?

Log in

No account? Create an account
Руководство: что делать, если вы не хотите чтобы за вами следили - Олег Етеревский [entries|archive|friends|userinfo]
Oleg Eterevsky

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Руководство: что делать, если вы не хотите чтобы за вами следили [8 August 2014|00:34]
Oleg Eterevsky
В последнее время в России приняли ряд законов, ужесточающих контроль за интернетом.

Закон о блокировке экстремистских сайтов работает уже полгода, и мы уже стали привыкать к учащающимся случаям отключения вполне безобидных сайтов. (Последние примеры — крупнейший портал художников и фотографов deviantart.com за рисованную эротику и ЖЖ Леонида Волкова aka leonwolf за пост о Марше за федерализацию Сибири.)

С 1-го августа в силу вступило ещё два касающихся интернета закона: один из них приравнивает популярных блогеров к СМИ, а другой обязывает социальные сети и прочие сайты, предназначенные для общения пользователей а) дать ФСБ и другим спецслужбам доступ к переписке и прочей информации пользователей, б) хранить переписку в течение как минимум 6 месяцев, причём на серверах, расположенных в России. Дополняющее этот закон постановление правительства разъясняет, что контроль будет осуществляться посредством установки на площадках интернет-компаний специального оборудования ФСБ.

В этом посте я не буду останавливаться на политической стороне вопроса, а вместо этого дам несколько практических советов на счёт того, как жить с этими законами.

Для начала — пара необходимых оговорок. Во-первых, этот пост (как, впрочем, и все остальные в этом ЖЖ) я пишу не как сотрудник Google, а как частное лицо. Во-вторых, отмечу, что наше законодательство пока что не запрещает пользователям предпринимать любые действия для защиты своей переписки, доступа к заблокированным сайтам, а также к распространению информации о том, как это делать.

1. Доступ к заблокированным сайтам

Если вы пользуетесь Хромом, то самое простое решение — это расширение Hola Better Internet, которое позволяет пропускать трафик к сайтам через сервер в другой стране. Установите это расширение, и, зайдя на интересующий вас сайт, нажмите на его иконку и выберите, скажем, США или Великобританию.

Этот метод, кстати, работает не только для обхода роскомнадзоровских блокировок, но и для доступа к сервисам, изначально доступным лишь в ограниченном количестве стран, типа Netflix, Hulu или прямого эфира на bbc.co.uk.

Хочу заметить, что в отрыве от прочих предосторожностей, этот метод не даёт вам никаких гарантий приватности вашей переписки. Его стоит рассматривать только как средство обхода блокировок.

2. HTTPS

Почти всё то, что вы видите в браузере, попадает туда по одному из двух интернет-протоколов: HTTP или HTTPS. Разница в том, что трафик HTTP передаётся в незашифрованном виде и может быть прочитан по дороге, например с помощью аппаратуры СОРМ, стоящей у вашего провайдера или мобильного оператора. В результате, даже если сервис, которым вы пользуетесь, находится за рубежом, ваши сообщения всё равно могут быть перехвачены спецслужбами.

В случае протокола HTTPS, единственное, что видит провайдер — это IP-адрес сервера, к которому вы обращаетесь. То есть, понять, что у вас открыт, скажем, Твиттер, он может, но определить, кого именно вы читаете — уже нет. Кроме того, использование этого протокола делает практически невозможным изменение содержания сайтов при передаче. Вы можете быть уверены, что те данные, которые вы вводите на этой странице попадут именно на тот сервис, который вы имеете в виду, и больше ни к кому.

Как отличить, пользуетесь ли вы в данный момент HTTPS или HTTP? Все современные браузеры при использовании HTTPS рисуют в строке адреса зелёный замок или какой-нибудь аналогичный значёк. Это может выглядеть так (примеры из Chrome):



А вот так выглядит сайт, работающий через HTTP:



Бывают и промежуточные варианты, когда вцелом сайт работает через HTTPS, но есть какие-либо проблемы. Это может показываться, к примеру, так:



Как правило, если сайт работает через HTTP, а не через HTTPS, вы с этим ничего поделать не можете, так что если вы дорожите тем, что вы передаёте на этот сайт, лучше воспользовать другим сервисом.

3. Российские социальные сети и почтовые сервисы

ВКонтакте, Одноклассники, mail.ru, Почта Яндекс и все прочие российские сервисы в полной мере подпадают под действие закона о раскрытии переписки, так что вы не можете ни в какой степени рассчитывать на то, что ваши данные останутся приватными. Это не имеет большого значения пока всё что вы публикуете — это фотографии котиков, но если среди ваших данных есть что-то, что вы не хотите раскрывать для всех, лучше не пользоваться этими сервисами.

К сожалению, нет никакой гарантии, что данные из социальных сетей, полученные с помощью новой системы, будут использоваться только компетентными органами и только в рамках настоящих расследований. Мы все помним случай года 3 назад, когда данные о финансировании кампании Навального, полученные по запросу ФСБ из Яндекса, оказались в итоге у движения Наши.

4. Зарубежные социальные сети и прочие сервисы

Пока что никто из крупных зарубежных интернет-компаний не высказался официально о том, какие действия они предпримут в связи с новым законом. Так как я работаю в одной из этих компаний, то спекулировать на эту тему я не могу. По мере того, как станет официально известна их позиция, я обновлю этот пост.

5. LiveJournal

ЖЖ находится где-то между российскими и зарубежными компаниями: сама компания американская, но принадлежит российской, так что предсказать их поведение я совсем не берусь. Хочу заметить, что ЖЖ использует протокол HTTPS (см. пункт 2 выше) только для ввода паролей, так что весь его российский трафик прозрачен для органов. Лично для меня это не играет большой роли так как а) мой ЖЖ не имеет 3000 читателей, б) я не пишу подзамочных постов, так что всё содержание моего ЖЖ изначально открыто. Тем не менее я давно подумываю о том, чтобы перебраться на другую площадку. Когда я созрею для этого — напишу про это отдельный пост.

6. Стоит ли бояться NSA (АНБ) и прочих иностранных спецслужб?

Есть вполне оправданные опасения, что обезопасившись от местных российских спецслужб, мы можем попасть в лапы зарубежных. Универсального ответа на это опасение у меня нет, так что опишу лишь несколько известных фактов, касающихся в основном Google.

В течение некоторого времени NSA действительно получало доступ к значительной доле переписки пользователей Gmail посредством прослушки данных, пересылаемых между датацентрами Google. Этот метод давал им примерно такой же доступ к переписке как сейчас хочет себе ФСБ. К счастью, эта уязвимость была закрыта год-полтора назад. Помимо этого канала, по которому NSA получала данные без ведома Google, есть ещё возможность запроса данных по решению суда. Таких запросов (как от NSA, так и от других агентств) Google и прочие интернет-компании получают на уровне тысяч в год, что составляет достаточно маленький процент от общего количества пользователей (у Gmail оно составляет десятки или сотни миллионов). Опасаться ли этого — решать вам.


Это — более-менее всё что касается базовых вопросов. Я не стал рассказывать про Tor, I2P и прочие более продвинутые методы борьбы за приватность. Возможно, если гайки продолжат закручиваться, дойдёт черёд и до них. Я буду благодарен за любые дополнения и испрвления.
LinkReply

Comments:
[User Picture]From: sursyy59
2014-08-07 09:33 pm (UTC)
Блогери україни розповіли як нова влада бореться з тими хто відвідує небажані сайти(( http://vk.com/call_of_russia?w=wall-67457807_114281
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 03:31 am (UTC)
Интересная история. Хорошая иллюстрация к пункту 2. Если бы ВКонтакте работал только через HTTPS, как, скажем, Facebook, проделать это было бы гораздо сложнее.
(Reply) (Parent) (Thread)
[User Picture]From: amarao_san
2014-08-07 10:10 pm (UTC)
Эм, а как же ghostery и request policy?
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 02:07 am (UTC)
Ghostery борется с другой проблемой -- с механизмами учёта, которые владельцы сайтов ставят к себе добровольно. Притом все эти кнопки социальных сетей и счётчики содержания страницы не видят.

Я не задавался задачей описать все аспекты обеспечения приватности в этом посте.
(Reply) (Parent) (Thread)
[User Picture]From: igorantarov
2014-08-07 10:24 pm (UTC)
Гайки похоже продолжат. Система системно борется с интернетом.

