«Спецслужбы против TLS/SSL». Любая безопасность — иллюзия

13 комментариев
«Спецслужбы против TLS/SSL». Любая безопасность — иллюзия

Протокол HTTPS пока играет заметную роль в защите пользовательских данных. Однако тенденция происходящего такова, что TLS/SSL всё больше превращается в некую внешнюю декорацию, задача которой в навязчивом впечатлении, что приватность и секретность ещё доступны для любого обывателя.

Между тем, повсеместное подключение к системам типа СОРМ, которые позволяют прозрачно проводить глобальные MiTM-атаки, а также доступ спецслужб к корневым SSL-сертификатам и рукотворно-массовым уязвимостям в области ПО, превращают концепцию абсолютной безопасности HTTPS в утопичный рудимент.

Продолжаем разбор конкретных ситуаций, начатый в первой части статьи.

Коррупционно-финансовая компрометация и прямая криптографическая атака: что эффективней?

Грош цена SSL-сертификату

В прошлом году Mozilla Project буквально за руку схватила известнейший удостоверяющий центр Trustwave, который втихаря продавал корневые сертификаты (subordinate root). Под давлением доказательств Trustwave был вынужден официально признать вину, так и не назвав покупателя сертификатов. Пресс-релиз этого крупного удостоверяющего центра гласил:

«Выдача корневого сертификата сторонней компании для анализа SSL-трафика внутренней сети компании — это обычная практика».

Поясним последствия этого далеко идущего шага для публики. Наличие подобного вторичного корневого сертификата (subordinate root CA) у стороннего лица позволяет ему создать корректный и не вызывающий подозрения сертификат для абсолютно любого сайта в сети без привлечения удостоверяющего центра, авторизованного на выполнение подобных операций. В свою очередь это дает возможность проводить абсолютно «чистые» man-in-middle атаки, которые конечный интернет-пользователь никак не сможет отследить, что приведет к созданию ложных дубликатов известных сайтов и возможнсти прослушки их трафика.

Иными словами, эта невольно всплывшая «обычная практика» регистратора сводит замысел SSL полностью на нет. Trustwave не скрывает цели покупки сертификата её таинственным контрагентом, честно заявляя об этом в правдательном письме:

Сертификат продан с целью обеспечения работы системы корпоративного мониторинга утечек данных, то есть сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middle, путём генерации на лету валидных сертификатов для всех анализируемых сессий.

Несмотря на подчеркнуто повседневный тон ответа, шокированный им проект Mozilla разослал всем удостоверяющим центрам мира грозное письмо с требованием немедленно отозвать все выданные кому бы то ни было вторичные корневые сертификаты (sub-CA).

Аналогичные инциденты всплывают с пугающей регулярностью. Год назад исследователи случайно наткнулись «в дикой природе» на поддельный веб-сертификат для Google.com, который может быть использован для компрометации почтового сервиса Gmail. Расследование показало, что источником данного сертификата является французский центр SSL-сертификации IGC/A (также известный как ANSSI). Учредителем центра оказалась государственная контора French cybersecurity agency, которая не скрывает связей с местными спецслужбами. В ответ на разоблачение IGC/A промямлил «о случайной ошибке сотрудника», после чего отозвал все проблемные сертификаты.

С трудом можно представить, как сотрудники этого регистратора «случайно» ошибаются с написанием клиентского URL на gmail.com, а затем передают подобные сертификаты третьим лицам-клиентам, которые также исключительно по своей невнимательности начинают вовсю подписывать чужой для них домен…

С одной стороны, вал подобных сообщений нарастает с каждым днем. Например, Microsoft уже дважды вынуждена была корректировать свой Certificate Trust List (CTL) в Windows, выбрасывая оттуда «преступно выданные SSL-сертификаты» (вот пример такого случая). Набирает обороты самая настоящая эпидемия коррупционно-финансовой компрометации принципов SSL/TLS.

С другой стороны, когда следует повысить бдительность, Google планирует отказаться от использования проверок сертификатов на актуальность в онлайн-режиме (revocation checking) в будущих версиях Google Chrome. То есть, если раньше при подключении по протоколу HTTPS к любому сайту этот браузер делал дополнительный запрос в центр сертификации (Certificate Authorities) на предмет того, не отозван ли данный конкретный сертификат (как в случае с ANSSI), то теперь делать этого не будет.

