Банковское обозрение. Как работают VPN-сервисы в разных странах и почему анонимайзеры сложно запретить

Анонимайзеры – это специальные сайты, программы или расширения браузера , которые позволяют скрыть данные о пользователе, его местоположении и программном обеспечении, которое установлено на его компьютере, от удалённого сервера.

• Любой трафик, проходящий через анонимайзер (proxy-сервер), будет иметь его IP-адрес вместо адрес компьютера, с которого был выполнен запрос;
• В отличие от серверов VPN , анонимайзеры (proxy-сервера) не располагают средствами шифрования информации, проходящей через них

VPN (Virtual Private Network) – это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия. То есть, VPN – это защищённое окно доступа в Интернет.

Создается туннель между компьютером пользователя и сервером с установленным программным обеспечением для создания виртуальной частной сети.

• В этих программах на сервере и компьютере генерируется ключ (пароль) для шифрования/расшифровки данных.
• На компьютере создается запрос и шифруется с помощью созданного ранее ключа.
• Зашифрованные данные передаются по туннелю на VPN-сервер.
• На VPN-сервере они расшифровываются и происходит выполнение запроса - отправка файла, вход на сайт, запуск сервиса.
• VPN-cервер подготавливает ответ, шифрует его и отсылает обратно пользователю.
• Компьютер пользователя получает данные и расшифровывает их ключом, который был сгенерирован ранее.

Риски и неудобства для пользователя при использовании анонимайзеров и VPN-услуг

• Более низкая скорость Интернет-соединения, чем при обычном подключении
• Возможность утечки данных пользователя (логины, пароли, банковские реквизиты, данные карт и платежных систем) при неправильной настройке VPN, а также при прохождении через анонимайзер.
• Возможность заражения компьютера вирусами (через вставку вредоносного кода при прохождении анонимайзеров).
• Провайдер, который предоставляет пользователю VPN-услуги, получает всю информацию о действиях пользователя во время его подключения к сети Интернет

Возможно ли запретить использование VPN-услуг отдельно взятого провайдера с технической точки зрения?

• Можно распознавать трафик VPN и блокировать его, но для этого необходимо дорогостоящее оборудование.
• В случае со смартфонами и планшетами можно также ограничить доступ к VPN-сервисам по «китайской модели» - если Роскомнадзор договорится об исключении VPN-сервисов из магазинов мобильных приложений

Как пользователи будут обходить закон об анонимайзерах и VPN-услугах

• Анонимайзеров и служб VPN так много, что заблокировать все эти ресурсы нереально. Всегда можно будет найти незаблокированный ресурс, не исполняющий требования данного закона.
• Можно создать свой собственный VPN на арендованном зарубежном сайте (такая услуга может стать популярной уже в ближайшие пару лет).
• Если Apple Store и Google Market перестанут предоставлять возможность скачивания тех приложений, которые не выполняют предписания данного закона, то пользователи начнут скачивать их из альтернативных источников типа www.apkmirror.com, http://m.apkpure.com , http://f-droid.org и т.д.

Кто за нами смотрит?

Следят за нами очень и очень многие, от обычных не в меру любопытных хакеров, до воротил мирового закулисья, и всем им что-то нужно от нас. Жуликам рангом поменьше нужны ваши пароли, ip - адреса, конфиденциальная информация. Спецслужбам нужно знать все о ваших предпочтениях, не выбились ли вы случайно из того стада баранов которым они послушно управляют, не посещаете ли вы те ресурсы которые посещать не нужно. Слежка в сети существует с момента ее возникновения и с этого же момента идет постоянная борьба между следящими системами и теми кто им противостоит. У тех кто нас пытается контролировать возможностей больше, но при знаниях и правильной многоуровневой системе безопасности, можно решать любые задачи от обычного серфинга до эффективного подполья .

Средства слежения можно условно разделить на три уровня, но следует понимать что каждый вышестоящий уровень использует возможности нижестоящих, так что это скорее похоже на матрешку.

1 уровень

Провайдеры, троянские бот сети, полиморфные вирусы, руткиты. Все эти опасности сами по себе достаточно серьезны, но если они не задействованы вышестоящими системами то особенной опасности не представляют, в плане критичности для человека конечно, а не для ПК и данных на нем.

