Вай-фай, мы подошли из-за угла

31 июля Дмитрий Медведев подписал ряд указов «в обеспечение пакета антитеррористических законов». 4-5 августа они были опубликованы на официальном портале pravo.gov.ru. Однако СМИ их обнаружили только седьмого числа, прочитали, как водится, по диагонали, и интернет наполнился заголовками типа «Wi-Fi теперь будет только по паспортам!». На этом фоне второе постановление о том, что «организаторов распространения информации» обяжут установить на своих сайтах оборудование для слежки за пользователями, прошло почти незамеченным - с существованием СОРМ все уже свыклись, и дополнительные меры никого удивить не могут.

Между тем выяснилось, что текст постановления № 758 невнимательно читали не только СМИ, но и чиновники.

ИТАР-ТАСС опубликовал опровержение от главы департамента информационных технологий Москвы Артема Ермолаева, заявившего, что постановление касается лишь «пунктов коллективного доступа», установленных в помещениях «Почты России» согласно решению правительства аж от 2005 года. В таком виде постановление выглядит совсем бессмысленным - пунктами доступа «Почты России» никто не пользуется (экспресс-опрос показал, что мои знакомые в большинстве и не подозревают о существовании такой услуги). К вечеру выяснилось, что московский чиновник все-таки ошибся, прочитав лишь первый пункт постановления и не обратив внимания на остальные.

Постановление говорит о том, что с 13 августа «оператор связи осуществляет идентификацию пользователей и используемого ими оконечного оборудования оператора связи», причем касается это любого «коллективного доступа» - то есть и «универсальных услуг связи» («Почты России»), и бесплатных Wi-Fi-сетей на вокзалах, в парках, в метро, кафе и т. д.

Однако в постановлении ничего не сказано о том, каким путем проводится эта самая идентификация, и вокруг этого вопроса и закрутилась дальнейшая интрига. Очевидно, что к 13 августа никто не успеет даже теоретически разработать правила идентификации для всех случаев,

и в лучшем случае это будет сделано к сентябрю, с привлечением экспертов отрасли и специалистов Минкомсвязи.

Пользователи единодушно восстали против нововведения. Социологи Исследовательского центра портала Superjob оперативно провели опрос, согласно которому 58% пользователей заявили, что в случае доступа по паспорту пользоваться бесплатным интернетом они откажутся, и лишь 17% по-прежнему станут использовать публичный доступ в Сеть (25% с ответом пока затрудняются). Вероятно, процент «отказников» в реальности будет меньше, но факт, что популярность еще не доведенной до ума услуги (в московском метро, например, оборудовать все поезда бесплатным Wi-Fi обещают лишь к концу года) существенно снизится. И не потому, что люди не хотят светиться перед органами - скажем, против СОРМ те же самые пользователи протестуют довольно вяло, - а потому, что не хотят предоставлять свои номера паспортов неизвестно кому.

В реальности, однако, именно о паспортах речи не идет. Скорее всего, как намекнуло Минкомсвязи, в бесплатных Wi-Fi-сетях будет применяться идентификация путем посылки СМС с паролем на указанный пользователем номер телефона. Такой способ действительно применяется во многих бесплатных хот-спотах по всему миру. Для примера можно указать аэропорты Шарля де Голля и Хитроу, где, однако, он применяется не для слежки, а для контроля за ограниченной длительностью сессии. Вообще, обязательная паспортизация доступа в интернет существует пока только в законодательстве двух стран - КНР и Белоруссии. Очевидно, мы имеем все шансы стать третьей такой страной - смотря, как это будет реализовано на практике.

А в этой части постановление пока что выглядит бессмысленным. Действительно, требование лично предъявлять паспорт (или иное удостоверение личности) еще может быть реализовано, например, в кафе, но совершенно не подходит в случае метро, вокзалов или парков отдыха.

Значит, будут реализованы какие-то дистанционные способы. И вот здесь и возникают вопросы. Пусть это будет рассылка СМС с паролем - каждому оператору тогда придется иметь у себя базу данных всех пользователей всех операторов России, иначе никакой идентификации не получится: не запрашивать же, в самом деле, власти в каждом случае, как это опрометчиво предложило Минкомсвязи? Кроме того, мобильник необязательно зарегистрирован на того, у кого он находится: у меня, например, он оформлен на жену, так сложилось исторически.

