Уловка-23

Почему ФСБ боится Skype и Gmail

Порой информационная скупость и выхолощенность официальных сайтов российских ведомств создают впечатление, что представители компетентных органов боятся повторения полувековой истории с "Огоньком" (если, конечно, знают о ней). Тогда привлеченный ЦРУ специалист по одной лишь фотографии смог восстановить принципиальную схему электроснабжения уральского региона, в том числе определить мощности, подведенные к объектам атомной промышленности.

В современном мире подобные ошибки обходятся еще дороже, позволяя воссоздать исходные данные при минимуме временных затрат. На прошлой неделе правительство РФ разместило госзаказ, желая обобщить опыт развитых стран в сфере информационной безопасности. Стремление обогатить свои познания о способах легальной блокировки сайтов в собственной национальной доменной зоне и за ее пределами скорее всего имеет мало общего с защитой общественной нравственности и морали. Тут срабатывает инстинкт самосохранения. Главным врагом государства и прочих жестких иерархических структур становятся ресурсы, при посредничестве которых достоянием общественности становятся данные, ранее доступные ограниченному кругу лиц (достаточно вспомнить WikiLeaks, Cryptome или Public Intelligence). В последнем исследовании Freedom House об ограничениях свободы в интернете Россия, набрав 52 штрафных очка из 100 возможных, была отнесена к числу частично свободных стран. При этом была отмечена тенденция к ухудшению ситуации. Если бы эксперты успели учесть последние заявления российских представителей власти, наша страна сделала бы еще один шаг к черте, отделяющей ее от несвободных.

8 апреля на заседании правительственной комиссии по федеральной связи и технологическим вопросам информатизации рассматривался вопрос "Об использовании в сети связи общего пользования и информационных системах в Российской Федерации криптографических средств шифрования". Слово держал начальник центра защиты информации и специальной связи (8-го центра) ФСБ РФ Александр Андреечкин. Несмотря на то, что выступавшего слышало ограниченное число участников заседания, пересказ доклада и его интерпретации оказались настолько резонансными, что с комментариями поспешили выступить представители Кремля и Белого дома.

Информационные агентства цитировали не столько позицию, публично высказанную самим Андреечкиным, сколько пояснение заместителя министра связи Ильи Массуха после закрытой части обсуждения. По словам последнего, представитель ФСБ предложил запретить в России использование сервисов электронной почты Gmail и Hotmail, а также VoIP-телефонии Skype из-за того, что они используют системы шифрования, затрудняющие осуществление оперативных мероприятий. В свою очередь, анонимный спикер в администрации президента России назвал предложение Андреечкина его личным мнением, попутно обвинив начальника 8-го центра ФСБ в превышении полномочий и поспешных выводах. С другой стороны, пресс-секретарь премьер-министра РФ Дмитрий Песков вступился за Андреечкина: "Представители ФСБ не высказывают личных точек зрения. Естественно, это позиция ведомства, и она тщательно аргументирована". Вскоре "информированный источник в спецслужбах", опровергнул причину волнений и тревог сетевой общественности: "Никаких предложений или требований со стороны ФСБ об ограничении для граждан пользования этими сервисами... не было". Эту же точку зрения высказали и в центре общественных связей ФСБ. В итоге последним информационным всплеском вокруг данного вопроса стали слова руководителя правительства Владимира Путина, в ходе своего отчета перед Госдумой заверившего депутатов в том, что "чикать" интернет никто не будет.

Противоречивые позиции чиновников оставили открытым вопрос: "Чего же хочет руководство ФСБ?" Давайте попробуем с ним разобраться.

В отличие от движения, стремящегося искоренить приставку www. в URL-адресах сайтов, которое руководствуется в основном эстетическими соображениями (хотя и не только ими), и самого создателя гипертекстового интернета Тима Бернерса-Ли, посетовавшего на избыточность двух косых черт, эксперты, заявляющие о необходимости повсеместного внедрения протокола https вместо http, приводят более веские аргументы в пользу изменения содержания адресной строки наших браузеров.

Изначально Всемирная паутина задумывалась как открытая система для обмена информацией внутри научного сообщества в целом (и занимавшегося БАК в частности). С освоением веба коммерческими организациями были созданы сервисы, с помощью которых пользователи стали переносить в сеть кусочки собственной публичной и личной жизни, причем некоторые их аспекты должны были остаться конфиденциальными для большей части аудитории (самое очевидное - пароли). Но прежний протокол HTTP не мог справиться с новой задачей: он "открытым текстом" передавал сообщения, каждое из которых разбивалось на пакеты и ретранслировалось через множество узлов, один из которых мог быть оснащен анализатором трафика (так называемым сниффером), с помощью которого можно снять копию всей сетевой активности отдельного пользователя (включая логины, пароли, приватные сообщения и прочее). Соответственно появилась необходимость обеспечить безопасность коммуникаций. Решением данной задачи на уровне прикладного протокола стало внедрение HTTPS, который представляет из себя специальное расширение "классического" HTTP, обеспечивая его поддержкой шифрования трафика с использованием криптостойких алгоритмов. Его применение делает бессмысленной "прослушку" вашего трафика от сервера к клиенту и обратно: вместо осмысленных блоков информации "атакующий" получает беспорядочный набор битов, раскодировать который можно, только имея нужные ключи (если, конечно, P не равно NP).

