О том, почему в России невозможно создание «автономного Интернета» по китайскому образцу, и как можно критиковать власть, не попадая за решётку, рассказал технический директор РосКомСвободы Станислав Шакиров, выпускник факультета вычислительной математики и кибернетики МГУ, один из создателей Пиратской партии России.
РосКомСвобода – общественный проект, созданный для пропаганды идей свободы информации и саморегуляции Интернет-отрасли, информирования общества об ужесточении государственной политики в области Интернета и для помощи неправомерно заблокированным ресурсам.
Tinder
На прошлой неделе стало известно, что Роскомнадзор внёс в реестр организаторов распространения информации популярный сервис онлайн-знакомств «Тиндер» (Tinder) – с его помощью люди ищут себе спутников жизни и сексуальных партнёров. Отныне сервису придётся (?) передавать данные своих пользователей ФСБ.
Станислав Шакиров считает:
Первая мысль, зачем понадобились претензии к Тиндеру, – это чтобы не отвечать на Петербургском экономическом форуме про вопросы о Телеграме, которым все пользуются, в том числе и на форуме. Конечно, база данных сообщений Тиндера была бы очень интересна кому угодно, потому что это главный сборник компромата в мире. Но для Тиндера передача таких сведений губительна, и если бы они начали в России всё подряд передавать, у них пользователи «полетели» бы по всему миру, особенно в странах, которые следят за охраной частной жизни.
Как потом стало понятно, что бы там ни говорил Жаров, Тиндер готов работать в рамках стандартного законодательства, как оно работает во всём мире: вы присылаете решение суда, мы в ответ отправляем переписку конкретного человека, который судом признан подозреваемым либо виновным. Как я понимаю, Тиндер об этом и сказал, а Роскомнадзор это представил как победу – просто, чтобы не отвечать на неудобные вопросы.
Яндекс
4 июня стало известно, что «Яндекс» несколько месяцев не выдаёт по требованию ФСБ ключи шифрования к данным пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск». Свой отказ компания пояснила тем, что исполнение так называемого «закона Яровой» не должно вести к нарушению приватности данных пользователей.
Станислав Шакиров:
Яндекс сотрудничает со спецслужбами как минимум в рамках российского законодательства, предоставляет необходимые спеслужбам данные в случае запросов или судебных решений. Яндекс всячески отрицает сотрудничество со спецслужбами сверх законодательства, и ни разу на этом пойман не был. В сервисах, которые принадлежат Mail.ru Group, которые максимально лояльны государству, существуют терминалы для сотрудников полиции, чтобы можно было «ковыряться» в сообщениях пользователей или на закрытых страницах, но в случае с Яндексом мы не знаем о существовании таких интерфейсов.
История с требованием ключей – непонятная вещь. Я склонен верить, что какие-то запросы со стороны ФСБ в Яндекс приходили. При этом в законе написано, что организаторы распространения информации (у Яндекса два сервиса находятся в этом реестре – «Яндекс.диск» и «Яндекс.почта») должны полгода хранить голосовые и текстовые сообщения, изображения и иные электронные сообщения, которые передают между собой пользователи. ФСБ считает, что под «иные электронные сообщения» подходит и трафик между пользователями и сервисом. Логика подсказывает, что это не так, хотя известно, что к некоторым сервисам они уже обращались, и эти сервисы выдают им сессионные ключи. Мы не знаем примеров, когда ФСБ что-то из этого трафика извлекала, и это было использовано. Но знаем примеры, когда им предоставляли ключи, а они ничего не забирали.
И тут непонятна конфигурация с Яндексом. Действительно ли от них начала что-то требовать ФСБ, и они решили таким образом защититься с помощью общественного мнения, или что-то ещё. Но понятно, что технологически это требование обходится легко, потому что есть технологии, которые даже в случае сдачи сессионных ключей не позволяют читать трафик, и я думаю, этим все эти требования по прочтения трафика и закончатся, в конце концов.
