Дал комментарий на тему RuTracker’а

Репортаж канала ЛенТВ 24

Полная версия моего комментария

Недавно выпустил очередной выпуск Пиратского подкаста. По просьбе трудящихся — текстовая версия.

Аудиоверсию слушайте по ссылкам:

• На сайте подкаста → https://podcast.pirate-party.ru
• YouTube → https://youtu.be/NP9fQTZ_GdY
• VK → https://vk.com/podcasts-10354961
• iTunes → https://apple.co/2Q38aqb
• ЯндексМузыка → https://music.yandex.ru/album/6880173
• RSS подкаста → https://feeds.feedburner.com/pirate-cast/ximc (ГуглПодкасты и др. агрегаторы находят)
• скачать файлом

Так же можно поддержать проект рублём, перейдя по ссылке (в комментарии указать «на подкаст»). 

Распил суверенного интернета

Закон об изоляции Рунета прошел второе и третье чтения и был принят силам партии президента Единая Россия. Напомню, законотворцы молвят, что чисто гипотетически Россию могут отключить от глобальной сети (на самом деле не могут даже гипотетически), а потому надо создать возможность автономного функционирование нашего сегмента сети.

Под этим соусом предлагается ввести систему централизованного управления Рунетом, установить системы цензуры и потратить аки попилить бюджеты.

Мы уже рассуждали на тему того, что никто не может отключить Российскую федерацию от международной сети. Послушайте один из наших прошлых подкастов, гостем которого был Александр Исавнин, член пиратской партии и активисты Общества Защиты интернета. Кстати ОЗИ недавно стали членами ICANN, той самой организации, которая регулирует работу глобальной сети.

Но давайте на пару минут поверим законодателям, и предположим, что не смотря ни на что нас могут отключить, забудем, что на территории России находятся десять зеркал DNS-серверов, тех самых, которые по мнению депутатши от ЕдРа находятся в странах НАТО. Забудем, что российский сегмент интернета — зоны .ru, .su, .рф, .дети и т.д. — поддерживает компания «Технический центр интернет». Забудем, что есть более 3000 точек обмена трафиком между нами и миром и так далее и тому подобное.

Предлагаю нам за пять минут создать модель автономного интернета, потратив ноль рублей бюджета.

И так, есть вот у вас локальная сеть в офисе, это ваш локальный сегмент глобальной сети. В нем есть внутренние сервисы: сетевые принтеры, «файловая помойка», 1С и другие базы, корпоративный сайт и т.д. Есть ресурсы внешние, то что называем интернетом, не нужные для работы соц.сети, Youtube и так далее :).

Просим админа отключить кабель от вашего провайдера интернета. Теперь открываем 1С, печатаем на сетевой принтер, заходим в файлообменник и так далее. Работает? О чудо, ваш админ создал систему, которая функционирует, несмотря на отключении от глобальной сети.

Это одно из основных свойств интернета в целом, он состоит из множества сегментов, каждый из которых может работать независимо. И один из таких сегментов — Рунет.

Да, да, вы правильно поняли. Если даже нас отключат, внутри будет все работает. У вас откроется и ВКонтакте, и Одноклассники, и Яндекс и другие сервисы, которые относительно Рунета являются внутренними. Проблемы могут возникнуть только у тех, у кого в настройках сети прописаны ДНС сервера Гугла например, известные 4ре 8ки.

Конечно же не будут работать сайты зарубежные, VPN и Tor через заграничные точки доступа и так далее. Но от этого и не защищают меры предлагаемые Луговым и компанией.

Несмотря на это будут потрачены бюджеты на систему централизованного управления маршрутизацией. Будут введены и системы фильтрации трафика, хотя зачем они в случае, если нас отключат? Плюс заставят использовать шифрования ответственного производства, как и собственно оборудование для всего вышеперечисленного. Возможно отечественное шифрование — это хорошо, хотят можно предположить, что для спецслужб оставят лазейки, но может оно победит в конкурентной борьбе?

Кто будет разрабатывать и обслуживать все остальные системы пока не известно, но вспомните Платон Ротенбергов и подобное, и задумайтесь.

Импортозамещение

И тут можно вспомнить об импортозамещении. Сейчас госучреждения насильно заставляют переходить на отечественное ПО. Есть специальный реестр российского софта.