Итак, что же они делают:

Провайдеры

Имеют доступ ко всем вашим данным, собирают все ваши регистрационные данные, урезают трафик торрент сетей, шифрованный трафик. Все это они делают в собственных коммерческих целях, поэтому это не особенно опасно, но гораздо опаснее то, что они делают в рамках мероприятий по обеспечению СОРМ - 2 и СОРМ - 3 и это описано ниже.

Троянские бот сети

Представляют собой новый вид троянов , которые объединены в сети и именно троянские сети стоят на большей части зараженных ПК во всем мире. Задача троянцев попавших на ваш ПК, различны, есть трояны для дураков которые требуют внести деньги на SMS и за это они разблокируют вас, но таких меньшинство, современней троянцы хитрее, он прячутся в очень труднодоступных местах и никак не проявляют себя. Их главная задача сбор данных, а именно ваши пароли, ваши посещенные страницы, ваши документы. После того как он передаст эти данные хозяину сети (а средняя сеть от 10 000 ПК) хозяин сети или продаст ваш ПК (точнее ваш IP) для спама или хакеров, либо сам использует ваш IP. Поскольку с большинства ПК ничего не возьмешь, троянцы превращают их в прокси для VPN серверов и используют для спама или хакерских атак. Но для нас основная опасность троянов состоит не в том, что они управляют нашим ПК или похищают пароли, а в том, что они подставляют вас в опасных операциях взлома чужих серверов, а также других нелегальных делах. Но еще хуже то, что многие держатели бот сетей продают наворованные данные в системы 2 и 3 уровня, то есть за копейки сливают все ваши данные спецслужбам, а те в ответ закрывают глаза на их деятельность.

Полиморфные вирусы

Основная опасность в том, что их трудно обнаружить, в нашем же случае это еще и то что их могут написать конкретно под определенный сайт, или под вашу сеть, или под вашу систему защиту и не один антивирус такие специально заточенные полиморфы не вычислит (Полиморфизм). Именно полиморфы стоят на страже СОРМ и Эшелон это "государственные программы", они не детектируются обычными антивирусами и файрволами , ставятся у провайдера и имеют возможность в любой момент времени проникнуть в ваш ПК. Каналы заражения обычно домашние страницы провайдера, биллинг , личный кабинет. Наивно думать что на это можно не обращать внимания, ведь если у вас не смогли сломать канал связи, значит они будут сканировать ваши порты и пытаться проникнуть на ваш ПК. Государственные полиморфные программы, не зловредны, единственное что они делают - сообщают тому кто их поставил все ваши действия в сети и пароли, они записывают вашу активность на ПК. В системе СОРМ есть отдел которые разрабатывает такие полиморфы, если вы не хакер экстра класса избежать заражения специально написанным под вас полиморфом вы не сможете. Но этому есть также противодействие.

Руткиты

Руткиты активно используются спецслужбами в связки с полиморфами. Представляют собой процесс которые прячут от вас троянов и закладки, не обнаруживаются антивирусами и антитроянами, имеют сложные эвристические полиморфные алгоритмы.

Отдел К

Аспект слежения за пользователями

Заходя в сеть человек сразу попадает под пристальное внимание следящих систем. В нашем случаем СОРМ - 2, ваш провайдер который предоставляет вам доступ в сеть, выделяет вам ip или ваш временный или постоянный адрес, Именно благодаря ip происходит взаимодействие между вашим браузером и сервером, благодаря ему вы получаете информацию которую видите на мониторе.

Особенность сетевых протоколов и программ такова, что все ваши ip пишутся в логах (протоколах) любого сервера, который вы посетили и остаются там на HDD длительное время, если конечно их оттуда не стирать специально.

Провайдер имеет свой диапазон ip, который ему выделяют, а он в свою очередь выделяет ip своим пользователям. У провайдера существуют свои базы данных ip адресов, каждый адрес ip в базе данных привязан к Ф.И.О лица заключившего договор и физическому адресу квартиры где находиться точка доступа.

