Без права тайной переписки
«Огонек» выяснил, что можно и чего нельзя в рунете после принятия закона об анонимайзерах Принят закон об анонимайзерах, который должен помешать россиянам читать в Сети запрещенный контент. В основах нового регулирования интернета и эффективности такового разбирался "Огонек" Ольга Филина Дима Богатов смотрит на мир сквозь зеленые очки -- линзы такого цвета. Стены в его квартире тоже выкрашены в оттенки зеленого, а на кухонных полках стоят органические, исключительно "зеленые" продукты. Единственный инородный предмет красного цвета -- это Уголовно-процессуальный кодекс России. В квартире Димы он появился сравнительно недавно, с апреля, когда к ним с женой впервые нагрянули следователи с обыском. Повод, ставший потом уголовным делом, известен: с IP-адреса богатовского компьютера распространялись "призывы к массовым беспорядкам". Коллизия в том, что с IP-адреса Богатова могло распространяться вообще что угодно: его компьютер был выходным узлом в интернет для множества пользователей сети Tor, обеспечивающей ее участникам анонимность работы в интернете. С помощью компьютера Богатова что-то писали и к чему-то призывали самые разные люди, о существовании которых ничего не знает ни следствие, ни он сам. "Но ведь ни один закон в нашей стране не запрещает пользоваться Tor`ом,-- рассуждает Дмитрий.-- Я и думал: раз не делаю ничего противозаконного, все в порядке". Побывав в СИЗО и попав теперь под домашний арест с "электронным браслетом" на ноге, Богатов, конечно, "подтянул" свою правовую грамотность. Теперь он, цитируя разные статьи кодексов, понимает, где у них узкие места, где они могут трактоваться "расширительно", где "избирательно"; и в целом советует действовать уже не "по букве", а так, чтобы не нарваться. Случай с Димой Богатовым еще и оттого получил большой резонанс, что -- случайно или нет -- стал символической вехой в развитии отечественного интернета, внезапно обросшего "красными флажками", заходить за которые нельзя. В СИЗО Дима, не имея возможности пользоваться интернетом, насмотрелся телевизора и сделал для себя открытие: оказывается, в стране существует "противоправная информация". "Я, правда, не понимаю, что это такое,-- удивляется Богатов.-- О ней говорят постоянно, говорят, что от нее нужно нас ограждать. А мне кажется, что за этим желанием стоит какое-то странное представление о человеке как о существе, которое не думает, которому нельзя показывать лишнего. Если я и вижу какую-то тенденцию, стоящую за моим арестом, то это распространение таких представлений". При желании можно увидеть и другие тенденции, удивительно совпавшие. Например, стремление государства развивать цифровую экономику (см. "Огонек" N 28) и шаги по установлению контроля за пользователями сети. Стихийный интернет и IT-технологии, которые все последние годы бурно развивались усилиями частных фирм и лиц, похоже, берет под контроль государева рука. И начинает наводить там порядок так, как она умеет. Этим летом был введен запрет на анонимность в мессенджерах, на прошлой неделе -- одобрен закон об анонимайзерах (а вернее сказать -- против анонимайзеров) -- на этом фоне и продолжается следствие в отношении активного пользователя и энтузиаста сети Tor Дмитрия Богатова. Как говорилось в пояснительной записке председателя комитета Госдумы по информационной политике, информационным технологиям и связи Леонида Левина в связи с законом об анонимайзерах, инициативы Госдумы способствуют "созданию в интернете правового пространства, аналогичного офлайну". Нужны ли нам такие аналогии, зависит от того, как высоко мы оцениваем правовое пространство российского офлайна. Специфика нашего офлайна, кстати, уже накладывает коррективы на планы законодателей: депутат Госдумы от Севастополя Дмитрий Белик предлагает учитывать крымские "нюансы" и не запрещать там анонимайзеры, потому что местные жители ведут перманентную войну с украинскими провайдерами и нуждаются в сервисах, помогающих обходить блокировки. Судя по всему, в таком "патриотическом" использовании анонимности правительство готово всех поддерживать. Во всяком случае, еще весной, когда на Украине были заблокированы многие популярные российские ресурсы, наш замминистра связи и массовых коммуникаций Алексей Волин пояснял: "Когда речь идет о попытке блокировать популярные массовые продукты, то единственной общественной реакцией на это является быстрое освоение программ, позволяющих обойти блокировку, скачивание анонимайзеров и VPN и воспитание правового нигилизма". Цитатами наших руководителей никого не удивишь, уверен Дмитрий Богатов. Его адвокат, например, пытался напомнить следователям ответ президента Владимира Путина американской журналистке, утверждавшей, что хакерские атаки на США производились с российских IP-адресов: "IP-адреса -- их можно вообще придумать,-- пояснил тогда президент.