Телеграмм выиграл бой, но выиграет ли он войну?
На этой неделе произошел довольно колоритный бой между Роскомнадзором и Телеграммом. Его последствия на себе почувствовали очень многие. И сейчас уже можно сказать с уверенностью, что этот бой Телеграмм выиграл. Проигрыш Роскомнадзора был довольно громким и унизительным. Но давайте разберемся в этом конфликте подробнее и сделаем из него кое какие выводы.
Почему вообще возник этот конфликт. Закон Яровой, который обязывает, организаторов связи передавать ключи шифрования в ФСБ - это лишь следствие. Почему возник этот закон - это причина. А возник он из-за целой серии цветных революций. В каждом таком гражданском конфликте координация протестующих происходила посредством как раз таких мессенджеров. Поэтому это вопрос национальной безопасности - контролировать мессенджеры во время таких акций.
Более того, реальные организаторы всех этих цветных революций проживают в США и в большинстве случаев связаны с Госдепом. Т.е. мессенджеры являются не просто прикльными программками для общения, они используются в качестве оружия нашим заклятым партнером в проходящей сейчас новой холодной войне.
Соответственно, неудивительно желание и США, и России контролировать подобные средства связи. Соответственно, давление на Дурова оказывала не только Россия или Иран, но и США, о чем писала пресса.
Посмотрим что происходило. Блокирование сайтов в России устроено довольно примитивно чаще всего. Поэтому и блокируют не домен, а IP-адрес. Поскольку обычно домены постоянно живут на одном IP-адресе, это удается. Но Дуров применил уже давно известный хакерский маневр: его сервера стали менять IP-адреса очень часто и база Роскомнадзора не поспевала за такой гибкостью. Поэтому буквально за пару дней, база блокировок достигла 16 млн. адресов. И в эти адреса попали совершенно безобидные сайты. В том числе и необходимые для работы. Доходило до смешного, когда даже сервера самого Роскомнадзора оказались заблокированными.
Соответствено, вопросы к господам в правительственных учреждениях: неужто для вас это было неожиданностью?
Больше всего меня поразил вот такой факт. В фирму, где я сейчас работаю, звонит клиент из некоего государственного ведомства в Москве и жалуется на неработоспособность нашего телеграмм-бота. И мы вынуждены как-то решать проблему.
В целом, я крайне негативно оцениваю закон Яровой, а также 152-фз «О персональных данных». И причин тому несколько.
1. Интернет очень давно изобретал способы прямой коммуникации (p2p - точка-точка). Такая связь позволяет разгрузить сервера и сильно снизить затраты. Тот же Skype, будучи еще стартапом, ни за что не смог бы создать свой мессенджер, если бы все видеопотоки шли через его дата-центр. Не осилил бы просто затрат.
Сейчас правительство нам говорит, что мы обязаны не только собирать весь трафик со всего мира в одну точку, но еще и хранить по полгода накопленные данные. Вот вам простая арифметика. Если два человека общаются в видео-конференции по технологии точка-точка, расходов у организатора практически нет (только на установление контакта). Как только им приходится общаться через сервер, их разговор уже стоит около 5-10 рублей в час. В эти расходы включаются только затраты на работу сервера и каналов связи. Если же приходится этот видеопоток хранить в течении полугода, то себестоимость разговора для организатора становится около 40 рублей/час. А если все это происходит на сертифицированном ФСТЭК оборудовании и ПО со всеми планами отражения угроз безопасности, то эти расходы увеличиваются еще в 2-3 раза.
Или раньше переговоры по мобильнику мужа и жены в огороде происходили в рамках одной соты. Сейчас эти переговоры должны идти через Дата-центр в Москве и эти никому ненужные обсуждения морковки и сосисок должны храниться по полгода.
Закон Яровой колоссально дорогой и неэффективный. И платить за него придется нам.
2. Это законодательство очень запутанное, сложно реализуемое и с кучей маразмов.
Например, ваша фотография является биометрическими персональными данными, доступ к которой защищается по наивысшему классу защиты (если сервис крупный). А вот еще. Для управления сервером, обслуживающим весь интернет, необходимо выделить защищенную комнату, оборудованную как сейф, в которой будет стоять компьютер с зашифрованным каналом до этого сервера. Куда деваться? Делают такие комнаты. Но ходят на сервер напрямую.
Особо стоит отметить «сертифицированное ПО». Как правило, это очень старое программное обеспечение. Часто оно уже даже не поддерживается производителем. Учитывая, что в мире довольно оперативно выявляются и устраняются пробелы в безопасности, такое «сертифицированное» ПО на деле гораздо опаснее несертифицированного современного.
