Republic - По следам Яровой. К чему приведет новый закон против анонимных мессенджеров
nopaywall
29 мая 2017 г. Саркис Дарбинян.
Принять его будет легко, исполнять – сложнее. Но власти постараются.
Согласно утвержденной «Доктрине развития информационного общества до 2030 года» и «Стратегии развития информационного общества», которую Владимир Путин подписал в мае, анонимность в сети рассматривается исключительно как проблема, которая позволяет правонарушителям и преступникам быть безнаказанными. Предлагаемый сейчас законопроект о запрете анонимности пользователей мессенджеров вполне вписывается в общий тренд.
Авторы проекта – два депутата от «Единой России» и один от КПРФ – предлагают идентифицировать пользователей с помощью номера мобильного телефона на основании договора между мессенджером и сотовым оператором, а отправку сообщений между неидентифицированными пользователями полностью запретить. Текст почти один в один повторяет законопроект, разработанный Медиакоммуникационным союзом (МКС) в августе прошлого года. Это позволяет судить о том, что за его внесением в Госдуму стоят вполне конкретные лоббисты от операторов связи, которые имеют собственные бизнес-интересы, ведь рынок мессенджеров, очевидно, уменьшает аудиторию и капитализацию операторского бизнеса.
У законопроекта есть все шансы быть принятым до конца года по причине сегодняшней политической конъюнктуры, даже несмотря на единое мнение отраслевых организаций (в том числе РАЭК) и правозащитников о его вредности.
Что будет с анонимностью переписки после его принятия и есть ли способы ее сохранить?
Зарегулированные мессенджеры
С 2014 года мессенджеры попадают под понятие «организаторов распространения информации». Согласно закону №97-ФЗ (позже расширенному пресловутым «пакетом Яровой)», мессенджеры, признанные организаторами и включенные в реестр РКН, обязаны в течение трех лет хранить все метаданные и в течение шести месяцев всю переписку и весь контент, которым обменивались пользователи, а также предоставлять эту информацию по первому требованию российских спецслужб и правоохранительных органов.
Долгое время после принятия закона ничего не происходило. Но в последнее время Роскомнадзор стал вносить все больше и больше мессенджеров в реестр организаторов. Все российские сервисы, такие как «Агент Mail.ru», Snappy, «ВКонтакте», Mamba, Wamba, уже давно работают с российскими властями и сливают все, лишь бы к ним не было нареканий и бизнес продолжал функционировать. Недавно в этот реестр добавились китайские WeChat и Badoo, у которых в связи с собственным «домашним» регулированием такие требования не вызывают никаких вопросов. Однако вопреки постоянным разговорам Роскомнадзор еще не добрался до таких сервисов, как Viber, WhatsApp, Telegram, Jabber, которые используют алгоритмы сквозного (end-2-end) шифрования. Учитывая, как именно работает такой софт, российские исполнительные органы не спешат с их включением, видимо, потому, что прекрасно понимают, что даже если получат данные пакетов, то непонятно, что делать с этим огромным массивом зашифрованной информации, которую невозможно открыть без ключей. Законодатель уже обязал владельцев всех включенных в реестр мессенджеров сдавать ключи шифрования по требованию ФСБ. Но использование защищенного протокола HTTPS создает шифрованный канал между отправителем и получателем информации, ключ от которого ни оператор, ни ФСБ получить не могут.
Skype и Facebook Messenger тоже пока стоят в стороне. Хотя если сами мессенджеры откажутся сотрудничать с российским регулятором, то, очевидно, их ждет единственная и самая простая санкция – веб-сайты, их доменные имена и IP-адреса, где можно скачать дистрибутивы, будут заблокированы, а Роскомнадзор начнет требовать, как и в случае с LinkedIn, выпиливания приложений из магазинов AppStore и Play Market для российских юзеров.
Справедливости ради надо сказать, что не только российские власти сегодня хотят получить бэкдоры в сквозных зашифрованных приложениях. Так, Telegram все чаще попадает под прицел властей и западных стран. Но вопрос безопасности пользователей – это достаточно важный вопрос для любого сервиса, который позиционирует себя как защищенный. Уступки фактически будут означать смерть мессенджера, так как они повлекут за собой массовый уход пользователей в более безопасные приложения.
Анонимная анонимность
Далеко не все пользователи любых в мире онлайн-сервисов обладают достаточным уровнем анонимности. Некоторые сервисы собирают достаточно много данных. И даже если это не паспортные данные человека и его номера телефонов, то по крайней мере подсаженные на компьютеры файлы cookies и логи IP-адресов, с помощью которых при желании довольно просто определить пользователя интернета, его действия и местоположение, если только он не использует дополнительные меры защиты.