Подкуп против криптографии

Это реальные примеры, связанные с «финансовой компрометацией» удостоверяющих сервисов по всему миру, которые можно приводить и дальше. А ведь более десятка подобных случаев — это лишь случайно выявленные следы подобной деятельности. Никто на систематической основе не проверял бизнес регистраторов. Не существует глобальной системы контроля оборота сертификатов. Но даже эти случайно всплывшие случаи убедительно доказывают, что вопрос компрометации SSL-сертификации сегодня сводится вовсе не к криптографической «чистоте» алгоритма или длине ключа, а исключительно к предложенной цене.

 

Аналогичные вещи творятся и на стороне системообразующего криптографического софта. Мы уже рассказывали о скандальной ситуации вокруг известных продуктов RSA, когда согласно источникам Reuters, АНБ тайно заплатила компании 10 млн долларов, после чего этот прославленный «крипто-бренд» внедрил скрытую уязвимость в ведущем продукте. Забавно другое: инициированная после этого инцидента независимая проверка продуктов RSA, похоже, открыла ящик Пандоры. На данный момент выявлен уже второй опаснейший баг, встраивание которого, вероятно, также «пролоббировано» спецслужбами США. Если прошлый баг был добавлен в генератор случайных чисел, то новая уязвимая технология — модуль Extended Random (ER), который по легенде призван существенно увеличивать уровень энтропии при генерации шифров Dual Elliptic Curve.

Иначе говоря, модуль ER предназначался для сверхсекретных данных, для защиты которых за дополнительную плату можно приобрести такой «усилитель» генерации ключей. Исключительно выгодная двойная монетизация здесь налицо: с одной стороны деньги несут благодарные клиенты, горящие желанием защитить свои интеллектуально-коммерческие секреты во враждебной капиталистической среде, с другой — банкет щедро оплачивают спецслужбы, испытывающие непреодолимый зуд знать всё про всех.

Нужная спецификация за мелкий прайс

Мы привели примеры, безусловно, печальных коррупционных тенденций со стороны ключевых криптографических сервисов и софта, которые в наше время стремительно набирают обороты. Следует добавить, что в последнее время стало проявляться уже характерное давление и на уровне спецификаций.

К примеру, буквально месяц назад рабочая группа HTTPBis Working Group предложила новый стандарт Explicit Trusted Proxy («Полностью доверенный прокси в HTTP/2.0») для новой версии протокола HTTP/2.0. В этом проектном документе описывается общий механизм прозрачной расшифровки транзитными провайдерами защищенных пользовательских данных «с целью их кэширования». Фабула документа на первый взгляд весьма позитивна: пользователи получат заметное повышение производительности, а провайдеры снизят трафик, проходящий через сетевые соединения. Для такого эффективного кэширования транзитного HTTPS-трафика разработчики стандарта предложили провайдерам получать у пользователей разрешение на динамическую расшифровку их данных для дальнейшего хранения в рамках транзитных прокси-систем. Вот цитата о сути новой инновации словами одного из сторонних экспертов:

«Из предложения следует, что интернет-пользователи должны соглашаться с тем, что они доверяют «промежуточным» сайтам (таким, как Verizon, AT&T и др.) и разрешают расшифровывать их данные для «предположительно» невинных целей, а затем шифровать заново и перенаправлять в пункт назначения в целях безопасности».

Несмотря на протест общественности, для которой нежелательный побочный эффект в области приватности от подобных действий очевиден, рабочая группа (ее главным спонсором является один из комитетов правительства США) категорична в своем стремлении сделать эту опцию частью будущего стандарта HTTP/2.0.

Как видно, не мытьём так катанием роль защищенных протоколов ради достижения «невинных целей» будет последовательно размываться и сводиться к нулю на самых разных уровнях: от их проектирования до реализации.

«И только бабло побеждает зло»

Технических специалистов такая откровенно пелевинская трактовка происходящего вокруг («… и только бабло побеждает зло») может несколько покоробить. Но по нашему искреннему убеждению, времена «грубой вычислительной силы» и безупречных криптоалгоритмов, подобно лихим 1990-м, канули в лету. На первый план выходит скрытое административное принуждение или коррупционные силы подкупа, дабы радикально оптимизировать «взлом» любой сложности, используя банальный человеческий фактор.

