Инициативы спецслужб в области интернета - Эльдар Муртазин, Степан Ильин - Точка - 2013-08-18

18.08.2013

Инициативы спецслужб в области интернета - Эльдар Муртазин, Степан Ильин - Точка - 2013-08-18 Скачать

А. ПЛЮЩЕВ: Московское время 21 час, почти уже 10 минут. Добрый вечер, вас приветствует Александр Плющев, в прямом эфире радиостанции «Эхо Москвы» программа «Точка». Сегодня у нас в гостях главный редактор журнала «Хакер» Степан Ильин. Добрый вечер.

С. ИЛЬИН: Всем привет.

А. ПЛЮЩЕВ: Дебютирует у нас в этой роли. И, можно сказать, старожил программы «Точка» Эльдар Муртазин, ведущий аналитик Mobile Research Group. Добрый вечер.

Э. МУРТАЗИН: Всем привет.

А. ПЛЮЩЕВ: Значит, почему я собрал столь уважаемых гостей в летний теплый выходной, вместо того чтобы поставить повтор или самому как-нибудь поизгаляться? Дело в том, что целых две новости на этой неделе привлекли мое внимание. Какие-то они связанные между собой. Ну, послушайте сами. Во-первых, разработать методику противодействия хакерским атакам на информационные ресурсы поручил Владимир Путин… ну, сделал он это уже довольно давно, но в Госдуму направляется законопроект, который разработан Федеральной службой безопасности. Она намерена взять под свою юрисдикцию расследование не только хакерских атак на правительственные ресурсы, но и подавляющее большинство уголовных дел в отношении хакеров, которые ведут сейчас следователи Министерства внутренних дел. Это первая новость. Вторая новость заключалась в том, что российские власти всерьез вознамерились заблокировать доступ с территории нашей страны к сети Tor и другим анонимным серверам. Ну, вроде бы тоже ФСБ это хочет сделать. Лидер движения «Охотники за головами» Сергей Жук обратился вроде бы в ФСБ, по данным газеты «Известия», и в ФСБ ему ответили, что готовится соответствующий законопроект. Вот эти два события, так или иначе, мы будем обсуждать.

Я бы здесь единственное, что сразу бы оговорился, в том числе и для наших слушателей, которые наверняка будут писать смс на +7-985-970-45-45 или через Твиттер на аккаунт @vyzvon: ну, неважно, воспринимаем ли мы эти новости как… потому что все по источникам, как обычно, газета «Известия», опять же. Ну, давайте не воспринимать их как непременную, там, истину в последней инстанции или вот непременно уже обязательно факт, который обязательно совершится. Просто это такой повод поговорить, повод подумать и повод узнать что-то новое о том, что происходит в интернете, что может происходить в интернете, и чем нам это грозит или, наоборот, какие, условно говоря, выгоды может принести. Ну, давайте начнем со взломов. Вот не даром у нас главный редактор журнала «Хакер» здесь, да. Можно же на «ты», да, Степан?

С. ИЛЬИН: Конечно.

А. ПЛЮЩЕВ: Вот, да, Степан, как ты оцениваешь то, что ФСБ хочет, возможно, хочет, вообще, может быть, возможные перераспределения полномочий от МВД к ФСБ в этом деле? Потому что мы, в принципе, знаем, что редко какие киберпреступления, во всяком случае, из громких, дидос-атаки, взломы, там, и так далее, редко какие, честно говоря, доходят до логичного завершения, кроме, ну, каких-то единичных. Может, ты опровергнешь меня, я не знаю, мне вот так кажется.

С. ИЛЬИН: Ну, тут, смотри, речь идет об атаках не просто, там, на какой-то сайт интернет-магазина или чего-то похожего, речь идет об атаке на инфраструктуру, которая, может быть, там, грозит нам невероятными последствиями, возможно, даже человеческими жертвами. И, если честно, мне кажется, что если происходит такой случай сейчас, то этим занимается как раз ФСБ.

А. ПЛЮЩЕВ: Уже.

С. ИЛЬИН: Да. Поэтому я думаю, что тут ничего нового, скорее это какая-то некоторая формализация того, что есть сейчас.

А. ПЛЮЩЕВ: Ну, вот смотри, тут же, видишь, как говорят, не только хакерских атак на правительственные ресурсы, но и подавляющее большинство уголовных дел в отношении хакеров вообще. Вот о чем идет речь. Ну…

Э. МУРТАЗИН: Я вот не соглашусь по одной простой причине: что на сегодняшний день надо разделять. Федеральная служба безопасности должна заниматься федеральными преступлениями. Де-факто это преступления против государства, совершенные конкретным человеком или группой лиц. Если ограбили квартиру, этим занимается полиция, это задача МВД. Если на вашу страничку кто-то вломился, или на страничку в ЖЖ конкретную идет дидос-атака, там, некая, то это не дело ФСБ, разбираться, кто – у них просто ресурсов не хватит. То есть, фактически мы можем погрести ФСБ под обязанностью разбираться со всей мелочью и упускать из виду какие-то крупные вещи, связанные с той самой инфраструктурой.

Но если говорить о том, нужно ли нам иметь законодательство в этой области – да, безусловно, нужно. Сегодня у нас огромные прорехи в законах о том, какая ответственность есть. И большинство людей, тех, кто мнит себя, там, хакерами в интернете, они считают, что никакой ответственности юридической нет, и чувствуют себя достаточно безнаказанно. Когда выясняется на практике, что это не так, люди очень удивляются сильно и говорят: ну, я же не зал, я же вот делал это, потому что считал, что за это а-та-та не будет. А когда наступает а-та-та… об этом надо просто часто говорить и показывать, что если ты не можешь выйти на Красную площадь с ведерком краски и размалевать стену, там, Мавзолея, например, и встретить лицом к лицу вот те вещи, которые последуют за этим, то, наверное, не надо выходить в интернет и пытаться сделать то же самое на чьем-либо другом ресурсе. Это не приведет к хорошим последствиям.

А. ПЛЮЩЕВ: Степан, кажется, что-то добавить хотел.

