dolboed: (gandhi)
«Пакет Яровой-Озерова», как известно, подписан президентом и вступил в законную силу. Первым «пробным шаром» в рамках его исполнения стало привлечение к административной ответственности 25-летнего кришнаита Вадима Сибирева из города Дзержинск. Он был задержан в Карачаево-Черкесии за распространение «Бхагавад-Гиты» и проповедь вайшнавизма. В соответствии с «антитеррористическими» поправками Яровой молодого человека пытались осудить за «миссионерскую деятельность», за которую у нас теперь положен штраф до 50.000 рублей.

В своём объяснении задержанный кришнаит написал, что, по его мнению, «миссионерством» в российском законе признается деятельность религиозных объединений или их уполномоченных представителей, а не личная деятельность граждан по реализации своих конституционных прав.

Хорошая новость состоит в том, что мировой суд Черкесска вчера прекратил административное дело в отношении Вадима Сибирёва, за отсутствием в его действиях состава и события правонарушения, предусмотренного «антитеррористическим» законодательством Яровой-Озерова. Любопытно, что юрист-правозащитник Михаил Фролов, представлявший интересы кришнаита в черкесском суде, — однофамилец (если не родственник) юной прокурорши, которая вчера обвиняла меня в экстремизме.

Другим следствием «пакета Яровой» стал приказ ФСБ России от 19 июля 2016 года за №432. Он призван урегулировать порядок «сбора ключей шифрования» у так называемых «организаторов распространения информации». Эта процедура вызывает у специалистов не меньше вопросов, чем пресловутый реестр сайтов с посещаемостью больше 3000 человек в день, создание которого, как мы помним, было предусмотрено в 97-ФЗ, во исполнение предыдущего «антитеррористического пакета Яровой», пролоббированного ФСБ якобы в ответ на взрывы в Волгограде. Реестр, как мы знаем, должен был вести Роскомнадзор, который сразу же заявил, что не собирается страдать этой фигнёй. Сайтов, подпадающих под критерии 97-ФЗ, в мире насчитывается не одна сотня миллионов. То есть требование о создании реестра, где бы значилась контактная информация владельцев всех этих ресурсов, невыполнимо чисто физически. Как и «антитеррористическое» требование об обязательной паспортизации всех пользователей публичного WiFi, про которое Минкомсвязи, помнится, давало официальное разъяснение: ну да, в законе написан бред, но собака лает — ветер носит. Мы будем настаивать на авторизации по сим-карте, предполагая, что её в России нельзя купить без паспорта, гыгы.

Со «сбором ключей шифрования» намечается очень похожая фигня, только отбояриваться от глупых требований «антитеррористического пакета» придётся уже не Роскомнадзору (который сразу заявил: закон принимали не мы), а тем самым чекистам, которые этот сбор ключей собственноручно пролоббировали.

Леонид Волков сегодня предметно разбирался с техническими аспектами «Приказа №432»
, реестром «организаторов распространения информации» и реальными перспективами реформ в деле слежки ФСБ за нашими чатами. Не хочу пересказывать этот длинный и забавный текст, но вывод о том, что чекисты намылились откосить от исполнения своего же собственного законопроекта прямо напрашивается. Возможно, самое интересное открытие Волкова — что ни один мессенджер, российский или зарубежный, сегодня в реестре «организаторов распространения информации» не значится.

Собственно, не в первый раз спецслужбы разинули рот на кусок, который им не только не прожевать и не переварить, но даже и не откусить. Их поведение в этом смысле очень сильно напоминает поведение Дракоши на шоколадной фабрике из мультика «Сладкая сказка». Тут можно, конечно, задать вопрос: а на хрена тогда они этот пакет продавливали? Про это читайте в постах о коррупционной составляющей «пакета Яровой».
dolboed: (MTS воры)
Телеграм Сергея Пархоменко вчера взломали при деятельном содействии оператора МТС. Перехватили СМС-сообщение, необходимое для авторизации, потом залогинились и обнулили его историю. Глубже забраться не смогли, потому что Telegram ввёл такую систему авторизации, что просто по СМС её не поломать. Есть дополнительный шифр, который без владельца аккаунта не узнаётся. Этот шифр в МТС не знали, облом.

Это уже четвёртый аккаунт, угнанный за счёт содействия криминалу изнутри оператора МТС за последний месяц. По трём предыдущим случаям не было ни извинений, ни внутреннего расследования. Все уже выучили: МТС сливает переписку абонентов спецслужбам в штатном режиме. Там просто сидит специалист из ФСБ, которому для чтения чужих сообщений не нужно ни судебных решений, ни санкций прокуратуры. Он отслеживает СМС-переписку, иногда перехватывает управление номерами, иногда просто сливает сообщения в СМИ для публикации. Самая ржака — что СМИ, присосавшееся к перехватам ФСБ, продолжает называет себя «демократическим», хотя de facto оно является банальной гебешной подстилкой и сливным бачком спецслужб.

Понятно, что в теории, с точки зрения уязвимости и подконтрольности спецслужбам, все российские операторы в принципе одинаково уязвимы. Но так же понятно, что риски пользователей БиЛайна и МегаФона являются теоретическими, а переписку абонентов МТС спецслужбы сегодня получают и изучают раньше конечных адресатов. По-моему, это достаточно уважительная причина, чтобы перестать пользоваться сервисом МТС, если вы не хотите видеть свою переписку опубликованной ни у Габрелянова, ни у Доброхотова.

По поводу Telegram стоит уточнить, что меры там приняли безотлагательно. С сегодняшнего дня историю аккаунта, угнанного через СМС-перехват, потереть уже нельзя. Так что аккаунт Пархоменко был последним, с которым такая неприятность случилась. Это сейчас временный patch системы, в ответ на текущий кейс. А в течение ближайших дней выйдет обновление клиента, которое умеет различать инструкции законного владельца аккаунта и деструктивные проделки его взломщиков.

Конечно, жаль Павла Валерьевича Дурова, которому из-за этих проделок ФСБ приходится непрерывно патчить глобальную систему, где российские пользователи составляют от силы 2%. Одно утешение — что эти проделки МТС и чекистов способствуют совершенствованию алгоритмов защиты, которые потом пригодятся и турецким, и венесуэльским и сирийским пользователям Telegram. А однажды, не приведи Господь, помогут американцам, британцам и европейцам избежать неуместного интереса властей к их переписке.
dolboed: (00Canova)
Одну вещь очень важно понимать про «пакет Яровой Озерова».
Конкретно — про ту его часть, которая обещает обойтись дорогим россиянам в 5 триллионов рублей на ровном месте. Про СОРМ, СОРМ-2, СОРМ-3, СОРМ-3S, и далее ad nauseam.

Важно понимать, что эта история — вовсе не про «слежку за гражданами».
И вносятся эти новые технические регламенты совершенно не во имя цензуры: ёжику ясно, что все эти терабайты непрерывной компьютерной переписки граждан, даже суточной, элементарно некому читать. Мир в этом убедился ещё 15 лет назад, когда англо-американская система слежки «Эшелон» перехватила всю переписку террористов, планировавших теракты 11 сентября. Выяснилось, что они даже не шифровались особо. Задним числом эту корреспонденцию из базы и выковыряли, и изучили. Но использовать перехват для предотвращения терактов никому ещё не удавалось. Эффективна только такая слежка, которая ведётся в отношении очень конкретных подозреваемых, точечно. Перехват переписки 92 миллионов человек тут никак не поможет.

Так зачем же принимаются такие законы? Просто от невежества и злобности?

Отнюдь. Тут прослеживается очень чёткая, внятная и доступная оценке корыстная мотивация.

Дело в том, что «хранение данных пользователей» — это не просто обязанность для оператора выписать себе из Китая RAID помощней, чтоб на нём больше данных поместилось.

Средства для хранения данных в рамках СОРМ — это может быть только сертифицированное ФСБ оборудование. На закупку единиц хранения сегодня уходит около половины денег, которые российские операторы связи тратят на выполнение требований СОРМ по слежке за своими пользователями.

Что такое сертифицированное оборудование? Это какое-нибудь особенное оборудование? Да нет, ни разу, в России же не производят никакой RAID, всё у нас импортное, покупное и привозное. Включая и компьютеры, и софт, и периферию, используемую в святая святых силового блока.