Логика такая: нужна вам операционная система? Покупайте то, что есть в списке, или придумайте оправдание использования Windows. Та же история офисным ПО, браузерами и так далее.

В списке есть и хорошие отечественные разработки, такие как например продукты от Abbyy (распознаватель текстов FineReader), 1С и так далее.

Но давайте посмотрим, что предлагает нам список в разрезе стандартного ПО.

Операционные системы: практически все варианты — Линуксы на базе известных дистрибутивов, все за редким исключением — продаются за деньги. Тут конечно можно предположить, что за деньги мы получаем адаптацию к российской криптографии (если она вам нужна), защиту по ГОСТу (если вы работаете с секретными данными), адаптацию к определенному железу (например, Эльбрусы, но лично у меня и в 99,999% слушателей на ПК стоит стандартные процессоры архитектуры «x86-64»).

Для простого смертного просто втюхивают Linux за деньги. Из нормально бесплатно в списке есть только Calculate Linux. В отличие от многих, ребята из России делали дистрибутив давно, сами, не под госзаказ, и просто подали заявку на включение в реестр. Остальные же изначально создавали продукт на продажу под импортозамещение.

Антивирусы: ну тут ладно, есть Касперский. Хотя зачем нам он на Linux?

Браузеры: спасибо, Спутник, созданный на основе свободного Сhromium (на котором делают Google Chrome) загнулся. Кстати, не поверите, но его продавали за деньги для юр.лиц. Есть Яндекс Браузер, тоже на Сhromium, но бесплатно.

Почта: есть почтовый клиент МойОфис Почта, который является по сути форком бесплатного открытого ПО Mozilla Thunderbird, плюс куча ненужных плагинов.

Офисы: уже упоминал МойОфис, не знаю как они делали редактор документов и таблиц, но заместо редактора презентаций у них редактор Impress из известного пакета LibreOffice. Недавно, в феврале этого года появился новый российский офис некой фирмы Р7. Она же предлагает облачные решения и тп. Открыл сайт, посмотрел на скриншот программы. Да это же один в один программа OnlyOffice, которая имеет открытый код.

Да вы сами посмотрите:

Стоит отметить, что у R7 скриншот, судя по оформлению окна, сделан в Windows 10, хотя они на своём сайте пишут: «Российский офис для российских операционных систем»

То есть импортозамещение офисного ПО работает так: берём открытое ПО, меняем вывеску/название, регистрируем в реестре, втюхиваем госорганизациям, учреждениям и так далее.

И если с операционными системами это можно как-то обосновать, то с офисами и т.п. — нет.

Кстати, есть идея. Кто умеет пересобирать линукс дистрибутивы, давайте сломаем систему :). Возьмём свободный дистрибутив, популярный, что бы был низкий порог вхождения для админов и работников учреждении, например, Debian или Ubuntu.

Меняем название у него и офиса, почты, браузера (или впихиваем Яндекс), делаем свой репозиторий для обновлений, копию репозитория выбранного дистрибутива. Регистрируем ПО в реестре и раздаем бесплатно :))))

Нам все спасибо скажут, ну кроме наживающихся на свободном ПО.

Питерское отделение Пиратской партии сделали классное видео. Смотри, вдохновляйся, вступай!

ВЫКЛЮЧИ ТЕЛЕВИЗОР

Вступай в Пиратскую партию России! Движение за свободу в интернете! За реформу законодательства в области авторских прав и патентов в соответствии с интересами авторов и общества, а не третьих лиц. Против преследования граждан за некоммерческий обмен любой несекретной информацией.

Целями Пиратской партии также являются неприкосновенность частной жизни, открытость государства, ориентация государственных органов на свободные и открытые технологии, отсутствие цензуры и введение прямой электронной демократии в РФ.

https://pirate-party.ru/

Для вступления в партию нужно заполнить форму по ссылке → https://goo.gl/forms/fOaDvJPC7OhXusXg1

После получения анкеты на указанные вами контакты напишет член Штаба партии, ответственный за обработку заявок.