«Суверенный Рунет»
Контролировать в Интернете что-то достаточно сложно, если это не имеет формы в оффлайне, и если на эти оффлайн-формы государство не имеет никакого воздействия – я имею в виду СМИ. Власть контролирует зарегистрированные СМИ просто потому, что есть лицензии, есть механизмы давления. Власть контролирует и Интернет-операторов, потому что на них можно влиять через лицензии. То есть, на всё, что имеет свою форму в реальном офлайновом мире, можно воздействовать. На то, что происходит в онлайне, воздействовать сложно: и по причине, что для власти не всё понятно, как работает, и потому, что многие ресурсы имеют другую юрисдикцию, тот же Фейсбук. Можно сказать, власти контролируют пену инфраструктуры Интернета, потому что Интернет в России создавался стихийно. Когда в 1990-е -2000-е годы появлялись операторы, они связку между собой делали напрямую. В итоге, это всё разрослось в огромнейшую сеть российского Интернета, очень крутую, большую, очень быструю и очень дешёвую – просто за счёт того, что она создавалась в рыночных условиях.
Как-то серьёзно влиять блокировками сложно. Как-то серьёзно фильтровать трафик сложно. Конечно, власти имеют влияние на людей, которые не очень хорошо общаются с компьютером: им заблокировали сайт, ну и они и не заходят, но при этом понятно, что люди моего возраста или помладше, когда видят, что что-то заблокировано, в Гугле набирают одну строчку, – как разблокировать, – попадают на первый же сайт, кликают на одну кнопку, после этого у них появляется плагин в браузере, который блокировки обходит. Понятно, что стопроцентного результата при нынешней инфраструктуре Интернета властям добиться невозможно ни по одному направлению, – ни по слежке, ни по цензуре, ни даже по наказанию посредников, как мы видим в истории с Телеграмом. Их заблокировали, при этом Телеграм год уже как работает отлично, никаких проблем.
Механизмы блокировки, которые сейчас есть в руках у Роскомнадзора, – это, в конечном итоге, игра в кошки-мышки, и эти кошки-мышки государство, скорее всего, никогда не выиграет, потому что рано или поздно появится спутниковый Интернет, до этого времени технологии будет модифицироваться айтишным сообществом так, чтобы механизмы блокировки работали хуже. Поэтому через год-два наше государство столкнётся с тем, что блокировать Интернет так, как он блокируется сейчас, уже будет невозможно. Механизмы, когда они выдирают из пакетов урлы (URL), уже работать не будут, потому что урлы будут передаваться в зашифрованном виде. Есть часть населения, на которой блокировки работают, но в общем и целом это бесконечные кошки-мышки, которые государство будет проигрывать всегда.
СОРМ
Если мы общаемся по мобильному телефону, звоним через вышки сотовой связи, – естественно, это всё прослушивается. В России, если не ошибаюсь, под слежкой находится порядка миллиона человек в год – по решению суда. Оно выписывается постфактум, предписание прокурора или решение суда. Этот миллион человек физически слушают, контролируют и прочее. Но как только мы с вами начинаем общаться, звонить друг другу не по телефону, а через Вотсап, Фейсбук или Телеграм, – тут без разницы, стоит этот чёрный ящик или не стоит. Чёрный ящик в этом случае может определить, – если у нас нет VPN, – только то, каким приложением мы пользуемся, и то с какой-то долей вероятности. А уж что там внутри происходит, они никогда не узнают. Поэтому в отношении чёрного ящика я бы исходил из понимания, что это бизнес, и очень прибыльный. При этом чёрный ящик даже может быть не подключен к Интернету. Были случаи, когда люди покупали для получения лицензии комплект СОРМ (Система технических средств для обеспечения функций оперативно-разыскных мероприятий), который они должны ставить в свою серверную и через него пропускать весь проходящий трафик, кто-то забывал его подключать к электропитанию, и ничего не происходило, никто к ним не приходил, не просили включить. Происходит это потому, что операторы и так хранят логи (записи коммуникаций), и сотрудникам спецслужб, вместо того, чтобы пройти достаточно длинный путь согласования возможности залезть в эту коробку, проще позвонить операторам связи. У них там есть специально обученный человек, который общается с органами, – и он в зависимости от той формы взаимодействия с государством, которую принимает оператор, либо безусловно отправляет, либо смотрит на наличие формальных оснований, – и всё равно отправляет это по почте. То есть, им невыгодно пользоваться чёрным ящиком, им и не пользуются. Это скорее бизнес-тема для заработка денег, нежели реальный механизм слежки сейчас.
