Руководство: что делать, если вы не хотите чтобы за вами следили
http://eterevsky.livejournal.com/233617.html
В последнее время в России приняли ряд законов, ужесточающих контроль за интернетом.
Закон о блокировке экстремистских сайтов работает уже полгода, и мы стали привыкать к учащающимся случаям отключения вполне безобидных сайтов. (Последние примеры — крупнейший портал художников и фотографов deviantart.com за рисованную эротику и ЖЖ Леонида Волкова aka leonwolf за пост о Марше за федерализацию Сибири.)
С 1-го августа в силу вступило ещё два закона, касающихся интернета: один из них приравнивает популярных блогеров к СМИ, а другой обязывает социальные сети и прочие сайты, предназначенные для общения пользователей а) дать ФСБ и другим спецслужбам доступ к переписке и прочей информации пользователей, б) хранить переписку в течение как минимум 6 месяцев, причём на серверах, расположенных в России. Дополняющее этот закон постановление правительства разъясняет, что контроль будет осуществляться посредством установки на площадках интернет-компаний специального оборудования ФСБ.
В этом посте я не буду останавливаться на политической стороне вопроса, а вместо этого дам несколько практических советов на счёт того, как жить с этими законами.
Для начала — пара необходимых оговорок. Во-первых, этот пост (как, впрочем, и все остальные) я пишу не как сотрудник Google, а как частное лицо. Во-вторых, отмечу, что наше законодательство пока что не запрещает _пользователям_ предпринимать любые действия для защиты своей переписки, доступа к заблокированным сайтам, а также к распространению информации о том, как это делать.
1. Доступ к заблокированным сайтам
Если вы пользуетесь Хромом, то самое простое решение — это расширение Hola Better Internet (https://chrome.google.com/webstore/detail/hola-better-internet/gkojfkhlekighikafcpjkiklfbnlmeio), которое позволяет пропускать трафик к сайтам через сервер в другой стране. Установите это расширение, и, зайдя на интересующий вас сайт, нажмите на его иконку и выберите, скажем, США или Великобританию.
Этот метод, кстати, работает не только для обхода роскомнадзоровских блокировок, но и для доступа к сервисам, изначально доступным лишь в ограниченном количестве стран, типа Netflix, Hulu или прямого эфира на bbc.co.uk.
Хочу заметить, что в отрыве от прочих предосторожностей, этот метод не даёт вам никаких гарантий приватности вашей переписки. Его стоит рассматривать _только_ как средство обхода блокировок.
2. HTTPS
Почти всё то, что вы видите в браузере, попадает туда по одному из двух интернет-протоколов: HTTP или HTTPS. Разница в том, что трафик HTTP передаётся в незашифрованном виде и может быть прочитан по дороге, например с помощью аппаратуры СОРМ, стоящей у вашего провайдера или мобильного оператора. В результате, даже если сервис, которым вы пользуетесь, находится за рубежом, ваши сообщения всё равно могут быть перехвачены спецслужбами.
В случае протокола HTTPS, единственное, что видит провайдер — это IP-адрес сервера, к которому вы обращаетесь. То есть, понять, что у вас открыт, скажем, Твиттер, он может, но определить, кого именно вы читаете — уже нет. Кроме того, использование этого протокола делает практически невозможным изменение содержания сайтов при передаче. Вы можете быть уверены, что те данные, которые вы вводите на этой странице попадут именно на тот сервис, который вы имеете в виду, и больше ни к кому.
Как отличить, пользуетесь ли вы в данный момент HTTPS или HTTP? Все современные браузеры при использовании HTTPS рисуют в строке адреса зелёный замок или какой-нибудь аналогичный значёк.
Как правило, если сайт работает через HTTP, а не через HTTPS, вы с этим ничего поделать не можете, так что если вы дорожите тем, что передаёте на этот сайт, лучше воспользовать другим сервисом.
3. Российские социальные сети и почтовые сервисы
ВКонтакте, Одноклассники, mail.ru, Почта Яндекс и все прочие российские сервисы в полной мере подпадают под действие закона о раскрытии переписки, так что вы не можете ни в какой степени рассчитывать на то, что ваши данные останутся приватными. Это не имеет большого значения пока всё что вы публикуете — это фотографии котиков, но если среди ваших данных есть что-то, что вы не хотите раскрывать для всех, лучше не пользоваться этими сервисами.
