Илья Шарапов, руководитель аналитического подразделения по информационной безопасности ООО «ТСС» , рассказывает, что изменится после вступления в силу закона и почему это не остановит опытных интернет-пользователей.
В интернете бурно обсуждают о том, что президент России Владимир Путин подписал пакет поправок о запрещении использования анонимайзеров, в том числе VPN-сервисов, позволяющих получить доступ к заблокированным на территории России ресурсам.
Эта тема касается меня напрямую: компания ТСС специализируется на производстве VPN-построителей, в портфеле фирмы – криптомаршрутизаторы Diamond VPN/FW, объединяющий в одном устройстве высокопроизводительный межсетевой экран, систему обнаружения вторжений и модуль VPN-построителя.
При этом документ вызывает куда больше вопросов, чем дает ответов, ведь, как известно, строгость законов компенсируется их неисполнением.
Как теперь по закону
Согласно новым правилам, VPN-сервисы должны будут блокировать доступ к запрещенным на территории РФ сайтам, провайдеры или хостинги – ограничивать доступ к ресурсам, предоставляющим услуги VPN, операторы поисковых систем – ограничивать выдачу ссылок на запрещенные ресурсы. Федеральный орган исполнительной власти (Роскомнадзор) осуществляет создание и эксплуатацию федеральной государственной информационной системы, содержаний перечень информресурсов, доступ к которым запрещен (проще говоря – вести и обновлять реестр).
При этом в документе оговаривается, что государственные органы закон не затрагивает («положения не распространяются на операторов государственных информационных систем, государственные органы и органы местного самоуправления, а также на случаи использования программно-аппаратных средств доступа к информационным ресурсам, доступ к которым ограничен, при условии, что круг пользователей таких программно-аппаратных систем их владельцами заранее определен и использование таких ПАС осуществляется в технологических целях обеспечения деятельности лица, осуществляющего их использование»).
А что на самом деле?
На сегодняшний день существует огромное количество открытых ресурсов и расширений для браузеров (VPN, прокси-сервисы), который позволяют едва ли не в один клик получить доступ к любому заблокированному ресурсу. Согласно закону, владельцы подобных сервисов должны будут присоединиться к общему реестру и блокировать доступ к ресурсам.
В случае если ресурс позволяет попасть на заблокированный сайт, владельцы должны самостоятельно ограничить доступ пользователей. В случае отказа, IP или доменное имя ресурса, дающее такую возможность, так же вносится в список заблокированных.
- Возникает первый вопрос: как это решение реализуют Google или Opera? В Google Play представлено огромное количество расширений для . По всей видимости, Роскомнадзору придется добиваться исключения этих приложений из Google Play, но пойдет ли на этот шаг американская корпорация?
- Другой, куда более сложный и запутанный вопрос – что делать с Opera, где подобная опция стоит по умолчанию? Еще пять лет назад представить, что Opera исключит эту функцию из браузера, казалось маловероятным. Но в 2016 году компания была продана консорциуму китайских инвесторов. Пекин, как известно, крайне консервативен в интернет-вопросах, поэтому можно ожидать успешного разрешения вопроса с российскими властями.
Пожалуй, принятие закона никак не остановит продвинутых пользователей сети. Если воспользоваться одним из сервисов VPN за пределами нашей страны и пускать весь трафик к заблокированным ресурсам через защищенное соединение, то все ресурсы окажутся доступными. Отследить такое соединение невозможно, так как оно может идти на произвольный IP адрес и произвольный порт. При этом внутри соединения весь трафик шифруется, а скорости, доступные сегодня пользователям, позволяют совершенно спокойно серфить в интернете, смотреть видео, использовать социальные сети. Пользователь может пойти еще дальше и настроить свой зарубежный сервер, причем по весьма бюджетной цене.
Однако этим перечень возможностей не ограничивается. Все говорят про запрет VPN, но немногие вспоминают про возможности SSH (Secure Shell) – сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений.
В обоих случаях необходимо настроить сервер, находящийся за пределами России, и организовать защищенное соединение, пропуская через него трафик. По всей видимости, спрос на аналогичные решения вырастет. Тут впору вспомнить поговорку: «Закон – что паутина: шмель проскочит, муха увязнет».