С. ИЛЬИН: Ну, я еще хочу добавить по поводу этой цифры, 10 лет. Мне просто очень интересно, зачем там увеличивать эти сроки. Они и так на самом деле не такие уж маленькие. Другое дело, надо посмотреть, вообще какие сроки сейчас даются, даются ли они. Ну, в общем, это такой вопрос, непонятный. Зачем все это вводится? Для того, чтобы все безопаснее стало? Ну, так тогда этого недостаточно явно. То есть, одно введение ответственности – это лишь маленькая-маленькая крошка того, что нужно сделать на самом деле. Потому что, вот они говорят о правительственных сайтах. А правительственный сайт – это, в нашем понимании, любой, там, маленький районный центр, у него есть какая-то страничка в интернете дохленькая. И это, по сути дела, уже правительственный сайт. Естественно, сломать его может школьник, там, найдя какой-то эксплоит наверняка на форуме. И что, вот мне интересно, будет? Ему 10 лет впаяют за это? Ну, это довольно странно.

Э. МУРТАЗИН: Мы живем во времена Кафки в России, потому что абсурд побеждает здравый смысл. Приведу простой пример, да? Кого можно будет арестовать через некоторое время за попытку взлома. ДЕЗ, ЖЭК ставит вам новую дверь с кодовым замком. Набираете код, который вам выдали, и заходите в свою квартиру. Если, не дай бог, вы ошиблись, набрали не свой код, это уже попытка взлома чужого кода, когда вы набираете не свой номер квартиры, а какой-то номер. То есть, это может трактоваться именно так. Да, это абсурдно…

А. ПЛЮЩЕВ: Я сегодня хотел карточкой оплатить Живой Журнал свой, вот, и неправильно пару раз ввел CVV код. В принципе, та же самая история.

Э. МУРТАЗИН: Та же самая история, абсолютно. То есть, фактически те законы, которые сегодня принимаются, и то, что мы видим, они носят сугубо репрессивный характер по одной простой причине: они не следуют защите интересов каждого гражданина Российской Федерации, а дают скорее правоохранительным органам или спецслужбам возможность репрессировать каждого отдельно взятого человека по надуманному поводу.

А. ПЛЮЩЕВ: Давайте сейчас один, возможно, один из примеров сейчас покажем нашим радиослушателям. Ну, во всяком случае… мне написал человек, я тоже, что называется, за что купил, за то и продаю. Я прошу Эльдара надеть наушники тоже, нам будет слышно. По телефону у нас Дмитрий Самохвалов, бывший сотрудник компании «Мир тесен», как я понимаю. Дмитрий, добрый вечер.

Д. САМОХВАЛОВ: Добрый вечер, Александр.

А. ПЛЮЩЕВ: Да, здесь также Степан Ильин, главный редактор журнала «Хакер», Эльдар Муртазин, ведущий аналитик Mobile Research Group. Возможно, и они будут задавать вам вопросы какие-то. Коротко расскажите историю вашу.

Д. САМОХВАЛОВ: Ну, коротко история следующая. Я, наверное, чтобы всем слушателям было понятно, ее на простом примере проиллюстрирую, да? То есть, вот, ну, допустим, я являюсь владельцем сайта, на котором можно создавать блог, да? Например, один из вас является пользователем, который создал там свой блог. Вот по текущему законодательству, если вы, например, ну, один из вас создал детский блог, назвал его, там, «Лисенок и сова», да? И его ведет, там, общается с пользователями – ну, как обычно, как в ЖЖ, например, или, ну, любой другой блог. Я владелец ресурса, значит, вы ведете у меня свой блог. В какой-то момент я решаю, ну, что вы больше как бы не должны быть владельцем этого ресурса, как бы своего блога, и решаю как бы написать на вас заявление в полицию о том, что вы несанкционированно, так сказать, ведете здесь свой блог. Ну, вы, естественно, из дома, со своего, там, IP-адреса, то есть не нарушая никаких законов, там, вводя свой логин и пароль, заходите на свой блог, его редактируете и так далее. Вот по текущему законодательству, если я пишу заявление на вас о том, что вы делаете это несанкционированно, то вас привлекают к уголовной ответственности по статье, о которой выше как раз и шла речь, которую ФСБ хочет изменить, еще усилив дополнительными пунктами, по 272 статье.

А. ПЛЮЩЕВ: Я так понимаю, именно это случилось с вами, на вас написали заявление. А кто это сделал?

Д. САМОХВАЛОВ: Да, фактически, да. На меня написал заявление новый менеджмент компании, совладельцем которой в текущий момент я и являюсь.

А. ПЛЮЩЕВ: А, ну, то есть, там какой-то конфликт интересов внутренний.

Д. САМОХВАЛОВ: Да, естественно, конфликт интересов, но как бы правоохранительные органы в данном случае как бы, ну, используют как бы это на все сто. То есть, здесь речь не идет ни о каком, там, ни о взломе, ни о чем. Здесь речь идет о том, что, я не знаю, я зашел на свой же сайт под своим логином и паролем, но доказать это, по сути, сейчас достаточно проблематично, так как технически только свидетели могут это пояснить. А, соответственно, с той стороны тоже какие-то есть свидетели, которые говорят, что, нет, это не его сайт. А (неразб.) говорят: нет, это его. И так далее. То есть, соответственно, в данном случае правоохранители могут любого пользователя привлечь к ответственности…

А. ПЛЮЩЕВ: Сейчас, Эльдар…

Э. МУРТАЗИН: А можно уточняющий вопрос?

Д. САМОХВАЛОВ: Давайте.

Э. МУРТАЗИН: Речь все-таки идет о техническом ресурсе? Или это действительно ваш блог, куда вы?..

Д. САМОХВАЛОВ: Нет, речь идет о действительно блоге, никаких как бы технических ресурсов здесь нет, нет никаких, там… ну, у владельца блога нет доступа ни к исходному коду, никуда. То есть, это нельзя, там, взломать или еще что-то сделать. Я, честно говоря, вообще не технический специалист, поэтому даже сделать-то это вряд ли мог. Вот.

Э. МУРТАЗИН: Но вы же можете доказать, что это ваш блог, что вы писали, что это именно ваши тексты.

Д. САМОХВАЛОВ: Ну, если бы это был блог, который я лично веду, там, о себе рассказываю – да. Это был коллективный блог, где просто темы обсуждают другие пользователи, сами темы могут добавлять тоже какие-то пользователи.