Наглядно проиллюстрировать эту нетехническую доктрину хотелось бы поучительной историей, позаимствованной с полузакрытого американского форума, где тасуются многочисленные стяжатели VPN и прочих чудес современной интернет-конспирации. Когда один из владельцев местного VPN-сервиса начал свой порядком заезженный рассказ о невозможности наезда властей США на его сервис (ведь он «физически расположен на территории Пакистана и Индии, то есть на недружественных для США территориях, с которыми отсутствуют соответствующие договора о правовой взаимопомощи»), в уже отлаженную легенду вмешался другой коллега, бывший владелец другого VPN-сервиса.

Во-первых, он честно признал, что за всё время работы в индустрии VPN так и не встретился с прессингом спецслужб и некими официальными претензиями со стороны других стран. Всё это, вероятно, есть, но встречается редко, заключает он.

Во-вторых, аноним привел личный пример ухода из бизнеса. Однажды неизвестные предложили ему 50 000 долларов за все данные о подключениях его клиента. Возможно, продолжил он, это неприятно удивит адептов сверхзащищенных сервисов «с двойной оберткой» из VPN (Elite VPN, Quad VPN, Double VPN и т.п.), но винчестеры с его серверов были отправлены скорой почтой на следующий же день после получения предложенных денег.

Источник завершил свой спич полезным нравоучением: если вы, к примеру, опасаетесь ФСБ РФ, не следует наивно полагать, что ежели ваш VPN-сервер расположен в юрисдикции США, то этим вы надежно защищены от возможных поползновений непомерно длинных рук «кровавой гэбни». Российские нефтедоллары в США любят не меньше, чем на родине, и они уже давно отворяют по всему миру многие, даже самые укрепленные изнутри криптосистемы двери. Поэтому, каких бы разных политических стандартов не придерживались страны, подобные деликатные вопросы уже давно и вполне успешно решаются в p2p-режиме (на частном уровне) в хоаде банального торга с владельцем анонимизирующего сервиса. Конечно, при условии, если у вашего визави есть реальные возможности и горячее желание вас достать. «Как видите, между США и Россией гораздо больше общего, чем это предполагают многие политики», — ехидно заключил упомянутый анонимный источник.

Мнение типичного обывателя-технаря, не догадывающегося о чарующей силе больших денег

Дополнительно следует учесть, что в последнее время появляется всё больше специализированных технических средств и детективных агентств для эффективной деаномизации сетевых сущностей за «мелкий прайс», о методах работы которых можно почитать, для примера, вот здесь.

Контуры необъявленной войны против HTTPS

Если сопоставить всё сказанное, возвращаясь к загадочной истории с Facebook и ФСБ, запросто читающей чужую защищенную переписку, неизбежно возникает вопрос: а можно ли вообще доверять корневым центрам сертификации сегодня? К примеру, расположенным на территории РФ, а потому косвенно подчиненных тому же ФСБ РФ? Предлагаем каждому ответить на него самостоятельно. Отметим лишь, что приведенные выше разрозненные факты органично объединяются в рамках этого допущения.

В угоду уже упомянутому Пелевину обобщим суть этого тренда его известной фразой, немного переиначенной под наш контекст: «любая безопасность криптотехнологий – иллюзия, и только бабло всегда побеждает зло».

Конкретные технические характеристики и теоретическая устойчивость SSL/TLS сегодня меркнут, становясь уделом диспута отдельных «частных» хакеров и других представителей «старой школы», не гнушающихся лобового решения сложных проблем. На уровне же больших игроков — «сормостроителей» — искусство выкручивания рук подручным «кнутом и пряником» достигло невиданных высот и изощрённости.

Как минимум, согласно документам Эдварда Сноудена, в рамках АНБ существовала специальная программа финансирования подкупа разработчиков и компаний, а также обнаружения новых и пока неизвестных ошибок уровня 0day. В частности, в рамках проекта Bullrun на нейтрализацию сильной криптографии, встраивания в известные продукты и библиотеки закладок для спецслужб США, а также на целенаправленное ослабление международных алгоритмов защиты данных в течение 2010 года было потрачено несколько миллиардов долларов. В top-3 по степени приоритетности этой подрывной работы был внесен именно взлом/ослабление протоколов семейства TSL/SSL. Убеждены, что подобные работы ведутся по всему миру, и Америка в этом смысле не уникальна, а выделяется скорее лишь масштабами такой деятельности.
 