Вот главный вопрос, который, кажется, никто не удосужился задать: а против кого направлены подобные меры?

Если интернет-фильтры (те самые черные списки сайтов) ориентированы на те 99% пользователей, которые не будут искать путей обхода, то в этом случае дело обстоит ровно наоборот: идентификация пользователей направлена против потенциальных злоумышленников. А для них, оказывается, обойти все эти сложности совсем просто: например, что стоит воспользоваться мобильником случайного прохожего («друг, извини, забыл телефон/подсела батарейка, можно твоим телефоном попользоваться на минутку?»). Или попросту краденым? Еще хуже обстоит дело с идентификацией по запросу данных пользователя: кто мне мешает указать любые данные «от фонаря», и каким образом это можно проверить? Не хранить же у каждого оператора полную базу данных всех документов всех граждан России? Но и в случае, если удастся когда-нибудь (скорее всего, в отдаленном будущем), наладить подобную проверку без задержек, при дистанционной идентификации ничего не стоит указать реальные данные любого постороннего человека.

Отметим еще один интересный момент, отраженный в тексте постановления № 758. Он касается «уникального идентификатора оборудования сетей передачи данных» (п. 2), который должен фиксироваться «средствами связи оператора связи». Речь идет о так называемом MAC-адресе, имеющемся у каждой сетевой карты, который предполагается использовать для привязки оборудования к абоненту. В головах не слишком грамотных пользователей (включая, очевидно, и чиновников) прочно засел миф о том, что MAC-адрес есть нечто неизменное, «зашитое» еще на заводе, хотя это давно уже не так. Современные аппаратные средства программируются через флеш-память, которую переписать или подменить ничего не стоит. Более того, функция изменения MAC-адреса сетевой карты вашего ноутбука - это штатная и совершенно легальная функция операционной системы. Есть устройства (например, приставки для интернет-телевидения), где идентификационный адрес изменить довольно сложно, но при нужде и это можно проделать. Так какое именно оборудование собираются идентифицировать чиновники, заставляя операторов хранить по полгода данные всех пользователей, которые хоть раз воспользовались Сетью?

Все эти законодательные нововведения последних лет с технической точки зрения оставляют желать лучшего, но одну функцию выполняют исправно: запугивают

Очевидно, следующим шагом (и столь же бессмысленным) будет обязательство фиксировать идентификационные номера оборудования при продаже. Когда-то в СССР таким образом продавали пишущие машинки - образцы шрифта направлялись в «органы», которые таким образом имели потенциальную возможность установить распространителя вредоносной информации. Вот интересно, хоть раз за все время существования СССР это сработало? А в современных условиях инициативы, подобные «идентификации оконечного оборудования», и вовсе выглядят архаизмом из доиндустриальной эпохи.

Несколько слов по поводу постановления № 743, о том, что общедоступные сайты должны подключить дополнительные средства СОРМ. На него обратили мало внимания, а зря: самим фактом его принятия органы косвенно признали, что обычные средства СОРМ недостаточно эффективны. В самом деле, при анализе трафика приходится иметь в реальном времени дело с гигантскими объемами информации, измеряющимися в терабайтах в секунду. Очевидно, ресурсы, хоть немного приближающиеся к возможностям американского АНБ, у наших органов отсутствуют. Вот они и решили упростить себе задачу, напрямую подключившись к социальным сетям.

Вообще все эти законодательные нововведения последних лет с технической точки зрения оставляют желать лучшего. Поэтому об обществе тотальной слежки пока еще речь далеко не идет, хотя вектор и направлен в эту сторону (и далеко не только в нашей стране, заметим). Но одну функцию эти постановления действительно выполняют исправно: воспитательную, или попросту функцию запугивания. Они опутывают и пользователя, и операторов сонмом постановлений и приказов, которые все одновременно нередко выполнить физически невозможно. В результате над каждым висит дамоклов меч нарушений, которые обязательно найдутся, если поискать, и он начинает чувствовать себя виноватым, даже если реально ничего не нарушал. Когда-то роль подобной угрозы выполняли законы «о клевете на советскую власть», теперь им на замену пришли финансовые нарушения, а для широких масс - вот эти законы и постановления. Излишне говорить, что о каком-либо «инновационном» государстве говорить в такой обстановке не приходится: скорее можно констатировать, что мы полным ходом движемся к государству полицейскому.

Источник:novayagazeta.ru