С. ИЛЬИН: А тогда, если он коллективный, то всех остальных тоже сейчас привлекают к ответственности?

Д. САМОХВАЛОВ: Нет, естественно, здесь привлекают только меня, так как только на меня написали заявление.

А. ПЛЮЩЕВ: На чем сейчас остановилось это дело?

Д. САМОХВАЛОВ: Дело сейчас передано в суд. Уже первое заседание будет 28 августа, первое заседание.

А. ПЛЮЩЕВ: Понятно. Спасибо большое, Дмитрий. Я думаю, мы отпустим Дмитрия Самохвалова. Прокомментируйте, пожалуйста, господа. Это вот как раз, мне кажется, история, может быть, не совсем то, о чем мы говорим, но тем не менее. Она демонстрирует, что возможны, возможны расширительные толкования. И если будет ужесточена ответственность, то, о чем говорил Степан, до 10 лет, то это расширительное толкование… то как бы стимулы для этого расширительного толкования и коррупционная составляющая этого толкования, она расширяется сильно. Вот. Это мое мнение. Может быть, вы с ним не согласны – пожалуйста.

Э. МУРТАЗИН: Я полностью согласен. Больше того, скажу, что на сегодняшний день никаких методов общественного, гражданского контроля за действиями ФСБ в этой области или правоохранительных органов, в частности, полиции, Управления «К», не просто не существует, это область, в которую никто не залезает, в том числе правозащитники, и в этой области могут творить все что угодно. То есть, фактически по надуманному обвинению… я не говорю про конкретный этот случай, но любое надуманное обвинение будет толковаться не в вашу пользу. И учитывая отсутствие судебной системы в России сформированной и отсутствие понимания интернета и сути интернета, выводы могут быть любыми. Я просто приведу один пример, который, на мой взгляд, очень хорошо характеризует те риски, которые имеют компании, работающие в интернете в России. Сегодня большая часть сервисов, которые работают на российском рынке, регистрируются вне пределов российской юрисдикции, физически располагают сервера вне пределов России, и экстерриториальны де-факто. То есть, на сегодняшний день это делается по одной простой причине: ни один масштабируемый сервис, в который будут инвестировать деньги, не может находиться в России. Риски политической системы российской, судебной системы, настолько высоки, что у вас могут отобрать ваш бизнес за 5 минут, и вы не докажете ничего. По сути, вот так.

А. ПЛЮЩЕВ: Степан?

С. ИЛЬИН: Я тут тоже на 100% солидарен. Хочу еще добавить, помимо этой ответственности, интересно, как вот собирается вообще развиваться у нас институт криминалистической экспертизы в области IT. То есть, сейчас, не знаю, мне кажется, две с половиной компании делают у нас экспертизу, которая может проходить по таким делам. Я уже не говорю про судей…

А. ПЛЮЩЕВ: Одна – «Касперский»…

С. ИЛЬИН: «Group-IB» еще. Ну, может быть, еще кто-то делает, не знаю. Но все равно это единичные, штучные экземпляры. У нас никто не выпускает таких специалистов, нету даже дисциплины такой на.... если взять вузы, которые занимаются информационной безопасностью, они, в принципе, есть, есть и кафедры, есть и направления такие, но вот специалист-криминалист в области высоких технологий – такого нет. Его сами готовят компании, сами его потом продают. Но этих компаний – раз два и обчелся. То есть, как это собирается развиваться… Но даже пугает другое: вот как такие дела будут рассматривать судьи, которые, ну, мягко говоря, наверное, мало понимают в этом деле? Как будут выступать здесь гособвинители – тоже большой вопрос. Как тут будут реагировать суды присяжных, если они будут привлечены. То есть, много-много вопросов.

Э. МУРТАЗИН: То есть, на сегодняшний день, фактически занимаясь в интернете серьезным бизнесом в России, неважно каким, вы становитесь уязвимы для любых нападок со стороны недружественных людей. Причем это нападки могут быть в виде дидоса вашего ресурса, когда вы теряете деньги, если продаете рекламу, ваш ресурс недоступен. И, придя в полицию, например, написав заявление, что вот у меня происходит дидос, меня заражают троянами, вирусами атакуют, вы не получите никакого ответа, потому что никто этим заниматься не будет, да? За последнее время единственное громкое дело, которое хорошо прозвучало…

А. ПЛЮЩЕВ: «Аэрофлот».

Э. МУРТАЗИН: «Аэрофлот». Оно было связано с госкорпорацией де-факто. И то это было глубоко личное дело, плюс как бы они потеряли достаточно значимые деньги. Вот и все. Других дел, связанных с дидосом, в России фактически…

А. ПЛЮЩЕВ: Может, Степан знает?

С. ИЛЬИН: Нет, я тоже…

А. ПЛЮЩЕВ: Как профильный журналист.

С. ИЛЬИН: На самом деле действительно, даже если специально искать дела, то вы не найдете ничего. То есть, они наверняка есть, но так, чтобы это в огласке, в прессе было – нет.

А. ПЛЮЩЕВ: Но вот, послушайте, смотрите, была масса дидос-атак на средства массовой информации, мы знаем об этом…

С. ИЛЬИН: И никаких имен…

А. ПЛЮЩЕВ: ... в периоды выборов, да? Была масса взломов у известных людей блогов, почты и так далее, с оглаской. Причем с разных сторон: почту Кристины Потупчик тоже взламывали, кстати, и тоже ничего не нашли, как ни странно. Это вторая история. Значит, и вот последние истории – это с проникновением, я не знаю, взлом, не взлом, там вообще черт ногу сломит – с «РИА Новостями», когда… или, простите, они не склоняют. С агентством «РИА Новости», когда они «похоронили» Горбачева. Вот. Здесь… вот как вы думаете, кстати, если происходит такая история… такая же была, кстати, и в Америке с «Associated Press».

Э. МУРТАЗИН: С атакой на Белый дом.

А. ПЛЮЩЕВ: Да. Значит, если у нас происходит такой взлом, это угроза национальной безопасности или нет?

Э. МУРТАЗИН: Да, безусловно.

С. ИЛЬИН: Я согласен.

