Руководство: что делать, если вы не хотите чтобы за вами следили
В последнее время в России приняли ряд законов, ужесточающих контроль за интернетом.
Закон о блокировке экстремистских сайтов работает уже полгода, и мы уже стали привыкать к учащающимся случаям отключения вполне безобидных сайтов. (Последние примеры - крупнейший портал художников и фотографов deviantart.com за рисованную эротику и ЖЖ Леонида Волкова aka leonwolf за пост о Марше за федерализацию Сибири.)
С 1-го августа в силу вступило ещё два касающихся интернета закона: один из них приравнивает популярных блогеров к СМИ, а другой обязывает социальные сети и прочие сайты, предназначенные для общения пользователей а) дать ФСБ и другим спецслужбам доступ к переписке и прочей информации пользователей, б) хранить переписку в течение как минимум 6 месяцев, причём на серверах, расположенных в России. Дополняющее этот закон постановление правительства разъясняет, что контроль будет осуществляться посредством установки на площадках интернет-компаний специального оборудования ФСБ.
В этом посте я не буду останавливаться на политической стороне вопроса, а вместо этого дам несколько практических советов на счёт того, как жить с этими законами.
Для начала - пара необходимых оговорок. Во-первых, этот пост (как, впрочем, и все остальные в этом ЖЖ) я пишу не как сотрудник Google, а как частное лицо. Во-вторых, отмечу, что наше законодательство пока что не запрещает пользователям предпринимать любые действия для защиты своей переписки, доступа к заблокированным сайтам, а также к распространению информации о том, как это делать.
1. Доступ к заблокированным сайтам
Если вы пользуетесь Хромом, то самое простое решение - это расширение Hola Better Internet, которое позволяет пропускать трафик к сайтам через сервер в другой стране. Установите это расширение, и, зайдя на интересующий вас сайт, нажмите на его иконку и выберите, скажем, США или Великобританию.
Этот метод, кстати, работает не только для обхода роскомнадзоровских блокировок, но и для доступа к сервисам, изначально доступным лишь в ограниченном количестве стран, типа Netflix, Hulu или прямого эфира на bbc.co.uk.
Хочу заметить, что в отрыве от прочих предосторожностей, этот метод не даёт вам никаких гарантий приватности вашей переписки. Его стоит рассматривать только как средство обхода блокировок.
2. HTTPS
Почти всё то, что вы видите в браузере, попадает туда по одному из двух интернет-протоколов: HTTP или HTTPS. Разница в том, что трафик HTTP передаётся в незашифрованном виде и может быть прочитан по дороге, например с помощью аппаратуры СОРМ, стоящей у вашего провайдера или мобильного оператора. В результате, даже если сервис, которым вы пользуетесь, находится за рубежом, ваши сообщения всё равно могут быть перехвачены спецслужбами.
В случае протокола HTTPS, единственное, что видит провайдер - это IP-адрес сервера, к которому вы обращаетесь. То есть, понять, что у вас открыт, скажем, Твиттер, он может, но определить, кого именно вы читаете - уже нет. Кроме того, использование этого протокола делает практически невозможным изменение содержания сайтов при передаче. Вы можете быть уверены, что те данные, которые вы вводите на этой странице попадут именно на тот сервис, который вы имеете в виду, и больше ни к кому.
Как отличить, пользуетесь ли вы в данный момент HTTPS или HTTP? Все современные браузеры при использовании HTTPS рисуют в строке адреса зелёный замок или какой-нибудь аналогичный значёк. Это может выглядеть так (примеры из Chrome):
А вот так выглядит сайт, работающий через HTTP:
Бывают и промежуточные варианты, когда вцелом сайт работает через HTTPS, но есть какие-либо проблемы. Это может показываться, к примеру, так:
Как правило, если сайт работает через HTTP, а не через HTTPS, вы с этим ничего поделать не можете, так что если вы дорожите тем, что вы передаёте на этот сайт, лучше воспользовать другим сервисом.
3. Российские социальные сети и почтовые сервисы
ВКонтакте, Одноклассники, mail.ru, Почта Яндекс и все прочие российские сервисы в полной мере подпадают под действие закона о раскрытии переписки, так что вы не можете ни в какой степени рассчитывать на то, что ваши данные останутся приватными. Это не имеет большого значения пока всё что вы публикуете - это фотографии котиков, но если среди ваших данных есть что-то, что вы не хотите раскрывать для всех, лучше не пользоваться этими сервисами.
К сожалению, нет никакой гарантии, что данные из социальных сетей, полученные с помощью новой системы, будут использоваться только компетентными органами и только в рамках настоящих расследований. Мы все помним случай года 3 назад, когда данные о финансировании кампании Навального, полученные по запросу ФСБ из Яндекса, оказались в итоге у движения Наши.