IP могут быть динамическими (меняться постоянно, либо статическими, то есть постоянными но суть дела это не меняет, провайдер постоянно пишет ваши перемещения. Провайдер знает на каком ресурсе, в какое время и сколько вы были.

Все посещенные вами ресурсы, а пишет он через временные промежутки от 15 минут до 1 часа, он записывает в свою базу данных, при переходе на любой новый ресурс он также записывается (ip ресурса). Эти данные предоставлены в базе данных в виде цифр и не занимают много места. БД ваших логов хранятся у провайдера по закону 3 года, а по негласной договоренности с людьми из "СОРМ - 2" 10 лет.

Это одно из условий СОРМ - 2 , без него ни один провайдер не получит лицензию от ФАПСИ на оказание услуг телекоммуникации. Таким образом архив всех выданных вам ip за 10 лет храниться у провайдера, а также архив всех ваших логов (куда, когда и во сколько вы "серфили" в сети) СОРМ посредством специальной аппаратуры имеет прямой доступ к этим базам, а в системе СОРМ-3 эти данные вообще напрямую интегрированы в эту глобальную систему.

Если вы к примеру, заинтересовали оператора СОРМ, он просто активирует одну кнопку в программе и система СОРМ начинает писать весь ваш трафик, все что вы передали, скачали и посмотрели, просто задействуя на канале провайдера аппаратный сканер сниффер. Физически данные будут храниться у провайдера откуда они передаются на анализ оператору СОРМ. Отмечу что как правило весь трафик у вас НЕЗАШИФРОВАННЫЙ и при желании кто угодно может его перехватить, не только СОРМ - 2.

СОРМ - 2 устанавливает на канал провайдеров также анализаторы трафика, они просматривают информацию по набору ключевых слов, по посещаемым ресурсам, по наличию шифрованного трафика и во всех этих случаях идет сообщение в систему которая принимает решение в автоматическом режиме что делать дальше. Какой это глобальный уровень контроля думаю ясно и делайте выводы какой компромат имеется на каждого. Если договор оформлен на вашу бабушку, то не думайте что в отношении нее будет осуществляться оперативная разработка, базы СОРМ связаны с б/д по прописке и центральной базой ФСБ и базами СОРМ на других ресурсах, и вас ассоциируют если надо, там не дураки сидят.

СОРМ - 2 на поисковых системах, напрямую интегрирована в базу данных и просматривает ВСЕ ваши обращения по ключевым словам, а также использует ВСЕ ваши настройки по кукам, которые собирает поисковая система. При необходимости составляет по ключевым словам и специфическим поисковым запросам "картину" того или иного пользователя, запоминает пароли и логины.

СОРМ - 2 на всех крупных социальных порталах собирает в основном вашу информацию которую вы оставляете и логирует посещения страниц, запоминает пароли и логины.

СОРМ - 2 в почтовых серверах перлюстрируют всю вашу почту, ассоциирует ваши ip с которого вы эту почту регистрировали. Анализирует и дает сигнал если обнаружена шифрованная переписка по PGP.

СОРМ - 2 в системах электронной коммерции полностью сканирует ваш ПК, прописывается в реестре, привязывается к MAC адресу, серийному номеру оборудования, к конфигурации системы и ip и конечно к данным которые вы оставили при регистрации. Конечно все это делает программа электронной коммерции, но сведения которые она получает доступны СОРМ.

СОРМ 2 в VPN и прокси серверах

Не на всех конечно, но на многих (на легальных на всех), пишет логи. Очень большая проблема это ненадежность самих прокси, многие прокси в системе СОРМ - 2, остальные официальные законные сервера и по закону выдают оперативникам СОРМ - 2 все интересующие логи. То есть хоть вы будете работать через 1 или через 100 прокси серверов, вас очень быстро раскрутят, достаточно позвонить хозяину сервиса или приехать. Экзотические страны, только увеличат время розыска вашего ip (но, если потребуется сделают быстро). Именно через раскрутку цепочек прокси ловят большую часть хакеров. Все прокси - серверы пишут ЛОГИ, а это живой компромат (кроме специально настроенных).