А. ПЛЮЩЕВ: Так, хорошо. Государственное агентство, «РИА Новости», вот. Это угроза национальной безопасности. Мы услышим какое-нибудь развитие этого дела или нет? Э. МУРТАЗИН: Не услышим вообще никакого, потому что это халатность конкретных людей, которые допустили утечку пароля. Двухуровневая авторизация отсутствует в госучреждениях у нас по умолчанию. У нас сейчас повторяется ситуация 90-го года, когда команда Ельцина пришла к власти, и они принимали дела, и фактически люди, которые работали до них, уйдя с работы, просто выключили компьютеры, а пароли не дали. И вот сейчас примерно та же самая история, когда люди, увольняясь, они просто не оставляют пароль администратору. То есть, этот бардак, он носит системный характер. И, к сожалению, государственные СМИ, пропагандистские СМИ, они не исключение. Больше того, ответственность, которая есть в США за подобное распространение ложных сведений, которые влияют на финансовые рынки, например, потому что это повлияло на финансовые рынки, они выливаются в конкретные уголовные сроки, в конкретные заключения. У нас ничего этого нету просто. Это вот шутки, когда можно пошутить, Горбачев умер, можно пошутить еще о чем-то. Много лет Горбачеву, да, жизни. Но я хочу сказать одно: что сегодня правил игры на этой территории де-факто не существует. Больше того, все попытки государства как-то отрегулировать эту территорию, они оборачиваются каким-то ужасным кошмаром, потому что это не правила игры, которые понятны людям, которые работают, а это такое запугивание для скорее народных масс, которые в этом не разбираются. А условий игры и правил не существует. Ну, вот мне так кажется.

С. ИЛЬИН: На самом деле вопрос ответственности очень важен. То есть, мы говорим, наказывать хакеров, сажать их на 10 лет, но при этом никто не говорит в этих законопроектах об ответственности, об ответственности служб IT на предприятиях, там, оборонной промышленности или каких-нибудь атомных станциях, гидростанциях. То есть, по сути дела, это же их прямая обязанность, там, следить за безопасностью, их прямая обязанность реагировать на инциденты, их прямая обязанность, там, сообщать об этих инцидентах. На самом деле нет никаких регламентов, по сути дела. И если уж честно, то даже существующие регламенты в области, например, банковской сферы, они настолько лояльны, что, ну, как бы это не дает вообще никакой возможности привлечь банк к ответственности. Вот, например, есть система сертификации PCI DSS, которую проходят обязательно все предприятия, которые обрабатывают банковские карты. Вот у них срок действия и реакции на инцидент – это месяц. Например, вышел, там, патч для какой-то серверной программы, вот они в течение месяца должны ее поставить. Вот пример недавний. Была уязвимость большая в фреймворке на Java – это Apache Struts. Если вы знаете, была вот эта нашумевшая история, что у Эппла не работал девелоперский портал. Вот он не работал полторы недели, как раз потому что там ребята использовали вот этот фреймворк Apache Struts. Вышел advisory, то есть информация об этой уязвимости, на следующий же день на китайских форумах появился эксплоит – и все, пошел террор. Люди берут эксплоит... это прям вот как в старые добрые времена: введи IP- адрес сервера и получи там удаленный доступ. И все, понеслась, одно, второе, третье. Какой тут месяц может быть? Тут день-два максимум. То есть, это надо максимально реагировать. И пока мы говорим об ответственности, к сожалению, никто не говорит о том, что нужно готовить специалистов, прорабатывать вот эти службы информационной безопасности. Они даже у наших порталов ведущих не очень развиты. Вот если как бы брать за образец, пожалуй, Яндекс – очень классные там вот (неразб.) я знаю людей конкретных, они очень серьезно к этому подходят. Взять другие порталы – там уже такого я сказать не могу. А это ведущие интернет-компании. Что же там говорить про какие-то мероприятия в глубинке.

А. ПЛЮЩЕВ: Слушайте, а мне кажется, что ситуация выгодна, ну, всем буквально. Ну, кроме, может быть, таких порталов, типа Яндекса, которые вынуждены тратить довольно ощутимые, да, средства, силы, нанимать специалистов, там, учить и так далее. Вот. А так всем. Смотрите, ну, правоохранительным органам или, там, спецслужбам любая неопределенность выгодна, потому что все можно трактовать, как угодно. Правда? Вот. Даже если мы вообще не берем коррупцию как таковую, просто. Ну, им легче делать свою работу таким образом. Написал обвинительное заключение – и привет. Значит, теперь вторая история. Таким структурам, условно говоря, условно, как «РИА Новости», тоже это очень выгодно, потому что тебе не надо тратить деньги на это, во-первых, вообще, напрочь. Во-вторых, если с тобой что случилось, это не ты виноват-то, в принципе.

С. ИЛЬИН: Это же хакеры!

А. ПЛЮЩЕВ: Это хакеры, конечно. Они пришли, они злые, там, и так далее. На нас, на бедных, значит, ополчились, напали и все такое. Вот. Ну, и, собственно говоря, выгодно тем, кто проводит атаки, и заказчикам, разумеется. Ну, те, кто проводят, они получают какие-то деньги или, там, что, вот. И заказчикам. Все. Все, по-моему, при своих…

Э. МУРТАЗИН: Я тут вверну, наверное, про «Russia Today». Когда как раз таки «Associated Press» взломали и написали, что была атака на Белый дом, «Russia Today» замечательно опубликовала заметку по собственным источникам в Вашингтоне…

А. ПЛЮЩЕВ: Да-да.

Э. МУРТАЗИН: И мне все интересовало: их тоже сломали? То есть, какие воображаемые собственные источники могут быть? А если говорить о выгодности ситуации, мы можем жить в землянках, это тоже выгодно. Есть коренья, там, и прочее. Но если мы живем в современном мире, то нам нужно создавать среду, в которой наши дети уже, возможно, не мы, будут делать бизнес, создавать новые замки и строить космические корабли. Но это несовместимо с тем, что творится сегодня у нас в интернете. Наш интернет, вот Рунет, если говорить – это большая клоака и помойка, которая культивируется как помойка. Потому что когда ведущие… вот Яндекс не трогаю, да? Яндекс – в этом поле они достаточно хорошо играют, и они молодцы. Но если мы берем…

А. ПЛЮЩЕВ: Если не считать того, что они «педофильское лобби», как известно.