Фото: nolifebeforecoffee

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

Самые популярные приложения в Беларуси — только VPN
Самые популярные приложения в Беларуси — только VPN
Самые популярные приложения в Беларуси — только VPN
Сообщают о проблемах с Telegram, VPN. zubr.in,
Сообщают о проблемах с Telegram, VPN. zubr.in, "Голос" недоступны
Сообщают о проблемах с Telegram, VPN. zubr.in, "Голос" недоступны
3 комментария
VPN-сервис TunnelBear дарит белорусам по 10Гб трафика
VPN-сервис TunnelBear дарит белорусам по 10Гб трафика
VPN-сервис TunnelBear дарит белорусам по 10Гб трафика
1 комментарий
Хакеры показали, как устроить транспортный коллапс с помощью светофоров
Хакеры показали, как устроить транспортный коллапс с помощью светофоров
Хакеры показали, как устроить транспортный коллапс с помощью светофоров

Обсуждение

Anonymous
Anonymous PM в IBA Group
-2

Интересная статья.
Я знал что SSL как и алгоритмы типа RSA - весьма ненадежные штуки. США зорко следит, чтобы технологии сильного шифрования не уходили за рубеж. Те размеры ключей которые доступны простым смертным факторизуются на современном оборудовании за несколько часов.
Исходя из статьи, ещё одна дырища открыта.

Выход - если кому надо приватность, самое надежное - собственные алгоритмы по принципу черного ящика со своими ключами. Не обязательно симметричными алгоритмами, обязательно собственным генератором случайных чисел.

Но такие специфические продукты не заинтересуют широкую аудиторию, только тех кто в теме. А это спецы-айтишники и госорганы.

Поэтому никто не будет заморачиваться, а оставят все как есть.
Программисты будут делать вид что SSL это круто, а обыватели - доверять.

2

> "Я знал что SSL как и алгоритмы типа RSA - весьма ненадежные штуки. США зорко следит, чтобы технологии сильного шифрования не уходили за рубеж. Те размеры ключей которые доступны простым смертным факторизуются на современном оборудовании за несколько часов."

Конспирология ок.

> "Выход - если кому надо приватность, самое надежное - собственные алгоритмы по принципу черного ящика со своими ключами. Не обязательно симметричными алгоритмами, обязательно собственным генератором случайных чисел."

Очень смешно. Казалось бы, столько примеров было, что security by obscurity не работает... Ну и я бы с удовольствием поглядел на исходники вашего собственного ГСЧ.

Anonymous
Anonymous PM в IBA Group
0

security by obscurity - не верьте википедии и рекомендациям - мир меняется. если алгоритмы более-менее замудреные, не простые подстановки, то это более надежный вариант.
RSA ломается техническими средствами без привлечения людей. Алгоритмы известны, матемматическая модель взлома тоже.

Если надо взломать что-то специфическое, это надо злоумышленнику ещё найти человека который за это возьмется. Потом уйдет время на анализ вашей писанины и взлом. За это время вы успеете сменить алгоритмы.

ГСЧ:
в юношестве баловался писал. Надежный ГСЧ должен базироваться на источнике из внешнего мира который нельзя воспроизвести, кто-то счетчики гейгера использует. Можно веб-камеру, микрофон компьютера, попросить человека ввести текст и паузы между нажатиями клавиш использовать для генерации.

2

> "security by obscurity - не верьте википедии и рекомендациям - мир меняется. если алгоритмы более-менее замудреные, не простые подстановки, то это более надежный вариант."

Каждый раз, когда такое слышу, вспоминаю http://it.slashdot.org/story/08/02/19/0213237/cracking-a-crypto-hard-drive-case

> "RSA ломается техническими средствами без привлечения людей. Алгоритмы известны, матемматическая модель взлома тоже."

Интересно. RSA-1024 has 1,024 bits (309 decimal digits), and has not been factored so far. Наверное, опять власти скрывают.

> "Если надо взломать что-то специфическое, это надо злоумышленнику ещё найти человека который за это возьмется. Потом уйдет время на анализ вашей писанины и взлом. За это время вы успеете сменить алгоритмы."

