В конце августа агентство Bloomberg
связало проблемы с интернетом после выборов в Беларуси с программными продуктами американской компании Sandvine. Та сперва пошла в отказ, а потом
признала, но с оговоркой: сотрудничество с белорусскими властями не нарушало санкций США. Что известно о Sandvine и ее продуктах? Каким образом компания причастна к контролю интернета в Турции и Египте? Рассказываем.
Но сперва вкратце об актуальном. Сотрудничеством Sandvine и Беларуси заинтересовались американские власти и правозащитники. Во вторник, 15 сентября, компания публично заявила, что в ее продукты, поставленные в Беларусь, был внедрен кустарный код для препятствования свободному потоку информации во время выборов в стране.
«Это нарушение прав человека, которое привело к автоматическому прекращению действия нашего лицензионного соглашения с конечным пользователем, — говорится в заявлении Sandvine. —
Наша компания очень серьезно относится к нарушениям прав человека. Мы также не приемлем использование технологий для ограничения информации, которое в итоге приводит к нарушению прав человека».
По данным Bloomberg, представители Sandvine лично встречались с белорусскими чиновниками в мае, демонстрируя возможности оборудования, способного закрывать доступ к самым разным веб-сайтам. Через российского подрядчика Jet Infosystems специалисты отгружали технику для ее установки на двух объектах в Минске. Во время общенациональных протестов блокировке подверглись тысячи сайтов.
Белорусские власти утверждали, что интернет в Беларуси «убивают» «из-за границы», а не по их инициативе.
Инвесторы с сомнительной репутацией
Компания Sandvine была основана в 2001 году в Канаде. На ранних этапах своей деятельности она продавала провайдерам продукты по управлению перегрузками на инфраструктуре. Широкополосный доступ в интернет активно рос, как и число абонентов и их запросы к пропускному каналу.
Современная и куда более интересная история Sandvine началась в 2017 году, когда ее за $562 млн выкупила инвестиционная компания Francisco Partners. Материнская компания приняла решение объединить Sandvine с другим своим активом — Procera Networks.
Procera в 2002 году начинала с поставки сетевых коммутаторов, а потом переключилась на продукты по управлению пропускной способностью на инфраструктуре провайдеров интернета. Работала со шведскими операторами, вышла на американские биржи, а в 2015-м была куплена инвесторами из Francisco Partners.
Слияние Sandvine и Procera Networks не осталось незамеченным. Профессор Рональд Дейберт, директор исследовательской лаборатории Citizen Lab при Университете Торонто в Канаде, высказал озабоченность и посоветовал федеральным властям внимательнее присмотреться к сделке, так как Procera Networks была замечена в поставке продуктов для контроля над доступом граждан в интернет в Турцию и Египет.
«Sandvine может оказаться втянута в орбиту теневого преступного мира государственного шпионажа. Это поставит черную метку на репутации Канады», —
заявил Дейберт. Его смущало, что фирма с мощными технологиями попадет в руки людей, которые не проявляют озабоченности по поводу злоупотребления своими продуктами и услугами.
В частности, Дейберт упомянул израильскую фирму NSO Group, которой на тот момент владели инвесторы из Francisco Partners. Ее создали выходцы из израильской разведки, а их ПО связано со слежкой через мобильники. Известно, что клиентами компании были страны Латинской Америки и арабского мира. Их ПО оказалось задействовано для слежки за журналистом из Саудовской Аравии Джамалем Хашогги, который был расчленен на территории консульства этой страны в Стамбуле в 2018 году.
Софт от Procera Networks Дейберт называл замешанным в «программе массовой слежки в Турции». Однако в самой компании такие обвинения отвергли:
«Мы решительно поддерживаем основные принципы прав человека, помогаем телеком-операторам работать эффективнее».
Черные следы Procera Networks
Procera Networks мелькала в СМИ уже в 2016 году. Тогда поводом стало внутреннее письмо старшего технического инженера компании Криса Андстена, который проработал там девять лет:
«Я не хочу провести остаток своей жизни с сожалением о том, что был частью безумия Эрдогана, поэтому я ухожу, — цитировало это письмо издание
Forbes. —
Недавний запрос из Турции… подвел для меня черту. Вкратце: мы продаем решение для извлечения имен пользователей и паролей из незашифрованного трафика».