Telegram-канал ППР: https://t.me/piratepartyru

Telegram-чат ППР: https://t.me/chatppru

Помочь ППР: https://pirate-party.ru/donate

Во власти активно обсуждается новый закон регулирующий интернет, а именно, законопроект № 608767-7 «О внесении изменений в некоторые законодательные акты Российской Федерации». Документ постепенно получает одобрения причастных министерств, отрицательные мнения независимых экспертов. И, конечно же, о нём помалкивают основные СМИ.

А законопроект интересный, ибо создает механизм самоизоляции России от интернета под соусом защиты отключения России… от интернета. То есть принимаемые меры полностью противоречат причинам. Но давайте по порядку.

О чем закон.

Если более подробно, то почитайте в статье РосКомСвободы, я же опишу для простых людей.

• рунет, российский сегмент интернета, подключен к остальному интернету через трансграничные линии связи и точки обмена трафиком.
• создается централизованная система, которая будет управлять этими точками обмена трафика при возникновении некой угрозы (о ней ниже). В обычное время ими управляют владельцы, операторы связи
• устанавливаются средства, определяющие источник трафика, а также блокирующие доступ к запрещенной информации не только по сетевым адресам, но и содержимому (системы DPI, об этом так же позже)
• создается некая структура обеспечивающая работу рунета в случае его отключения от глобальной сети.

Могут ли враги отключит Россию от интернета

Основным поводом для принятия такого «важнейшего» законопроекта, в «отсутствие других проблем» в стране, стала некая угроза внешнего отключения России от интернета.

Но есть ли такая угроза в реальности? На данный момент имеется более трех тысяч связей между российскими и нероссийскими автономными системами (3640 на 25 января по исследованию Общества Защиты Интернета). Грубо говоря, огромное количество точек выхода России в глобальный интернет. Чтобы отключить физически нас от мировой сети, надо перекрыть все эти точки. Должны договорится между собой об этом различные граничащие с нами страны, такие как Финляндия, Беларусь, Казахстан, Китай, Япония. Представить такое сложно.

DNS

Можно попробовать запретить трафику из РФ доступ к корневым серверам DNS. Если просто — DNS это адресная книга интернета, сервера преобразующие вводимые вами в браузер адреса, аля vk.com в сетевые ip-адреса.

Но DNS имеют древовидную структуру, потому и есть корневые сервера. Есть и другие, уровнем ниже, отвечающий за свой сегмент. Например, отвечающие за адреса сайтов .ru, .su, .рф, находящиеся на территории России. Также в нашей стране размещено 11 реплик (копий) корневых серверов DNS. Копии делаются для снижения нагрузки на сети.

То есть от DNS нас не отключить.

IP-адреса

Возможна угроза, связанная с прекращением выдачи нам IP адресов, но этим занимается международная некоммерческая организация ICANN. Сами адреса раздают Региональные интернет-регистраторы, выдающие большие блоки локальным и так далее. То есть на территории РФ адреса раздают местные регистраторы.

А если всё-таки обрубят провода?

Предположим, что угроза таки реальна. Что же будет, если отключить Рунет от Интернета? А ничего. Точнее мы просто не получим доступа к сайтам, сервисам и т.п., сервера которых располагаются за пределами страны. Все внутренние сервисы будут работать. Так же как в офисе, отключение от интернета не влияет на работу локальной сети (печати на сетевых принтеров, передачи файлов, и т.п. внутренним сервисам).

Собственно, это свойство заложено в само устройство интернета, инфраструктура которого создана, в том числе на случай глобальной катастрофы

Всё необходимое для автономной работы рунета, в случае отключения от глобальной сети уже есть. Провода проложены, свои копии DNS серверов у нас есть.

Можете проверить как идет трафик от вас до любого сайта. В командной строке вводите команду tracert адрес (например tracert vk.ru), ждете, полученный результат копируете сюда → https://stefansundin.github.io/traceroute-mapper/. У меня, при обращении к российским сервисам, ни разу маршрут не пересек государственную границу.

Чебурнет

Для чего же нужен этот законопроект, если реальной и мнимой угрозы нет? Всё просто — удовлетворение нужд власти и присосавшегося бизнеса. Для вторых — это способ заработать на госконтрактах, ведь технические средства будет выпускать ограниченный круг фирм, как это было с СОРМ или Платоном. А для первых — контроль и цензура.

Да, внешнее отключение России от интернета не возможно, но возможно самоотключение после введения всех предлагаемых в законопроекте мер. Помните — централизованное управление точками обмена трафика.