СОРМ - 2 в Дата центрах

СОРМ - 2 также интегрирован во все дата центры и точки коммуникации трафика, если сервера а соответственно и хостинг находятся в России , а это значит что получить архив логов и поставить трояна к базе данных зарегистрированных пользователей можно получить, лишь позвонив или заехав в дата центр, именно таким образом аппаратно, отслеживается большинство сайтов патриотической направленности, а также VPN сервера или ресурсов на которых СОРМ - 2 не установлена непосредственно в виде оборудования. Ваш админ может хоть 100 раз перешифровать свою базу данных, но если у него на сервере в дата центре троян и канал прослушивается, то при всем желании он не сбережет ни логи пользователей, ни их адреса ни другую конфиденциальную информацию. Собственный сервер только усложнит им задачу. Для безопасности нужен собственный сервер и собственный человек в дата центре и желательно в дата центрах за рубежом.

СОРМ - 2 на серверах регистраторов доменных имен

Отслеживает кто и что регистрирует, пишет ip, автоматически пробивает реальность занесенных данных, если определяется что левые данные - доменное имя ставится на заметку, в случае необходимости могут легко закрыть доменное имя. СОРМ - 2 также использует целую сеть TOR серверов (как и другие спецслужбы), которые прослушивают проходящий через них трафик.

3 уровень

Эшелон

Эшелон - на порядок более гораздо более крутая система чем СОРМ - 2, но с теми же задачами и целями, использует все нижестоящие ступени 1 и 2 официальный владелец ЦРУ , стоит на Google встроена в Windows в виде закладок, на всех маршрутизаторах , в крупнейших дата центрах мира, на всех магистральных оптических кабелях, отличается масштабом и тем что при желании оператор задействует спутник и смотрит вас на мониторе в реальном времени ФСБ к ней прямого доступа не имеет, хотя получить может по запросу, хотя принципы у нее такие же. По большому счету Эшелон это глобальный общемировой СОРМ - 2, у этой системы гораздо больше возможностей и финансов по всему миру. Система контролирует банковские транзакции,имеет возможности для вскрытия зашифрованных сообщений и каналов связи, очень плотно взаимодействует с Microsoft и Скайп .

В чем разница между VPN и прокси?

Когда вы копаетесь в сетевых настройках вашего компьютера или смартфона , вы часто видите опции с надписью `VPN ` или `Proxy`. Хотя отчасти они и выполняют схожую работу, но очень разные. Наша статья поможет вам понять, в чем разница между ними и для чего они нужны. Возможно, вы захотите что-то из них использовать .

Что такое прокси?

Обычно при просмотре сайтов Интернете ваш компьютер подключается непосредственно к этому сайту и начинает скачивать страницы, которые вы читаете. Все очень просто.

А когда вы используете прокси-сервер, то сперва ваш компьютер отправляет весь веб-трафик на него. Прокси перенаправляет ваш запрос на требуемый сайт, скачивает соответствующую информацию, а затем возвращает ее вам назад.

Зачем это все нужно? Существует несколько причин для этого:

• Вы хотите просматривать сайты анонимно: весь трафик, который приходит на сайт, приходит от прокси-сервера, а не с вашего компьютера.
• Вам необходимо преодолеть фильтры, ограничивающие доступ к тому или иному контенту. Например, как известно, ваша подписка на Netflix в Россиине будет работать в . Но если вы будете использовать прокси-сервер из России , то это будет выглядеть так, словно вы смотрите ТВ, находясь в России, и все будет работать так, как и должно быть.

Хотя эта схема работает достаточно хорошо, все же имеется несколько проблем с прокси:

• Весь веб-трафик, который проходит через прокси, может просматриваться владельцем прокси-сервера. Вы знаете владельцев прокси-сервера? Им можно доверять?
• Веб-трафик между вашим компьютером и прокси-сервером, а также прокси-сервером и сайтом не шифруется, а потому опытный хакер может перехватывать передаваемые конфиденциальные данные и красть их.

Что такое VPN?

VPN очень похож на прокси. Ваш компьютер настроен на подключение к другому серверу, и маршрут вашего веб-трафика проходит через этот сервер. Но если прокси-сервер может только перенаправлять веб-запросы, то VPN-соединение способно проводить маршрутизацию и обеспечивать полную анонимность всего вашего сетевого трафика.