К сожалению, нет никакой гарантии, что данные из социальных сетей, полученные с помощью новой системы, будут использоваться только компетентными органами и только в рамках настоящих расследований. Мы все помним случай года 3 назад, когда данные о финансировании кампании Навального, полученные по запросу ФСБ из Яндекса, оказались в итоге у движения Наши.
4. Зарубежные социальные сети и прочие сервисы
Пока что никто из крупных зарубежных интернет-компаний не высказался официально о том, какие действия они предпримут в связи с новым законом. Так как я работаю в одной из этих компаний, то спекулировать на эту тему я не могу. По мере того, как станет официально известна их позиция, я обновлю этот пост.
5. LiveJournal
ЖЖ находится где-то между российскими и зарубежными компаниями: сама компания американская, но принадлежит российской, так что предсказать их поведение я совсем не берусь. Хочу заметить, что ЖЖ использует протокол HTTPS (см. пункт 2 выше) только для ввода паролей, так что весь его российский трафик прозрачен для органов. Лично для меня это не играет большой роли так как а) мой ЖЖ не имеет 3000 читателей, б) я не пишу подзамочных постов, так что всё содержание моего ЖЖ изначально открыто. Тем не менее, я давно подумываю о том, чтобы перебраться на другую площадку. Когда я созрею для этого — напишу про это отдельный пост.
6. Стоит ли бояться NSA (АНБ) и прочих иностранных спецслужб?
Есть вполне оправданные опасения, что обезопасившись от местных российских спецслужб, мы можем попасть в лапы зарубежных. Универсального ответа на это опасение у меня нет, так что опишу лишь несколько известных фактов, касающихся в основном Google.
В течение некоторого времени NSA действительно получало доступ к значительной доле переписки пользователей Gmail посредством прослушки данных, пересылаемых между датацентрами Google. Этот метод давал им примерно такой же доступ к переписке как сейчас хочет себе ФСБ. К счастью, эта уязвимость была закрыта год-полтора назад. Помимо этого канала, по которому NSA получало данные без ведома Google, есть ещё возможность запроса данных по решению суда. Таких запросов (как от NSA, так и от других агентств) Google и прочие интернет-компании получают на уровне тысяч в год, что составляет достаточно маленький процент от общего количества пользователей (у Gmail оно составляет десятки или сотни миллионов). Опасаться ли этого — решать вам.
Это — более-менее всё что касается базовых вопросов. Я не стал рассказывать про Tor, I2P и прочие более продвинутые методы борьбы за приватность. Возможно, если гайки продолжат закручиваться, дойдёт черёд и до них. Я буду благодарен за любые дополнения и испрвления.
http://eterevsky.livejournal.com/233617.html
В последнее время в России приняли ряд законов, ужесточающих контроль за интернетом.
Закон о блокировке экстремистских сайтов работает уже полгода, и мы стали привыкать к учащающимся случаям отключения вполне безобидных сайтов. (Последние примеры — крупнейший портал художников и фотографов deviantart.com за рисованную эротику и ЖЖ Леонида Волкова aka leonwolf за пост о Марше за федерализацию Сибири.)
С 1-го августа в силу вступило ещё два закона, касающихся интернета: один из них приравнивает популярных блогеров к СМИ, а другой обязывает социальные сети и прочие сайты, предназначенные для общения пользователей а) дать ФСБ и другим спецслужбам доступ к переписке и прочей информации пользователей, б) хранить переписку в течение как минимум 6 месяцев, причём на серверах, расположенных в России. Дополняющее этот закон постановление правительства разъясняет, что контроль будет осуществляться посредством установки на площадках интернет-компаний специального оборудования ФСБ.
В этом посте я не буду останавливаться на политической стороне вопроса, а вместо этого дам несколько практических советов на счёт того, как жить с этими законами.
Для начала — пара необходимых оговорок. Во-первых, этот пост (как, впрочем, и все остальные) я пишу не как сотрудник Google, а как частное лицо. Во-вторых, отмечу, что наше законодательство пока что не запрещает _пользователям_ предпринимать любые действия для защиты своей переписки, доступа к заблокированным сайтам, а также к распространению информации о том, как это делать.
