот факт, что вы постите на двадцати форумах предложение купить у вас запчасти для боевого вертолета. :-)

Теперь вернемся к нашему оператору связи, которому нужно согласовать вопрос СОРМа с ФСБ. Да, формально оператор действительно должен купить специальное оборудование за $10k и протянуть в местное УФСБ выделенный кабель связи. Однако, реально из небольших провайдеров этого не делает никто (по крайней мере, я о таком не слышал). Все ограничиваются договоренностью с ФСБ сотрудничать, если у них возникнут вопросы (по сути просто обмениваются контактами со своим офицером-куратором и ФСБшным техником), и подписанием «Протокола о порядке взаимодействия в рамках ввода в эксплуатацию СОРМ» (или «Плана ввода в эксплуатацию...» — не суть важно), суть которого, если изложить кратко, сводится к тому, что провайдер обязуется сделать «настоящий» СОРМ когда-нибудь потом (обычно лет через пять). :-) Действует классический принцип Ходжи Насреддина — через пять лет или компания закроется, или денег на полноценный СОРМ заработает, или что-нибудь еще изменится. Более того, многие через пять лет подписывают следующий такой же протокол и в ус не дуют. :-)

Что происходит, если кто-то из клиентов провайдера действительно продает запчасти от вертолетов или как-то иначе угрожает федеральной безопасности? Ну, просто звонят (или даже пишут по e-mail) и просят сделать tcpdump трафика с определенного адреса, а потом скинуть им на ftp. Провайдер берет и делает. Вот и все, собственно.

Если же провайдер стал достаточно большим и уже «созрел» для того, чтобы не возиться с дампами — он ставит у себя ФСБшное оборудование. Что оно из себя представляет? Я не могу ручаться на всех и вся, но то, что я видел — были обычные самосборные компьютеры в стоечных корпусах GenesysRack с установленным Линуксом и двумя сетевушками — «вход» и «выход». На «вход» провайдер просто mirror'ит трафик (свой интернетовский, но до NAT'а, естесственно), а на «выход» присваивает (ну, т.е. сообщает в ФСБ, а уж они сами присвоят) внешний IP, по которому все это управляется. Что конкретно крутится под Линуксом я, конечно, не в курсе, но тут и семи пядей во лбу не надо быть — какой-нибудь анализатор пакетов, чтобы можно было «выцеплять» только то, что требуется и не гонять тонны трафика в ФСБшный дата-центр.

Вот, пожалуй, и все. Если посмотреть реально с практической стороны, то «страшный и ужасный» СОРМ — это не Большой Брат и не попытка всех промониторить и поработить. Это действительно средство защиты интересов безопасности государства, которое используется только для этого и в целом решает достаточно скромные и ограниченные задачи. Прямо скажем: корпоративная политика во многих крупных организациях намного суровей — и на «одноклассники» не пускают, и «вконтакте» блочат… Если вы не устраиваете революций и не торгуете запчастями от вертолетов, то вам нечего опасаться. :-)

PS: В комментариях указали на то, что упомянутый в топике самосбор уже не используется. Да, я это дело действительно видел года 3 назад. Рад за наших ФСБшников, что они стали заказывать оборудование у других подрядчиков — которые используют или готовые вендорские сервера или собирают что-то более-менее прилично выглядящее. :-)

PPS: Не хотел поднимать топиком никаких политических дебатов по поводу слежки государства за гражданами и т.п., но в комментариях их таки подняли. Поэтому кратко поясню свою позицию и цель топика: независимо от политических взглядов и убеждений, нужно относиться ко всему реально и если что-то существует (например, СОРМ или то же управление «К») — нужно всегда стараться узнать об этом максимум, чтобы уметь этим «пользоваться». А от воздевания очей горе и всяческого всплескивания руками толку нет в любом случае.

PPS: Разместил в блоге «Телекомы». Если будут предложения по более адекватному выбору тематического блога — скажите.