Но есть и еще одно значительное преимущество VPN – весь трафик шифруется. Это означает, что хакеры не могут перехватывать данные между вашим компьютером и VPN-сервером, а потому ваша конфиденциальная персональная информация не может быть скомпрометирована.

VPN – это самый безопасный вариант

2018

Trend Micro предупредила об опасности использования Hola VPN

Один из самых популярных бесплатных VPN-сервисов, загруженных миллионы раз, представляет угрозу конфиденциальности, поскольку должным образом не скрывает цифровые отпечатки пользователей, предупреждают исследователи .

Речь идет о сервисе Hola VPN, насчитывающем порядка 175 млн пользователей по всему миру. Согласно новому отчету специалистов компании Trend Micro, у Hola VPN есть целый ряд серьезных проблем с безопасностью, и одной из главных является отсутствие шифрования .

В частности, во время активного сеанса не шифруется соединение с суперузлом, и злоумышленник может перехватить передаваемый трафик с помощью атаки «человек посередине». Кроме того, отсутствие шифрования может привести к утечке IP-адресов, чем могут воспользоваться власти для отслеживания граждан в странах с тоталитарным режимом.

Когда во время использования Hola VPN пользователь открывает новую вкладку в браузере или вводит доменное имя в адресной строке, доступ к ресурсу осуществляется непосредственно с его настоящего IP-адреса. В отличие от других VPN-сервисов, направляющих трафик через зашифрованный туннель, Hola VPN является не защищенным VPN -решением, а скорее, незашифрованным web-прокси.

Trend Micro теперь детектирует Hola VPN как потенциально нежелательное ПО и рекомендует пользователям удалить его со своих систем. В свою очередь производитель назвал отчет компании «безответственным».

Apple запретила частным лицам писать приложения VPN для iPhone и iPad

Серьезному обновлению также подвергся глобальный регламент правил публикации приложений, ужесточающий и более подробно описывающий положения, относящиеся к защите приватности пользователей. В частности, пункт 5.1.1 правил публикаций о сборе и хранении пользовательских данных (5.1.1 Data Collection and Storage) увеличился с четырех до семи подпунктов.

Нововведения в свод App Store Review Guidelines были внесены по итогам работы цензоров App Store за последние несколько месяцев, в течение которых наиболее тщательной проверке подвергались приложения с предоставлением пользователям анонимного доступа к интернет-ресурсам.

Отныне хостеры обязаны докладывать властям о хозяевах прокси и VPN

Госдума приняла в третьем чтении закон о штрафах для хостеров и поисковиков, касающиеся средств обхода блокировок в интернете. Закон, который вступит в силу через 90 дней с момента официального опубликования, представляет собой набор поправок в Кодекс административных правонарушений России .

Штрафы будут взиматься с провайдеров хостинга, которые обеспечивают размещение в интернете средств обхода блокировок, и не сообщают при этом в Роскомнадзор , кто является владельцем этих средств.

Как вариант, вместо того, чтобы подавать в Роскомнадзор данные о владельце прокси или VPN , провайдер хостинга может сообщить регулятору, что он уведомил этого владельца о необходимости предоставить сведения о себе. Если такого сообщения от хостера не поступало, ему также грозит штраф.

В обоих этих случаях штраф для граждан составит от 10 тыс. до 30 тыс. руб., а для юридических лиц - от 50 тыс. до 300 тыс. руб.

Штрафы для поисковиков

Закон предусматривает также штрафы для поисковых систем, которые облегчают пользователям доступ к заблокированным в России интернет-ресурсам. В частности, если оператор поисковика не подключился к федеральной государственной информационной системе, в которой содержатся сведения, какие именно ресурсы заблокированы, то такой оператор будет оштрафован. Для граждан в данном случае штраф составит от 3 тыс. до 5 тыс. руб., для должностных лиц - от 30 тыс. до 50 тыс. руб., а для юридических лиц - от 500 тыс. до 700 тыс. руб.