Но не все так однозначно. Например, многие современные сервисы требуют аутентификации по телефону. Но это нужно не для того, чтобы идентифицировать всех юзеров по заказу российских или еще каких-то силовиков и сливать информацию спецслужбам, а для удостоверения подлинности и непосредственного функционирования сервисов: добавления друзей или совместного использования мессенджера.
Важно также понимать, от кого мы хотим быть анонимными. Так, например, самое простое – сохранить свою анонимность для других пользователей. Можно быть вообще не анонимным либо анонимным для правоохранительных органов, но не анонимным для корпораций. А можно довести свою анонимность в сети до уровня 99%, как делают это шифропанки, отказавшись вообще от использования социальных сетей и популярного софта. У американской правозащитной организации EFF есть неплохой проект, посвященный сравнительному анализу всех защищенных мессенджеров по разным критериям. При подборе мессенджера, удовлетворяющего субъективным ожиданиям самого пользователя по уровню обеспечения анонимности и приватности, можно смело использовать эту таблицу.
Технологии против законов
Добиться содействия провайдеров и мессенджеров и обеспечить реальную деанонимизацию пользователей – настоящая проблема для властей. Фээсбэшные коробки, именуемые СОРМ, стоят на узлах всех операторов связи и в принципе позволяют сотрудникам службы безопасности осуществлять практически бесконтрольную прослушку любого пользователя рунета. Но надо понимать, что эта система практически бесполезна в случаях отправки зашифрованного трафика с использованием HTTPS, TLS, PGP и некоторых других протоколов шифрования. Даже если ФСБ перехватывает этот трафик, она его все равно не может прочитать. Без дешифровки такого трафика невозможно определить, по каким сайтам ходил пользователь и что он на них делал.
Поэтому перед спецслужбами сейчас стоит дилемма, что же делать, чтобы «пакет Яровой» хоть как-то работал. Ходят слухи, что в настоящее время ФСБ для перехвата и расшифровки трафика планирует использовать так называемую MiTM-атаку (Man in the Middle), по которой пользователю будет подменяться оригинальный сертификат на фейковый, и далее для глубокого анализа трафика – DPI-системы (Deep Packet Inspection), которые, в мечтах силовиков, должны быть установлены у всех провайдеров.
Подмена сертификата – абсолютно дикая история, которую всегда использовали кибермошенники. До сих пор это пытались сделать только в двух странах – Иране и Казахстане. Ну а DPI пока слишком дорогая, чтобы ее могли позволить себе все провайдеры. Очевидно, ФСБ не собирается за это платить и будет требовать от оператора связи ставить дорогостоящее оборудование за собственный счет. Но даже если эти меры будут внедрены, инженеры уже сейчас работают над тем, чтобы обезвредить подобные попытки спецслужб всего мира и особо ретивых законодателей некоторых стран, направленные на то, чтобы организовывать повальную деанонимизацию и осуществлять массовую слежку за собственными подданными. Уже сегодня больше половины всего мирового интернет-трафика передается в зашифрованном виде.
Еще один законопроект?
Новый законопроект, как и множество ранее принятых законов за последнее время, противоречит как российской Конституции, так и множеству международных стандартов в области прав человека и позиции ООН по вопросам анонимности и приватности в цифровую эпоху. На самих пользователей он не возлагает никаких дополнительных обязанностей. Зато он вводит новую правовую категорию субъектов – «организаторов обмена мгновенными сообщениями» – и возлагает множество новых обязанностей и ограничений на них.
Так, например, они имеют право обеспечивать передачу электронных сообщений только тех пользователей, которые идентифицированы операторами связи с использованием абонентского номера. При этом администрация мессенджера обязана обеспечивать рассылки государственного спама по требованию государственных органов и ограничивать по требованию Роскомнадзора рассылку массовых электронных сообщений, а также передачу электронных сообщений с информацией, признанной незаконной российскими властями. Ну а если мессенджер не будет соблюдать требования российских законов, ему грозит блокировка в России. Вот тогда, конечно, пользователи будут несколько поражены в правах, так как не смогут без технических костылей (VPN, Tor, анонимайзеры и др.) получить доступ к установочным файлам приложений. При этом речь пока не идет о том, что сами мессенджеры перестанут внезапно работать, а сообщения не будут доставляться. Российские власти довольно внимательно следят за опытом Китая, Ирана, Турции, Туркменистана, но пока не знают сами, как сделать это технически. Например, мессенджер Zello (особо популярный у дальнобойщиков), недавно заблокированный Роскомнадзором за отказ сливать данные пользователей и вставать на учет в РКН, прекрасно продолжает работать в стране, несмотря на блокировку в России с апреля текущего года.
Читайте ещё больше платных статей бесплатно: https://t.me/nopaywall