Но тенденция развития технологий, мессенджеров, браузеров – все коммуникации зашифрованы, а это значит, что чёрный ящик не сможет ничего расшифровать, он сможет узнать о факте использования VPN, различных сервисов, Телеграма, Вотсапа по сигнатуре трафика – это как походка человека, по походке можно понять, что за человек, но куда он идёт, мы не знаем. То же самое с трафиком. Эти чёрные ящики могут, вероятно, блокировать сервисы, которые не захотят с ними бороться. Например, если Павел Дуров и Телеграм будут продолжать бороться с Роскомнадзором, то Дуров сможет обойти глубокую инспекцию проходящих пакетов, которая как раз показывает «походку», которая может определить, что этот трафик принадлежит этому приложению. Если Павел Дуров захочет бороться, он трафик Телеграма замаскирует под трафик какого-нибудь видеопотока с YouTube. Наши власти встанут перед выбором: либо мы гасим всё видео, которое идёт по Сети, либо у нас Телеграм будет работать. Но если какому-нибудь сервису будет всё равно, присутствует ли он на российском рынке, и он не будет бороться, то в этом случае можно будет его «потушить». Но о каком-то тотальном контроле говорить невозможно.
Слушают ли нас спецслужбы?
Если мы общаемся не по мобильной связи, а через какое-то приложение, мы можем полностью рассчитывать на то, что наш разговор никто не слушает. Единственным исключением из этого являются так называемые уязвимости нулевого дня, то есть уязвимости в приложениях, о которых ещё не знает производитель. Эти уязвимости продаются на чёрном рынке, их покупают, в том числе, и государственные структуры для слежки. Но при этом надо понимать, что стоимость покупки этой уязвимости очень большая, я думаю, в 100-200 тысяч долларов можно оценить одну уязвимость.
Дальше человек должен понимать: есть ли у властей или у бизнес-конкурентов мотив потратить столько денег на получение информации у вас? Причём, не факт, что оно сработает. Понятно, что у Алексея Навального есть люди, мотивированные его слушать, они будут покупать эти уязвимости, будут его атаковать, чтобы слушать его переговоры, в том числе в Вотсапе и в Телеграме. Но если человек не является политически или бизнес-значимой фигурой, то, наверное, может считать, что его разговоры через приложения не слушаются, конечно, если не совершает глупости, не устанавливает непонятный софт на телефон, соблюдает минимальные правила информационной гигиены.
Станет ли Россия Китаем?
Российское государство хотело бы, конечно, чтобы контроль происходил как в Китае. Это как раз невозможно. Если бы в России все законы, которые были приняты, работали бы на 100%, то мы бы пришли не к Китаю, а к Северной Корее. Почему невозможна ситуация с Китаем? У Китая есть внутренний рынок на миллиард человек, за счёт этого в Китае существуют технологические компании, стартапы, которые работают только внутри китайского рынка. Все сервисы работают внутри китайского рынка на базе китайских компаний. Западные компании туда не пускают. Более того, создана такая система финансирования стартапов, венчурного капитала, что им и невыгодно идти на Запад, то есть намного выгоднее с точки зрения отдачи денег инвестировать в китайские стартапы. За счёт этого появляется возможность тотального контроля, поскольку рынок живёт внутри.