Э. МУРТАЗИН: Ну, слушайте…

А. ПЛЮЩЕВ: Все, все, это ремарка…

Э. МУРТАЗИН: Хорошо, ок.

А. ПЛЮЩЕВ: Оно было в кавычках.

Э. МУРТАЗИН: Просто, смотри, когда цифровые подписи разработчиков софта, там, Mail.ru утекают, и ими подписывают трояны фактически, это говорит о том, что информационная безопасность в этой корпорации, одной из лидирующих в России, она, ну, не на нулевом уровне, но где-то там колеблется, непонятно как, да? Когда… меня искренне пугает, когда я не знаю про атомные электростанции, но я знаю кучу госкорпораций, которые, пользуясь Mail.ru, пересылают служебные документы с грифом «Секретно» и с паролем, не знаю, там, «Фамилия моей мамы», «Имя домашнего питомца» или что-то подобное. Меня это искренне пугает. Почему? Нет регламента по безопасности информационной. Очень многие предприятия режимные живут в регламенте 85-го – 86-го года, потому что с того момента если и пересматривалось что-то, то незначительно, и учет компьютеров был без учета интернета. Вот локальная безопасность локального компьютера. Его нельзя выносить, нельзя к нему дискету подключать, USB, еще что-то. Нет понимания. Более того, государство, к сожалению… я очень жалею о том, что у Владимира Владимировича Путина отсутствует образование в этой области, по одной простой причине: если бы было образование в этой области, он бы понимал, что делать и куда идти. На сегодняшний день он не понимает. И те, скажем так, ценные указания, которые даются – это…

А. ПЛЮЩЕВ: Как ты думаешь, у президента США Барака Обамы есть образование в этой области?

Э. МУРТАЗИН: У него есть здравый смысл в этой области по одной простой причине: что он окружил себя людьми, которые понимают, что это такое. Америка сегодня фактически контролирует большую часть трафика, если называть вещи своими именами. Они контролируют… тот, кто контролирует информацию, правит миром. Миром сегодня правит Америка. Вот не надо никуда ходить. Они знают от и до, что происходит, в том числе на российских серверах, потому что имеют к ним доступ.

А. ПЛЮЩЕВ: Ну, кстати, тут, возможно, этой мыслью руководствовался небезызвестный сенатор Руслан Гаттаров, который решил запросить Гугл в очередной раз, Gmail, на каком основании, значит, просматривается почта Gmail. Вот. Мы, по-моему, все здесь, в этой студии – пользователи Gmail, да ведь?

С. ИЛЬИН: Да.

Э. МУРТАЗИН: Да.

А. ПЛЮЩЕВ: Вот. Мы, конечно, возмущены и удивлены этим обстоятельством. Не тем, что Гаттаров обратился, а тем, что Гугл просматривает…

(смех)

А. ПЛЮЩЕВ: Конечно, мы просто в ярости и вне себя, вот. И завтра же мы перейдем на Mail.ru. Может быть, сегодня, может быть, сегодня, вот. Давайте, если можно, это прокомментируем, если не считаете это унизительным для себя, разумеется.

Э. МУРТАЗИН: Я считаю, что на сегодняшний день выбор у каждого человека стоит очень просто: за ним все равно будут следить, вопрос только, будут следить в автоматическом режиме или в не автоматическом, когда люди. Россия – к сожалению, страна, которая пришла в эту гонку одной из последних, поэтому за теми, кто интересен, у нас следят в не автоматическом режиме, а по старинке, но при этом система автоматического слежения, там, по словам ключевым и прочим вещам, она создается, там, сегменты на сотовых сетях уже работают. И, в общем, не надо к бабушке ходить, там, через 2-3 года система станет глобальной. Вопрос в другом, да? Как в фильме «Враг государства». Чего бояться вот конкретному человеку? Наверное, обывателю бояться нечего. Мне один администратор, работающий в крупной компании, в 90-е годы рассказывал, что все мы проходим, администраторы, через несколько стадий, когда нам очень интересно покопаться в чужой жизни, вот почитать письма. А через год мы переболели этим, потому что не интересно, повторение ситуаций, все то же самое, становится совершенно не интересно. Мне кажется, вот этот хлам в виде, там, стандартных ситуаций, он у большинства людей. и следить будут за теми, кто из себя что-то представляет. При этом защититься, подчеркну, от государства, если оно хочет за тобой следить, сегодня невозможно, у человека нет средств для этого. Более того, ни одно государство не даст возможности создать такие средства.

А. ПЛЮЩЕВ: Ну, и насколько я помню, в случае с Gmail, там все открыто достаточно.

Э. МУРТАЗИН: Да.

А. ПЛЮЩЕВ: Как бы Гугл предупреждает, что, ребята, робот наш пропускает все письма через себя, вот, на предмет того, чтобы вам запендюрить рекламу туда, да? Вот. Чтобы… ну, как бы это не очень декларируется, но все понимают прекрасно. И все как бы с этим соглашаются и под это подписываются. И насколько я понимаю, если я правильно понимаю, опять же, в общем, у наших крупнейших тоже почтовых служб, у них не сильно отличается алгоритм-то.

Э. МУРТАЗИН: То же самое: копируется то же самое, но речь, скорее всего, идет…

А. ПЛЮЩЕВ: Судя по контекстной рекламе там.

Э. МУРТАЗИН: Агентство национальной безопасности США имеет доступ, ну, черный ход практически к любым службам, которые расположены на территории США. Гугл – не исключение. Поэтому то, что они могут получить доступ к переписке без решения суда – да, они могут. Тем более вы не являетесь гражданином США, как правило. Поэтому весь… надо смириться с тем, что все, что вы пишете, может стать достоянием общественности. В этом нет ничего страшного.

С. ИЛЬИН: Хорошая цитата в эту тему: «Вашу почту действительно интересно читать, но только первые пять писем».

Э. МУРТАЗИН: Да.

С. ИЛЬИН: Поэтому нужно расслабиться. Действительно, сейчас как бы укрыться от того, чтобы читали твою почту, если ты пользуешься какими-то общественными сервисами… да даже если сам поднял сервер и там настроил себе почтовый, там, доступ, но, конечно, шансов того, что заинтересованные люди в правительстве не смогут получить к нему доступ – ну…

А. ПЛЮЩЕВ: Общаешься-то ты с общественными серверами все равно, не все такие, как ты. У тебя на том конце прочитают, не на этом.