Сертифицированное означает всего лишь, что ты эту железку, придуманную в США и собранную в Китае, не можешь купить ни у производителя, ни у оптовика за границей. Есть узкая группа вполне коммерческих компаний, с лицензиями ФСБ, которая закупает это оборудование за границей, ввозит в Россию, шлёпает на него сертификат соответствия, а потом продаёт телекомам. Вот эта самая наклейка, которая стоит дороже всего оборудования, и составляет весь смысл грандиозной аферы. Вполне в духе зощенковского рассказа про «слабую тару».

То есть все эти условные 5 триллионов рублей, которые операторы связи и интернет-площадки должны будут выложить на закупку новых единиц хранения в рамках «пакета Яровой-Озерова», пойдут вовсе не за рубеж, не каким-то иностранным производителям оборудования, как многие успели посетовать. Эти траты озолотят довольно узкий круг юридических и физических лиц, которые много лет кормятся на поставке решений СОРМ, а в голодный год захотели заработать в десять концов. Только в этом и состоит рациональное объяснение технических требований, входящих в «пакет Яровой-Озерова». Точно так же, как ФЗ №139, первый в России «цензурный» закон о фильтрации и блокировке сайтов, на самом деле никакой политической цензуры нам не принёс. Зато принёс необходимость закупки операторами оборудования для Deep Packet Inspection, чтоб в одночасье не заблокировать своим пользователям все популярные площадки в Интернете.

Всё это, конечно же, звучит как очень общие рассуждения, потому что я до сих пор не назвал никаких имён и фамилий. Но это не значит, что кормушка под названием СОРМ —это прямо такой уж чёрный ящик для всех, кто к ней не присосан. Довольно много известно про всех этих деятелей, получивших от ФСБ грамоты на кормление. И всё, что про них известно — это увлекательнейшее чтение.

Вот рассказ о питерском ООО «Специальные технологии» и его прекрасном учредителе, ныне в розыске по педофильским статьям. В начале 2015 года ему предъявили обвинение по 20 эпизодам с участием малолетних, и — внезапно — отпустили под подписку о невыезде, из-под которой он, разумеется, тут же и сбежал за границу. Компания при этом никуда не делась, её перерегистрировали на других лиц, и она остаётся одним из крупнейших игроков на российском рынке поставки решений для СОРМ.

Но не стоит думать, что беглый обвиняемый далеко ушёл от привычной кормушки. Уже через 4 месяца после его объявления в розыск в городе Москве возникло новое ООО, с тем же самым названием «Специальные технологии», и с отцом беглеца в качестве учредителя. К 17 ноября 2015 года эта новая фирма уже получила в центре ФСБ России по защите гостайны лицензию на разработку, поставку и обслуживание «специальных технических средств, предназначенных для негласного получения информации». А к исполнению государственных заказов по поставке и модернизации решений СОРМ юная фирма с уставняком в 10 тыр приступила за 25 дней до получения той самой лицензии ФСБ. Первый заказ, на ₽13,756 млн, поступил от ПАО «Ростелеком»; спустя ещё полтора месяца второй такой же, на ₽7,080 млн, поступил из Волгоградского филиала той же госкорпорации. Тоже на модернизацию оборудования СОРМ. Дальше у фирмы случились контракты в Тверском филиале «Ростелекома» и в Государственном НИИ информационных технологий и телекоммуникаций… Розыск или не розыск, но котелок-то варит. А после вступления в силу «пакета Яровой-Озерова» от заказов на модернизацию оборудования у «Специальных технологий» заканчивается золотой век, и начинается сразу бриллиантовый. И у питерских, и у московских.

Вот за чем надо следить.
Вот о чём надо писать.
То, что для для госбюджета, для операторов связи и их клиентов — ущерб и убытки, для вполне конкретной группы лиц — навар и чистая прибыль.
У СОРМ-бизнеса есть совершенно конкретные бенефициары.
И они, с подачи Яровой и Озерова, собрались обогатиться на такую сумму, которая ощутимо превышает годовые расходы бюджета РФ на здравоохранение.
Мы знаем организацию, которая выписывает пропуска к этой кормушке.
Мы знаем круг лиц, которым выданы эти пропуска.
Это не они за нами будут следить, а мы за ними.

Напоминаю, что сбор подписей за отмену «пакета Яровой» продолжается.
Голосовать можно и нужно здесь (при наличии регистрации на портале госуслуг):
https://www.roi.ru/28432/
Там к этой минуте собрано 53.526 голосов, а нужно 100.000.
И я верю, что мы их соберём.
dolboed: (teaching)
Недавняя история со «взломом» аккаунтов Telegram у двух московских оппозиционеров — лишнее напоминание о том, что на одних голых технологиях надёжную защиту данных не выстроить. Там, где нет уязвимостей технологических, всегда остаются поведенческие.

По общему мнению, аккаунты Албурова и Козловского взломали, используя дубликаты их СИМ-карт, что позволило взломщикам запросить, получить и использовать коды авторизации для захода в систему от имени жертв.

Выпустить дубликат СИМ-карты, зная номер абонента — задача технически очень простая. Это можно сделать в любом офисе того оператора, у которого обслуживается мобильный контракт. Соответственно, круг лиц, способных совершить такое действие, огромен. Любой сотрудник офиса оператора в любой точке страны может это сделать. И по собственной инициативе, и за деньги, и под давлением (например, по требованию представителя силовых ведомств). Также заменная карта может быть выдана злоумышленнику просто по ошибке, если он, используя поддельные документы, сумеет выдать себя за владельца номера, или за его представителя по доверенности. Впрочем, в нашем случае всех этих ухищрений не потребовалось: компания МТС выступала активным соучастником взлома аккаунтов своих клиентов. Помимо перевыпуска их СИМ-карт, она ещё и заблокировала в их телефонах возможность получения СМС на время перехвата кодов авторизации.

В конкретном примере с сервисом Telegram этот способ взлома элементарно просто нейтрализовать. Достаточно использовать двухступенчатую авторизацию, о введении которой сервис объявил в начале апреля 2015 года. Вторым шагом идентификации в этой схеме является придуманный пользователем пароль, который злоумышленнику ниоткуда не получить — а об успешных попытках подбора таких паролей к Телеграму с помощью брутфорса (перебора) науке ничего не известно.

Безотносительно и к случаю с Козловским и Албуровым, и к сервису Telegram, существуют несложные поведенческие приёмы, позволяющие бесконечно осложнить жизнь потенциальным взломщикам наших аккаунтов. Мы знаем, что для «перехвата» наших логинов и паролей в разных системах злоумышленник захочет использовать наши телефонные номера и почтовые ящики, которые ему известны. Так что достаточно нам для доступа к важным сервисам использовать никому не известные почтовые адреса и телефонные номера, чтобы злоумышленник просто не смог до них добраться. Такой ящик и такой номер можно создать специально для логина в коммуникаторы. Никогда не использовать эту почту для переписки, а телефон — для звонков. Нигде их не публиковать. СИМ-карту заводить не на своё имя (проще всего — иностранную, на предоплатном контракте; входящие СМС в роуминге у любого оператора бесплатны).

Все эти методы профилактики нежелательного интереса к нашей переписке и архивам — простые предосторожности, которые, по сути дела, сводятся к «защите Неуловимого Джо». Чем меньше миру изначально известно о тебе и твоей жизни, тем трудней негодяям уцепиться за ту первую ниточку, взявшись за которую они хотели бы размотать клубок.

PS. Вопрос о сохранении/удалении архивов и обеспечении их безопасности рассматривается в отдельном посте.
dolboed: (tibet)
Покушение на Олега Кашина раскрыто.
Об этом он сам рассказал сегодня на Kashin.guru.
Псковский губернатор Турчак
Следствием установлены все трое исполнителей собственно нападения, двое из них находятся с конца июля под стражей, третий скрывается в Белоруссии. Все трое — сотрудники частной охранной службы холдинга «Ленинец». Следствию известен и организатор преступления, передавший исполнителям 3,3 миллиона рублей за нападение на журналиста. Он же впоследствии помог нападавшим скрываться от правосудия в его родном городе Могилёве. Но формально в деле о покушении на Кашина этот организатор почему-то проходит как свидетель. Учитывая его нынешнюю должность и послужной список, это никого не должно удивлять.

