Плохой ответ на мнимые угрозы
Член КГИ Иван Бегтин о попытках запрета VPN и анонимайзеровЗаконопроект о запрете обхода блокировок в рунете говорит прежде всего о том, что российские законодатели не знают, как устроена сетевая инфраструктура, не понимают разницы между приватностью и анонимностью, не видят последствий принятия решений и, самое главное, не сознают цены ошибки.
Кому нужен VPN
Virtual Private Network (VPN, виртуальная частная сеть) и анонимайзеры – это две очень давние технологии, привлекшие к себе повышенное внимание в России на фоне активных блокировок со стороны Роскомнадзора. VPN – обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, интернета). Что это означает на практике? В большинстве случаев это построение аналога внутренней сети, работающей по защищенным криптоалгоритмами протоколам поверх имеющихся сетей. Когда интернет получил распространение, виртуальные частные сети оказались одним из наиболее универсальных решений, которым учат и сетевых инженеров, и специалистов по компьютерной/сетевой безопасности.
Эти технологии буквально с самого начала востребованы коммерческими и государственными компаниями, озадаченными приватностью внутренних коммуникаций, переписки, банковских транзакций, передачи документов, имеющих статус служебной или коммерческой тайны. Трудно сейчас представить себе крупный банк или корпорацию, в которой не использовались бы технологии VPN. Все они используют виртуальные частные сети и другие механизмы безопасной передачи данных не только и не столько из опасений, что государство залезет в их внутреннюю кухню, сколько по причине опасности со стороны хакеров, конкурентов, спецслужб из других стран. VPN используют практически все крупнейшие корпорации в России, госкорпорации, наиболее продвинутые органы власти для организации дистанционной работы. Это технологическая норма. Сотрудники многих международных компаний в России работают на дому, имея VPN-подключение к внутренней сети их корпорации, откуда они получают доступ в интернет через специальные шлюзы. Они не замечают блокировок сайтов и никогда их не заметят, если эти шлюзы имеют выход в интернет не через российских провайдеров.
Но не только они имеют такую возможность. За годы блокировок в Китае, Иране, Турции и многих других странах доступ к VPN перешел из корпоративного мира в частный и значительно упростился. Если еще несколько лет назад для настройки VPN-соединения надо было иметь доступ к удаленному серверу и настраивать не всегда самое простое программное обеспечение, то сейчас в сети есть десятки коммерческих сервисов, продающих за 1–30 евро в месяц виртуальные частные сети. Спрос на эти сервисы давно и активно растет. И дело тут не в возможности обхода блокировок. Главная причина – возможность ухода от слежки, но не слежки спецслужб, которым мало до кого есть дело, а слежки интернет-провайдеров, торгующих историей посещений вами веб-страниц в целях уточнения рекламных предложений в ваш адрес.
Провайдер не может не следить
11 марта 2016 г. Арбитражным судом г. Москвы было вынесено решение по иску Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по ЦФО к ответчику ПАО «МГТС». Это дело уникально. В нем всплыла технология контентной фильтрации, реализуемой как минимум в одном крупном интернет-провайдере, а как максимум – во всех интернет-провайдерах упомянутых там компаний, внедряющих системы контентной фильтрации, совмещенные с системами таргетированной рекламы.
Из материалов дела можно узнать, что через систему контентной фильтрации проходит весь трафик за исключением трафика HTTPS (https – специальный протокол расширения протокола http для доступа к веб-сайтам, обеспечивающий безопасную передачу данных, которую не может перехватить, например, ваш провайдер). Но этот подход базируется на довольно спорном предположении, что если сайт использует протокол http, то все, что передается, не может быть приватным. Есть много примеров, когда передача важной информации осуществляется по открытым протоколам. Скажем, сайт обращений к президенту letters.kremlin.ru не поддерживает https – т. е. ваш провайдер имеет возможность перехватить ваше обращение, и даже ваш работодатель, если вы делаете это из рабочей сети.
Интернет-провайдеры – это главные наблюдатели за всей вашей сетевой активностью. И только часть этой слежки они осуществляют из-за требований закона, куда важнее, что многое они делают по собственной инициативе, зная, что могут заработать, продавая информацию о вас рекламным агентствам. До сих пор ни один провайдер не обещал в своих тарифах, что он не следит за вами, не публиковал этических деклараций по использованию данных. VPN – одно из немногих решений, позволяющих этой слежки избежать. Один из немногих способов сохранить свою приватность, не прибегая к анонимности. И здесь пора разграничить эти понятия.
Приватность или анонимность?
В чем разница между приватностью и анонимностью? Приватность – это когда в ваш дом никто не может проникнуть без вашего разрешения, а на тех, кто подсматривает в бинокль издалека, вы можете подать в суд. Анонимность – это когда никто не знает (не может доказать), что это ваш дом.