Еще один вопрос – как заставить поисковики ограничивать выдачу данных?
Одно дело российский « » и , имеющая представительство в России. А как поступят поисковая система с открытым исходным кодом DuckDuckGo, серверы которой находятся в США, YaCy, объединяющая автономные узлы, исключающие цензуру, и не имеющая компании-владельца, благодаря чему результаты полностью независимы от чьих-либо предпочтений (особенно – рекламодателей), или, наконец, not Evil – система, осуществляющая поиск по анонимной сети Tor?
not Evil, позиционирующая себя как «антигугл», не единственный поисковик в своем роде – можно вспомнить LOOK (поиск по умолчанию в Tor-браузере, доступен из обычного интернета) или TORCH (один из самых старых поисковиков в Tor-сети). Такие системы ищут данные там, куда «Яндекс» и Google вход заказан по определению.
В сухом остатке...
Один из главных аргументов в пользу принятия закона о запрете анонимайзеров, которым часто оперируют СМИ и власти, - борьба с терроризмом и его финансированием, отмыванием денег и теневым бизнесом.
Но будем откровенны: настоящие преступники не используют единичное решение в своей «работе». При подключении к интернету они стараются выстроить 5-6 VPN-каналов, попутно могут прибегать к Tor, размещая его на зарубежных серверах или отдельном компьютере, не использующим больше никаких других браузеров.
Пожалуй, единственный реальный способ полностью ограничить доступ к запрещенным ресурсам – пойти по китайскому пути. Для полной блокировки необходимо либо внедрить корневой сертификат, либо на границе России настроить блокировку шифрованного трафика у всех провайдеров.
Политически запрет означает очередную безнадежную попытку блокировать возможность доступа к "запрещенным" сайтам. Технически - дополнительные, но вполне преодолимые трудности. Юридически никакого тотального запрета нет, как нет и запрета рядовым пользователям продолжать использовать VPN, анонимайзеры или Тор.
По информации в СМИ новый "запрет" напрямую касается только самих интернет-услуг . Запрещено обеспечивать доступ российских пользователей к "блокированным" в РФ сайтам. Выявленных "нарушителей" (какую-нибудь фирму в США, Европе или скажем, Корее) предупредят и потребуют устранить "нарушения". А если не устранит, то ее саму по мере сил "заблокирует" Роскомнадзор. То есть, законодатель пытается переложить обязанность блокировки на сами VPN или анонимайзеры. Российским фирмам придется запрет исполнять и о них лучше забыть (кроме корпоративного VPN).
"Рядовой пользователь" может преодолеть трудность сразу несколькими способами .
Если он работает в компании, где есть корпоративный VPN , не предоставляющий услуг посторонним частным лицам, то на такой VPN действие новых ограничений не распространяется. Если при этом сам работодатель не запрещает выход сотрудников в интернет, то с рабочего места можно будет посетить все что угодно.
Анонимайзеров и служб VPN так много, что большинство не заблокируют - даже не попытаются. Сами они, как правило, о законах РФ ничего не знают и знать не хотят. Хотя бы, чтобы не тратиться на их исполнение. Т. о., всегда можно найти незаблокированный вариант.
Тор заблокировать не смогут , хотя и попытаются, вероятно. Но Китай его уже давным-давно блокирует-блокирует, а китайцы пользуются и пользуются. Кроме "публичных" точек выхода у сети есть и непубличные - и пойди их всех найди и заблокируй. Но может дополнительно понизиться скорость, а Тор и так небыстрый.
Технически Роскомнадзор не сможет заблокировать ни одну крупную зарубежную службу VPN . У нее есть множество IP-адресов, о чьей принадлежности именно к этой службе посторонние просто не знают. Заблокируют сайт "нарушителя" и часть его IP. Зарегистрированные пользователи будут пользоваться VPN по-прежнему и, во многих случаях, с прежней скоростью. Новым пользователям придется как-то иначе обойти блокировку официального сайта, чтобы зарегистрироваться на нем.