Человек, заплативший 3,3 млн за покушение на Олега Кашина, но оставшийся в деле свидетелем — начальник всех трёх обвиняемых, управляющий и совладелец оборонного предприятия ОАО «НТЦ «Завод "Ленинец"» Александр Горбунов. Ему 41 год, и родился он, как уже сказано, в Могилёве. В 2007 году Горбунов занимал пост советника министра обороны Анатолия Сердюкова; в 2009–2010 возглавлял Главное управление международного сотрудничества Министерства обороны РФ; был председателем координационного совета «Молодой гвардии Единой России». Члены этой организации ещё в 2010-2011 годах допрашивались следователями в связи с незаконной слежкой за Олегом Кашиным накануне покушения.

27 июня по ходатайству СКР Октябрьский суд Петербурга арестовал Горбунова. Он обвиняется по части третьей статьи 222 УК РФ — «Незаконные приобретение, передача, сбыт, хранение, перевозка или ношение оружия, его основных частей, боеприпасов в составе организованной группы». На основании признательных показаний тех самых исполнителей покушения на Кашина следователям в июне удалось обнаружить в Ленобласти принадлежащий их боссу крупный склад оружия. Там были изъяты около десяти современных пистолетов, автоматическое оружие и взрывчатка. За этот склад Горбунова и арестовали. А послезавтра собираются отпустить на свободу, покуда он не успел под следствием лишнего не наговорить про реальных заказчиков покушения на Кашина.

В ближайшую среду, 9 сентября, в 11:00 Калининский райсуд Санкт-Петербурга будет рассматривать ходатайство обвинения об изменении Горбунову меры пресечения на не связанное с лишением свободы. Почему вдруг обвинению показалось, что владелец частного склада боеприпасов не представляет опасности для общества — вопрос риторический. Следствие по делу о покушении на Кашина находится в той стадии, когда возможностей по его развалу осталось совсем немного — и все они будут обязательно использованы.

Осталось сказать о главном: что же связывает управляющего питерского оборонного предприятия с московским журналистом Кашиным? Без ответа на этот вопрос вся история, рассказанная выше, выглядит довольно таинственной. Но если знать, что 40% руководимого Горбуновым холдинга принадлежит семье псковского губернатора Андрея Турчака, то никакой загадки в деле не остаётся. Незадолго до покушения Турчак, взбешённый репликой Кашина в соцсетях, публично угрожал журналисту. Версию о причастности Турчака к покушению на Кашина озвучивал Ъ ещё в ноябре 2010 года:

Нападение на Олега Кашина могло быть связано с конфликтом между ним и губернатором Псковской области Андреем Турчаком. В августе этого года Олег в своем блоге в "Живом журнале", комментируя отставку губернатора Калининградской области Георгия Бооса, употребил нелицеприятное высказывание о губернаторе. Тот в комментариях к записи потребовал извинений, однако Олег извиняться отказался. За три недели до нападения Олег Кашин со ссылкой на свои источники сообщил коллегам по отделу "Общество" "Ъ", что Андрей Турчак не только не забыл о нанесенной обиде, но и якобы хочет отомстить. Позже журналист еще раз сказал коллегам то ли в шутку, то ли всерьез: "Если что и случится, то это Турчак". Отметим, что к последней записи в блоге господина Турчака уже появились предложения блогеров явиться в прокуратуру, пройти проверку на детекторе лжи или публично опровергнуть свою причастность к нападению на журналиста. "Ъ" обратился к губернатору с запросом на эту тему, но ответа вчера не последовало.

Фамилия Турчака всплывала и на самых ранних стадиях следствия. Активисты МГЕР, уличённые в незаконной слежке за Олегом Кашиным накануне покушения, тоже о нём упоминали в 2011 году:

На допросах обе стороны, внезапно заинтересовавшиеся местом жительства Олега Кашина, сказали, что информация, которая вообще-то охраняется законом о личной тайне, им была нужна для того, чтобы «пригласить Олега Владимировича Кашина в гости к псковскому губернатору Андрею Анатольевичу Турчаку».

Так что интересный вопрос в связи со всей этой историей остался лишь один: дадут ли г-ну Горбунову рассказать в суде и на следствии, чьи 3,3 миллиона он передал киллерам вместе с домашним адресом Кашина, и чем был мотивирован заказ. Ответ на эти вопросы на сегодняшний день предельно ясен прессе и публике. Но будет ли он когда-нибудь оформлен в виде судебного приговора, или хотя бы обвинительного заключения в адрес подлинного заказчика покушения — нам не дано предугадать. Весь предшествующий опыт наблюдений за российской Фемидой подсказывает, что шансов на привлечение к ответственности кого-либо, кроме уже задержанных исполнителей, крайне мало.

Но дело о покушении на убийство раскрыто — и это уже, согласитесь, немало.
Заказчики и исполнители могут и соскочить, и отмазаться, и отделаться условными сроками.
Только двух вещей они уже никогда не смогут сделать: заставить нас забыть, как их зовут, и что они сделали в ноябре 2010 года. И запретить нам говорить об этом вслух.
dolboed: (0solovyevorel)
Пишут, что Google уже переносит серверы в Россию, а eBay заявляет о такой готовности. Всё это связано с предстоящим вступлением в действие (с 1 сентября 2015 года) законодательства о запрете персональных данных россиян за рубежом.
Алексей Соловьёв. Государственное регулирование вопросов Интернета
Если внимательно читать всё, что про это пишут, то станет понятна одна простая вещь: на сегодняшний день никто из участников «великого переселения данных» не понимает и не может толком объяснить самые базовые правила этого нововведения. Думцы, принимавшие закон, нагородили много квазиюридической чуши, недоступной переводу на язык технологий. Роскомнадзор, надзирающий за исполнением, поминутно на это ссылается: закон писали не мы, там есть непонятное. Компании, деятельность которых закон призван регулировать, ждут разъяснений от Роскомнадзора. Пользователи, в свою очередь, ждут разъяснений от этих компаний, но их позиция предсказуемо сводится к no comments.

Основные непонятки к сегодняшнему дню:

— чьи данные считаются «персональными данными россиян», согласно закону?
— имеет ли это определение обратную силу, и на кого распространится в будущем?
— какая информация относится к охраняемым персональным данным, а какая — нет?
— предусмотрен ли законодательством запрет на резервное копирование массивов данных?
— если компания А хранит «данные россиян» на сервере в Ростелекоме, запрещено ли ей по запросу пользователя делиться этими данными с компанией В, которая этого не делает?
— будет ли ко всем компаниям, хранящим персональные данные в России, предъявлено требование хранить их в незашифрованном виде?
— если такое требование не будет предъявлено, как можно проконтролировать исполнение законодательства?


К сожалению, на сегодняшний день внятный ответ на все эти вопросы отсутствует начисто, а на часть вопросов разумный ответ в принципе не может быть дан. Так уж случилось, что архитектура Интернета в последние 30 лет выстраивалась определённым образом, без оглядки на возможные впоследствии требования по её расчленению на национальные юрисдикции, каждая из которых законодательно установит собственные стандарты для бита, байта, IP-адреса или протоколов связи, а затем потребует от остального мира соблюдать эти конвенции в отношении её подданных.

В истории человечества известен ровно один способ установления единых международных стандартов, действующих поверх национальных границ: для этого всем заинтересованным субъектам нужно сесть и договариваться. Любая работающая договорённость — это всегда разумный компромисс, с учётом интересов разных участников процесса. Российское законодательство о раздельном хранении персональных данных россиян и иностранцев принято сугубо в одностороннем порядке, без малейшей попытки обсудить реалистичность требований, их адекватность существующей архитектуре сетей обмена данными и их хранения. Поэтому требования этого законодательства просто не реалистичны. И вариантов остаётся два: либо иностранные компании отказываются исполнять требования, хлопают дверью и уходят с российского рынка, либо эти требования втихаря, под шумок, пересматриваются таким образом, чтобы не нарушать связности глобальных систем. При этом, разумеется, они обессмысливаются — но это в нашем случае не страшно, потому что смысла в них изначально не было никакого.

Собственно, Роскомнадзор сейчас и пытается вымутить второй вариант. То есть как-то договориться с иностранными компаниями о наборе показных телодвижений, благодаря которым обе стороны могли бы заявить, что требования законодательства выполнены — прекрасно понимая при этом, что они в принципе не исполнимы. Эта лукавая линия поведения Роскомнадзора — не новость: достаточно вспомнить их художества с 97-ФЗ, требующим от россиян предъявлять паспорт при любом доступе к публичным сетям WiFi. Закон этот вступил в силу, и он якобы даже где-то исполняется. Но на самом деле, нет. Паспорт так и не стали спрашивать, ни у кого и нигде, потому что это означало бы попросту запретить весь публичный доступ. Никакой метрополитен не может проверять паспорта у владельцев мобильников и планшетов, точка. Вместо паспорта в некоторых сетях стали требовать подтверждения по СМС. Но это явным образом противоречит требованиям 97-ФЗ, где чёрным по белому сказано об удостоверении личности, а номер мобильного телефона таким удостоверением не является. Но тут сработало универсальное советское правило «замнём для ясности». По такому же правилу они собираются и проблему с хранением персональных данных решать.