1. Доступ к заблокированным сайтам
Если вы пользуетесь Хромом, то самое простое решение — это расширение Hola Better Internet (https://chrome.google.com/webstore/detail/hola-better-internet/gkojfkhlekighikafcpjkiklfbnlmeio), которое позволяет пропускать трафик к сайтам через сервер в другой стране. Установите это расширение, и, зайдя на интересующий вас сайт, нажмите на его иконку и выберите, скажем, США или Великобританию.
Этот метод, кстати, работает не только для обхода роскомнадзоровских блокировок, но и для доступа к сервисам, изначально доступным лишь в ограниченном количестве стран, типа Netflix, Hulu или прямого эфира на bbc.co.uk.
Хочу заметить, что в отрыве от прочих предосторожностей, этот метод не даёт вам никаких гарантий приватности вашей переписки. Его стоит рассматривать _только_ как средство обхода блокировок.
2. HTTPS
Почти всё то, что вы видите в браузере, попадает туда по одному из двух интернет-протоколов: HTTP или HTTPS. Разница в том, что трафик HTTP передаётся в незашифрованном виде и может быть прочитан по дороге, например с помощью аппаратуры СОРМ, стоящей у вашего провайдера или мобильного оператора. В результате, даже если сервис, которым вы пользуетесь, находится за рубежом, ваши сообщения всё равно могут быть перехвачены спецслужбами.
В случае протокола HTTPS, единственное, что видит провайдер — это IP-адрес сервера, к которому вы обращаетесь. То есть, понять, что у вас открыт, скажем, Твиттер, он может, но определить, кого именно вы читаете — уже нет. Кроме того, использование этого протокола делает практически невозможным изменение содержания сайтов при передаче. Вы можете быть уверены, что те данные, которые вы вводите на этой странице попадут именно на тот сервис, который вы имеете в виду, и больше ни к кому.
Как отличить, пользуетесь ли вы в данный момент HTTPS или HTTP? Все современные браузеры при использовании HTTPS рисуют в строке адреса зелёный замок или какой-нибудь аналогичный значёк.
Как правило, если сайт работает через HTTP, а не через HTTPS, вы с этим ничего поделать не можете, так что если вы дорожите тем, что передаёте на этот сайт, лучше воспользовать другим сервисом.
3. Российские социальные сети и почтовые сервисы
ВКонтакте, Одноклассники, mail.ru, Почта Яндекс и все прочие российские сервисы в полной мере подпадают под действие закона о раскрытии переписки, так что вы не можете ни в какой степени рассчитывать на то, что ваши данные останутся приватными. Это не имеет большого значения пока всё что вы публикуете — это фотографии котиков, но если среди ваших данных есть что-то, что вы не хотите раскрывать для всех, лучше не пользоваться этими сервисами.
К сожалению, нет никакой гарантии, что данные из социальных сетей, полученные с помощью новой системы, будут использоваться только компетентными органами и только в рамках настоящих расследований. Мы все помним случай года 3 назад, когда данные о финансировании кампании Навального, полученные по запросу ФСБ из Яндекса, оказались в итоге у движения Наши.
4. Зарубежные социальные сети и прочие сервисы
Пока что никто из крупных зарубежных интернет-компаний не высказался официально о том, какие действия они предпримут в связи с новым законом. Так как я работаю в одной из этих компаний, то спекулировать на эту тему я не могу. По мере того, как станет официально известна их позиция, я обновлю этот пост.
5. LiveJournal
ЖЖ находится где-то между российскими и зарубежными компаниями: сама компания американская, но принадлежит российской, так что предсказать их поведение я совсем не берусь. Хочу заметить, что ЖЖ использует протокол HTTPS (см. пункт 2 выше) только для ввода паролей, так что весь его российский трафик прозрачен для органов. Лично для меня это не играет большой роли так как а) мой ЖЖ не имеет 3000 читателей, б) я не пишу подзамочных постов, так что всё содержание моего ЖЖ изначально открыто. Тем не менее, я давно подумываю о том, чтобы перебраться на другую площадку. Когда я созрею для этого — напишу про это отдельный пост.
6. Стоит ли бояться NSA (АНБ) и прочих иностранных спецслужб?
Есть вполне оправданные опасения, что обезопасившись от местных российских спецслужб, мы можем попасть в лапы зарубежных. Универсального ответа на это опасение у меня нет, так что опишу лишь несколько известных фактов, касающихся в основном Google.