Можно создать свой собственный VPN на арендованном зарубежном сайте. Это, конечно, уже для программистов и пр. "не-чайников".
Ну а самый забавный вариант - это использование двух "законопослушных" VPN /анонимайзеров. Если они не российские, то блокировать "запретку" будут только для своих российских клиентов. Через одну службу заходим на другую (она же не "заблокирована" Роскомнадзором!). Для другой вы уже не из РФ, а из Голландии, например. Поэтому через нее невозбранно посещаете все, куда вас не хочет пускать Роскомнадзор.
Еще надо иметь в виду, что поисковикам предписано не выдавать "запретку" . О Яндексе с этого момента можно просто забыть. В Google, вероятно, лучше будет заходить через VPN/анонимайзер/Тор (и хорошо бы - не на "русский" google.ru, а на "международный" / "немецкий" / "украинский" ; искать они умеют все - в том числе на кириллице, но результаты выдачи могут отличаться: , например, при прочих равных поставит выше сайты на немецком или из немецкоязычных стран, а у "украинского" могут в будущем появиться ограничения в части выдачи "антиукраинских" ссылок). Ну и, вообще, в мире масса альтернативных поисковых машин (например, принципиально не следящая за пользователями и не искажающая выдачу в зависимости от их местонахождения или личности) и мета-машин (например, международная , немецкие , принципиально не регистрирующая данные пользователей, с возможностью выбора между "немецким" и "международным" поиском, швейцарская ). У метамашин в выдаче будут, вероятно, и результаты от Google, но без искажений в угоду Роскомнадзору.
UPD . "Медуза" в начале июня о возможностях обойти нынешнюю новую блокировку:
Там, в частности, упоминается возможность удаления приложений под Андроид из гугл-маркета (по кр. мере, для российских пользователей). На этот счет тоже есть "лекарство": качать apk из альтернативных источников (без регистрации). Я сам это делаю, хоть и по другим причинам (не желаю информировать Гугль или иной маркет о том, чем пользуюсь, и не желаю позволить ограничить ассортимент по прихоти Гугля или иного маркета).
Вот три надежных источника apk (есть, конечно, и другие):
Здесь есть почти всё и во всех версиях
Здесь удобнее и есть многое, но не всё
Здесь только бесплатные приложения с открытым кодом и не требующие лишних полномочий; если важны анонимность и безопасность, лучше попробовать сначала найти что-то подходящее здесь (иногда и размер приложения весьма мал, при нормальной функциональности)
VPN и анонимайзеры, как и все остальное, бывают бесплатные и платные. Скажем, веб-анонимайзер бесплатно и без регистрации позволяет посещать http, зато https - только зарегистрированным платным пользователям. А некоторые другие (сейчас сходу не вспомню, какие именно) - всем желающим и на https. В VPN бесплатность обычно ограничена временем и/или количеством мегабайт, скоростью. Платные сервисы стоят, вроде, не дороже 10 $ в месяц (сам не пользовался и ресь об обычных скоростяз и обхемаз траффика) - тогда быстрее и без ограничений (или с меньшими). Есть VPN без регистрации в некоторых браузерах (турбопрежим в Opera, например) и бог весть, прогнутся ли они под РФ. Опера представляет возможность VPN без регистрации и оплаты для всех программ на компьютере, но надо скачать и установить Opera VPN (вроде так программа называется; есть она и как приложение под Андроид). В конце-концов, любой зарубежный анонимный прокси из регулярно обновляемых списков в интернете позволяет бесплатно и без регистрации обойти все "блокировки" Роскомнадзора. А если прокси на https, то вот вам и бесплатный VPN без регистрации. Просто через час или день придется, как правило, перенастроиться на другой прокси.
Доступ к запрещенным в России сайтам. Однако по факту под запретом могут оказаться сами VPN-сервисы, а также анонимная сеть Tor. выяснила, почему государство объявило войну анонимности и как будет действовать закон.
О чем говорится в законе
Закон обязывает владельцев специальных программ и приложений закрыть для россиян доступ к сайтам, запрещенным на территории страны. Формулировки документа максимально размыты, так что под его действие попадают все прокси- и VPN-сервисы, специальные расширения для браузеров, а также анонимная сеть Tor.