Впрочем, это их, лукавых чиновников, проблемы.
Что же касается нас, пользователей, то у нас — своя жизнь, и выбор у каждого очень прост. Это, в первую очередь, выбор не практический, а принципиальный.

Мы можем себе сказать: нам пофиг, где хранятся наши данные. В России, в Америке, или в Швейцарии, где сейчас учитывает россиян европейский датацентр eBay. Мы не верим, что от физической точки хранения наших данных так уж много зависит. И тогда просто перестаём интересоваться дальнейшим ходом мерлезонского балета вокруг «переноса серверов» (который, на самом деле, и не «перенос» вовсе, а дублирование — никакие серверы из Невады в Москву никто не тащит).

Либо мы можем сказать: нас очень волнует, что вчера наши данные хранились там, где мы полагали их защищёнными, а завтра они могут оказаться там, где к ним может получить физический доступ любая российская спецслужба, LifeNews или Рамзан Кадыров. В этом случае у нас есть стопроцентный контроль за тем, как наши данные будут отображаться на тех серверах, где мы их регистрируем. Никакому россиянину сегодня не возбраняется завести себе американский аккаунт в любом онлайн-сервисе — и вывести таким образом свои данные из-под действия беспокоящих нас законов. Нужно только помнить, что текущий критерий «российскости», озвученный Ростелекомом — это IP-адрес. Так что нужно просто использовать при регистрации прокси-сервер, позволяющий Вашему IP не распознаваться в качестве российского. Такую возможность вы можете совершенно бесплатно получить с помощью расширения friGate, которое все мы давно используем для обхода блокировки сайтов Роскомнадзором.
dolboed: (googlemap)
Задолго до Эдварда Сноудена и его разоблачений параноики всех стран предупреждали, что за каждым пользователем Интернета и подключённых к нему мобильных устройств ведётся непрерывная слежка. Если не использовать алармистскую терминологию без надобности, то можно уточнить, что речь не о слежке, а о сборе данных. Которые, может быть, никогда не будут использованы нам во вред, но в любом случае они собираются и хранятся где-то там, в чужих базах данных, коммерческих и казённых, и общественный контроль за этими базами, по сути дела, отсутствует.
Карта моих перемещений, по версии Гугла
Тем интересней становятся инструменты, позволяющие пользователю заглянуть в те самые базы и выяснить, какие данные про них уже накоплены в чужих хранилищах.

Наибольшее количество замочных скважин для этой цели предоставляет компания Google, которая, в отличие от Apple с её нашумевшей consolidated.db, из сбора пользовательской информации секрета никогда не делала.

Вот, например, весь тот соцдем гуглопользователя, на основании которого нас на сервисах Гугла и партнёрских сайтах идентифицирует рекламный движок контекстной рекламы AdSense. Сюда входят пол, возраст, языки, круг интересов, персональные настройки opt out:
https://www.google.com/ads/preferences/
(На этой странице можно вносить некоторую правку в свой рекламный профиль; некоторые другие персональные данные можно изменить в аккаунте Гугла, откуда они сюда импортированы).

Как знает любой регулярный пользователь поиска, статическим соцдемом настройка рекламных объявлений не исчерпывается. Каждому из нас системы управления контекстной рекламой подсовывают объявления по теме наших же собственных предшествующих поисковых запросов. Какие наши запросы помнит Гугл, можно посмотреть в персональной истории поиска. Там видно не только то, какие мы вводили запросы, но и то, по каким находкам мы впоследствии перешли. Система ведёт учёт и рейтинг наших самых популярных запросов, выстраивает диаграммы поисковой активности по дням и месяцам. В эту базу можно влезть и всё там удалить:
https://history.google.com/

Другим критерием нашего профиля, динамическим, но тоже влияющим на рекламную выдачу, является географическое положение. Каждый пользователь устройств на базе Android, когда эти устройства подключены к Сети, непрерывно транслирует Гуглу своё местоположение. О пользе этой фичи для последующего восстановления своих перемещений по городу и миру я уже писал тут в январе, ссылка с тех пор не изменилась:
https://maps.google.com/locationhistory/
В режиме реального времени location history используется, как выше уже сказано, рекламным движком. Именно поэтому, приземлившись в аэропорту Венеции, вы сразу начинаете видеть итальянскую контекстную рекламу там, где перед вылетом видели российскую. Но есть ли Гуглу какая-то польза от исторических данных о наших перемещениях по планете, я не знаю. Мне — точно есть.

Сервис по учёту всех пользовательских устройств, с которых осуществлялся доступ к сервисам Гугла, аналогичен спискам активных сессий у многих других вебсервисов, от ЖЖ и Facebook до Amazon. Рекламного смысла у этой фичи нет, она скорей помогает пользователю в вопросах безопасности. По списку устройств, с которых осуществлялся заход на наши аккаунты, можно отследить случаи несанкционированного доступа, а также отрубить возможность захода под нашим логином с тех устройств, которые мы потеряли, выкинули или кому-нибудь подарили:
https://security.google.com/settings/security/activity
Помимо общего списка, пользователям устройств на Android доступен отдельный интерфейс управления трубками и планшетами на базе этой ОС:
https://www.google.com/android/devicemanager?u=0
Это аналог эппловского Find my iPhone/iPod/iPad/Mac, он тоже требует согласия пользователя на первый запуск, а затем позволяет удалённо заблокировать и обнулить устройство, к которому вы потеряли доступ.

Отдельно ведётся учёт всех устройств и приложений, которым пользователь разрешил доступ к своему аккаунту в Гугле. Из этого списка (аналогичного фейсбучному и ЖЖшному) можно в любой момент отозвать этот доступ, если вы уже не помните, зачем и кому его предоставляли:
https://security.google.com/settings/security/permissions

Моя любимая фича для всех сервисов Гугла, позволяющих пользователям создавать и хранить на облаке свой контент, называется Google Takeout:
https://www.google.com/takeout
Она позволяет пользователю в любое удобное время забрать с серверов Гугла архивированную копию всей своей информации, которая там хранится: закладки, почту и чаты, фотографии, календарь, адресную книгу, файлы с Google Drive, заметки и весь социальный граф с Google+, записи с Blogger.com, книги из гугломагазина, персональную разметку и историю гуглокарт, видео с YouTube и даже полную историю поставленных разным страницам "плюсов". Наличие такого сервиса, очевидно, снижает уровень тревоги пользователя по поводу потери его данных с облака в случае закрытия того или иного сервиса (как это случилось, например, с многолетними архивами [livejournal.com profile] sergeydolya, которые он хранил на яблочном фотохостинге Mobile.me, приговорённом к ликвидации). Не случайно такой продвинутый сервис по забиранию своего контента возник именно у Гугла, учитывая любовь этой корпорации к закрытию сервисов при первом подозрении на их «непрофильность» для корпорации. Вспомним Wave, Buzz, Reader, Google Video и десятки других безвременно закрытых проектов.
dolboed: (lemonde)
В Постановлении правительства за №743, опубликованном неделю назад, говорится об установке с завтрашнего дня оборудования ФСБ на площадках «организаторов интернет-присутствия». На самих «организаторов» возлагаются при этом три обязанности: обеспечить функционирование систем слежки, помогать силовикам с их апгрейдом и скрывать от пользователей «организационные и технические приёмы» доступа ФСБ к их персональной информации.
Приёмы наблюдения
Ничего особенно нового и интересного в постановлении нет, потому что фабула всех этих шпионских игр была ясна ещё 16 лет назад, когда при Реймане в России впервые СОРМ вводили. Спецслужбы, как обычно, хотят иметь доступ к каждому байту передаваемой и получаемой нами информации, в режиме реального времени. У силовиков неограниченные лоббистские возможности во всех ветвях власти, так что любой их каприз довольно быстро находит отражение и в законах, принимаемых Думой, и в постановлениях правительства, и в нормативах Минсвязи.