Плюс, по непонятной причине, вводятся средства фильтрации трафика. Зачем, если нас отключат, что фильтровать? Ответ прост: трафик внутренний. При том фильтрация предполагается глубокая, по содержимому, а не по IP-адресу. Делается это для возможности перехвата обращения к «запрещенным ресурсам» не напрямую, например через прокси и т.п. Но последнее невозможно при любом отключении нас от интернета, но возможно при создании системы подобной Китайскому фаерволу.

Вопрос, зачем вводить систему, которая не нужна при заявленной угрозе, но поможет властям контролировать свободу слова при аналогах китайского варианта? Затем, что цели законопроекта — не защита нас от отключения извне, а подготовка к отключению изнутри.

Что делать?

Не молчать, рассказывать об этом. Чем больше людей видят, как их обманывают, тем лучше. Даже если они считают, что вокруг враги из госдепа. Согласно и такому мировоззрению, обман на лицо. Обман или банальное непонимание властей того, как устроен интернет.

Желание ли это пиара, распила или реальной изоляции страны — не важно.

Также можно вступить или просто поддержать Пиратскую партию 😉

8 декабря я должен был быть в Москве на Общероссийском гражданском форуме, представлять Пиратскую партию на секции товарищей из РосКомСвободы. Но по семейным обстоятельствам пришлось отменить поездку. Но была заготовка текста, почему бы её не использовать?

Тема площадки РКС: «Открытость Интернет- и телеком-компаний как залог соблюдения цифровых прав граждан». Речь о том, что ит-компании, должны публиковать Transparency Report, аки отчёт о запросах различных государственных служб и правообладателей за разные годы, и в целом прозрачно «контактировать» с государством. Да, да, если вы не в курсе, государственные органы часто делают запросы к интернет-бизнесу, как на предмет удаления информации/контента, так и на выдачу информации о конкретных пользователях.

Ниже расширенная версия набросков на заданную тему. На самом деле текст значительно шире, чем предполагаемый спич.

Почему же это важно простым пользователям интернета, ведь Пиратская партия представляет в первую очередь их?

Оно вам надо важно?

На самом деле, любой опрос мнений пользователей интернета на эту тему, с хорошей выборкой по слоям населения, покажет, что большинству в принципе нет дела до того, что собирают провайдеры, ИТ-компании и т.п.

Но есть Правило одного процента и его аналоги (закон Парето и т.п.). Меньшинство определяет и формирует мнение большинства, определяет вектор развития всего. К этому мы ещё обратимся.

Бизнес / Государство / Пользователи

В вопросе сбора пользовательских данных (далее ПДн) компаниями, не только из сферы интернета, есть три стороны. Это пользователи, собственно компании и государство.

Что знает о нас «бизнес».

ИТ-компании аккумулируют у себя огромные объемы данных о пользователях. Это информация о посещении сайтов, покупках, геоданные, направления звонков и так далее.

Какие-то данные мы предоставляем по необходимости, они нужны для работы тех или иных сервисов. Например, регистрационные данные или номера телефонов для двойной аутентификации.

Операторы сотовой связи хранят метаданные ваших звонков, это необходимо для банальной тарификации и подтверждения расходов. Сделав простой запрос детализации счета через ЛК оператора сотовой связи вы увидите и список всех звонков, с продолжительностью и номерами собеседников, и в какое время сколько мобильного трафика вы потратили.

Другие данные являются платой за использование сервисов. Предоставляя бесплатные услуги, компании собирают данные о вашем «поведении» для последующего использовании в таргетировании рекламы. А реклама — двигатель прогресса и источник заработка.

Компании анализируют ПДн, для того, что бы сделать сервисы более удобными, например, чтобы подобрать для вас рекомендации в музыкальных сервисах и т.п. Зачем? Чтобы пользователи тратили деньги у них.

ПДн можно использовать и во благо, например в медицине. Ещё в 2012-м году многих удивила новость о том, что американская торговая сеть Target узнала о беременности девушки раньше, чем она сама.

Но причем же тут государство?

Оставим за скобками вопросы этичности, споры о пользе и вреде сбора ПДн с целью персонализированной выдачи контента.