Руководству вышеперечисленных сервисов предоставят доступ к реестру запрещенных сайтов , а за исполнением закона будут следить в и . Если сотрудники силовых структур заметят, что россияне посещают запрещенные ресурсы через конкретное приложение, они сообщат об этом Роскомнадзору. Тот потребует устранить нарушение, а в случае неповиновения заблокирует его.
Кроме того, закон обязывает интернет-провайдеров связываться с руководством прокси- и VPN-сервисов и требовать от них информацию, «позволяющую идентифицировать [их] владельцев». Фактически это означает, что от сервисов потребуют выдать регистрационные данные, то есть адрес офиса и место расположения серверов. Поисковикам же запретят выдавать ссылки на запрещенные ресурсы.
Действие закона не распространяется на государственные органы и ведомства, а также на частные компании, если средства обхода блокировок доступны только их сотрудникам.
Как в России готовились к принятию закона
Впервые о разработке законопроекта стало известно в апреле. Утверждалось, что в нем заинтересован Совет безопасности, а в разработке участвует Роскомнадзор и юристы Медиакоммуникационного союза (МКС), для которых документ стал шансом нанести новый удар по пиратским ресурсам и торрент-трекерам.
До этого Роскомнадзор, по слухам, пытался договориться с VPN-сервисами о добровольном ограничении доступа к запрещенным ресурсам. Известно, что ведомство также вело переговоры с разработчиками браузера Opera, чей режим Turbo позволяет автоматически обходить блокировки благодаря встроенному прокси.
Почему под удар попадут VPN-сервисы и Tor
Почти все прокси- и VPN-сервисы - это зарубежные компании, которые редко исполняют требования российского законодательства. Они вряд ли будут добровольно отслеживать реестр запрещенных сайтов Роскомнадзора и ограничивать доступ к ним для российских клиентов, к тому же их не слишком пугает угроза блокировки на территории страны.
С Tor ситуация еще сложнее: им руководит команда разработчиков Tor Project. Большинство сотрудников проекта причисляют себя к движению так называемых шифропанков, а значит, сознательно сопротивляется любым ограничениям в интернете и открыто выступает против сотрудничества с властями.
В итоге руководство VPN-сервисов и Tor скорее всего откажутся ограничить доступ к запрещенным в России сайтам и первыми попадут под блокировку Роскомнадзора.
Можно ли ограничить доступ к Tor и VPN
С VPN такое уже случалось. В январе Роскомнадзор по решению районного суда Уфы заблокировал сайт VPN-сервиса HideMe, но он продолжил работу, просто сменив адрес на Hidemy.name и включив переадресацию. Ограничение доступа к сайту не влияет непосредственно на работу VPN-сервиса, но усложняет доступ к странице оплаты и скачиванию самой программы.
Роскомнадзор также может добиться удаления VPN-сервисов из магазинов приложений AppStore, что ударит по владельцам iPhone и iPad - в отличие от обладателей Android-смартфонов, они не могут скачивать сторонние установочные файлы.
Можно заблокировать технические домены и адреса серверов VPN-сервисов, вызвав перебои с подключением. У Роскомнадзора уже есть опыт ограничения доступа к инфраструктуре торрент-трекера RuTracker: ведомство ударило по bt-серверам, которые отвечали за раздачу файлов, тем самым частично перекрыв возможность их скачивания.
Кроме того, интернет-провайдеров могут обязать установить специальное DPI-оборудование (Deep Packet Inspection), отслеживающее пакеты передаваемых данных по их содержанию. Такие инструменты способны отличить VPN-трафик от обычного HTTPS-трафика, и именно их используют для выявления и блокировки VPN-сервисов в Китае. Однако закупка и внедрение такого оборудования стоит огромных денег, а расходы по его установке лягут на самих операторов.
Скорее всего, нет. Роскомнадзор вряд ли сможет заставить заграничные VPN-сервисы и Tor Project ограничивать россиянам доступ к запрещенным сайтам и вынужден будет их заблокировать. Однако это вряд ли нанесет им существенный ущерб и не сможет помешать жителям страны обходить блокировки.