Но есть у спецслужб одна неразрешимая проблема, о которой знают и они, и мы. Если объект А просто живёт свою жизнь, а субъект Б пытается отследить всё, что в ней в любую секунду происходит, то их трудозатраты несравнимы. Представим себе, что объект А действительно вражий шпиён, и раз в неделю он отправляет буржуинам шифровку с планом советского завода. В остальное время он ест, пьёт, спит, портит девок, смотрит сериалы, торчит в энторнетах, ходит на Дорогомиловский рынок за мясом. В то же время несчастный субъект Б все 168 часов в неделю должен проводить за мониторами, в наушниках: он же не знает заранее, в какой момент состоится передача плана советского завода, и каким способом она будет осуществлена.

Хорошо, если личность объекта А заранее известна и установлена. Тогда спецслужбы могут создать для слежки оперативную группу, включить туда специалистов по прослушке, наружке и скрытой видеозаписи, обеспечить круглосуточное посменное дежурство... то есть потратить уже не 168, а скорее 1680 человеко-часов за ту же неделю, чтобы отследить и перехватить сеанс связи длиной в несколько минут.

Довольно очевидно, что для одновременной слежки за популяцией в 68 миллионов пользователей Интернета в России эта формула спецслужбам не поможет ни разу. Приставить к каждому пользователю Сети по десять вертухаев не может себе позволить даже коммунистический Китай. Да и по одному вертухаю — тоже не может: пользователей там 568 миллионов, столько сексотов во всём мире не наберётся.

Так что, по сути дела, ещё в 1998 году, когда модули СОРМ начали устанавливать на оборудовании интернет-провайдеров, речь шла не о слежке, а, по сути дела, о сборе, накоплении и пассивном хранении гигантских массивов информации, 99,9% которой никто и никогда не сможет ни прочитать, ни расшифровать, ни использовать осмысленно. Тем не менее, из года в год спецслужбы борются за расширение масштабов своего собирательства. Появился СОРМ-2, затем СОРМ-3, введены новые правила контроля почтовых отправлений, расширяется список требований к ОпСоСам, а завтра ещё в соцсетях прослушку установят... Но разгребать все петабайты информации, которые, благодаря всем этим титаническим усилиям, ежедневно оседают в бездонных накопителях спецслужб, чем дальше, тем более некому.

Можно тут, конечно, предположить, что параллельно с фиксацией «белого шума» в спецслужбах идёт грандиозная работа по извлечению из этих массивов какого бы то ни было полезного сигнала, пресловутый data mining по ключевым словам или другим каким-нибудь алгоритмам... Но свидетельств того, что эта работа с использованием трёх поколений СОРМ за последние 15 лет дала какой-нибудь осмысленный результат, будь то в смысле предотвращения каких-нибудь преступлений, или поимки злоумышленников post factum, никто пока не видел. Портянки могут нам на это сказать, что успехи есть, просто они строго засекречены. Террористов, которых удалось поймать благодаря расшифровке их откровенных переговоров в Скайпе, судят страшно закрытым подземным судом, и вывозят пожизненно в какое-нибудь тайное чукотское Гуантанамо, чтоб никто не догадался об успехах СОРМ за последние 15 лет. Наверняка кто-нибудь и в такое готов поверить. А человек разумный поинтересуется, откуда ж об этом стало известно самим портянкам, если всё такое страшно секретное.

Ещё можно спросить, на кой ляд вся эта петрушка с прослушкой сдалась самим спецслужбам. Но на этот вопрос я уже отвечал на днях, так что просто процитирую:

Это акт демонстративного запугивания законопослушных граждан и юрлиц. Показное закручивание гаек. Чтобы лишний раз напомнить обывателю: государство хочет следить за каждым твоим действием в Интернете. Молчи, скрывайся и таи. Не раскачивай лодку. Большой Брат смотрит на тебя, не мигая.

А вторую причину суеты наших спецслужб на тему расширения собственной занятости без малого 60 лет назад сформулировал на страницах The Economist всемирно известный британский военный историк Сирил Норткот Паркинсон в законе, носящем его имя. Российские сексоты — такая же бюрократия, как любая другая, и она точно так же стремится увеличивать собственные штаты, бюджеты и технические мощности, как та британская система волокиты, про которую Паркинсон в своё время сказал, что она растёт на 5—7 % в год безотносительно к каким-либо изменениям в объёме требуемой работы (если таковые были вообще). А значит, в будущем нас ждут и СОРМ-5, и СОРМ-6, и новые реестры запрещённых сайтов, и новые составы мыслепреступления, расследование которых позволяет сексотам и дальше наращивать аппарат.
dolboed: (lemonde)
Постановление Правительства Российской Федерации № 758 от 31.07.2014, подписанное Д.А. Медведевым, запрещает на всей территории России предоставление свободного публичного доступа к сетям WiFi. Каждый желающий подключиться к публичному WiFi отныне обязан сперва предъявить свой паспорт, а владелец точки доступа обязан срисовать оттуда сведения, учесть время начала и конца сеанса связи, и данные те хранить у себя полгода — для передачи спецслужбам в случае антитеррористической необходимости.
Алексей Соловьёв. Государственное регулирование вопросов Интернета
В связи с чем напрашивается несколько вопросов.

1. Где они это взяли?!

Теоретически, подобный запрет действует в Китае (фактически — уже много лет никто за его соблюдением в местах большого скопления народа не следит). На практике Медведев тупо передрал 60-й указ Александра Лукашенко «О мерах по совершенствованию использования национального сегмента сети Интернет» от 1 февраля 2010 года, в котором такая норма паспортизации пользователей WiFi вводилась в Белоруссии с 01.07.2010.

2. В каких цивилизованных демократических странах есть схожие нормы?

Риторический вопрос, как вы догадываетесь. Кроме Китая и Белоруссии, до такого не додумались нигде. Даже во Вьетнаме, при всей его цензуре Интернета, доступ в Сеть без паспорта — норма жизни. Причём не только по WiFi, но и по предоплаченной СИМ-карте.

3. Как эта мера поможет в борьбе с терроризмом?

Уверяют, что это забота о безопасности государства и граждан, и вообще часть «антитеррористического пакета» думских законов, принятых в ответ на теракты в Волгограде. Но если мы посмотрим на опыт просвещённого мира, то выясним, что ни в Израиле, ни в аэропортах и метрополитене Лондона, ни в Нью-Йорке и Бостоне (в местах с наиболее высоким уровнем террористической угрозы в нынешнем тысячелетии) ведомства, отвечающие за борьбу с такой угрозой, ничего подобного даже не предлагают. В аэропорту имени Бен-Гуриона раздаётся бесплатный WiFi от оператора 012, без регистрации даже по адресу email. В Хитроу и Гэтвике сим-карты 4G продаются за нал и пластик в торговых автоматах, там паспорт некому даже предъявить. А в подземке британской столицы частная компания Virgin Mobile с лета 2012 года раздаёт высокоскоростной Интернет. В период Олимпиады он был бесплатным, сейчас стоит 15 фунтов за 2 месяца. И происходит всё это безобразие вовсе не потому, что спецслужбы США, Британии или Израиля считают ненужной слежку за террористами. А ровно наоборот, потому, что любая слежка эффективна лишь в том случае, если злоумышленник о ней не предупреждён. Так что для террористов публичные объявления об алгоритмах слежки властей за каналами коммуникации — просто подарок Аллаха. Террористу или шпиону, замыслившему недоброе, обойти эти идиотские нормы паспортизации, чтобы выйти в Интернет анонимно — минутное дело. Да и не террористу, а просто любому, кому неохота свой паспорт светить. Достаточно купить в любом ларьке трубу б/у, чей IMEI ни в какой базе с тобой не ассоциируется, и оформить сим-карту 4G на левый паспорт. Не нужно думать, что левый паспорт при этом нужно как-то заморачиваться добывать. Его можно в три секунды нагуглить, и за три минуты нафотошопить. Потому что сим-карты продаются не в полицейском участке с прямым доступом к национальной базе паспортов, а в уличном ларьке. Продавец обязан всего лишь записать паспортные данные с ваших слов, как правило — от руки. В салонах связи, где внутренние правила требуют снимать копию с документов клиента, можно просто оставить распечатку нашего фотошопно-гуглового творчества. И вся неусыпная забота правительства о безопасности граждан и государства, выраженная в Постановлении №758, сразу идёт насмарку.

4. Неужели в правительстве этого не понимают?!