В России так сделать невозможно: в России нет достаточного рынка для того, чтобы мы могли функционировать сами в себе. Если мы идём по китайскому пути, обрубаем все западные сервисы, мы становимся Северной Кореей, где внутри нет ничего, а всё внешнее от нас отрезано. В конечном итоге, люди будут всячески пытаться использовать западные вещи, а если не получается их использовать, то технология начнёт загнивать, как, например, загнивает сейчас ЖЖ. Чтобы делать действительно классные сервисы, которые будут востребованы населением, нужны деньги – это дорого, это большой штат людей. На рынке в 140 миллионов человек, где Интернетом пользуются, наверное, 110 миллионов человек, это сделать просто невозможно. Поэтому Россия является частью западного IT-рынка. Когда российские компании понимают, что какую-то модель обкатали в России, они оставляют Россию среди своих рынков, но начинают развиваться в Европу и Штатах. Потому что этот миллиард западных людей, куда мы себя технологически включаем, достаточен для того, чтобы мог функционировать технологический бизнес.
Повторить китайский путь в России, по-моему, невозможно. Инфраструктура Интернета в России и в Китае разная, сейчас все эти китайские файрволы, слежки и прочее невозможно реализовать без монополизации рынка, инфраструктуры, а это быстро сделать нельзя, не меньше пяти лет. В России Интернет свободен был до 2012 года, вообще пользователи Интернета не чувствовали никакого государственного вмешательства – операторы связи чувствовали, у них было регулирование, а пользователи не чувствовали. Китайский Интернет появился уже закрытым. То есть, если у нас до 2012 года было разрешено всё, была полная свобода, а у Китая – чётко обозначенные границы, и за эти границы ты не можешь зайти технологически, у тебя нет инструментов. Только в десятые годы появились инструменты выхода за границу. Поэтому России сложно повторить китайский сценарий. Таким же он не будет точно; вероятно, будет какая-то другая форма.
Иран – это тоже определённая форма существования Интернета. Покрытие VPN в Иране побольше, чем в Китае: половина пользователей сидит в нашем общем глобальном Интернете; все, в целом, довольны.
Я склоняюсь к тому, что это будет скорее такую форму иметь, когда у нас есть видимость цензуры, видимость слежки, чиновники будут друг другу отчитываться, что в Интернете всё хорошо, но реальная жизнь будет происходить вне видимости всего этого.
При этом на самом деле нужно смотреть на детей, которым до 20 лет, от страны к стране. Например, в России школьники живут в таком мире «постпрайвеси», где они понимают прекрасно, что контакты, сообщения читаются, анализируются и прочее, их это полностью устраивает. Есть другие страны, типа Германии, Швейцарии, где молодежь вырастает с пониманием, что «прайвеси» (конфиденциальность) – это важно, нужно всегда сохранять свою анонимность и приватность. Я думаю, в ближайшие лет 10 мы получим новую концепцию прайвеси в «постпрайвеси мире».
Репрессии за высказывания в Сети
Здесь сложно, потому что я очень не хочу призывать к самоцензуре, но при этом, конечно, количество уголовных и административных дел за высказывания в Сети растёт. Нужно отдавать отчет в том, что вы пишете – на самом деле не что, а как: писать можно практически всё, цепляются у нас сейчас к форме высказывания. Поэтому если мы в процессе высказывания негатива, который действительно имеет место быть, оборачиваем это в форму, к которой формально прицепиться нельзя, то получается такая более защищённая позиция публичного спикера в Интернете.
И я вижу, люди действительно приходят к этому. Например, когда мы пишем «по-моему», мы не констатируем факт, а высказываем оценочное суждение. То же с флешмобом относительно «сказочного». Это стало мемом, его стали употреблять везде, но при этом все понимают, что нельзя определённые слова ставить рядом, я их тоже не буду сейчас произносить.