4. Зарубежные социальные сети и прочие сервисы
Пока что никто из крупных зарубежных интернет-компаний не высказался официально о том, какие действия они предпримут в связи с новым законом. Так как я работаю в одной из этих компаний, то спекулировать на эту тему я не могу. По мере того, как станет официально известна их позиция, я обновлю этот пост.
5. LiveJournal
ЖЖ находится где-то между российскими и зарубежными компаниями: сама компания американская, но принадлежит российской, так что предсказать их поведение я совсем не берусь. Хочу заметить, что ЖЖ использует протокол HTTPS (см. пункт 2 выше) только для ввода паролей, так что весь его российский трафик прозрачен для органов. Лично для меня это не играет большой роли так как а) мой ЖЖ не имеет 3000 читателей, б) я не пишу подзамочных постов, так что всё содержание моего ЖЖ изначально открыто. Тем не менее я давно подумываю о том, чтобы перебраться на другую площадку. Когда я созрею для этого - напишу про это отдельный пост.
6. Стоит ли бояться NSA (АНБ) и прочих иностранных спецслужб?
Есть вполне оправданные опасения, что обезопасившись от местных российских спецслужб, мы можем попасть в лапы зарубежных. Универсального ответа на это опасение у меня нет, так что опишу лишь несколько известных фактов, касающихся в основном Google.
В течение некоторого времени NSA действительно получало доступ к значительной доле переписки пользователей Gmail посредством прослушки данных, пересылаемых между датацентрами Google. Этот метод давал им примерно такой же доступ к переписке как сейчас хочет себе ФСБ. К счастью, эта уязвимость была закрыта год-полтора назад. Помимо этого канала, по которому NSA получала данные без ведома Google, есть ещё возможность запроса данных по решению суда. Таких запросов (как от NSA, так и от других агентств) Google и прочие интернет-компании получают на уровне тысяч в год, что составляет достаточно маленький процент от общего количества пользователей (у Gmail оно составляет десятки или сотни миллионов). Опасаться ли этого - решать вам.
Это - более-менее всё что касается базовых вопросов. Я не стал рассказывать про Tor, I2P и прочие более продвинутые методы борьбы за приватность. Возможно, если гайки продолжат закручиваться, дойдёт черёд и до них. Я буду благодарен за любые дополнения и испрвления.
Закон о блокировке экстремистских сайтов работает уже полгода, и мы уже стали привыкать к учащающимся случаям отключения вполне безобидных сайтов. (Последние примеры - крупнейший портал художников и фотографов deviantart.com за рисованную эротику и ЖЖ Леонида Волкова aka leonwolf за пост о Марше за федерализацию Сибири.)
С 1-го августа в силу вступило ещё два касающихся интернета закона: один из них приравнивает популярных блогеров к СМИ, а другой обязывает социальные сети и прочие сайты, предназначенные для общения пользователей а) дать ФСБ и другим спецслужбам доступ к переписке и прочей информации пользователей, б) хранить переписку в течение как минимум 6 месяцев, причём на серверах, расположенных в России. Дополняющее этот закон постановление правительства разъясняет, что контроль будет осуществляться посредством установки на площадках интернет-компаний специального оборудования ФСБ.
В этом посте я не буду останавливаться на политической стороне вопроса, а вместо этого дам несколько практических советов на счёт того, как жить с этими законами.
Для начала - пара необходимых оговорок. Во-первых, этот пост (как, впрочем, и все остальные в этом ЖЖ) я пишу не как сотрудник Google, а как частное лицо. Во-вторых, отмечу, что наше законодательство пока что не запрещает пользователям предпринимать любые действия для защиты своей переписки, доступа к заблокированным сайтам, а также к распространению информации о том, как это делать.
1. Доступ к заблокированным сайтам
Если вы пользуетесь Хромом, то самое простое решение - это расширение Hola Better Internet, которое позволяет пропускать трафик к сайтам через сервер в другой стране. Установите это расширение, и, зайдя на интересующий вас сайт, нажмите на его иконку и выберите, скажем, США или Великобританию.
Этот метод, кстати, работает не только для обхода роскомнадзоровских блокировок, но и для доступа к сервисам, изначально доступным лишь в ограниченном количестве стран, типа Netflix, Hulu или прямого эфира на bbc.co.uk.
Хочу заметить, что в отрыве от прочих предосторожностей, этот метод не даёт вам никаких гарантий приватности вашей переписки. Его стоит рассматривать только как средство обхода блокировок.