Типичный FUD.

Anonymous
Anonymous PM в IBA Group
0

чем смущают шифры подстановок? это история. шифр Цезаря, энигма. слышали наверное. Может терминология счас уже другая. давно бросил увлечение криптографией - поэтому не знаю какие книги счас читают.

>Типичный FUD.
О многих вещах даже авторитетные авторы не пишут.
Попробуйте найдите конкретные алгоритмы по которым якобы биржи расчитывают стоимость акций в зависимости от спроса и предложения. Книжек много, авторы авторитетные, но этот простой вопрос аккуратно обходят.

По безопасности и шифрованию: поверьте это не догадки - сталкиваюсь с многими интересными фактами по работе. Уже ничему не удивляюсь. В интернете иногда случаются утечки. В реальности все брутальнее, чем пишут.

>RSA-1024
погуглите, есть очерки что факторизация 1024-битного ключа возможна уже в 2014 за счет обычных компьютеров.
А как насчет квантовых компьютеров, которые уже выпускаются на рынок? Алгоритм Шора для них имеется.

так что самое надежное - лом и лопата, ну или XOR и ГСЧ.

1

> "чем смущают шифры подстановок?"

wat?

> "О многих вещах даже авторитетные авторы не пишут."
> "По безопасности и шифрованию: поверьте это не догадки - сталкиваюсь с многими интересными фактами по работе. Уже ничему не удивляюсь. В интернете иногда случаются утечки. В реальности все брутальнее, чем пишут."

Ну вот опять теория заговора.

> "погуглите, есть очерки что факторизация 1024-битного ключа возможна уже в 2014 за счет обычных компьютеров."

'очерки' это очень мило, давайте уж ссылки на них что ли. А куда делась та самая ваша 'модель взлома'? Что с 2048-битными ключами делать,(это всё-таки более реалистичный пример)? Что с ElGamal и эллиптическими кривыми? Что с симметричным шифрованием?

> "А как насчет квантовых компьютеров, которые уже выпускаются на рынок? Алгоритм Шора для них имеется."

Это D-Wave что ли? Ну если бы они продемонстрировали, что на их девайсе работает алгоритм Шора, то все вопросы к ним сразу же отпали. А пока непонятно, можно ли это вообще QC называть.

> "так что самое надежное - лом и лопата, ну или XOR и ГСЧ."

Обмен ключами тоже сами изобретем, ведь криптография - это просто!

Anonymous
Anonymous PM в IBA Group
0

Как говориться - верить или не верить ваше право.

Зачем изобретать обмен?
Самый надежный - из рук в руки, оффлайн так сказать.
Хотите сделать супернадежный канал?
Покупаете 1ТБ веник, генерите 1ТБ случайных чисел (действительно случайных). одну копию себе, другую на купленный веник.
Завозите веник лично контрагенту. Далее путем простого XORа или другой операции, получаете 100% гарантию что ваш код не взломают в течение 1го терабайта обмена.
Если использовать экономно, хватит на очень долго.
Надо только компы защищать от атак - это отдельная больная тема.

0

Самая лучшая защита - то, что никому нафиг не надо всерьёз заниматься.
Если уж дошло до "всерьёз заняться", то почему кто-то, кто полезет разбираться один раз, не сможет это сделать сразу же второй раз, после "смены алгоритмов"? И откуда такая уверенность, что просто получится всё учесть и создать невзламываемое? Откуда уверенность, что пока вы радуетесь, что можете передать сообщение по сети "максимально секьюрно", кто-то просто не читает его незаметно на вашем компьютере в момент создания?
И откуда уверенность, что "свои решения" не станут тем флажком, после которого "ты нам нафиг не нужен" не превратится в "а что это он там прячет"?

Anonymous
Anonymous PM в IBA Group
0

Да, все правильно говорите.
Идеального ничего не создадите. все можно взломать и прослушать, в крайнем случае паяльником добыть. :)
можно лишь минимизировать риски.

-1

Опять Игорь покурил забористой травки. И опять кругом мерещатся заговоры и шпиёны.
Ломать и слушать будут только ту информацию, которая этого заслуживает. 99.(9) тут присутствующих не удостоятся такой чести, не вышли чином, как говорится. Это как о том неуловимом Джо - он просто никому не нужен. А те, кто нужен - тех взломают и прослушают. Не получится взломать почту или разговор - к яйцам нож приставят если информация того заслуживает. А не заслуживает - так и кипишить нечего.