Приватность в интернете заключается в том, что вас не сильно беспокоит, знает ли кто-то, что вы связываетесь с неким интернет-сайтом, но вы не хотите, чтобы кто-либо знал, что именно находится внутри ваших коммуникаций. Обмен сообщениями в защищенных мессенджерах – это приватный обмен. Личность вашу и вашего собеседника можно установить, но предмет переписки остается между вами. Анонимность – это право сокрытия личности. Например, когда вы не желаете, чтобы какая-либо ваша публичная активность была явно ассоциирована с вами. Да, анонимность может использоваться и в противоправных целях, но анонимность критична в тех случаях, когда она затрагивает журналистские расследования, она часто необходима для расследований против коррупции, взаимодействия с правоохранительными органами.
Анонимность в интернете ранее обеспечивалась тем, что большая часть провайдеров не имела технической возможности долго хранить протоколы работы пользователей, посещения ими веб-сайтов, трафика и т. д. По мере того как технические возможности росли, стали появляться специальные сервисы – анонимайзеры, которые за несколько евро дают возможность скрывать свой IP-адрес, прикрываясь адресом самого анонимайзера. Самая известная сеть анонимизации Tor не только включает анонимность подключающегося к ней пользователя, но и позволяет создавать анонимные сервисы, веб-сайты. Значительное число сервисов анонимайзеров существуют только для посещения веб-сайтов и предоставляют эти услуги за деньги.
Особенности цензуры
Блокировки сайтов в интернете – а вернее, интернет-цензура – давнее явление. Оно включает не только политически мотивированные блокировки в ряде стран, но и блокировки противоправных ресурсов, защиту прав правообладателей, защиту прав граждан и многое другое. Однако важнейшая особенность интернет-цензуры в мире – это закрытость цензоров для общества. Например, в Иране блокируется более 15 000 сайтов (по данным 2013 г.), но эти списки не являются общедоступными, блокировки сайтов не анонсируются, люди, отвечающие за организацию блокировок, крайне непубличны, практически все нормативные документы, регулирующие блокировки, не являются достоянием общественности. Аналогичная ситуация в Китае, где масштаб блокирования куда выше, а публичность блокирования сайтов, протоколов, иных ресурсов еще ниже. В Омане не только нелегально использование личного VPN, но запрещен весь голосовой трафик VoIP и такие сервисы, как Skype. Во многих других странах, особенно в странах арабского мира, подобная цензура существует очень давно, гораздо дольше, чем в России. У России, безусловно, есть свои нюансы и особенности.
1. Масштаб и интегрированность в мировую экономику. Та самая цифровая экономика, о которой так активно говорят первые лица, невозможна без использования зарубежных сервисов, без интеграции с международными и зарубежными проектами, без свободного обмена данными. Невозможно исповедовать традиционные ценности, как это делают в Омане, и пытаться создать цифровую экономику и дать возможности российским IT-компаниям наполнять бюджет страны. Это два ровно противоположных тренда.
2. Невероятный пафос, с которым ответственные органы пиарятся на каждой следующей блокировке сайта. Если бы речь шла о христианских ценностях, я бы отнес это к гордыне, но, к сожалению, здесь речь даже не о них. Шум, поднятый отечественным телевидением из-за блокировок российских сайтов на Украине, публичная полемика Роскомнадзора и Pornhub превратили серьезную тему фильтрации в своеобразную игру. Где проигравшей стороной будет та, которая резко поднимет ставки, – общественники ли, если они начнут отвечать на действия государства противозаконными методами, или же Роскомнадзор с Госдумой, если решатся на уголовное преследование рядовых пользователей.
3. Несовершенство внутренних сервисов, не позволяющих произвести «замыкание интернета на себя». За годы государственных программ так и не появилось полноценных внутренних проектов, способных закрыть подавляющее число потребностей пользователей. Зарубежные хостеры эффективно конкурируют с российскими, число россиян, использующих зарубежные сети и адреса бесплатной электронной почты, огромно, и таких примеров множество.
4. Хорошее качество инженерного образования. Обойти блокировки, тем более столь распиаренные, не составляет труда для любого мало-мальски сведущего в IT специалиста.
5. Крупнейшие инфраструктурные игроки в рунете – это частные компании, «Яндекс», Mail.ru и немного все остальные. У государства есть возможность воздействия на них, но нет возможности управлять напрямую принятием решений. Существующий государственный бюрократический аппарат слишком неповоротлив для каждодневных изменений, происходящих в сетевой инфраструктуре.
Кто проигрывает
Внесенный законопроект не меняет текущей ситуации. Он создает риски и проблемы для компаний, работающих через VPN, поскольку даже оговорка про «трудовые отношения» не меняет ситуации с обязательными будущими жалобами в Роскомнадзор недовольных сотрудников, имеющих с нанимателем отношения, отличные от трудовых.
Запрет анонимайзеров и сервисов VPN лишь перестроит бизнес этих проектов, вместо одной посадочной страницы они будут использовать множество, на множестве разных доменов. Еще большее распространение получат частные услуги по развитию индивидуальных VPN-серверов. Уже сейчас арендовать сервер на хостинге в США, Франции или Германии и развернуть на нем частный VPN стоит 3–5 евро в месяц. Это оказывается дешевле любого коммерческого VPN-сервиса.
Главным же пострадавшим во всей этой ситуации остается наше с вами родное государство, лишающееся налоговых поступлений от компаний, которые могли бы и хотели бы делать бизнес в рунете.
Автор – член КГИ