Перейти к материалам
разбор

У ФСБ есть пульт управления, куда стекаются данные о любой активности россиян в интернете. Так работает система слежки СОРМ А что именно может узнать о нас спецслужба? И как работает эта технология?

Источник: Meduza

Прошло 10 лет с тех пор, как власти обязали операторов связи, интернет-провайдеров и других крупных участников IT-рынка подолгу хранить все следы онлайн-активности россиян по «закону Яровой». За это время система слежки за гражданами сама по себе превратилась в разветвленную индустрию. Мы решили заглянуть под капот этой отрасли, чтобы понять, как именно сегодня работает технология сбора данных, известная под аббревиатурой СОРМ, какую конкретно информацию о россиянах она аккумулирует и как устроена передача этой информации от компаний к ФСБ.

Почти ровно 10 лет назад, 6 июля 2016 года, Владимир Путин подписал «закон Яровой». Он обязал операторов связи и организаторов распространения информации

  • полгода хранить все текстовые сообщения, голосовую информацию, изображения, звуки, видео- и иные сообщения пользователей;
  • три года хранить сопутствующие метаданные (то есть информацию о фактах приема, передачи, доставки и обработки сообщений).

Технология, с помощью которой власти решили реализовывать новый закон, называется системой технических средств по обеспечению оперативно-разыскных мероприятий. Она более известна под аббревиатурой СОРМ и по состоянию на 2016 год уже применялась в стране для нескольких целей. Еще в 1996-м появился СОРМ-1 — система прослушивания телефонных звонков. А в 1999-м — СОРМ-2, предназначенный для «съема информации, передаваемой и принимаемой любым конкретным пользователем» в интернете. В 2015-м появилась специализированная нормативная база для СОРМ в сфере почтовой связи.

Для исполнения «закона Яровой» был создан СОРМ-3. Это система, заточенная под долговременное хранение всей пользовательской информации и в интернете, и в телефонии.

Физически СОРМ выглядит как сервер со специальным программным обеспечением и выделенной линией связи, которая напрямую подключается к оборудованию ФСБ. Такой сервер имеет доступ к базам данных конкретной компании и по запросам ФСБ передает спецслужбе часть хранящейся там информации. Компания может владеть собственными серверами СОРМ. Либо арендовать их у специализированных поставщиков, которые берут на себя развертывание, настройку и обслуживание оборудования.

За проволочки во внедрении СОРМ операторам связи теперь грозят штрафы

С 7 июля 2026 года в Кодексе об административных правонарушениях появится новый штраф для операторов связи. Их смогут наказывать за нарушение правил взаимодействия с ФСБ при разработке плана мероприятий по внедрению СОРМ. До этого их наказывали только за уклонение от установки системы. Сумма штрафа будет в диапазоне от трех миллионов до пяти миллионов рублей.

Одновременно в 10 раз (с одного миллиона до 10 миллионов рублей) вырастет минимальный штраф за повторное уклонение от установки СОРМ. Максимальный размер штрафа остался прежним: от одного до трех процентов годовой выручки.

Так же будут наказывать за повторное нарушение при разработке плана по внедрению СОРМ.

Как СОРМ разросся за 10 лет: где установлен и как называется оборудование

С 2016 года власти постепенно расширяли пул компаний, обязанных устанавливать СОРМ. По состоянию на сегодня эти системы должны были появиться (или вот-вот появятся) на сетях:

  • операторов почтовой связи;
  • операторов телефонной связи;
  • интернет-операторов;
  • организаторов распространения информации;
  • провайдеров хостинга;
  • владельцев автономных систем;
  • транспортно-экспедиторских компаний;
  • операторов виртуальных телефонных станций.
Подробнее о том, почему перечень именно такой

Пишут, что операторы связи стали передавать ФСБ больше данных о россиянах. Это правда? И кто еще делится информацией о вас со спецслужбой? (Спойлер: очень много кто!)