1

Во-первых, эти две статьи вообще про то, что https не выполняет свою техническую функцию по отношению к большим игрокам сего мира.

Во-вторых. По существу вашего частного оффтопичного утверждения – вы или не в курсе, либо троллите меня. Но на всякий случай докладываю -старая тема "я всего лишь рядовой сотрудник ИТ-компании, кому я нужен" – уже настолько в трендах, что превратилась в мем.

Из последнего:

"The document describing the attack on the business, part of the so-called Mittelstand of small- to medium-sized companies that form the backbone of the German economy, originates from the Network Analysis Center of Britain's GCHQ, which is based in Bude along the Atlantic coast in Cornwall. The document lists "key staff" at the company. The document states they should be identified and "tasked." "Tasking" somebody in signals intelligence jargon means that they are to be targeted for surveillance. In addition to CEO Christian Steffen, nine other employees are named in the document.

The attack on Stellar has notable similarities with the GCHQ surveillance operation targeting the half-state-owned Belgian provider Belgacom, which SPIEGEL reported on in the summer of 2013. There too, the GCHQ Network Analysis department penetrated deeply into the Belgacom network and that of its subsidiary BICS by way of hacked employee computers. They then prepared routers for cyber-attacks."

https://s3.amazonaws.com/s3.documentcloud.org/documents/1301056/tm-g-401.pdf

Сейчас фиксируется просто вал компьютерных операции против простых сетевых администраторов и безопасников, инженеров из обычных сетевых/IT-компаний со всего мира. Ключевое слово GCHQ, введение в тему можно здесь взять: http://m.livejournal.com/read/user/sporaw/225021

Краткое содержание - если вы пишите финансовый или банковский софт, если вы админ локальной сети гос.учерждения или банковской структуры, если вы администратор баз данных с любыми приватными данными, если вы при этом НЕ гражданин США и т.д.… () – вы очень интересны для GCHQ и FVEY, они проводят массовые операции по затроянивании подобных людей и их средств коммуникаций на ОЧЕНЬ серьёзном уровне. Мне просто лень сейчас гуглить и выкладывать для вас дайджест историй подобных скандалов. Это всё равно лишь верхушка айсберга.

Поэтому позвольте, уважаемый забаданщик, трава в Беларуси под запретом, я больше по части курева новостей. Возвращаясь к теме, я лишь хотел повторить обозначенное в заголовке – не стоит отныне полагаться на TLS/SSL, если вам есть что скрывать про себя + вы относитесь к описанной мною выше группе риска. Стабильный интерес есть уже даже к рядовым айтишникам, волею судьбы сидящих на "особых местах".

-3

Позвольте, уважаемый Игорь, что от утверждения "не стоит отныне полагаться на TLS/SSL, если вам есть что скрывать про себя + вы относитесь к описанной мною выше группе риска" не то что веет - шмонит параноей.

Мною интересуются GCHQ и FVEY? Да и флаг им в руки. Что потеряю я от этого их интереса? Пусть знают что я кушал на завтрак и цвет моих носков... Узнают. Дальше будут интересоватся? Да нет, если эта информация будет менее ценной чем затраты на её получение. Взломают половину локалок в стране и узнают, что Вася на работе любит смотреть порнушку, а Мариванна сериалы и что дальше?

Посмотрите на статьи на деве. Тут сплошные Мариванны. Как введение в тему, перед курсом рекций по сетевой безопасности ваша статья наверное вполне подошла бы. Но тут?!

ЗЫ а сетевеки в серьезных структурах часто весьма продвинутые в вопросах безопасности, не думаю что они прочитав статью вынесут для себя что то полезное.

ЗЫЫ дописал и осенило :) Ваша цель шокировать местных Мариванн? Эдакий страшный сериал от Игоря...

0

На какой-то печальной ноте безысходности закончилась статья.. А как же дать людям надежду? :)
Мне вот понравилась идея отсюда - https://www.youtube.com/watch?v=fitMiXA2btk о том, что если лишить все эти госорганы возможности бесконтрольной печати денег и соответсвенно достаточного финансирования всей этой дорогостоящей слежки, то им станет не до этого

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже