Украинское государство в лице Президента, СНБО, СБУ и народных депутатов не оставляет попыток навязать систему контроля Интернет полностью идентичную российской. Решение обоcновывается потребностями национальной безопасности. Что такое СОРМ и DPI? Санкции или цензура? Действительно ли подобные меры усиливают киберзащиту, рассказывает Шон Таунсенд (Украинский Киберальянс). Редакция InformNapalm может иметь мнение, отличное от мнения автора.

Первые попытки контролировать Интернет начались не сегодня и не вчера. Уже в 2011 году запросы спец. служб к операторам связи о предоставлении данных клиентов посыпались, как из рога изобилия. Мне так же запомнилась одна из закрытых встреч, на которой присутствовали технические директора интернет-компаний, функционеры “Партии Регионов”, областной адинистрации и силовиков, в ходе которой был подписан “Меморандум о намерениях”. Суть меморандума сводилась к тому, что ради защиты детушек малых от педофилов и экстремистов, провайдеры должны перестать ерепениться и начать отвечать на запросы быстро и без долгих раздумий. От мантры “вы должны нам помочь” меня передергивает от омерзения. Любая спорная инициатива на государственном уровне начинается с “защиты детей”. Простейшая манипуляция, которая сразу переводит дискуссию в эмоциональную плоскость.

В 2012 году, после того как был отжат портал EX.UA инициатива администрации Януковича натолкнулась на мощное противодействие. В результате массовой акции протеста легли под DDoS атакой сайты Кабинета Министров, Президента и многие другие. Я напрямую связываю, усилившуюся активность органов с подготовкой к парламентским выборам 2012 года, но тогда обошлось. Вопрос о контроле сети ушел с повестки дня, но не переставал обсуждаться в кулуарах. Прекрасно помню, как в закрытой рассылке молодой милицейский начальник пытался доказать специалистам, что без контроля в Интернет преступников ловить решительно невозможно. Правда, группа поддержки кричащая: “Распустили тут демократию! Сильная рука нужна!” сильно смазывала образ прогрессивного полицейского с человеческим лицом. Пик запретительных инициатив пришелся на 16 января 2014 года, когда Парламент Украины проголосовал за “диктаторские законы”. “Диктаторские законы” в том числе предполагали блокировку интернет-сайтов на основании “экспертного заключения”. Что такое “экспертное заключение” в Украине можно судить по “Национальної експертної комісії з питань захисту суспільної моралі“, трудно придумать что-нибудь более тошнотворное (ликвидирована в мае 2015 постановлением N 333 КМУ). Оказывается, что заставить отказаться государство от порочной идеи контроля не удалось даже после победы Революции.

На этот раз государственные мужи решили подготовить общественное мнение, и в начале года была развернута кампания по нагнетанию массовой истерии. Тут вам и “Синие киты“, как тать в ночи, крадущиеся от компьютера к детским кроваткам, и бухгалтерский софт, который шпионит за вами, как последний сукин сын, и конечно великая, ужасная и непобедимая российская пропаганда. По поводу пропаганды я задам один вопрос – если на россии прямо на параде разваливаются танки и падают самолёты, то неужели они способны сделать, что-то работающее так, как задумано? Проблема в России, не в том, что она умная, а в том что сильная. (Как в анекдоте про экзамен в школе милиции). Тем не менее Указом Президента N 133/2017 были введены не только экономические санкции, которых очень не хватало предыдущие три года, но и внесудебные блокировки сайтов. Как говорят желтенькие СМИ “интернет взорвался” спектром мнений. Как часто бывает в таких случаях опросили всех до домохозяек включительно, перерыли все статьи на Википедии об иностранном опыте, только экспертов спросить забыли. К вопросу об иностранном опыте.

Наиболее значимой практикой в отношении privacy, Интернет и свободы слова я считаю именно американский опыт. В США не блокируют сайты. Да, в Штатах могут отказать в хостинге на основе DMCA (“Закон об авторском праве в цифровую эпоху”) или вычислить и уничтожить незаконный ресурс, попутно пересажав всех причастных. Так было с Dark Code, Silkroad, Liberty Reserve и многими другими. Блокировать сайты бесполезно, это все равно что засунуть голову в песок и притвориться, что их не существует. Сайт Американской Нацистской Партии намекает о том, что первая поправка священна. В противоположность, у нас даже когда абсолютно точно известны все необходимые обстоятельства сделать ничего не возможно. Ни обыски, ни кропотливый сбор информации не помогли доказать преступную деятельность Юрия Ткачева
(редактора интернет-издания “Таймер” в Одессе).