Конечно, понимают. Но, как там модно стало говорить в последнее время, решение политическое. Это такой эвфемизм, которым оправдываются все деструктивные и нелепые меры, вводимые по свистку из Кремля, будь то замораживание пенсионных накоплений, запрет на ввоз продовольствия, или дербан кудринской заначки на нужды крымских долгостроев. Принято политическое решение копировать белорусскую модель отношений между властью и гражданами. Дело правительства — исполнять. Кстати, норма про WiFi по паспорту — самая беззубая и несерьёзная из всех тех, что уже объявлены или готовятся.

5. Против кого направлена эта мера?

Парадоксальным образом, ни против кого вообще. Это акт демонстративного запугивания законопослушных граждан и юрлиц. Показное закручивание гаек. Чтобы лишний раз напомнить обывателю: государство хочет следить за каждым твоим действием в Интернете. Молчи, скрывайся и таи. Не раскачивай лодку. Большой Брат смотрит на тебя, не мигая.

6. Чего бояться пользователям?

Пользователям бояться абсолютно нечего. Среднестатистический горожанин в 2014 году осуществляет доступ в Интернет по трём контрактам. Один — с оператором сотовой связи. Другой — с оператором домашнего Интернета и кабельного ТВ. Третий — по месту работы или учёбы. Контракты с ОпСоСом и кабельным провайдером паспортизированы изначально. А в отношении офисов, школ и вузов давно уже действует приказ Минсвязи, обязывающий юрлица сдавать спецслужбам полный список сотрудников, использующих казённый доступ в Сеть, способом, который позволял бы идентифицировать каждого из них по MAC-адресу используемого компьютера. На бумаге норма действует чуть ли не с 2006 года. На практике для тотальной слежки за всеми российскими квартирами, офисами и абонентами мобильной связи у государства никогда не хватило бы мощностей. Так что тут запугивание в чистом виде. За теми, кто представляет для них интерес, силовики следят прицельно, с использованием всех доступных им спецсредств. И никакая криптография вам не поможет, если все нажатия клавиш на вашем компьютере фиксирует сниффер или скрытая камера. А «паспортизация» — это просто чушь и глупость. Любые данные о пользовательской активности, собранные таким образом, — белый шум, шлак и мусор. Вроде сырых логов веб-сервера, только переписанных от руки.

7. Значит, эта мера безвредна? На практике ничего не изменится?

К сожалению, этого обещать не могу. Пользователю, конечно, не в тягость лишний раз предъявить паспорт государству, которое и так записывает все его телефонные разговоры, копирует домашний, мобильный и рабочий интернет-траффик на свои сервера, роется в банковских и онлайновых счетах, следит через камеры наружного наблюдения и круглосуточно собирает анонимные доносы через сайты и «линии доверия» спецслужб. Но вот для юридических лиц, которые выступают операторами точек доступа, всё отнюдь не так символично. Если на все кафе, бары, торговые центры, парки, транспортные узлы и учреждения культуры возложить обязанность вести отдельный паспортный учёт посетителей, записывать время начала и окончания сеансов подключения к WiFi, хранить эту информацию у себя и передавать её потом спецслужбам, то это, знаете ли, довольно дорогое удовольствие для учреждений, которые отродясь не являлись предприятиями режимной связи, и не располагают для её обеспечения ни штатом, ни мощностями, ни опытом. Так что у большинства существующих операторов связи из перечисленных мною категорий выбор будет очень простой: либо вовсе не исполнять Постановление №758, и нести все сопряжённые с этим юридические, коррупционные и рейдерские риски, либо прихлопнуть свой хотспот от греха, разом избавившись и от забот, и от ответственности.

8. Почему всё сделано так тупо и дебильно?

Ни для кого не секрет, что в 2014 году человечеству известны простые и удобные способы идентификации, не требующие ручной проверки бумажных паспортов и переписывания их данных с последующим полугодичным хранением. Взять тот же портал госуслуг, банковские и платёжные системы, личные кабинеты мобильных операторов — везде есть алгоритмы удалённой идентификации без участия живых проверяющих и без бумажного документооборота. Достаточно было одной строчкой прописать в постановлении возможность онлайновой идентификации пользователя хотспота — и ни одной из проблем, описанных в пункте 7, ни у кого не возникло б. Но вместо процедуры, привычной для жителей информационного общества, в постановлении прописали какую-то унылую жэковскую дичь. И сделали это при министре связи, который в конце нулевых наладил в родном Татарстане систему электронных госуслуг на приличном европейском уровне. Три года назад я своими глазами видел в Казани бабушек, решавших свои вопросы с государством через инфоматы «Электронный Татарстан», установленные там на каждом шагу — разумеется, без предъявления паспорта, потому что некому его предъявлять, но с приемлемой для государства идентификацией получателя услуги. Почему именно при министре Никифорове, который всё это первым в России выстроил, и при премьере Медведеве, который лично летал к Стиву Джобсу, чтобы стать первым в России обладателем iPhone 4, правительство принимает постановление, явным образом исключающее возможность электронной идентификации и учёта пользователей — я просто не знаю, и не хочу гадать.

9. Как прикажете понимать сегодняшние разъяснения Минкомсвязи?

Видимо, как ответ Николая Никифорова на мой вопрос №8. Разъяснения Минкомсвязи полностью противоречат Постановлению №758 во всех его существенных положениях. Там, по сути дела, сказано, что Постановление — бред и чушь на постном масле, а принято оно из-за одной козы, продавившей в Думе дебильный 97-ФЗ (коза, разумеется, названа по имени, чтобы пользователи знали, кого благодарить). Зато исполнять постановление правительства ни от кого не потребуют, кроме, строго говоря, ОпСоСов. И те будут вправе, по собственному усмотрению, проводить ту самую удалённую авторизацию, о которой я писал в пункте 8. То есть, условно говоря, в разъяснении описана система, действующая в американских, французских и итальянских аэропортах, когда у человека берут номер мобильника, присылают на него СМС с кодом доступа в Интернет, логи доступа ведутся и хранятся в автоматическом режиме на стороне оператора. При этом в США, Франции и Италии момент идентификации пользователя не подразумевается, потому что код высылают на мобильный номер любой страны. В России подразумевается, что номер — местный, и данные абонента государство при желании выясняет уже по номеру мобильного, поскольку все они, по закону, проданы по паспортам. Ни вокзалы, ни музеи не обязаны проверять у пользователей WiFi паспорта и записывать в гроссбух время начала/конца сеанса связи с хотспотом. Бобёр, выдыхай. Мы приняли идиотское постановление, зато мы не собираемся исполнять ни одно из его положений, как бы намекает министр Никифоров.

Всё бы хорошо, но в разъяснении Минкомсвязи дважды повторяется, что оператор должен всё-таки проверить сведения, сообщённые пользователем хотспота, по документу, удостоверяющему его личность. Видимо, сколковские учёные уже нашли способ проверять документы, удостоверяющие личность, через веб-форму или по СМС.

10. А хорошие новости есть?

Никифоров уверяет, что если точка доступа Wi-Fi установлена частным лицом, никаких обязанностей у него в связи с изменениями не существует. Так что раздавать вайфай в кафе и барах нужно поручить ответственному и неравнодушному к своей работе бармену или гардеробщику, из маршрутизатора, купленного и оформленного на его имя. Разумеется, выплачивая ему премию за ударный труд — в размере стоимости оборудования и подключения.
dolboed: (0annaturaeva)
Зампред правительства РФ Дмитрий Козак рассказал на пресс-конференции в Сочи о происках врагов России, проникших на олимпийские объекты:

С помощью встроенных камер видеонаблюдения мы видим, как люди включают душ, направляют струю на стену и покидают комнаты на целый день, — сообщил вице-премьер западным журналистам.

Вместо того, чтобы устыдиться и разбежаться по своим номерам выключать воду и электричество, клеветники России тут же пристали к чиновнику с вопросами про камеры наблюдения, установленные в душевых комнатах. Поняв, что с такими слушателями каши не сваришь, вице-премьер на дальнейшие расспросы отвечать отказался, и объявил, что пресс-конференция окончена.

Впоследствии пресс-секретарь Козака заявил журналистам, что его босс нагло врёт и клевещет на гостей Олимпиады: никаких камер видеонаблюдения в сочинских гостиничных номерах не установлено, так что видеть с их помощью, кто и как пользуется ванной, у оргкомитета возможности не было.