Госдума одобрила во II чтении ужесточение ответственности для анонимайзеров

Госдума приняла в мае 2018 года во втором чтении законопроект, предусматривающий введение административных штрафов за нарушение закона об анонимайзерах. В частности, если провайдер хостинга и анонимайзер не предоставит в Роскомнадзор данные о владельцах средств доступа к заблокированным сайтам, это повлечет наложение штрафа - от 10 тыс. до 30 тыс. рублей для граждан и 50 тыс. - 300 тыс. рублей для юрлиц, пишет "Интерфакс ".

Кроме того, штрафом обернется выдача ссылок на запрещенные сайты в поисковиках. За это предлагается взимать 3 тыс. - 5 тыс. рублей с граждан, 30 тыс. - 50 тыс. рублей с должностных лиц и 500 тыс. - 700 тыс. с юридических лиц.

Рейтинг VPN-сервисов

23% VPN-сервисов раскрывают реальные IP-адреса пользователей

Итальянский исследователь Паоло Станьо (Paolo Stagno) протестировал 70 VPN -сервисов и обнаружил, что 16 из них (23%) раскрывают реальные IP-адреса пользователей. Проблема связана с использованием технологии WebRTC (Web Real Time Communication), которая позволяет осуществлять аудио- и видеозвонки непосредственно из браузера. Данную технологию поддерживает ряд браузеров, в том числе Mozilla Firefox , Google Chrome, Google Chrome для Android , Samsung Internet, Opera и Vivaldi .

WebRTC - открытый стандарт мультимедийной связи в реальном времени, работающий непосредственно в web-браузере. Проект предназначен для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.

Как пояснил исследователь, технология позволяет использовать механизмы STUN (Session Traversal Utilities for NAT, утилиты прохождения сессий для NAT) и ICE для организации соединений в разных типах сетей. STUN-сервер отправляет сообщения, содержащие IP-адреса и номера портов источника и приемника.

STUN-серверы используются VPN-сервисами для замены локального IP-адреса на внешний (публичный) IP-адрес и наоборот. WebRTC допускает отправку пакетов на STUN-сервер, который возвращает «скрытый» домашний IP-адрес, а также адреса локальной сети пользователя. IP-адреса отображаются средствами JavaScript, но так как запросы производятся вне обычной XML/HTTP процедуры, они не видны из консоли разработчика.

По словам Станьо, реальные IP-адреса пользователей раскрывают 16 VPN-сервисов: BolehVPN, ChillGlobal (плагин для Chrome и Firefox), Glype (в зависимости от конфигурации), hide-me.org, Hola!VPN, Hola!VPN (расширение для Chrome), HTTP PROXY (в браузерах с поддержкой Web RTC), IBVPN, PHP Proxy, phx.piratebayproxy.co, psiphon3, PureVPN, SOCKS Proxy (в браузерах с поддержкой Web RTC), SumRando Web Proxy, TOR (работающий как PROXY в браузерах с Web RTC), Windscribe. С полным списком протестированных сервисов можно ознакомиться здесь.

2017

Ряд VPN-сервисов отказались сотрудничать с Роскомнадзором

По данным общественной организации «Роскомсвобода» , далеко не все VPN -сервисы намерены следовать вступившему в силу закону. Семь сервисов уже четко обозначили свою позицию в отношении новых требований. Первой является компания ExpressVPN, еще летом заявившая, что она «безусловно, никогда не согласится ни с какими нормами, которые поставят под угрозу способность продукта защищать цифровые права пользователей».

Сервис ZenMate заранее подготовился к возможной блокировке на случае отказа ограничивать доступ к запрещенным в РФ сайтам. В компании сообщили об «элегантном решении», позволяющем сервису автоматически переключаться в «устойчивый режим», не причиняя серьезных неудобств пользователям. «В этом режиме соединение будет перенаправлено через крупнейшие магистральные интернет-сервисы. Эти сервисы играют ключевую роль для Сети, а потому их блокировка парализует интернет», - сообщила компания в своем блоге.

Сервисы Tunnelbear и PrivateVPN не намерены исполнять российский закон, поскольку не являются российскими компаниями. Серверы Tunnelbear расположены за пределами РФ, а PrivateVPN готова в случае необходимости перенести свой сервер с территории России .