8 карточек

Если вы начнете искать в интернете коммерческие предложения по установке СОРМ, то обнаружите обилие номеров в названиях самых разных производителей:

  • «Омега.83»; «Омега.83.573»;
  • «Омега.86», «Элком-НТ СОРМ/ИС-86», «Яхонт-86-Имитатор»;
  • «Визирь-139-К», «Элком-НТ СОРМ/ИС-139»;
  • «Ящер-279»;
  • «Визирь‑374», «Яхонт-374-ИС», «Яхонт-Голос374»; «Визирь‑374/86»; «Визирь-374/573»;
  • «Визирь-571», «Омега.571»;
  • «Омега.573»;
  • «Визирь-646»;
  • «Ящер-750»;
  • «Визирь-935», «Ящер-935».

Числа в названиях систем не случайны: это номера ведомственных приказов с подробными спецификациями конкретных СОРМ (за исключением 374 — это отсылка к «закону Яровой» № 374-ФЗ). Каждый из них имеет примерно такое название:

Об утверждении Требований <…> для проведения уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности РФ, в случаях, установленных федеральными законами, мероприятий в целях реализации возложенных на них задач

Именно эти документы позволяют понять, как устроен СОРМ изнутри. И даже отследить эволюцию технологического стека ФСБ: с 2023 года спецслужба перешла на современные технологии — WebSocket, GraphQL и PromQL.

Такие требования публикуют специально, чтобы любые компании могли самостоятельно реализовать серверную часть СОРМ для себя или на продажу.

Из документов следует, что клиентская часть системы — это пульт управления ФСБ (в документах обозначена как ПУ). Мы не знаем, как выглядит его пользовательский интерфейс, но все взаимодействие клиента и сервера описано в ведомственных приказах.

Конечные решения под каждую компанию дорабатываются вручную в рамках согласования с местными управлениями ФСБ. Но в целом последние ведомственный приказы к разным СОРМ дословно повторяют друг друга (за исключением нюансов).

Что еще мы знаем о технических возможностях ФСБ

Знает ли ФСБ, с кем вы переписываетесь в телеграме? В связях со спецслужбой мессенджер давно подозревают авторы «Важных историй». Теперь эти подозрения проверил независимый эксперт

9 карточек

Как СОРМ работает: данные не передаются через интернет и шифруются

Пульт управления ФСБ и серверная часть компании, собирающей и передающей данные о пользователях, связаны изолированным каналом — выделенной линией связи. Об это прямо говорится в приказах.

Для организации линий (каналов) связи, соединяющих ПТС ОРМ и ПУ, должен быть использован сетевой интерфейс первого уровня.

В модели OSI первый уровень (L1) — это физический уровень. Он, например, отвечает за передачу битов данных по кабелю или оптоволокну.

Весь трафик, передаваемый внутри такой изолированной линии связи, шифруется. Для этого используется технология mTLS. Она позволяет защитить данные от попытки «врезаться» в линию и перехвата информации.

Опционально весь трафик могут дополнительно пропустить через VPN:

ПТС ОРМ должны предусматривать возможность создания виртуальной сети VPN (Virtual Private Network) для туннелирования всего <…> трафика между ПТС ОРМ и ПУ.

Пульт управления ФСБ должен быть все время подключен к серверу СОРМ. А последний обязан постоянно отчитываться обо всех событиях: о возникновении как незначительных, так и критических ошибок, о перезапусках системы и даже о попытках несанкционированного доступа.

Какие данные ФСБ получает через СОРМ: от имени и почты до геотрека и IP

Глобально вся передаваемая информация делится на структурированные и заранее размеченные данные и на неформатированные данные.

Последние можно только скачать. Сервер компании для каждого такого файла должен создать собственную ссылку вида http (s)://<IP-адрес или доменное имя ПТС ОРМ>:<порт>/download/<уникальный путь к файлу>.

В теории это могут быть любые пользовательские данные вроде интернет-трафика (большую часть которого невозможно расшифровать), текстовых и голосовых сообщений.

Заранее размеченные данные используются для поиска и «постановки объектов на контроль», то есть осуществления спецслужбой прицельной слежки.