Обвинения в шпионаже в пользу РФ против компании Mirobase (“Стахановец”) так же закончились ничем. Вопреки заявлениям СБУ, независимая экспертиза компании ProtectMaster (которую возглавляет советник по кибербезопасности АПУ Никита Кныш) не выявила шпионского функционала. Бесконечные обыски и информационные вбросы приводят к тому, что бизнес переходит на облачные решения. Даже полный запрет “1С” приведет к тому, что доступ будет предоставляться не к программе “1С”, а к услуге “1С”. И никакие технические или юридические выверты не позволят правоохранителям добраться до бухгалтерии, если сам бизнесмен не пожелает её отдавать. Таким образом запреты на софт сильно затрудняют оперативую деятельность. В отличии от Украины, недавний запрет продуктов Лаборатории Касперского в США касается только государственного сектора. Таким же образом стоило бы поступить и с ограничением доступа к сайтам. Для того, чтобы получить содержимое почты и всю сопутствующую информацию с mail.ru российскому менту или ФСБшнику достаточно написать официальный запрос. И запрет пользоваться российскими сервисами и программами для чиновников полностью обоснован.

Помимо намеков со стороны СБУ высказалась и киберполиция. Они даже решили поучить куму щи варить, и написали инструкцию для провайдеров о том, как быстро заблокировать по IP (и ничего не понять). Инструкция не выдерживает никакой критики с технической точки зрения. Обращения экспертов по сетям и безопасности, и профессиональных сообществ (таких как ИНАУ) нисколько не изменили ситуацию. В июле месяце к противозаконному указу президента (потому что на момент принятия отсутствовали законы, описывающие, как его можно исполнить) в срочном порядке, чуть ли не в последний день работы Парламента подготовили обоснование. Проекты законов 6676 и 6688. При внимательном изучении становится понятно, что это один и тот же законопроект, который “Народный Фронт” хочет пропихнуть хоть тушкой, хоть чучелком (первая версия за авторством Тетерука и Винника, вторая – Винник, Тымчук и Чорновол. После того, как Парламент провалил обе инициативы, секретарь СНБО Турчинов не поленился лично отчитать парламентариев за то, что они саботируют вопросы национальной безопасности. И назвал их соучастниками киберпреступлений. Как эксперт по безопасности я не знаю, как блокировки могли бы остановить атаку червя NotPetya. То что в ходе атаки киберполиция “самозаблокировалась”, отключив собственный сайт только усилило панику.

Какие меры предлагаются в законопроекте? Любой сайт может быть заблокирован без суда, и провайдеры не только обязаны это сделать, но и специальное оборудование будет проверять, что сайты действительно заблокированы. Подобная система действует на России. Решение о блокировке принимает Роскомнадзор (в Украине тоже предполагается создать новый контролирующий орган), ведёт “Реестр” и следит за тем, чтобы провайдеры выполняли решения о блокировке. Интернет – система распределенная и спроектированная в расчете на ядерную войну. Создание любых единых центров управления сетями создаёт то, что инженеры называют “единая точка отказа” (single point of failure). Как будто бы специально, чтобы продемонстрировать этот тезис, россияне решили показать как они умеют ходить по граблям. Если до этого Роскомнадзор периодически отправлял в бан Google и YouTube, на пару часов, то в июне, в ходе флешмоба, десятки заблокированных в России сайтов сменили IP на адреса принадлежащие крупным ресурсам, в том числе “девятке” (московская точка обмена трафиком) и самого Роскомнадзора, что привело к мощнейшим перебоям в работе российского сегмента сети. Почитайте письма РКН “об отмене предыдущего решения про блокирование с целью недопущения”. Поучительная история. Создавая подобную “точку отказа” мы даём нашим врагам “выключатель” от украинской сети. Достаточно создать десяток сайтов, добиться их включения в реестр, а затем сменить IP на адреса неугодного ресурса. Нельзя “просто взять и заблокировать по IP”.

Но можно заблокировать по имени сайта, только выясняется, что подобное решение требует установки дорогостоящего оборудования DPI (“Deep Packet Inspection”). Полгода наши государственные мужи пытались убедить всех, что блокировки это безопасно и дешево. Постепенно выяснилось, что без всякого публичного обсуждения всё-таки готовятся закупки DPI и мониторинга, и согласовывать их придется с ДССЗЗІ. Авторы законопроекта дерзко заявили, что закон не несёт коррупционных рисков. Постойте, закупки оборудования на десятки, а то и сотни миллионов долларов, которые должны быть утверждены ДССЗЗІ не несут коррупционных рисков? Будь я поставщиком подобного оборудования я бы уже бежал занимать очередь. Я даже не буду рассказывать о том, что ни одно из предлагаемых решений не является эффективным. Достаточно набрать в поисковике “обход блокировок” и вы найдете десятки руководств о том, как их обходить для любого пользователя, начиная от таксиста и домохозяйки и до научного анализа бесконечной борьбы “щита и меча”. Дальнейший шаг по разрушению интернета – запрет анонимизации.