Честно говоря, я склонен поверить, что Козак соврал про включённый душ в номерах. По его же свидетельству, в гостиницы Сочи заселились 100.000 гостей, и даже если в каждом номере работают видеокамеры, для отсмотра всего, что они фиксируют, у спецслужб вряд ли хватило бы сил и времени. Скорее всего, история про «вредителей», просочившихся на Олимпиаду, чтобы выпить всю воду в кране и спалить всё электричество, придумана спецпропагандонами заранее, на случай перебоев с водой в гостиницах — а Козак взял и спалил эту прекрасную тему от предстартового волнения...

Но вопрос про видеокамеры остаётся всё же открытым. С одной стороны, трудно представить себе, чтобы наши спецслужбы упустили такой исторический шанс разжиться видеокомпроматом на всех спортсменов, политиков, бизнесменов и чиновников, которые собираются сегодня в Сочи. С другой стороны, если спецслужбы и оборудовали все номера гостей и участников Олимпиады спецтехникой, вряд ли они стали бы докладывать об этом Козаку: ведь в его собственных аппартаментах тоже наверняка имеется не меньше жучков, чем в номерах зарубежных гостей.
dolboed: (0solovyevorel)
Федеральная служба охраны наделала сегодня много шума, слив в газету «Известия» информацию о планах тотальной слежки за оппозиционно настроенными блоггерами. Публикация очень точно просчитана с одной очевидной целью: создать у читателя впечатление, что цензура Интернета в России выходит на новый виток, за каждым недовольным властью теперь будут следить в рамках специальной программы мониторинга и т.п. Разумеется «государственники», у которых «Известия» успели взять комментарий, эту инициативу приветствуют, а в негосударственных СМИ она комментируется в самых зловещих красках.

На самом деле, это действительно интересная история, но не о цензуре, а о «последнем прибежище негодяев».
Разбираем утку по пунктам )
Стоит ли блоггерам бояться, что ФСО их «отмониторит»? Думаю, вопрос риторический: на того же Навального заведено четыре уголовных дела безо всякого мониторинга со стороны ФСО. Что касается тех блоггеров, которые беспокоят власть меньше Навального, то к ним пожелание одно: чтобы боялись рот открыть. Над этим работают и взбесившийся принтер, и Роскомнадзор, и газеты «Известия» со своими страшилками — а тут ещё какой-то мелкий жулик из ФСО им в хвост пристроился...
dolboed: (0vmetro)
Министерство связи подготовило и согласовало в ФСБ (точнее, ФСБ подготовило и согласовало в Минкомсвязи) новое распоряжение о порядке действия системы слежки за пользователями Интернета в России после 1 июля 2014 года. Существующий сегодня порядок доступа силовиков к переписке и персональным данным граждан России называется СОРМ-2, так что новые правила можно было бы назвать СОРМ-3.

Суть приказа Минкомсвязи простая. ФСБ хочет знать о каждом нашем телодвижении в Интернете: кому и что мы отправили, от кого и что получили, на какие сайты заходили, какой у нас там логин и пароль. Причём ФСБ хочет об этом знать не post factum, а строго в режиме реального времени. Существующий сегодня порядок доступа (посылаешь запрос в Яндекс.Деньги — получаешь полный список всех жертвователей Навального; посылаешь второй запрос — получаешь всю их платёжную историю) наших бдительных читателей и слушателей больше не устраивает. Им надоело посылать запросы, кого-то о чём-то просить, придумывать мотивировки. Честно говоря, они и до сих пор с мотивировками не перестарались: что там за дело расследовалось, в рамках которого потрошили наши кошельки, мы не услышали за прошедшие с тех пор два с половиной года. Но аппетит, как известно, приходит во время еды. Теперь мутноглазые требуют, чтобы все наши данные поступали к ним сразу и без запроса.

Ещё в проекте приказа Минкомсвязи содержится удивительное требование, чтобы подслушанные вживую пользовательские данные хранились 12 часов. И это вообще никак невозможно объяснить, с точки зрения здравого смысла. Потому что если наши данные уже поступили на сервер ФСБ, то никакая Минсвязь даже в теории не может проконтролировать, сколько времени они будут там храниться. Например, протоколы допросов Осипа Мандельштама на Лубянке хранятся в Центральном архиве ФСБ без малого 70 лет. И никакое российское министерство не может потребовать, чтобы их оттуда удалили, или передали в музей. Так зачем же нужна эта нелепая инструкция Минсвязи про 12 часов хранения?

Вопрос этот, как ни удивительно, имеет довольно простой ответ. В часах хранения тут выражено не время, а место. Фиксация всего входящего и исходящего интернет-траффика 75 миллионов российских пользователей потребует, безо всякого преувеличения, петабайт и эксабайт дискового пространства. Речь идёт о многих тоннах дорогостоящего современного оборудования, которые придётся докупить. По нормам действующего законодательства, закупать это железо должен тот орган, который использует данное оборудование для собственных нужд. То есть в данном конкретном случае ФСБ. Но кассирам этой организации, конечно же, не хочется, чтобы миллиардную инвестицию в новые дисковые массивы вычитали из их бюджета. Им проще, чтобы податливый министр Никифоров обязал самих пользователей Интернета платить за апгрейд аппаратуры слежения. Так что «12 часов» в приказе Минсвязи — это не тот промежуток времени, после которого украденные у нас персональные данные кто-то обязан будет стереть со своих серверов. Это всего лишь указание на тот факт, что оплатить технические спецификации новой прослушки предложат конечному пользователю из своего кармана. Оплатить, в сущности, в третий раз, потому что и бюджет ФСБ, и бюджет ведомства Никифорова уже из этого кармана изъяты. А СОРМ-3 в смету не поместился, поэтому его предлагают взыскать у тех же терпил при посредничестве операторов связи.

Если же говорить по существу СОРМ-3, то весь сухой остаток умещается в три простых пункта.

п. 1. Безусловно, тотальная слежка за законопослушными гражданами противоречит всем действующим законам РФ. Включая и Конституцию, и УК, и УПК, из ФЗ №152 о защите персональных данных, и ФЗ об ОРД. Это в чистом виде подрыв основ конституционного строя, государственная измена, high treason. Если Россия из бандитского государства когда-нибудь превратится в правовое, то и Бортникова, и Никифорова за один этот приказ ждут долгие сроки заключения.

п. 2. С точки зрения декларируемых целей, СОРМ-3 абсолютно бесполезен. Террористу, который использует Интернет для координации заведомых преступлений, нет никакой причины использовать в своих коммуникациях привязанный к его паспортным данным идентификатор IMEI и именной контракт на доступ в Интернет. У любого желающего в РФ есть миллион способов организовать себе и гаджет, и доступ в Сеть, никак не привязанный к официально учтённым данным пользователя. Скажу больше: такая возможность есть не только у любого россиянина в России, но и у любого иностранца в Китае. У которого нет связей, знакомств, знания языка и местных обычаев, зато есть немножко денег и желание соблюсти анонимность/конфиденциальность при доступе в Сеть.

п. 3. Может быть, самый важный вопрос — что изменится с 1 июля 2014 в жизни пользователя. Не изменится ничего. За вами как следили, так и дальше будут следить. Слежка эта как была неэффективной, так и впредь останется таковой. Если вдруг у власти появится потребность выпотрошить лично ваше постельное бельё, то власть это сделает без оглядки на любые приказы Никифорова. Просто Вы вдруг на LifeNews или в газете «Известия» прочтёте распечатки своих телефонных разговоров, фейсбучных чатов, банковских транзакций. Для этого не нужно никакого СОРМ-3, достаточно политического заказа. А если такого заказа нет, то совершенно неважно, сколько хранятся в ФСБ логи ваших чатов: 12 часов, как в приказе Никифорова, или 70 лет, как в деле Мандельштама. Их всё равно некому читать.
dolboed: (0solovyevorel)
Как говорится, нет худа без добра.
Недавний скандал с миноритарным акционером привлёк внимание широкой публики к разработкам, создаваемым на платформе Павла Дурова Digital Fortress. Нельзя сказать, чтоб мы раньше о них ничего не слышали: в шести странах мира приложение Telegram для iOS, вышедшее в середине августа, успело возглавить общий рейтинг скачиваний App Store, а в 11 оно стало там лидером категории Social Networking (для этого пришлось отодвинуть клиенты Фейсбука и Твиттера). Пишут, что в мессенджере ежедневно регистрируется по 100.000 человек — больше, чем во ВКонтакте. Просто раньше сам Дуров этот проект особо не рекламировал — вероятно, не хотел дразнить гусей. Но гуси попались такого рода, что им и приглашения не потребовалось — сами подробно рассказали всему миру о своих претензиях к Digital Fortress. С одной стороны, насмешили рынок рассказом о том, как, в их представлении, должен выглядеть non-competition clause в Интернете (Гейтс, Джобс, Брин и Пейдж лопнули бы от смеха, если б им этот наезд перевели). С другой стороны, Дуров может теперь рассказать о Digital Fortress, не оглядываясь на княгиню Марью Алексевну. Он и рассказал.
Мог ли Telegram помочь Мандельштаму и Пастернаку )
dolboed: (0solovyevorel)
Тут давеча арестовали владельца Freedom Hosting Эрика Маркеса.
И вскоре после его ареста заразили несколько сайтов с того самого хостинга трояном, отправляющим данные посетителей прямиком в зловещую копилку АНБ.