Вот прямо сейчас пошла речь про wifi по паспортам:
http://tjournal.ru/paper/wifi-passport-medvedev
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 02:10 am (UTC)
Блин. Про это я ещё не слышал.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: autoench
2014-08-07 10:51 pm (UTC)
Никакой PRISM не существует.
(Reply) (Thread)
[User Picture]From: edwardahirsch
2014-08-08 07:59 am (UTC)
> Пока что никто из крупных зарубежных интернет-компаний не высказался официально о том, какие действия они предпримут в связи с новым законом.

Тем не менее, твиттер вполне сотрудничает, услужливо закрывая от российских глаз запрещенные эккаунты.
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 08:28 am (UTC)
На этом уровне все сотрудничают. YouTube вон тоже некоторые видео не показывает.

В любом случае, как я написал в посте, я не могу пока комментировать, какова будет реакция Google и прочих крупных интернет-компаний. Официальные комментарии будет даны в обозримом будущем.
(Reply) (Parent) (Thread)
[User Picture]From: edwardahirsch
2014-08-08 08:02 am (UTC)
Есть вот такой универсальный вопрос, кстати - какие гарантии, что Hola Better... и аналогичные надстройки не будут воровать пароли и номера кредиток вместе с кодами. Хорошо бы, чтобы Хром, предупреждая о том, что "...can access your data on all websites" как-то разделял, о чём именно идёт речь (и, в частности, как-то позволял ограничивать доступ надстройке к http, а не https).
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 08:31 am (UTC)
Абсолютно никаких гарантий. Более того, я настоятельно НЕ рекомендую им доверять в смысле паролей и всего прочего. К счастью, если сайт работает или хотя бы авторизует пользователей по HTTPS, никакие VPN'ы подсмотреть ваш пароль не смогут.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: hronopik
2014-08-08 09:18 am (UTC)
Спасибо! Про Хола я не знала (но мне оно очень редко нужно было, сохраню).
(Reply) (Thread)
[User Picture]From: marinka239
2014-08-08 10:00 am (UTC)
+1
(Reply) (Parent) (Thread)
[User Picture]From: leonwolf
2014-08-08 12:41 pm (UTC)
Олег, спасибо большое за статью.
Извините за идиотский вопрос, а вы тот самый Олег Етеревский?
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 12:54 pm (UTC)
Вопрос забавный. Вероятно да, мне не известно ни одного моего полного тёски.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: for_paveldurov
2014-08-08 03:06 pm (UTC)
какая бы приватность не была, помыслы должны быть чистыми :)
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 03:23 pm (UTC)
Это несомненно.
(Reply) (Parent) (Thread)
[User Picture]From: akhrabrov
2014-08-08 04:54 pm (UTC)
Я какое-то время использовал Hola, но потом обнаружил, что она периодически глючит и с некоторыми провайдерами не дружит (уже забыл в чем там было дело) и переключился на friGate. Он тоже тривиален с точки зрения установки (но тоже у некоторых провайдеров не работает, запрос провайдером перехватывается раньше, чем friGate успевает включиться).
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-08 08:13 pm (UTC)
Про friGate я не знал, но похоже, у него более ограниченная функциональность: невозможно явно указать, что к такому-то сайту присоединяешься из такой-то страны. Возможно, я не прав...
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: lumag
2014-08-17 09:40 pm (UTC)
В параграфе про HTTPS имеет смысл упомянуть HTTPS Everywhere. Расширение вызывает редкие проблемы с некоторыми сайтами, зато перенаправляет заметную часть трафика на https-адреса.

Вместо Hola я бы рекомендовал использовать Tor. Гарантий честности нет, но выходные ноды хоть как-то проверяют (и информация об этом доступна).

Мой выбор — Tor + Privoxy + Https Everywhere.

Для дальнейшей паранойи: SSL Certificate Patrol (глючит, должен помогать от "левых" сертификатов, гуглить по словам Comodo, DigiNotar) и Privacy Badger (у меня смешанные впечатления от него).
(Reply) (Thread)
[User Picture]From: eterevsky
2014-08-19 10:57 am (UTC)
Про HTTPS Everywhere — спасибо, не подумал.

На счёт Tor — он ненастолько user-friendly. Hola легче поставить. И можно поподробнее, как проверяются exit nodes Тора?
(Reply) (Parent) (Thread) (Expand)