“Прошло три месяца. Я считаю, что было принято правильное решение по поводу закрытия доступа к этим социальным сетям. Но россияне или представители тех же сетей распространяли информацию, как можно было обойти эти моменты и пользоваться этими сетями. Мы отслеживаем эти вещи. И все то, что появляется, эти “дырочки”, пытаемся закрыть. Не пытаемся, а закрываем”, – сказал Глава Службы безопасности Украины Василий Грицак

Я хотел бы напомнить Василию Сергеевичу, что анонимность – это не только ВКонтакт или оскорбительные комментарии в сети. У нас и выборы тайные. А еще бывает адвокатская тайна, право журналиста не раскрывать источники, и другие ситуации, в которых человек имеет право на собственные секреты. Испортить весь Интернет не получится даже в теории, а надкушенный национальный огрызок сети мне не нужен. Если раньше я разделял свой личный трафик на открытый и анонимный, то теперь мой личный Интернет начинается в Швейцарии, и он свободен, как и прежде. Нельзя чуть-чуть лишить свободы. Украинский Интернет безнадежно отравлен бессмысленной цензурой.

А опасность (с пропагандистской точки зрения) представляет не только ВКонтакт или Яндекс, сами по себе, и даже не боты. Facebook нашел 500 левых аккаунтов и рекламную кампанию стоимостью $100000? Помилуйте, 100 косарей – это не уровень государственной пропаганды, а бандита средней руки с Печерска. Опасность в пользовательской базе. 16 миллионов россиян в Фейсбуке гарантируют это. Сторонники непризнанных республик и русского мира всех мастей строчат не переставая. И никакой DPI их не заблокирует. В дыре еще можно худо-бедно огородиться, угроза внесудебной расправы на подвале и не такое с людьми делает, но в открытом обществе, к которому стремится Украина, подобные методы недопустимы и работать не будут. Однако, у оборудования для работы с траффмком есть и другая интересная особенность.

“Черный ящик” установленный в сети провайдера в интересах государства, позволяет снимать информацию, не прибегая к такому медленному и ненадежному средству, как решение суда. На России уже давно действует СОРМ (“Система Оперативно Розыскных Мероприятий”), которая позволяет записывать разговоры или интернет-трафик абонента без каких-либо санкций в принципе. Если в штатах существует своего рода конкуренция между спец. службами и они обязаны отчитываться за свои действия, то в условиях централизации, наличие бесконтрольной лазейки к пользовательским данным (будь-то симки по паспорту или пользовательский трафик) приведет к злоупотреблению служебным положением. Как быстро база абонентов мобильной связи появится в продаже на Петровке? А у ФСБ? Каким образом будет запрограммированно оборудование “для блокировок” в законопроектах не говорится. Российский опыт наглядно показывает, что особенных преимуществ подобный подход не даёт. Хочу подвести итоги.

• Блокировки не могут защитить от атаки червя, такого, как “NotPetya” или предотвратить атаки на инфрастуктуру
• Попытки обхода блокировок (а они будут вне всяких сомнений) могут привести к ослаблению кибербезопасности (Falcons Flame, как-то сделали сайт “Армии Новороссии”, так что подумайте, кто вас будет слушать с “той стороны” анонимизатора)
• Блокировки не являются эффективным способом борьбы с антиукраинской пропагандой
• Блокировки снижают инвестиционную привлекательность нашей страны (некоторые IT-отрасли уже убиты бездумными действиями государства)
• Закупки оборудования для фильтрации наносят значительный ущерб, который будет оплачен рядовым потребителем и поощряют коррупцию
• Массовое противодействие со стороны пользователей затрудняет работу правоохранителей
• Бесконтрольный и монопольный доступ силовиков к личной информации пользователей приведет к злоупотреблению властью
• Интернет-цензура и слежка за пользователями – распространенная практика в России и на оккупированных территориях и они не только не достигают заявленных целей, но и наносят ущерб национальной безопасности РФ
• Интернет-цензура несёт угрозу самому существованию “национального сегмента” Сети
• Цензура, отсутствие тайны переписки, внесудебные блокировки грубо нарушают сразу несколько статей Конституции (то что 16 января 2014 года мы все назвали диктатурой, не может быть защитой сейчас)

Выгоды? Их нет. Как сказал Бенджамин Франклин: “Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности”. И еще не поздно остановить это безумие.