Об отказе сотрудничать с Роскомнадзором также заявили Golden Frog (компании принадлежит сервис VyprVPN), TorGuard и TgVPN . «Мы не будем выполнять этот закон и сделаем все, чтобы оставаться доступными для пользователей из России. Среди других мер, мы готовим приложения со встроенными способами обхода блокировок VPN», - сообщила команда TgVPN в своем чате в Telegram .

В России вступил в силу закон об анонимайзерах

Для исполнения закона запускается федеральная государственная информационная система (ФГИС). По обращению правоохранительных органов Роскомнадзор будет определять провайдера, предоставляющего технологии для обхода блокировок.

Закон нужно будет выполнять по обращениям в Роскомнадзор федерального органа исполнительной власти, осуществляющего оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации (МВД и ФСБ).

Как сообщается на странице Роскомнадзора во «ВКонтакте» , ведомство и участники рынка - «Лаборатория Касперского» , Opera , Mail.ru и «Яндекс» - уже завершают тестирование «новой системы взаимодействия». Кроме того, анонимайзеры 2ip.ru и 2ip.io уже согласились сотрудничать с Роскомнадзором.

Проект закона был внесен депутатами Максимом Кудрявцевым («Единая Россия»), Николаем Рыжаком («Справедливая Россия») и Александром Ющенко (КПРФ).

Штрафы за нарушение закона о запрете анонимайзеров

Госдума собирается законодательно закрепить штрафы для операторов поисковых систем в случае, если они не исполняют возложенные на них обязанности по получению доступа к реестру Роскомнадзора и блокировке ссылок на информационные ресурсы, включенные в перечень.

Документ предусматривает штраф для физических лиц - 5 тыс. рублей, для должностных лиц – 50 тыс., для юридических лиц от 500 тыс. до 700 тыс. рублей.

Создатель Tor пояснил, как Роскомнадзор сможет заблокировать Tor

Требования Роскомнадзор для анонимайзеров

Госдума запретила анонимайзеры в России

Закон запрещает операторам поисковых систем показывать на территории РФ ссылки на заблокированные ресурсы. Аналогичный запрет предусмотрен для владельцев анонимайзеров и VPN -сервисов. Сайты, сообщающие о способах обхода блокировок, будут, в свою очередь, блокироваться Роскомнадзором. Кроме того, на основании обращений МВД и ФСБ ведомство будет определять провайдера, допускающего использование анонимайзера, и запрашивать у него данные для идентификации владельца сервиса. На предоставление необходимых сведений провайдеру будет отводиться три дня.

Как уточняется, требования закона не распространяются на операторов государственных информсистем, госорганы и органы местного самоуправления, а также на те случаи использования анонимайзеров, когда круг их пользователей заранее определен владельцами и их применение происходит в «технологических целях обеспечения деятельности лица, осуществляющего использование».

В случае если законопроект одобрит Совет Федерации ФС РФ и подпишет Президент России, большинство положений документа вступят в силу 1 ноября 2017 года.

МВД и ФСБ России могут заняться выявлением способов обхода блокировок в интернете

В случае принятия закон вступит в силу 1 ноября 2017 года. В то же день начнет действовать порядок идентификации анонимайзеров и требования к методам ограничения доступа к ним.

Как уточняется, законопроект не затрагивает операторов государственных информсистем, госорганы и органы местного самоуправления, а также не распространяется на непубличные средства обхода блокировок, если они используются «в технологических целях обеспечения деятельности» организации, а круг их пользователей определен заранее.

Как подчеркивает издание, речь идет именно о блокировке ФНС сайтов с казино, однако анонимайзеры имеют более широкое применение. Кроме того, в настоящее время в Госдуме рассматривается законопроект о запрете анонимайзеров, VPN и им подобных сервисов для обхода блокировок. Пока что документ прошел только первое чтение. Ввиду этого новый приказ юристы-собеседники издания называют незаконным – поскольку он дает право ФНС блокировать не только онлайн-казино, но и саму возможность зайти в онлайн-казино.