2. HTTPS
Почти всё то, что вы видите в браузере, попадает туда по одному из двух интернет-протоколов: HTTP или HTTPS. Разница в том, что трафик HTTP передаётся в незашифрованном виде и может быть прочитан по дороге, например с помощью аппаратуры СОРМ, стоящей у вашего провайдера или мобильного оператора. В результате, даже если сервис, которым вы пользуетесь, находится за рубежом, ваши сообщения всё равно могут быть перехвачены спецслужбами.
В случае протокола HTTPS, единственное, что видит провайдер - это IP-адрес сервера, к которому вы обращаетесь. То есть, понять, что у вас открыт, скажем, Твиттер, он может, но определить, кого именно вы читаете - уже нет. Кроме того, использование этого протокола делает практически невозможным изменение содержания сайтов при передаче. Вы можете быть уверены, что те данные, которые вы вводите на этой странице попадут именно на тот сервис, который вы имеете в виду, и больше ни к кому.
Как отличить, пользуетесь ли вы в данный момент HTTPS или HTTP? Все современные браузеры при использовании HTTPS рисуют в строке адреса зелёный замок или какой-нибудь аналогичный значёк. Это может выглядеть так (примеры из Chrome):
А вот так выглядит сайт, работающий через HTTP:
Бывают и промежуточные варианты, когда вцелом сайт работает через HTTPS, но есть какие-либо проблемы. Это может показываться, к примеру, так:
Как правило, если сайт работает через HTTP, а не через HTTPS, вы с этим ничего поделать не можете, так что если вы дорожите тем, что вы передаёте на этот сайт, лучше воспользовать другим сервисом.
3. Российские социальные сети и почтовые сервисы
ВКонтакте, Одноклассники, mail.ru, Почта Яндекс и все прочие российские сервисы в полной мере подпадают под действие закона о раскрытии переписки, так что вы не можете ни в какой степени рассчитывать на то, что ваши данные останутся приватными. Это не имеет большого значения пока всё что вы публикуете - это фотографии котиков, но если среди ваших данных есть что-то, что вы не хотите раскрывать для всех, лучше не пользоваться этими сервисами.
К сожалению, нет никакой гарантии, что данные из социальных сетей, полученные с помощью новой системы, будут использоваться только компетентными органами и только в рамках настоящих расследований. Мы все помним случай года 3 назад, когда данные о финансировании кампании Навального, полученные по запросу ФСБ из Яндекса, оказались в итоге у движения Наши.
4. Зарубежные социальные сети и прочие сервисы
Пока что никто из крупных зарубежных интернет-компаний не высказался официально о том, какие действия они предпримут в связи с новым законом. Так как я работаю в одной из этих компаний, то спекулировать на эту тему я не могу. По мере того, как станет официально известна их позиция, я обновлю этот пост.
5. LiveJournal
ЖЖ находится где-то между российскими и зарубежными компаниями: сама компания американская, но принадлежит российской, так что предсказать их поведение я совсем не берусь. Хочу заметить, что ЖЖ использует протокол HTTPS (см. пункт 2 выше) только для ввода паролей, так что весь его российский трафик прозрачен для органов. Лично для меня это не играет большой роли так как а) мой ЖЖ не имеет 3000 читателей, б) я не пишу подзамочных постов, так что всё содержание моего ЖЖ изначально открыто. Тем не менее я давно подумываю о том, чтобы перебраться на другую площадку. Когда я созрею для этого - напишу про это отдельный пост.
6. Стоит ли бояться NSA (АНБ) и прочих иностранных спецслужб?
Есть вполне оправданные опасения, что обезопасившись от местных российских спецслужб, мы можем попасть в лапы зарубежных. Универсального ответа на это опасение у меня нет, так что опишу лишь несколько известных фактов, касающихся в основном Google.
В течение некоторого времени NSA действительно получало доступ к значительной доле переписки пользователей Gmail посредством прослушки данных, пересылаемых между датацентрами Google. Этот метод давал им примерно такой же доступ к переписке как сейчас хочет себе ФСБ. К счастью, эта уязвимость была закрыта год-полтора назад. Помимо этого канала, по которому NSA получала данные без ведома Google, есть ещё возможность запроса данных по решению суда. Таких запросов (как от NSA, так и от других агентств) Google и прочие интернет-компании получают на уровне тысяч в год, что составляет достаточно маленький процент от общего количества пользователей (у Gmail оно составляет десятки или сотни миллионов). Опасаться ли этого - решать вам.
Это - более-менее всё что касается базовых вопросов. Я не стал рассказывать про Tor, I2P и прочие более продвинутые методы борьбы за приватность. Возможно, если гайки продолжат закручиваться, дойдёт черёд и до них. Я буду благодарен за любые дополнения и испрвления.