Удаление ссылок из выдачи поисковиков, подключение VPN к реестру Роскомнадзора и другие методы из нового законопроекта.
В закладки
Депутаты 8 июня в Госдуму законопроект с требованием запретить использование анонимайзеров, прокси-серверов и VPN-решений для обхода блокировок сайтов, содержащихся в реестре запрещенных.
В пояснительной записке к законопроекту депутаты указывают, что имеющийся сейчас механизм ограничения доступа к сайтам неэффективен.
По мнению парламентариев, это связано с возможностью обнаружить ссылки на заблокированные сайты в поисковой выдаче, а также с использованием технологий направления трафика российских пользователей через зарубежные серверы.
Мониторинг анонимайзеров и VPN
В законопроекте предлагается обязать Роскомнадзор осуществлять мониторинг решений, которые могут использоваться для обхода блокировок - анонимайзеров и VPN-сервисов.
Ведомству придется отслеживать хостинг-провайдеров, которые предоставляют услуги сайтам-анонимайзерам и площадкам, позволяющим скачать VPN-сервисы. Депутаты предлагают такую схему для ведомства:
- Роскомнадзор отправляет запрос хостинг-провайдеру, который в течение трёх дней должен будет раскрыть данные владельцев VPN-сервисов и анонимайзеров, использующих его площадку;
- Роскомнадзор требует от владельцев сайтов-анонимайзеров и аналогичных сервисов прекратить свою деятельность на территории России или перестать давать пользователям возможность обходить блокировки;
- У владельца анонимазера есть 30 дней на ответ, в течение этого срока у Роскомнадзора будет право заблокировать сервис.
Главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) и сооснователь Института исследований интернета Карен Казарян указывает, если компания-хостинг зарегистрирована за рубежом, она может проигнорировать запрос Роскомнадзора.
Механизм блокировок программ, предоставляющих доступ к запрещенным сайтам, также в законопроекте не поясняется. Казарян уверен, что, например, TOR и его аналоги не могут быть заблокированы.
Список запрещенных сайтов
VPN-сервисы могут избежать блокировки, если будут сотрудничать с Роскомнадзором и запрещать своим пользователям посещать сайты из «чёрного списка» ведомства, говорится в законе.
Депутаты предлагают Роскомнадзору предоставлять владельцам решений для обхода блокировок доступ к списку заблокированных сайтов. В нынешней версии законопроекта не уточняется, как именно будет работать эта система.
Если анонимайзеры и VPN-серверы не согласятся подключаться к реестру после запроса Роскомнадзора, то им грозит блокировка.
Казарян полагает, что невозможно заставить VPN или анонимайзер ограничить доступ к тому или иному сайту. «Коммерческий VPN-сервис с шифрованием технологически это сделать не может. А иначе это уже не шифрование», - поясняет аналитик.
Корпоративные VPN
Документ выводит из-под своего действия те VPN-сервисы, которые используются «лицами, которые находятся с [владельцами VPN] в трудовых отношениях».
При этом законопроект не раскрывает деталей, как отделять VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок.
Ограничения для поисковиков
Анонимайзеры и VPN, согласно законопроекту, сами смогут решать, подключаться или нет к списку с информацией о заблокированных сайтах. При этом поисковикам законодатели практически не оставили выбора.
Депутаты предлагают дать Роскомнадзору право требовать от компаний подключиться к реестру запрещённых в России сайтов. «Яндекс», Google и другие аналогичные сервисы должны будут убрать из результатов поиска ссылки на веб-страницы из «черного списка».
Штрафы
Поисковикам за неисполнение требований Роскомнадзора, в отличие от анонимайзеров и VPN-сервисов, грозят не блокировки, а штрафы.
Авторы документа также внесли поправки в Кодекс об административных нарушениях (КоАП), по которым поисковые системы могут быть оштрафованы за ссылки на заблокированные сайты.
Для юридических лиц сумма штрафа составит от 500 до 700 тысяч рублей, для должностных лиц - 50 тысяч рублей, для граждан - 5 тысяч рублей.