Взаимоотношения между бизнесом и пользователями строятся на доверии подкрепленными нормами регулятора, такими как например 152-фз «О персональных данных» (он нужен, вопрос его исполнения — другой вопрос).

Фиксируется же отношения между пользователями и сервисами в Пользовательских соглашениях и Политиках конфиденциальности. Эти документы должны однозначно определить какие данные и в каких целях собираются.

Основная опасность — не соблюдение этих документов и утечка данных. Большие данные хранить сложно, их использование третьими лицами может нанести вред пользователям. А об утечках мы слышим все чаще и чаще.

Государство же должно, в интересах пользователя, стать гарантом соблюдения всех этих соглашений, политик и законов.

Государство — потребитель собираемых ПДн.

Это основной абзац =)

Но все меняется когда целью регулирования становится не контроль соблюдения поставщиками услуг и сервисов «договоренностей» с пользователями, а контроль самих граждан страны.

Согласно законодательству операторы должны хранить данные в интересах государства. И с каждым годом нормы законов все суровее и абсурднее. При том государство покушается не только на ПДн, но и на генерируемый контент, всё чаще обращаясь с запросами на удаление той или иной информации из сети.

В связи с этим встает вопрос о прозрачности не только того, какие данные компании собирают и как их используют, но и то, какие данные, в каком количестве предоставляются Государству.

Да, большинству обывателей это и не важно. «Мне скрывать нечего, а сбор ради моей безопасности». Хотя в РФ уже судят за любое неудачно сказанное мнение или репост.

Кто-то скажет, что условный пакет Яровой направлен против террористов, преступников. Но последние тоже не глупы, давно используют шифрование и т.п., при том не только на уровне каналов, но и на уровне содержания контента. Много вы слышали о раскрытых больших «делах» с использованием систем СОРМ и ей подобных?

Главная группа риска — то самое меньшинство, которое генерирует общественное мнение, кто определяет будущие страны, это и те, кто сегодня сидит в этом и соседних залах. (напомню, заготовка этого текста написана для выступления на Общероссийском гражданском форуме) Общественники, активисты, эксперты и т.д.

У общественников, не всегда есть возможность быть анонимными. Мы выражаем мнения, они могут быть на грани. Мы всегда можем оказаться «под колпаком». Любое неудачное слово может быть использовано против нас.

И потому важно видеть то, как провайдеры и поставщики других услуг сотрудничают с органами власти. Пусть даже не все из присутствующих задумываются об этом.

Это важно и для бизнеса. Ведь с одной стороны надо угодить пользователю, с другой выполнить требования регулятора. Даже банально открыв статистику и суть запросов от государства по действиям воспринимающими пользователями как цензура, ит-бизнес покажет, что он лишь выполняет требования «сверху», указав на реальный источник проблемы.

Информация, представленная в transparency report, дает возможность активным гражданам отслеживать уровень взаимодействия компании с правоохранительными органами. Чем более открыты будут компании, в отношении которых правоохранительные органы отправляют запросы, тем больше внимания будет уделяться таким запросам.

В свою очередь общественники, эксперты и т.д., смогут влиять на мнения пассивного большинства на этот вопрос, а как следствие — на изменение политики регулятора в угоду общественного мнения.

Ведь в этом плане задача бизнеса исключить регулятора (государство) из взаимоотношений с пользователем, а пользователям важно присутствия регулятора, но выполняющего свою роль в интересах общества, а не себя.

Цензура

Уже ни для кого не секрет, что интернет сегодня, наверное, единственный канал распространения независимого мнения.

Между свободой слова и цифровой безопасностью госудраства очень тонкая грань. И всем без исключения информационным ресурсам приходится балансировать. Уже из тех transparency report, которые публикуют большие ИТ-компании видно, что не всегда запросы государственных органов соответствуют логике и законодательству. Например, Твиттер получал запросы на удаление постов о фактов коррупции.

И тут у сервисов есть два пути. Или удовлетворять всё подряд и молчать об этом, то есть полностью прогнутся под регулятора. Или быть честными, и для минимизации рисков формировать правильное мнение общественности, в чем несомненно помогают те же transparency report.

Какой путь выбрать — решать ИТ-бизнесу напрямую, и нам, косвенно, создавая правильный запрос со стороны гражданского общества.