Оператор Turk Telekom покупал софт — по официальной версии, чтобы отслеживать мошенников. Шведские инженеры посчитали, что невинная на первый взгляд технология будет превращена в инструмент слежки для режима, который становится все более репрессивным. Эксперты в сфере информационной безопасности сравнивали продукты, которые продавала Procera Networks, с оружием в арсенале Агентства национальной безопасности США.
На условиях анонимности бывшие и нынешние сотрудники Procera Networks рассказали журналистам, что Turk Telekom собиралась отслеживать не только логины и пароли, но и IP-адреса, а также историю посещения сайтов:
«Поставка в Турцию — это крупномасштабное наблюдение за населением». Эта технология может использоваться для деанонимизации пользователей сети. Согласно исследованиям, 61% из них используют один и тот же пароль для разных ресурсов. И стоит им засветить его на сайте, который не использует зашифрованное HTTPS-соединение, появляется шанс взлома на других платформах.
Сотрудники, которые пережили покупку Procera Networks в 2015 году инвесторами из Francisco Partners, отмечали, что с приходом нового руководства во главу угла был поставлен бизнес, а не человеческая этика. В 2014 году в компании был сформирован комитет по этике после того, как у нее появились клиенты с запросом на услугу глубокой проверки пакетов (Deep Packet Inspection, DPI) с Ближнего Востока. Однако деятельность этого комитета не была прозрачной для подавляющего большинства сотрудников компании.
Во всей этой турецкой истории существовало несколько «прокладок» между исполнителем и заказчиком. Непосредственно саму технологию покупал системный интегратор Sekom, а разработку модуля по извлечению логинов и паролей отдали на аутсорс некоей канадской фирме Northforge — чтобы не мучить этическими вопросами сотрудников самой Procera Networks. Тем не менее еще пятеро разработчиков уволились оттуда под общим лозунгом «Мы не хотим крови на нашем коде».
Расследование Citizen Lab
Уже упомянутый профессор Рональд Дейберт из Citizen Lab с 2001 года занимается изучением методов информационного контроля, фильтрации контента, сетевого наблюдения в разрезе прав человека. В 2018 году он с группой коллег опубликовал
доклад о том, как программный продукт Sandvine (и в прошлом Procera Networks) по DPI использовался для подлога и установки разработанных государством шпионских программ в Турции и косвенно в Сирии, для тайного сбора денег с помощью партнерской рекламы и майнинга в Египте, а также для блокировки сайтов в этих странах.
Глубокая проверка пакетов — это технология, которая умеет анализировать полное содержимое пакетов трафика и по косвенным признакам определять принадлежность трафика к определенным сетевым программам и протоколам передачи данных. Операторы связи часто используют DPI для того, чтобы блокировать торренты, замедлять или ускорять передачу данных от определенных приложений. Например, в свое время некоторые операторы использовали DPI для блокировки или замедления скорости трафика для Skype и других программ интернет-телефонии. Такое вмешательство в работу определенных приложений называли нарушением принципов сетевого нейтралитета.
Так вот, в отчете Citizen Lab Роберт Дейберт с коллегами обвинили Sandvine (и поглощенную Procera Networks) в том, что с помощью продуктов компании Turk Telekom перенаправляла пользователей, которые хотели скачать вполне легальные программы, на их версии со встроенным шпионским функционалом. Среди таких программ были Avast Antivirus, CCleaner, Opera, 7-Zip и другие. Подмена осуществлялась не только для турецких юзеров, но и для пользователей сети в Сирии.
В Египте эти же технологии использовались для перенаправления пользователей на партнерскую рекламу и браузерные скрипты для майнинга криптовалют.
К тому же в ходе анализа выяснилось, что софт Sandvine в Египте и Турции использовался для блокирования политического, журналистского и правозащитного контента. Среди заблокированных сайтов оказались ресурсы Al Jazeera, Wikipedia, десятки новостных сайтов, портал Human Rights Watch, «Репортеры без границ» и так далее.
Sandvine заверила, что лицензионное соглашение с белорусами было автоматически расторгнуто. Однако это не значит, что их продукты мгновенно перестали работать. Просто бывшему заказчику теперь не будут поставлять программные обновления и оказывать техподдержку.
«По крайней мере в краткосрочной перспективе оборудование не перестанет работать», — пишет журналист Bloomberg со ссылкой на заявление Sandvine.