Аналогичное наказание предусмотрено за отказ от подключения к системе Роскомнадзора с информацией о запрещенных сайтах.
Отмена блогеров
Ко всему прочему, в тексте законопроекта говорится об отмене так называемого закона о блогерах (97-ФЗ), который действует в России с 2014 года. Законодатели посчитали это положение неэффективным. Какого-либо другого обоснования об отказе нормы о блогерах депутаты не приводят.
В реестр блогеров, по нынешнему законодательству, Роскомнадзор вносит в авторов, чья ежедневная аудитория составляет не менее трёх тысяч человек.
Блогеры, попавшие в список, должны соблюдать правила, частично применяемые к СМИ. В частности, они должны проверять достоверность информации перед её публикацией и раскрывать своё настоящее имя. При этом закон не предусматривает никаких санкций за несоблюдение этих требований.
Роскомнадзор уже пытался договориться
В апреле 2017 года «Ведомости» писали о Роскомнадзора договориться с VPN-сервисами о блокировке запрещённых в России сайтов. В частности, ведомство обратилось к проекту HideMy.name (бывший HideMe.ru) с просьбой проверить «техническую возможность» ограничения доступа к сайтам, которые находятся в «черном списке».
В январе 2017 года HideMe.ru был из-за наличия на главной странице строки ввода для посещения любого сайта. Несмотря на то, что сервис устранил нарушение, Роскомнадзор не спешил снимать блокировку и просил ввести запрет на посещение через VPN заблокированных в России сайтов.
Тогда пресс-секретарь Роскомнадзора Вадим Ампелонский в разговоре с «Ведомостями» сказал, что для решения вопросов с анонимайзерами нужно отдельное регулирование.
Мнения об инициативе
Один из авторов законопроекта - Максим Кудрявцев - пояснил «Новой газете», что документ не предполагает запрета анонимайзеров и VPN-сервисов в России.
Мы никакие сервисы блокировать не будем. Мы настаиваем на более интенсивном и качественном исполнении законопроекта, мы закрываем дополнительные каналы выхода.
Максим Кудрявцев
Депутат «Единой России»
Интернет-омбудсмен Дмитрий Мариничев назвал законопроект в беседе с РБК «безумием».
Всё это идет вразрез со здравым смыслом. В законопроекте говорится о технологиях, которые позволяют обходить блокировку. В первую очередь это VPN и анонимайзеры. Как они будут отделять VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок? Это невозможно определить.
Дмитрий Мариничев
Уполномоченный по защите прав предпринимателей в интернете
Советник президента по интернету Герман Клименко объяснил «Ленте.ру», что документ не подразумевает полную блокировку анонимайзеров и VPN.
Депутаты Госдумы Российской Федерации проголосовали за законы о регулировании работы мессенджеров и о запрете средств обхода блокировок сайтов.
Данные законы опубликованы на сайте Автоматизированной системы обеспечения законодательной деятельности Госдумы России .
VPN и анонимайзеры
Сервисы также обязали обеспечивать возможность передачи электронных сообщений по инициативе госорганов в соответствии с законодательством России.
Глава профильного комитета Госдумы по информационной политике Леонид Левин прокомментировал информацию о возможном запрете, согласно данному закону, доступа к мессенджерам для отдельных пользователей.
«Вводящееся регулирование предусматривает санкции только в отношении операторов мессенджеров в случае, если они содействуют нарушению закона. Никаких штрафов или прямых запретов в отношении пользователей не планируется», — сказал он.
Согласно новому закону, сведения об абонентском номере пользователей мессенджера могут передаваться третьим лицам только с согласия первых. Закон также устанавливает обязанности мессенджера идентифицировать пользователей по абонентскому номеру оператора на основании договора с оператором. Кроме того, в законе прописывается, что мессенджеры, принадлежащие зарегистрированным в России юрлицам или гражданам России, вправе идентифицировать по их абонентскому номеру.
В документе отмечается, что в случае невыполнения мессенджерами требований относительно ограничений рассылки сообщений с информацией, которая нарушает требования законодательства России, предусматривается возможность ограничения доступа к мессенджеру в стране.