С. ИЛЬИН: Ну, конечно. Ну, поставил ты даже в дата-центре свой сервер выделенный, ну, работает, он работает ровно до того момента, когда им кто-то заинтересуется. Ну, то есть, это же даже не нужны черные ходы, есть процедуры, пишутся запросы, эти запросы в огромном количестве обрабатываются и в наших всех интернет-компаниях.

Э. МУРТАЗИН: Да.

А. ПЛЮЩЕВ: Хорошо. Борис Леонидович, я не знаю, пользуется ли он тем, что упоминает в своем сообщении, но, тем не менее, он спрашивает. Запрет на Tor-браузеры, анонимайзеры, которых еще нет запретов – это что, очередная победа (цитирую) русской путинской демократии? Нас приглашают в новый концлагерь китайского образца? И так далее. Давайте обсудим вот эту историю. Не первый раз, надо сказать, возникает, вот на этой неделе далеко не первый прецедент, когда говорят о том, что анонимайзеры, Tor и так далее будут блокировать. Ну, просто в этот раз как-то это, ну, я не знаю, более предметно что ли стали обсуждать.

Э. МУРТАЗИН: Я вот свое мнение личное выскажу. Я вообще не вижу смысла со стороны государства в блокировании подобных ресурсов, в частности анонимных прокси-серверов и тому подобных вещей, по одной простой причине: существуют простые действенные инструменты, как за короткий срок получить все логи с этих серверов и проследить практически любого пользователи. Если говорить про Tor как черный ящик, то все равно есть точка входа, точка выхода, где уже научились перехватывать трафик. Есть более мудреные технологии, которые позволяют маскировать, там, информацию в пакетах трафика, но тоже как обрубается – известно. Вопрос в другом: зачем пользователю сегодня вот так прятаться? Те пользователи, которые прячутся подобным образом, как правило, вызывают повышенный интерес спецслужб и людей, кто этим занимается. Вот и все. Кто-то играется в это, да? Студенты, школьники. Но спрятаться можно только на виду среди всех остальных. Вот так спрятаться не получится.

А. ПЛЮЩЕВ: Степан, это, мне кажется, что у вас… я не знаю, я не постоянный читатель журнала «Хакер», но мне кажется, вы должны часто обращаться к этой тематике, к анонимизации.

С. ИЛЬИН: Ну, Эльдар прав в том плане, что действительно посмотреть по трафику пользователя, пользуется он Tor или нет – это вот раз плюнуть. То есть, это вы можете сами сделать. Можете у себя записать трафик, который вы передаете, попользоваться Tor и, там, пропустить через программку специальную (ее легко найти), и она скажет, там, идет ли трафик по просто вашему протоколу HTTPS, ну, то есть, там, когда…

А. ПЛЮЩЕВ: Такой тест на наркотики…

С. ИЛЬИН: Да, да. Тут я объясню, что Tor, он как бы мимикрирует под это, он как бы делает вид, что трафик идет по HTTPS. Но на самом деле по статистическим метрикам очень легко определить, что это на самом деле не HTTPS обычный, а Tor. Получается, если пользователь пользуется Tor, то это как бы такой маячок: о, интересно, почему он пользуется Tor? То есть, в принципе, тоже, действительно, непонятно, зачем его блокировать.

Во-вторых, Эльдар правильно сказал, что Tor прекрасен и чудесен ровно до того момента, когда трафик из него выходит. То есть, пока он циркулирует внутри этих, там, луковиц, как их называют, в зашифрованном виде, его действительно там перехватить, расшифровать сложно. Но чтобы дойти до конечного узла, ему нужно выйти через так называемый exit node. Кто управляет этими exit node? То есть, когда их было 50 штук вначале, то вообще были просто конспирологические теории. Ну, вот их есть 50 штук, мы сейчас сделаем еще, там, 300, контролируемые нами – и все, практически там стопроцентная вероятность, что мы все контролируем. Сейчас их, насколько мне известно, там штук 900. Но соль такова, что на самом деле быстрых из них только 50, и практически весь трафик идет через эти 50 выходных нод. Опять же, вопрос: кто их контролирует? Это вообще к вопросу о том, что Tor – это не такая уж и панацея. То есть, это действительно инструмент для обхода цензуры во многих странах, был, потому что его научились блокировать. Зачем его блокировать собираются – я не знаю.

А. ПЛЮЩЕВ: Ну, ты говоришь, научились блокировать – значит, для чего-то блокируют.

Э. МУРТАЗИН: Ну, давайте…

С. ИЛЬИН: Опять же, его заблокировать можно на разных уровнях. То есть, его, если хочет копания, например, «Эхо Москвы» заблокировать у себя пользователя Tor, это сделать легко. Если захочет Россия заблокировать пользователя Tor, то это уже огромные колоссальные средства нужны. То есть, это всем провайдерам нужно ввести DPI, то есть глубокое инспектирование пакетов, чтобы это можно было обрубать. Ну, то есть, это колоссальные средства, которых нету. Например, вот почему у нас до сих пор блокируют запрещенные сайты по IP? Ну, потому что провайдеры не умеют по-другому их никак блокировать и не могут инспектировать трафик.

Э. МУРТАЗИН: К сожалению, они умеют это инспектировать, но…

С. ИЛЬИН: Не все, я знаю, конечно, конечно. Многие умеют, но на всю Россию это пока не применимо.

Э. МУРТАЗИН: Ну, учитывая, что опорные сети принадлежат Ростелекому плюс, там, большой тройке операторов, они фактически это умеют делать. Другой момент, что наши чиновники не знают, что они умеют это делать, а бизнес об этом не кричит, потому что им это невыгодно по многим причинам.

А. ПЛЮЩЕВ: То есть, ты сейчас закладываешь бизнес фактически.