3. Ни от чего эти дурацкие законы не защищают. Те же криптографические сертификаты можно сколько угодно собирать с организаторов связи, но любой школьник с легкостью может зашифровать любое сообщение так, что никакие ФСБ не смогут расшифровать его за адекватное время. Суть в том, что сейчас самым ходовым является асимметричное шифрование. Его фишка в том, что сообщение шифруется одним ключом, а расшифровывается - другим. И вот вы публикуете открыто ключ для зашифровывания сообщений. Все, любой может посылать вам зашифрованную информацию, а прочитать ее сможете только вы. В любом е-мейле таким образом можно переслать любые террористические и экстремистские планы и никто с этим ничего сделать не сможет. И эта технология совершенно доступна любому, совершенно открыта и соответствующие программы стоят на любом без исключения компьютере.
Причем внедряемый сейчас протокол связи HTTP/2 уже предусматривает шифрование всей передаваемой информации. Большинство сервисов уже не поддерживают http и весь интернет постепенно выдавливают в шифруемый https. А уж как контролировать тот же ТОР - это вообще загадка. Единственный способ для ФСБ все контролировать - это вернуться в 20 век или создать новый Железный занавес. И чем больше возникает подобных идиотских запретов, тем быстрее растет популярность способов обхода всех этих блокировок.
4. Еще больше эти законы нанесли репутационного вреда. Сейчас весь мир знает о двух вещах: что Путин - злой тиран, который угнетает своих свободолюбивых граждан и контролирует их каждый шаг, а также что Путин на глазах у всего мира обделался от хорошего свободолюбивого парня Дурова.
5. Если раньше террористы и преступники недооценивали возможности перехвата сообщений и очень часто за это расплачивались, то теперь даже самый мелкий карманник знает, что ФСБ читает все и постарается защититься.
В целом у меня резюме такое. Самые отвратительные мерзости в мире сейчас творятся под предлогом борьбы с терроризмом. От убийства Хусейча с Каддафи, до борьбы с Телеграммом. Да, бороться нужно и с преступностью, и с терроризмом, и с современным американским империализмом. Но не такими способами.
Самым страшным оружием для борьбы с этими недугами является просто адекватное, приличное поведение. Если в историях с городом Дума и Скрипалями не было российской вины, то и бритов осуждает весь мир. И Германия с нами хочет продолжать работать, не смотря на давление из США, потому, что реальной вины нет, а экономические интересы есть.
Но все это стремление контролировать интернет - это что-то из КГБ-шной молодости Путина. Причем именно такой контроль в итоге и привел к разрушению СССР.
Почему вообще возник этот конфликт. Закон Яровой, который обязывает, организаторов связи передавать ключи шифрования в ФСБ - это лишь следствие. Почему возник этот закон - это причина. А возник он из-за целой серии цветных революций. В каждом таком гражданском конфликте координация протестующих происходила посредством как раз таких мессенджеров. Поэтому это вопрос национальной безопасности - контролировать мессенджеры во время таких акций.
Более того, реальные организаторы всех этих цветных революций проживают в США и в большинстве случаев связаны с Госдепом. Т.е. мессенджеры являются не просто прикльными программками для общения, они используются в качестве оружия нашим заклятым партнером в проходящей сейчас новой холодной войне.
Соответственно, неудивительно желание и США, и России контролировать подобные средства связи. Соответственно, давление на Дурова оказывала не только Россия или Иран, но и США, о чем писала пресса.
Посмотрим что происходило. Блокирование сайтов в России устроено довольно примитивно чаще всего. Поэтому и блокируют не домен, а IP-адрес. Поскольку обычно домены постоянно живут на одном IP-адресе, это удается. Но Дуров применил уже давно известный хакерский маневр: его сервера стали менять IP-адреса очень часто и база Роскомнадзора не поспевала за такой гибкостью. Поэтому буквально за пару дней, база блокировок достигла 16 млн. адресов. И в эти адреса попали совершенно безобидные сайты. В том числе и необходимые для работы. Доходило до смешного, когда даже сервера самого Роскомнадзора оказались заблокированными.
Соответствено, вопросы к господам в правительственных учреждениях: неужто для вас это было неожиданностью?
Больше всего меня поразил вот такой факт. В фирму, где я сейчас работаю, звонит клиент из некоего государственного ведомства в Москве и жалуется на неработоспособность нашего телеграмм-бота. И мы вынуждены как-то решать проблему.
В целом, я крайне негативно оцениваю закон Яровой, а также 152-фз «О персональных данных». И причин тому несколько.