В начале 2010 года корпорация Google в обязательном порядке переключила всех пользователей на использование HTTPS в своем сервисе Gmail (при попытке открыть http://gmail.com/ вас перенаправят на HTTPS-версию сайта). Данный сервис, начинавшийся как почтовый, давно перерос эти рамки: учетная запись пользователя стала универсальным ключом доступа к другим проектам компании, а в веб-интерфейс были интегрированы службы обмена мгновенными сообщениями, аудио- и видеочат Google Talk, социальная сеть Buzz, VoIP-телефония Google Voice (которая пока не пришла в Россию). Более того, в мае 2010 года появилась возможность использовать защищенный поиск, не опасаясь, что твои поисковые запросы станут известны работодателю или владельцу публичной точки доступа в интернет (привет, "Яндекс").

Существующие технологии могут защитить личное пространство рядового интернетчика от посягательства третьих лиц. При этом сами компании, предоставляющие сервисы и оказывающие услуги, теоретически владеют полной информацией о своих пользователях и иногда делятся ею с правоохранительными органами. Когда журналисты попросили прокомментировать приписываемое сотруднику ФСБ заявление, представители российских офисов Microsoft и Google ответили, что всегда предоставляют правоохранительным органам информацию о пользователях в рамках установленных процедур. При этом российские правоохранительные органы практически не обращались в Google с просьбой о раскрытии пользовательской информации. Сначала кажется, что этот факт противоречит намерению ФСБ прикрыть Gmail на территории России, ну или свидетельствует о недопонимании между государственными и коммерческими структурами. Но чтобы разрешить это противоречие, надо попробовать разобраться с юридическим аспектом и сложившейся практикой "прослушки" и нарушения тайны переписки в России.

Согласно принятой в декабре 1993 года и обладающей прямым действием Конституции России, ограничение тайны телефонных переговоров, переписки и иных сообщений допускается лишь на основании решения суда. Но как известно, дьявол скрывается в деталях. В данном случае - в федеральном законе "Об оперативно-розыскной деятельности". В ряде случаев, не терпящих отлагательства, оперативно-розыскные действия можно начать и без судебного разрешения, но с уведомлением судьи в течение 24 часов, при этом на получение разрешения отводятся еще сутки. Пленум Верховного суда в 1995 году обратил внимание судов на то, что без такого разрешения добытая информация не может использоваться в качестве доказательства в суде. Но сама возможность получать оперативную информацию иногда может перевесить необходимость следования букве закона, тем более что для легализации добытых сведений всегда есть сутки в запасе. Согласно расхожему мнению, в России строгость законов обычно компенсировалась необязательностью их исполнения, особенно если строгость эта относительная. За нарушение тайны переписки, в соответствии со статьей 138 УК, даже с использованием своего служебного положения вполне можно отделаться штрафом.

Для проведения оперативно-розыскных мероприятий и ограничения конституционных прав был разработан комплекс технических средств и мер, именуемый СОРМ. Формально это даже две системы, которые в зависимости от своей специализации обязаны установить все российские операторы связи: СОРМ-1 был учрежден в 1996 году и предназначен для прослушивания телефонных переговоров, СОРМ-2 появился в 2000 году, и его сферой ответственности стал интернет. Подобные системы есть и в развитых странах. Российские специалисты для именования своей деятельности предпочитают использовать кальку англоязычного термина - "законный перехват" (lawful interception), но сами схемы взаимодействия органов правопорядка с операторами связи кардинально отличаются. Во-первых, в Европе (в соответствии со стандартами ETSI) и в США (на основании закона CALEA), прежде чем начать "прослушку", надо получить соответствующий ордер в суде. Во-вторых, функции сбора данных лежат на операторе связи, который затем передает полученную информацию тому или иному правоохранительному органу. У нас операторы не имеют контроля над системой СОРМ, они от нее полностью изолированы (из соображений безопасности, надо думать). Непосредственный доступ к пунктам управления СОРМ есть только у одной структуры - ФСБ. При этом само право на проведение оперативно-розыскной деятельности есть еще у полиции, таможни, ФСО, СВР, ФСИН и ФСКН.