В течение некоторого времени NSA действительно получало доступ к значительной доле переписки пользователей Gmail посредством прослушки данных, пересылаемых между датацентрами Google. Этот метод давал им примерно такой же доступ к переписке как сейчас хочет себе ФСБ. К счастью, эта уязвимость была закрыта год-полтора назад. Помимо этого канала, по которому NSA получало данные без ведома Google, есть ещё возможность запроса данных по решению суда. Таких запросов (как от NSA, так и от других агентств) Google и прочие интернет-компании получают на уровне тысяч в год, что составляет достаточно маленький процент от общего количества пользователей (у Gmail оно составляет десятки или сотни миллионов). Опасаться ли этого — решать вам.
Это — более-менее всё что касается базовых вопросов. Я не стал рассказывать про Tor, I2P и прочие более продвинутые методы борьбы за приватность. Возможно, если гайки продолжат закручиваться, дойдёт черёд и до них. Я буду благодарен за любые дополнения и испрвления.
Guide: what to do if you do not want to be followed
http://eterevsky.livejournal.com/233617.html
Recently, a number of laws have been passed in Russia tightening control over the Internet.
The law on blocking extremist websites has been running for half a year already, and we have become accustomed to the increasing frequency of shutdowns of completely harmless websites. (The latest examples are the largest portal of artists and photographers deviantart.com for Leonid Volkov’s painted erotica and LJa aka leonwolf for a post about the March for the federalization of Siberia.)
On August 1, two more laws relating to the Internet came into force: one of them equates popular bloggers with the media, and the other obliges social networks and other sites intended for users to communicate a) give the FSB and other special services access to correspondence and other information users, b) keep the correspondence for at least 6 months, and on servers located in Russia. A government resolution supplementing this law clarifies that the control will be carried out by installing special equipment of the FSB at the sites of Internet companies.
In this post I will not dwell on the political side of the issue, but instead I will give some practical advice on how to live with these laws.
To begin with - a couple of necessary reservations. Firstly, this post (as well as all the rest) I am writing not as an employee of Google, but as a private person. Secondly, I note that our legislation does not yet prohibit __ users from taking any actions to protect their correspondence, access to blocked sites, and also to disseminating information about how to do this.
1. Access to blocked sites
If you use Chrome, the simplest solution is the Hola Better Internet extension (https://chrome.google.com/webstore/detail/hola-better-internet/gkojfkhlekighikafcpjkiklfbnlmeio), which allows traffic to sites through a server in another country . Install this extension, and, having come to the site that interests you, click on its icon and select, say, the United States or the United Kingdom.
This method, by the way, works not only to bypass Roskomnadzor's locks, but also to access services that are initially available only in a limited number of countries, such as Netflix, Hulu, or live broadcast on bbc.co.uk.
I want to note that apart from other precautions, this method does not give you any guarantees of the privacy of your correspondence. It should be considered _ only as a means of bypassing locks.
2. HTTPS
Almost everything that you see in the browser gets there using one of two Internet protocols: HTTP or HTTPS. The difference is that HTTP traffic is transmitted in an unencrypted form and can be read on the road, for example, using the SORM hardware that your provider or mobile operator has. As a result, even if the service you use is located abroad, your messages can still be intercepted by the special services.
In the case of the HTTPS protocol, the only thing that the provider sees is the IP address of the server you are accessing. That is, to understand what you have open, say, Twitter, it can, but to determine who you are reading is no longer. In addition, the use of this protocol makes it almost impossible to change the content of sites during transmission. You can be sure that the data that you enter on this page will go exactly to the service that you have in mind, and no one else.
How to tell if you are currently using HTTPS or HTTP? All modern browsers when using HTTPS draw a green lock or some similar symbol in the address bar.
As a rule, if the site works via HTTP, and not via HTTPS, you can’t do anything about it, so if you value what you transfer to this site, it’s better to use another service.
3. Russian social networks and postal services
VKontakte, Odnoklassniki, mail.ru, Mail Yandex and all other Russian services are fully subject to the law on disclosure of correspondence, so you can not in any degree expect that your data will remain private. It is not a big deal while everything you publish is photos of cats, but if there is something among your data that you don’t want to disclose to everyone, it’s better not to use these services.