  • Фамилия, имя, отчество
  • Паспортные данные (серия и номер)
  • Идентификационный номер налогоплательщика
  • Адресная информация (почтовый индекс, страна, область, район, населенный пункт, улица, дом или строение, корпус, квартира или офис)
  • Адрес электронной почты
  • Номер удостоверения водителя транспортного средства
  • Государственный регистрационный номер транспортного средства
  • Дата и времени
  • Геолокация
  • Геотрек)
  • Полное или сокращенное наименование юрлица
  • ОГРН
  • ЕГРЮЛ
  • Номер телефона
  • Идентификатор сим-карты (IMSI)
  • Идентификатор телефона (IMEI)
  • Номер банковского счета
  • IP-адрес

Как ФСБ следит с помощью СОРМ: мониторинг в режиме реального времени

Насколько мы понимаем, сотрудник ФСБ может поставить на контроль любой размеченный тип данных. Это может быть имя человека, банковский счет или даже произвольный многоугольник на карте. По мере появления новых данных, соответствующих критериям из запроса, компания должна автоматически передавать их в ФСБ.

Передача результатов выполнения запросов постановки объектов на контроль осуществляется в непрерывном режиме, т. е. без дополнительных запросов от ПУ.

К примеру, поставив на контроль телефонный номер, сотрудники спецслужбы могут в режиме реального времени отслеживать все перемещения его владельца по России. А выбрав конкретную область на карте, наоборот, получать списки всех, кто туда приходит или приезжает.

Компания не имеет право самостоятельно снимать объект с контроля. Это можно сделать только через пульт управления ФСБ, указав уникальный идентификатор снимаемого запроса.

Все запросы на постановку и снятие с контроля отправляются по адресу http (s)://<IP-адрес или доменное имя>:<порт>/subscription.

Как расширяли полномочия ФСБ

ФСБ дали право требовать от операторов связи отключать интернет — где угодно и насколько угодно Расширять и без того безграничные полномочия спецслужбы будет лично Путин

6 карточек

Что ФСБ может искать с помощью СОРМ: запросы позволяют конструировать сложные критерии отбора данных

Поисковые запросы, в отличие от «постановки объекта на контроль», работают с архивными данными. Они не похожи на привычный нам поиск в интернете, поскольку позволяют искать только по заранее определенной схеме данных размеченных объектов. Пульт управления ФСБ сначала должен раздобыть ее, отправив специальный запрос getSchema. А сервер СОРМ обязан уведомлять о каждом изменении этой схемы.

Поиск позволяет использовать привычные логические функции «и» (AND), «или» (OR), «не» (NOT). То есть, например, можно указать контролируемый периметр на карте и изучить всех посетителей, исключив из выдачи всех когда-либо находившихся там офицеров спецслужб.

Для объектов с числовыми значениями (вроде даты и времени) можно использовать операторы сравнения или задавать диапазоны. Это позволит сузить выдачу из предыдущего примера несколькими днями или часами.

Самая интересная особенность поисковых запросов — возможность использования регулярных выражений. Это формальный язык для описания шаблонов поиска в строках. С помощью регулярных выражений можно находить фрагменты текста по определенным правилам. Например, можно задать шаблон для поиска всех почтовых адресов Proton. Или всех телефонов с «красивыми» номерами, определившись сначала с критериями «красоты».

Все поисковые запросы отправляются по адресу http (s)://<IP-адрес или доменное имя>:<порт>/query.

Если запрос оказался слишком сложным, он становится отложенным

Когда сервер СОРМ не справился с ответом на поисковый запрос за какое-то заранее определенное время, такой запрос получает статус отложенного. Пульт управления ФСБ будет постоянно справляться о его судьбе.

В спецификациях предусмотрен вариант, когда сервер просто не справится с задачей и прервет ее выполнение. Либо сотрудники ФСБ сами отменят запрос.

Временные рамки для присвоения поисковому запросу статуса отложенного определяются индивидуально по согласованию с ФСБ.

Вероятно, за СОРМ в какой-то момент тоже следил другой Большой брат

Спецслужбы США (возможно) взломали СОРМ — систему слежки за жителями России, которую использует ФСБ Американский хакер утверждает, что обнаружил эту информацию в секретных документах АНБ из утечки Сноудена

Вероятно, за СОРМ в какой-то момент тоже следил другой Большой брат

Спецслужбы США (возможно) взломали СОРМ — систему слежки за жителями России, которую использует ФСБ Американский хакер утверждает, что обнаружил эту информацию в секретных документах АНБ из утечки Сноудена

Денис Дмитриев