На особом счету у российских и зарубежных экспертов находится система VoIP-телефонии и обмена мгновенными сообщениями Skype. Если звонки с помощью данной программы на обычные телефоны (через сервисы SkypeIn и SkypeOut) не являются помехой для СОРМ, то общение между двумя пользователями компьютеров практически невозможно подслушать. По мнению отечественных специалистов, проще заблокировать доступ к Skype, благо известны и аппаратные решения этой задачи, и успешный опыт их применения в некоторых странах. С другой стороны, система использует закрытый протокол, и некоторые эксперты в области безопасности предполагают, что ее создатели оставили для себя лазейку, делающую возможной "прослушку". Опять же примечателен опыт Китая, жители которого могут легально скачать себе не оригинальную программу, а продукт совместного предприятия Skype и местной компании TOM, которые позволяет китайским спецслужбам отслеживать переписку пользователей.

Кстати, в приписываемых Андреечкину словах сотрудник ФСБ не поминал российские интернет-компании в числе потенциально опасных для его ведомства. Формально они не являются операторами связи и не обязаны устанавливать системы СОРМ. С другой стороны, в нашей стране единственной структурой, которая занимается лицензированием деятельности по предоставлению услуг в области шифрования информации, является - сюрприз - та же Федеральная служба безопасности. Потому российским компаниям затруднительно применять сильную криптографию без ведома вездесущей спецслужбы. Так что предложения ФСБ, скорее всего, вызваны желанием надавить на зарубежные компании и заставить их принять местные правила игры. Один раз уже получилось - с активно использующими шифрование сообщений смартфонами BlackBerry: их стали продавать в России лишь после того, как ФСБ получила доступ к серверам BES, которые было решено устанавливать в офисе мобильных операторов - операторов связи.

Почему в обществе возникают опасения относительно широких полномочий ФСБ?

Данная структура на территории России занимается, условно говоря, борьбой с двумя типами врагов - внешними и внутренними. Прошлогодний обмен российских нелегалов на российских граждан, осужденных за измену родине, наглядно показал, что в наших застенках нет шпионов - граждан США и ее ближайшего союзника Великобритании, только собственные предатели. Либо все западные шпионы работают в нашей стране под дипломатическим прикрытием, либо кто-то мышей не ловит (в том, что они имеются, можно убедиться, взглянув на эти списки сотрудников британской MI6). Теперь, правда можно еще свалить собственную неэффективность на Google и Skype.

Враг внутренний зачастую оказывается если не террористом, то уж точно экстремистом. Экстремизм же, благодаря принятым в свое время поправкам, у нас понимается расширительно - для этого, например, достаточно, чтобы (сделаем вид, что изымаем из контекста фразу как обычно предельно конкретного премьер-министра) "кто-то призывал кого-то идти в определенное место и чего-то освобождать". По мнению ряда экспертов, именно ФСБ специализируется на борьбе с "внутренней крамолой" - на политическом сыске.

Существует ли у граждан законная возможность самостоятельно обеспечить свое конституционное право на тайну переписки? Да.

Кандидат юридических наук, член экспертного совета комитета Госдумы РФ по безопасности Дмитрий Огородов в своей работе "Криптография: гражданско-правовые аспекты", опубликованной в специализированном журнале "Законодательство", утверждал, что частные лица могут свободно приобретать и использовать в собственных интересах (без оказания услуг третьим лицам) средства шифрования, причем для этого не требуется "получать лицензий или выполнять иные формальности публично-правового характера". Более того, само подобное ограничение противоречило бы сразу нескольким статьям Конституции.

Если по прочтении этой статьи кто-то до сих пор понимает под шифрованием перестановку букв, "пляшущих человечков" и другие подобные алгоритмы вроде тех, что использовали боевики "Аль-Каеды" для дешифровки текста "на коленке", то следует пояснить, что ныне доступны более эффективные и надежные методы. Например, для обеспечения приватности электронной почты удобно использовать программу GnuPG и асимметричные пары ключей: известный всем публичный и секретный, используемый для дешифровки сообщения, созданного с помощью публичного. И уже не важно, как относится к вопросам безопасности компания, предоставляющая вам услуги электронной почты (Брэдли Мэннинг без опаски вел переписку через ящик Gmail, потому что пользовался асимметричными ключами).

Уровень доступности современных компьютеров и программного обеспечения таков, что освоить базовые навыки криптографии сможет если не любая кухарка, то уж точно ее дети. Особенно если учесть, что правительство на днях одобрило разработку национальной программной платформы, которую будут строить на базе одного из дистрибутивов Linux, а криптографический софт (и GnuPG в частности) там, как правило, необходим для внутренней работы системы и поставляется "из коробки".

Если вы по какой-то неведомой причине решили делом поддержать не букву, но дух начинаний арт-группы "Война", начните с малого - заведите себе пару ключей GnuPG и начните ими пользоваться. Шифрование личной корреспонденции должно стать если уж не правилом жизни, то хотя бы признаком хорошего вкуса. Защитите свое право, гарантированное Конституцией - для этого даже не надо 23-го выходить на Триумфальную.