-- Знаете, сколько таких специалистов?" Но следствие оказалось глухо к мысли президента и продолжает относиться к IP-адресу гражданина Богатова как к номеру паспорта. В общем, ведет себя так, как привыкло в офлайне. Что теперь можно, а что нельзя в российском интернете и стоит ли заходить "за флажки", "Огонек" спросил у Ильи Щурова, доцента кафедры высшей математики НИУ ВШЭ, администратора русской "Википедии". -- О законе об анонимайзерах говорилось уже давно, но до последнего момента представители IT-индустрии надеялись, что его не примут; интернет-омбудсмен даже успел назвать его "безумием". Событие действительно из ряда вон? -- Я как раз считаю, что событие ожидаемое: во всяком случае, если бы я придумывал, как остановить обход блокировки запрещенных сайтов, я бы придумал нечто похожее. Закон касается так называемых VPN-сервисов. Что это такое? Переводится как "виртуальная частная сеть", по сути, это такая штука, которая позволяет виртуальным образом объединять несколько компьютеров, которые связаны через интернет, в локальную сеть -- будто бы они находятся в одном помещении. При этом на самом деле компьютеры, объединенные VPN, могут быть очень далеко друг от друга -- один в Москве, другой в Амстердаме. В такой сети легко особым образом настроить маршрутизацию: чтобы пакеты данных, которые доставляет ваш компьютер, сначала проходили через другой компьютер (который, скажем, расположен в другой стране), и внешний сервер, с помощью которого вы выходите в интернет, не понимал, что запрос идет от вас. Понятно, что эта технология позволяет обходить блокировки. В обычном случае провайдер, увидев, что от клиента поступил запрос на сервер, который находится в списке заблокированных сайтов, должен выдать заглушку: мол, так и так, нельзя. Но когда вы работаете через VPN, единственное, что видит провайдер, что идет какой-то шифрованный трафик между вами и удаленным компьютером. Что по этому трафику гоняется, к каким сайтам вы подключаетесь через удаленный компьютер -- он не знает. Получается простой и недорогой (VPN-сервисы стоят несколько долларов в месяц) способ обойти любые запреты. Наша власть захотела закрыть эти средства обхода. -- Но полный запрет на VPN невозможен, верно? Он ведь используется и в коммерческих целях... -- Да, VPN -- это, скажем так, технология двойного назначения. Множество частных компаний используют ее в коммерческих целях, чтобы организовывать свои информационные системы. Это очень удобно, если у вас есть офисы в разных городах или странах. -- Тогда что имеют в виду под запретом на анонимайзеры? Что и кому нельзя? -- В общем виде анонимайзерам нельзя показывать нам сайты из реестра. Закон предлагает создать некий список сервисов, которые осуществляют услуги VPN,-- их действительно конечное число. На эти компании хотят надавить и поставить их перед выбором: либо они сами блокируют запрещенный контент, либо Росреестр будет блокировать их самих (в том числе запрещать поисковикам выдавать ссылки на их сервисы). Вероятно, многие поставщики VPN-услуг согласятся с предложенными условиями, в конце концов это коммерческие компании, а не защитники свободы слова. В Белоруссии подобный запрет действует уже с 2015 года, впрочем, он малоэффективен. -- Почему? -- Борьба щита с мечом может идти вечно. Есть, например, замечательная идея с использованием "двойного VPN". Допустим, вы имеете два законопослушных VPN-сервиса. Вы выходите в Сеть через один и подключаетесь к другому. Второй VPN-сервис, разумеется, не знает, что вы из России, он видит только то, что вы вышли на него с помощью первого сервиса, который может находиться хоть бы в том же Амстердаме. Соответственно первый сервис ничего не может заблокировать, потому что для него ваш трафик шифрованный, а второй ничего не должен блокировать, потому что он не знает, что вы из России. Честно говоря, я не знаю, как эту лазейку можно было бы прикрыть, кроме как ввести полный запрет на VPN-сервисы. А ведь помимо VPN есть еще более простая и распространенная технология -- ssh, "secure shell", "безопасная оболочка", которая используется администраторами веб-серверов, чтобы запустить на них какую-то команду. С помощью этой технологии можно сделать так называемый туннель и просматривать запрещенные страницы. При этом она настолько распространенная, что запретить ее невозможно -- это означало бы запретить хостинг любых веб-сайтов