Педофилы Северной Америки — в шоке и трепете. Годами они были свято убеждены, что связка между TOR и Freedom Hosting даёт им стопроцентную гарантию анонимности. А теперь их данные попали в тот самый страшный для них реестр, от которого рукой подать до федерального суда и многолетней тюрьмы.

При этом сразу вспоминается, что TOR используют не только педофилы, но и очень много разных других категорий граждан: активные участники файлообмена, разоблачители грязных корпоративных секретов, оппозиционеры в странах, где за критику власти могут покалечить, посадить или убить... Как на них отразится взлом пользовательской базы Freedom Hosting?

Мой подельник по пропаганде подростковых суицидов, журналист Султан Сулейманов, в Ленте.Ру деликатно подводит нас к обобщениям:

Рано или поздно придется выбирать — либо в пользу очередной кампании против педофилов и наркоторговцев (которые все равно найдут альтернативные информационные каналы), либо в пользу свободы распространения информации в виде TOR.

Мне кажется, что лучшим ответом на подобные обобщения может служить ленинский тезис: для того, чтобы объединиться, необходимо сначала решительно и определенно размежеваться. Для того, чтобы отстаивать анонимность как некую надмирную и абстрактную общечеловеческую ценность, нужно, чтобы во всём мире установилось одно общее правительство, с едиными для Ирана, Китая, Северной Кореи, России, Великобритании и Калифорнии правилами игры. Тогда действительно можно будет сказать: вот баррикада. По одну сторону от неё — все анонимы, по другую — мировое правительство. Выбирай, сетевой аноним: либо ты с педофилами, либо ты с правительством.

Если выбор для кого-то сегодня так и стоит, то далеко не перед всеми пользователями Интернета.
Для меня как законопослушного гражданина и налогоплательщика Российской Федерации уместней иная альтернатива, предложенная Ильёй Кормильцевым больше четверти века тому назад:

мне страшней Рэмбо из Тамбова, чем Рэмбо из Айовы.

Мне вспомнился этот стих, когда я впервые познакомился с разоблачениями Сноудена.
Американцев они предсказуемо шокировали: ведь это действительно ужасно, что какая-нибудь компания, вроде Apple или Microsoft, накопившая данные о сотнях миллионов пользователей в США, ответила за несколько лет на 10.000 секретных запросов тамошних силовиков, требовавших доступа к этим данным. Ещё страшней подумать о том, что эти силовики могли ведь получить доступ к пользовательской информации безо всяких запросов! Хотя тогда не очень понятно, зачем им понадобились эти 10.000 обращений к компаниям, если вся информация была доступна спецслужбам и так, благодаря тотальной слежке. Но не станем придираться к мелочам.

Я не живу в Америке. Я живу в России, где все мои персональные данные с рождения доступны дюжине разных, конкурирующих между собой, властных и силовых госструктур. Каждая из них в век Интернета много и радостно пускает эту мою приватную информацию налево. Задорого в розницу — бандитам, ищущим, кого бы богатенького пощипать. А дальше уж по дешёвке, оптом, всем остальным интересующимся, от коллекторов до мелких жуликов, через диски с государственными БД на московских перекрёстках и через платные «справочные» сайты с теми же базами.

Всю ту информацию обо мне, которую Агентство национальной безопасности будто бы мечтает перехватить через PRISM, любой интересующийся может за смешную копейку прикупить в Москве на лотке, или в Интернете на анонимных сайтах с оплатой по «короткому номеру». Там есть мой паспорт, прописка, банковские счета, зарплата, налоговые отчисления, штрафы и долги, а также любое движимое и недвижимое имущество, покупка которого когда-либо регистрировалась при участии государства. Кому этого мало — любой из моих операторов связи обязан предоставить восьми разным ведомствам (по первому их требованию и втайне от меня) данные по моим телефонным переговорам, движению средств через Яндекс.Кошелёк, всему интернет-траффику. Всё это, разумеется, без решения суда и без уточнения, в рамках какого конкретно расследования затребована такая информация. Такое у нас законодательство, и практика такая же.

Поэтому для меня важный вопрос — не что про меня узнали, а кто именно узнал.
Я не слышал ни от Сноудена, ни от Ассанжа, чтобы спецслужбы США за деньги сливали перехваченные персональные данные россиян криминальным структурам, или выжигали свои базы на дисках и продавали на Горбушке. Также я не слышал, чтобы к какому-нибудь российскому терпиле хоть раз обратились на основании агентурных данных АНБ с предложением крыши или сотрудничества. Может, такие предложения поступали в странах НАТО пану Бастрыкину или мистеру Пехтину, но они не спешат об этом рассказать. А чтобы спецслужбы США проводили тотальную проверку всех жертвователей на кампанию оппозиционного кандидата в мэры, думаю, что никакому Сноудену бы в страшном сне такое не приснилось.

Так что не торопимся, дорогие друзья, ставить вопрос ребром: либо ты против анонимности, либо ты за педофилов. Я против анонимности для педофилов (как и для других категорий уголовников), но я однозначно за право анонимности для читателей/комментаторов блогов и интернет-СМИ. Даже если эти читатели и комментаторы позволяют себе отрицать Аллаха, Всемилостивого и Всемогущего, или смеют нелестно отзываться о Миздюлине, да подавится Ктулху её мозговыми протезами, я считаю полезной анонимность для этих смутьянов и еретиков. Да не попадут они в руки гебни и мухаббарата, да не обнаружат у себя под окнами ни басиджей, ни хунвейбинов, ни нашистов с фанатами, ни какой-нибудь другой бюджетной разновидности гитлерюгенда. А сеть ТОР пусть и дальше ломают и компрометируют те, кто охотится на педофилов. Чтобы преступникам приходилось каждый раз трястись при звуках шагов на лестнице, а добропорядочным гражданам — ни разу.

Думаете, это невозможно? Подумайте два раза. Как-то же ухитрились же наши силовики создать такую же ситуацию, только с точностью до наоборот. В России тысячи киберпреступников чувствуют себя в полнейшей безнаказанности, поскольку органами правопорядка в принципе не расследуются ни взломы, ни DDoS-атаки, ни кража данных, если у потерпевшего нет ни ментовской, ни гебешной крыши. Зато оскорбление Миздюлины, сбор денег на «РосПил» или обидный для оборотней в погонах комментарий в ЖЖ — верный способ угодить в жернова уголовного преследования. Если возможна такая избирательность, то возможна ведь и обратная.

Так вот, я — за обратную.
dolboed: (sechin)
Комиссия по телекоммуникациям и информационным технологиям Российского союза промышленников и предпринимателей (РСПП) готовит рекомендации по запрету в России Skype. Интересы связистов-участников РСПП ясны, как Божий день: благодаря наличию Skype, миллионы пользователей Интернета в России имеют возможность обойти существующие грабительские тарифы на международную телефонную связь. Но этого, очевидно, недостаточно. Поэтому инициаторы запрета напоминают, что Skype трудно подслушивать, там СОРМ не установлен. Так что священный долг спецслужб — поддержать инициативу.

Мне трудно себе представить, что Skype в России действительно запретят — не на бумаге, а на практике. В этом смысле нынешняя задумка схожа с Приказом №65 Министерства связи: там тоже речь идёт не о реальной угрозе вскрытия всей корреспонденции, а о символическом жесте по закручиванию гаек. Кому-то очень хочется, чтобы публика готовилась к закручиванию гаек. Вот бы понять, кому и зачем.

Profile

dolboed: (Default)
Anton Nossik

April 2017

S M T W T F S
       1
23 45678
9 10 11 12 13 14 15
16 17 18 19 202122
23 24 25 26 27 2829
30      

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Oct. 21st, 2017 04:02 pm
Powered by Dreamwidth Studios