Unfortunately, there is no guarantee that data from social networks obtained through the new system will be used only by the competent authorities and only within the framework of the present investigations. We all remember the case about 3 years ago, when data on the financing of the Navalny campaign, obtained at the request of the FSB from Yandex, ended up with the Our movement.
4. Foreign social networks and other services
So far, none of the major foreign Internet companies have officially expressed what actions they will take in connection with the new law. Since I work in one of these companies, I cannot speculate on this topic. As their position becomes officially known, I will update
http://eterevsky.livejournal.com/233617.html
Recently, a number of laws have been passed in Russia tightening control over the Internet.
The law on blocking extremist websites has been running for half a year already, and we have become accustomed to the increasing frequency of shutdowns of completely harmless websites. (The latest examples are the largest portal of artists and photographers deviantart.com for Leonid Volkov’s painted erotica and LJa aka leonwolf for a post about the March for the federalization of Siberia.)
On August 1, two more laws relating to the Internet came into force: one of them equates popular bloggers with the media, and the other obliges social networks and other sites intended for users to communicate a) give the FSB and other special services access to correspondence and other information users, b) keep the correspondence for at least 6 months, and on servers located in Russia. A government resolution supplementing this law clarifies that the control will be carried out by installing special equipment of the FSB at the sites of Internet companies.
In this post I will not dwell on the political side of the issue, but instead I will give some practical advice on how to live with these laws.
To begin with - a couple of necessary reservations. Firstly, this post (as well as all the rest) I am writing not as an employee of Google, but as a private person. Secondly, I note that our legislation does not yet prohibit __ users from taking any actions to protect their correspondence, access to blocked sites, and also to disseminating information about how to do this.
1. Access to blocked sites
If you use Chrome, the simplest solution is the Hola Better Internet extension (https://chrome.google.com/webstore/detail/hola-better-internet/gkojfkhlekighikafcpjkiklfbnlmeio), which allows traffic to sites through a server in another country . Install this extension, and, having come to the site that interests you, click on its icon and select, say, the United States or the United Kingdom.
This method, by the way, works not only to bypass Roskomnadzor's locks, but also to access services that are initially available only in a limited number of countries, such as Netflix, Hulu, or live broadcast on bbc.co.uk.
I want to note that apart from other precautions, this method does not give you any guarantees of the privacy of your correspondence. It should be considered _ only as a means of bypassing locks.
2. HTTPS
Almost everything that you see in the browser gets there using one of two Internet protocols: HTTP or HTTPS. The difference is that HTTP traffic is transmitted in an unencrypted form and can be read on the road, for example, using the SORM hardware that your provider or mobile operator has. As a result, even if the service you use is located abroad, your messages can still be intercepted by the special services.
In the case of the HTTPS protocol, the only thing that the provider sees is the IP address of the server you are accessing. That is, to understand what you have open, say, Twitter, it can, but to determine who you are reading is no longer. In addition, the use of this protocol makes it almost impossible to change the content of sites during transmission. You can be sure that the data that you enter on this page will go exactly to the service that you have in mind, and no one else.
How to tell if you are currently using HTTPS or HTTP? All modern browsers when using HTTPS draw a green lock or some similar symbol in the address bar.
As a rule, if the site works via HTTP, and not via HTTPS, you can’t do anything about it, so if you value what you transfer to this site, it’s better to use another service.
3. Russian social networks and postal services
VKontakte, Odnoklassniki, mail.ru, Mail Yandex and all other Russian services are fully subject to the law on disclosure of correspondence, so you can not in any degree expect that your data will remain private. It is not a big deal while everything you publish is photos of cats, but if there is something among your data that you don’t want to disclose to everyone, it’s better not to use these services.
Unfortunately, there is no guarantee that data from social networks obtained through the new system will be used only by the competent authorities and only within the framework of the present investigations. We all remember the case about 3 years ago, when data on the financing of the Navalny campaign, obtained at the request of the FSB from Yandex, ended up with the Our movement.
4. Foreign social networks and other services
So far, none of the major foreign Internet companies have officially expressed what actions they will take in connection with the new law. Since I work in one of these companies, I cannot speculate on this topic. As their position becomes officially known, I will update
У записи 20 лайков,
7 репостов.
7 репостов.
Эту запись оставил(а) на своей стене Олег Етеревский