где-либо за границей. -- Замглавы Минкомсвязи Алексей Волин пояснил, что цель закона об анонимайзерах -- значительно снизить число людей, использующих такие технологии. Эта цель кажется реалистичной? -- Закон, видимо, приведет к тому, что самые простые решения -- вроде встроенного подобия VPN в браузер -- уйдут с рынка. Чтобы установить двойной VPN, действительно нужно что-то делать, а поставить браузер с соответствующей функцией ничего не стоит. Но вообще-то у нас люди обучаемые. Поэтому перспективы у этого закона туманные. Скорее всего, это будет история про точечное правоприменение: если кого-то потребуется схватить, повод теперь с большой вероятностью найдется. -- Чтобы "применить право" в отношении Димы Богатова, нового закона не потребовалось. -- История с Димой Богатовым немножко о другом, хотя похожа. Условно говоря, анонимность пытаются обрубить с двух концов: закон об анонимайзерах работает против входа в шифрованную сеть, а кейс Димы -- против выхода из нее в интернет. Технология Tor, с которой связано преследование Богатова, очень похожа на VPN, только в отличие от VPN она изначально проектировалась, чтобы дать людям возможность работать в интернете с максимальной степенью анонимности и минимальным количеством запретов. Она устроена так, что создает даже не двух-, а трех- и более слойную систему с несколькими промежуточными серверами. Допустим, я делаю запрос к какому-то сайту: пакет данных от меня попадает ко входному узлу (ноду) Tor, тот случайным образом выбирает промежуточный узел, а промежуточный узел -- случайным образом выходной нод. На каждом этапе происходит шифрование, и выходной узел не знает, с какого IP пришел запрос, входной узел не знает, к какому серверу был обращен запрос, а промежуточный узел вообще ничего не знает -- ни с какого IP, ни с какого сервера что пришло. Благодаря многослойному шифрованию достигается такая степень защищенности, что понять, какие запросы куда отправлялись, практически невозможно, даже если вскрыть какой-то из этих узлов. У всей этой блестящей схемы есть только два уязвимых места: это входные и выходные ноды. Чтобы подключиться к Tor, нужно знать IP-адрес входного узла, а значит, список этих адресов должен быть где-то опубликован и их можно блокировать. Скорее всего в России будут пытаться это делать, закрывая таким образом Tor целиком. А уязвимость выходных узлов как раз подвела Диму Богатова. Если вы администрируете выходной узел, то все действия, которые совершаются из-под Tor, с точки зрения внешнего мира совершаются с вашего компьютера. Вы рискуете: я бы, например, никогда не стал устанавливать такой нод, живя в России. У нашего следствия ведь железная логика: если что-то было сделано с вашего IP-адреса, то это вы и сделали. -- Этот кейс должен напугать любителей Tor в России? -- Даже если на территории России не будет действовать ни одного выходного узла Tor, сеть будет прекрасно работать -- с выходных узлов за границей. До того чтобы "зарезать канал" всем пользователям Tor, как это делают в Китае, у нас еще далеко: нужно в разы глубже анализировать трафик. -- Сам факт того, что вы обмениваетесь шифрованным трафиком, не может быть подозрителен? -- Безусловно, может, но правонарушением, насколько я понимаю, такой обмен не является. Опять же, существует огромное количество технологий, которые связаны с шифрованием трафика -- весь интернет сейчас переходит на шифрованный режим. Многие сайты -- начиная от Google и заканчивая "Википедией" -- работают исключительно по протоколу https, который предполагает шифрование по умолчанию. Так что это еще ни о чем не говорит. -- Какими могут быть следующие действия по ужесточению регулирования в интернете? -- Про блокировку входных узлов Tor я уже сказал. Вообще же большинство настораживающих инициатив родом из Китая. На днях поступила неприятная новость: в Китае AppStore убрал из своего магазина все приложения, которые обеспечивали доступ к VPN-сетям, поэтому с айфона этот сервис уже недоступен. В этом смысле уязвимы все системы, имеющие "узкое горлышко": какую-то компанию или конечный набор компаний/лиц, которые позволяют этой системе существовать. Их легче контролировать и прессовать, чем население в целом. Хотя и это Китай неплохо проделывает: в одной из его провинций заставили всех жителей установить на свои телефоны специальное ПО, которое отслеживает, не получаете ли вы с помощью гаджета какую-либо запрещенную информацию. При таком подходе -- да, контроль можно обеспечить. Я надеюсь, что это не станет нашим будущим, во всяком случае, до последнего времени у нас интернет развивался по другим законам.