1. Интернет очень давно изобретал способы прямой коммуникации (p2p - точка-точка). Такая связь позволяет разгрузить сервера и сильно снизить затраты. Тот же Skype, будучи еще стартапом, ни за что не смог бы создать свой мессенджер, если бы все видеопотоки шли через его дата-центр. Не осилил бы просто затрат.
Сейчас правительство нам говорит, что мы обязаны не только собирать весь трафик со всего мира в одну точку, но еще и хранить по полгода накопленные данные. Вот вам простая арифметика. Если два человека общаются в видео-конференции по технологии точка-точка, расходов у организатора практически нет (только на установление контакта). Как только им приходится общаться через сервер, их разговор уже стоит около 5-10 рублей в час. В эти расходы включаются только затраты на работу сервера и каналов связи. Если же приходится этот видеопоток хранить в течении полугода, то себестоимость разговора для организатора становится около 40 рублей/час. А если все это происходит на сертифицированном ФСТЭК оборудовании и ПО со всеми планами отражения угроз безопасности, то эти расходы увеличиваются еще в 2-3 раза.
Или раньше переговоры по мобильнику мужа и жены в огороде происходили в рамках одной соты. Сейчас эти переговоры должны идти через Дата-центр в Москве и эти никому ненужные обсуждения морковки и сосисок должны храниться по полгода.
Закон Яровой колоссально дорогой и неэффективный. И платить за него придется нам.
2. Это законодательство очень запутанное, сложно реализуемое и с кучей маразмов.
Например, ваша фотография является биометрическими персональными данными, доступ к которой защищается по наивысшему классу защиты (если сервис крупный). А вот еще. Для управления сервером, обслуживающим весь интернет, необходимо выделить защищенную комнату, оборудованную как сейф, в которой будет стоять компьютер с зашифрованным каналом до этого сервера. Куда деваться? Делают такие комнаты. Но ходят на сервер напрямую.
Особо стоит отметить «сертифицированное ПО». Как правило, это очень старое программное обеспечение. Часто оно уже даже не поддерживается производителем. Учитывая, что в мире довольно оперативно выявляются и устраняются пробелы в безопасности, такое «сертифицированное» ПО на деле гораздо опаснее несертифицированного современного.
3. Ни от чего эти дурацкие законы не защищают. Те же криптографические сертификаты можно сколько угодно собирать с организаторов связи, но любой школьник с легкостью может зашифровать любое сообщение так, что никакие ФСБ не смогут расшифровать его за адекватное время. Суть в том, что сейчас самым ходовым является асимметричное шифрование. Его фишка в том, что сообщение шифруется одним ключом, а расшифровывается - другим. И вот вы публикуете открыто ключ для зашифровывания сообщений. Все, любой может посылать вам зашифрованную информацию, а прочитать ее сможете только вы. В любом е-мейле таким образом можно переслать любые террористические и экстремистские планы и никто с этим ничего сделать не сможет. И эта технология совершенно доступна любому, совершенно открыта и соответствующие программы стоят на любом без исключения компьютере.
Причем внедряемый сейчас протокол связи HTTP/2 уже предусматривает шифрование всей передаваемой информации. Большинство сервисов уже не поддерживают http и весь интернет постепенно выдавливают в шифруемый https. А уж как контролировать тот же ТОР - это вообще загадка. Единственный способ для ФСБ все контролировать - это вернуться в 20 век или создать новый Железный занавес. И чем больше возникает подобных идиотских запретов, тем быстрее растет популярность способов обхода всех этих блокировок.
4. Еще больше эти законы нанесли репутационного вреда. Сейчас весь мир знает о двух вещах: что Путин - злой тиран, который угнетает своих свободолюбивых граждан и контролирует их каждый шаг, а также что Путин на глазах у всего мира обделался от хорошего свободолюбивого парня Дурова.
5. Если раньше террористы и преступники недооценивали возможности перехвата сообщений и очень часто за это расплачивались, то теперь даже самый мелкий карманник знает, что ФСБ читает все и постарается защититься.
В целом у меня резюме такое. Самые отвратительные мерзости в мире сейчас творятся под предлогом борьбы с терроризмом. От убийства Хусейча с Каддафи, до борьбы с Телеграммом. Да, бороться нужно и с преступностью, и с терроризмом, и с современным американским империализмом. Но не такими способами.
Самым страшным оружием для борьбы с этими недугами является просто адекватное, приличное поведение. Если в историях с городом Дума и Скрипалями не было российской вины, то и бритов осуждает весь мир. И Германия с нами хочет продолжать работать, не смотря на давление из США, потому, что реальной вины нет, а экономические интересы есть.
Но все это стремление контролировать интернет - это что-то из КГБ-шной молодости Путина. Причем именно такой контроль в итоге и привел к разрушению СССР.