Э. МУРТАЗИН: Я не закладывают бизнес, это все равно введут, рано или поздно, потому что антиспамовые все системы, они фактически… это глубокий контроль трафика, точек выхода этого трафика, это уже работает, эти системы есть у всех. Вопрос в другом: что на сегодняшний день, как мне кажется, любой здравомыслящий человек должен спросить: кто нашелся, вот кто те 50 человек, допустим, кто выкладывает сотни тысяч долларов ежемесячно на то, чтобы поддерживать 50 серверов Tor, который прокачивает петабайты информации через себя? Вот кто, просто из своего кармана выкладывает такие деньги, чтобы бороться за независимость? Ответ придет очень быстро в виде того, что выгодоприобретателем может быть США, Канада, Великобритания – то есть, страны, которые в электронной разведке давно съели не одну собаку. И страны-изгои, которые блокируют Tor, они блокируют Tor не для того, чтобы навредить кому-то – ну, может, там, Иран борется с инакомыслием – но они просто не хотят давать информацию для размышления другой, противной стороне. То же самое делает Россия. Мы сегодня жутко поляризованный мир, именно сегрегация по электронному признаку. Россия, с одной стороны, обладает технологиями, купленными в других странах. Де-факто у нас сегодня один только партнер – Китай. То есть, Китай будет за нами шпионить, мы это знаем, но Китай при этом будет шпионить с нами против Америки. Америка будет шпионить и за нами, и за Китаем, и для этого у них есть все возможности.

А. ПЛЮЩЕВ: Хороший партнер, особенно с точки зрения интернета. Ну, мы, может быть, не все это могли почувствовать на себе, ты-то бывал в Китае, вот, и, наверное, неоднократно пользовался местным интернетом. Я вот не бывал, не знаю. Но наслышан, весьма наслышан. Ждет ли это нас? Может быть, ты даже это одобряешь, Эльдар?

Э. МУРТАЗИН: Это нас не ждет ни в каком виде, я надеюсь. То есть, если это наступит, то, мне кажется, на нашей стране… ну, надо будет выходить на улицы, потому что демократии как таковой не существует нигде, но свобода выражать свои мысли, она должна существовать, в том числе в интернете. Интернет – это отражение реального мира. Если сегодня я могу высказать свою точку зрения вот здесь, я могу это сделать то же самое в интернете, на своей страничке, не важно, в блоге. Если кто-то попытается контролировать это, фактически мы столкнемся с государственной или политической цензурой – это неправильно. Я считаю… я это не могу одобрить никак. Это существует в ряде стран, но если это будет в России, то мы проиграли, в общем-то, нашу страну.

А. ПЛЮЩЕВ: Я вот этот вопрос задавал на протяжении всего времени существования программы «Точка», и даже, может быть, раньше. И, ты знаешь, ответы постепенно меняются, постепенно мимикрируют. Если раньше возможности великого русского файервола исключали практически все эксперты, вот все до одного, независимо от их воззрений и даже, может быть, желаний этого файервола. Вот. То теперь, надо сказать, многие уже и не исключают потихоньку. Ну, ты вот пока оптимистичен. Что Степан Ильин, главный редактор журнала «Хакер», думает по этому поводу?

С. ИЛЬИН: Когда был в Китае в последний раз, действительно пробовал зайти на Фейсбук, пробовал запустить Tor – ничего не получалось. Даже пробовал подключиться к VPN серверам, которые находились в России, даже они блокируются. Но тогда, если честно, я и представить не мог, что в России может быть что-то такое. Сейчас, если честно, то я себе это уже представляю. И мне это очень противно...

А. ПЛЮЩЕВ: Подожди, когда ты не мог представить? Сколько прошло времени? Я упустил.

С. ИЛЬИН: 3 года.

А. ПЛЮЩЕВ: 3 года.

С. ИЛЬИН: 3 года, да. А сейчас я уже могу себе представить это в России, и мне от этого очень грустно и противно.

Э. МУРТАЗИН: Ребят, ну, никто не будет блокировать по определению. Объясню, ну, то есть, позиция очень простая: зачем блокировать инакомыслие, если можно собрать пакет документов на конкретного человека с прегрешениями, да? Когда законодательство достаточно гибкое, этого человека фактически можно притянуть к любой ответственности, вплоть до уголовной. И это будет не инакомыслие, это будет конкретное прегрешение, когда человек согрешил в сети. Ему покажут: вот, дорогой товарищ…

А. ПЛЮЩЕВ: Это если точечно, а если массово…

Э. МУРТАЗИН: Это массово.

А. ПЛЮЩЕВ: Это точечно.

Э. МУРТАЗИН: Нет, это не точечно.

А. ПЛЮЩЕВ: У тебя никакой ФСБ не хватит.

Э. МУРТАЗИН: Сегодня в России, подчеркну, так же, как вслед за Америкой, Великобританией, Францией, рядом других стран, создается автоматическая система для сбора информации о гражданах и о том, что граждане делают не только в сети, но и в реальной жизни. Это объединение всех баз данных, начиная с дорожных штрафов, медицинской информации, заканчивая перемещениями вашего телефона в пространстве, то есть, и анализом того, какие телефоны, помимо вас… Ну, например, вышли, там, поддержать Навального люди. По тому, как телефоны распределялись, откуда выезжали, с кем уехали оттуда, можно уже сформировать ваш социальный срез, с кем вы общаетесь, с кем вы разделяете ваше мнение. Потом, проанализировав, куда вы заходили со своего номера, на какие ресурсы, что делали, получить про вашу жизнь вообще все. Раньше таких средств не было. И это автоматическая система, там не нужны люди, которые будут следить. Люди нужны для того, чтобы вызвать дело, там, Эльдара Муртазина и посмотреть: ага, вот тут, тут, тут, тут он ошибся, и вот за это мы его можем взять за горлышко и хорошо тряхануть. Вот и все.

А. ПЛЮЩЕВ: Тут пошли уже такие вопросы, в плане частной консультации. Ну вот, Пол Эвэри (так подписался человек) пишет: «Веду частную переписку на Gmail, шифрую PGP. Привлекаю внимание? И может ли меня читать АНБ?» Думаю, может.

Э. МУРТАЗИН: PGP имеет backdoor, это было подтверждено. Да, может читать, привлекает внимание.

С. ИЛЬИН: Да, но сейчас есть открытые реализации. Я думаю, что если, там, вы не сильно насолили, то ресурсы… в любом случае, чтобы что-то расшифровать, нужно потратить ресурсы. Я думаю, что расшифровать можно все. Вопрос, там, заключается в том, сколько времени и денег на это надо потратить. Если использовать открытую реализацию PGP, то, мне кажется, это довольно надежно сейчас.

А. ПЛЮЩЕВ: Так, здесь есть несколько таких соображений. Ну, я не буду их зачитывать. А, вот интересное, Игорь спрашивает. Интересный поворот нам за 3 минуты до окончания, тем не менее. «Короче, из сказанного вами получается, что Сноуден развязал руки ФСБ?»

Э. МУРТАЗИН: Не совсем так. Сноуден работал на российскую разведку, судя по всему, и Россия как защитила своего агента, приютила и прочее-прочее. То, что развязано Сноуденом – это фактически операция Службы внешней разведки России, по моему мнению.

А. ПЛЮЩЕВ: Интересно. Ну, то есть, а месяц-то зачем там мариновали?

Э. МУРТАЗИН: Ну, я не думаю, что он мариновался там, просто политически решали вопрос, как это представить перед США.

А. ПЛЮЩЕВ: А, вот так, интересная версия на самом деле, да. Может быть, кстати. Мне кто-то в шутку ее высказывал, эту версию. А теперь, видишь, уже всерьез потихоньку. Но, с другой стороны, разве то, что рассказал Сноуден, разве раньше спецслужбам это не было известно?

С. ИЛЬИН: Конечно, было.

Э. МУРТАЗИН: Спецслужбам это было известно, это удар скорее по обывателям, которые заставляют своих, там, депутатов, парламенты обращаться с расследованиями в разных странах: в Германии, Франции, Испании.

А. ПЛЮЩЕВ: Нет, Муртазина не специально не показывают. Мы скрываем его внешность, никто не знает, как он выглядит в Сетевизоре. Я прошу прощения, как-то так хитро у нас камеры сегодня были настроены. Прости, Эльдар, ты сегодня…

Э. МУРТАЗИН: Слава богу.

А. ПЛЮЩЕВ: … присутствуешь исключительно в виде голоса.

С. ИЛЬИН: Я сегодня за двоих.

А. ПЛЮЩЕВ: Да, да. Но Степан поскольку…

(смех)

А. ПЛЮЩЕВ: … у нас дебютирует, он привлекает внимание, как мы сегодня выразились. Так, значит, хорошо. Но есть ли какие-то – давайте, вот у нас осталось совсем немножко времени – есть ли какие-то вещи… мы несколько раз уже проговаривали в «Точке» это дело, у каждого эксперта свои советы. И вот какие дадите вы? Есть ли какие-то рецепты небольшие, каким образом мне, может быть, обезопаситься? Потому что вообще непонятно, откуда придет удар: со стороны конкурентов, со стороны правоохранительных органов, со стороны завистников, со стороны, я не знаю, там, соперников, вот. Все что угодно. Может быть, есть какие-то небольшие, но простые рекомендации, каким образом себя хоть минимально обезопасить? Ну, знаешь, это как не выходить из дома, не закрыв дверь.

Э. МУРТАЗИН: Саш, мне кажется, ну…

А. ПЛЮЩЕВ: Или расслабиться?

Э. МУРТАЗИН: Правила гигиены, они существуют везде, в том числе при обращении с информацией. Выходя, надо делать логаут из своего компьютера. Не сохранять на рабочем месте пароли на бумажке и прочие вещи. Это как бы обыденность. Но если говорить глобально по поводу «расслабиться», на мой взгляд, надо жить так, что если кто-то получит доступ к вашей интимной информации, опубликует вас, вас это не задело и не расстроило, и, тем более, близких вам людей, чтобы они понимали, что такой риск в современном мире существует. Неприятно, да, но не более того.

А. ПЛЮЩЕВ: Степан?

С. ИЛЬИН: Ну, если просто…

А. ПЛЮЩЕВ: Что скажет журнал «Хакер» по этому поводу?

С. ИЛЬИН: … про правила личной гигиены, ставьте апдейты, используйте антивирус – ну, все известные, все банальные такие вещи.

А. ПЛЮЩЕВ: Да, это совсем как-то грустно, антивирус.

С. ИЛЬИН: Но это, на самом деле это работает. Как там ни прискорбно, например, недавняя история с тем же самым Tor. Взяли же владельца хостинга, Freedom Hosting – это тот человек, который хостил практически половину таких вот скрытых как раз теневых серверов в Tor. И что они сделали? Они начали со всех этих сервисов не заражать что ли пользователей, но эксплуатировать уязвимость в Firefox так, чтобы все пользователи выдавали свои IP-адреса. Ну, вот как бы, если бы пользователи обновили свой Firefox, они бы не спалились. А так вот теперь еще у кого-то есть огромная база людей, которые пользовались этими теневыми сервисами в Tor. Вот поэтому на самом деле такими правилами простыми, ими не надо пренебрегать. Используйте генераторы паролей. Сейчас полно: LastPass, 1Password. Не надо, там, придумывать даже пароли, все очень просто. Ставьте всегда заплатки. Хотя тут, конечно, тоже двояко, когда ставишь заплатку себе очередную и думаешь: что же там пришло к тебе в апдейте? (смеется) Ну вот, и все как бы… Хороший, кстати, принцип, не бояться, если действительно данные утекут, чтобы тебе не было стыдно и не краснел. Это самый главный принцип: когда тебе нечего бояться – это лучше всего.

А. ПЛЮЩЕВ: Да, и последнее. Вот как вы думаете, оба этих, ну таких, мифических пока законопроекта, оба этих предложения, обе эти инициативы, как вы думаете, будут ли они реализованы?

Э. МУРТАЗИН: Я уверен, что да, тем более что в ближайшие несколько лет законы в России будут ужесточаться – это ответ чиновников на протестные настроения в обществе. К сожалению, это так, гайки будут закручивать.

С. ИЛЬИН: Я тоже уверен, что все примут, особенно учитывая, как у нас сейчас теперь по щелчку принимается один-второй, будет третий-четвертый. И вот, к сожалению, это так и есть.

А. ПЛЮЩЕВ: Понял вас. Да, неутешительно. С другой стороны, ну, если уж не будет закона о том, что мы в этой студии собраться не сможем, запрещающего, то будет еще повод поговорить у нас со Степаном Ильиным, главным редактором журнала «Хакер», с Эльдаром Муртазиным, ведущим аналитиком Mobile Research Group. Большое спасибо. Я Александр Плющев.