Депутаты запретили анонимайзерам и поисковикам давать доступ к запрещенным сайтам

Государственная Дума одобрила в конце июня 2017 года в первом чтении законопроект о регулирование деятельности сервисов, предназначенных для получения доступа к интернет-сайтам в обход официальных блокировок, а также об исключении из выдачи поисковых систем ссылок на заблокированные ресурсы. Авторами законопроекта выступили депутаты Александр Ющенко (фракция КПРФ), Николай Рыжак («Справедливая Россия ») и Максим Кудрявцев («Единая Россия») .

Документ представляет собой поправки к закону «Об информации, ИТ и защите информации». Законопроект вводит обязательства для «владельцев информационно-телекоммуникационных сетей, информационных сетей и программ для ЭВМ, а также владельцев информационных ресурсов, в том числе сайтов в сети интернет, предназначенных для получения доступа с территории России » к сетям и программам.

Под данное определение должны попасть сервисы, предоставляющие возможность непрямого доступа к интернет-ресурсам: анонимайзерам, прокси-серверам, VPN , туннелям, браузерам с функцией доступа «в обход» (Tor, Opera, «Яндекс.браузер») и др. Такие сервисы изначально предназначались для выхода в интернет со скрытием своего IP-адреса, но после введения в России в 2012 г. Реестра запрещенных сайтов обрели массовую популярность для обхода таких ограничений.

Что будет, когда Роскомнадзор найдет анонимайзер

Законопроект предполагает, что Роскомнадзор - ведомство, которое ведет Реестр запрещенных сайтов, - будет осуществлять мониторинг такого рода сервисов и включать их в отдельный реестр. Владельцам соответствующих ресурсов будет предоставлен доступ к Реестру запрещенных сайтов, и они должны будут блокировать для российских пользователей выход на такие сайты.

Когда Роскомнадзор обнаружит анонимайзер или другой подобного рода ресурс, он направит запрос его хостинг-провайдеру для получения контактных данных его владельца. Хостинг-провайдер должен будет ответить информацию в течение трех дней. Далее Роскомнадзор пошлет запрос владельцу этого ресурса на включение его в вышеупомянутый реестр. Если владелец в течение 30 дней не ответит Роскомнадзору и не примет меры для блокирования доступа российских пользователей к запрещенным сайтам, ведомство заблокирует к нему доступ с территории России.

Новые обязанности для поисковых систем

Кроме того, законопроект вводит обязательство владельцев поисковых систем исключать из выдачи ссылки на ресурсы, попавшие в Реестр запрещенных сайтов. Владельцам поисковиков также предоставят доступ к Реестру запрещенных сайтов.

Одновременно в Кодекс об административных правонарушениях вводятся штрафы для нарушителей. Для владельцев поисковых систем за неполучение доступа к Реестру запрещенных сайтов и за неосуществление фильтрации ссылок на запрещенные ресурсы штрафы составят p5 тыс. для физических лиц, p50 тыс. для должностных лиц и от p500 тыс. до p700 тыс. для юридических лиц. Для владельцев анонимайзеров и других подобного рода сервисов штрафы за непредоставление Роскомнадзору информации о себе штрафы составят от p10 тыс. до p30 тыс. для физических лиц и от p50 тыс. до p300 тыс. для юридических лиц.

CSIRO: VPN не всегда так приватны, как считается

Австралийская организация CSIRO (Commonwealth Scientific and Industrial Research Organisation) предупредила пользователей виртуальных частных сетей (VPN), что их безопасность часто не соответствует названию этой технологии.

Исследователи этой организации обнаружили, что 18% просмотренных приложений в реальности не шифруют пользовательский трафик, 38% внедряют прямо на пользовательское устройство вредоносные программы или навязчивую рекламу и больше 80% запрашивают доступ к секретным данным, таким как данные пользовательских аккаунтов и текстовые сообщения.

16% проанализированных VPN-приложений задействуют непрозрачные прокси, которые модифицируют пользовательский HTTP -трафик, вставляя и удаляя заголовки или используя такие методы, как перекодирование изображений.

Кроме того, обнаружено, что два VPN-приложения активно внедряют в пользовательский трафик код JavaScript для распространения рекламы и слежения за действиями пользователя, а одно из них перенаправляет трафик, связанный с интернет-торговлей, внешним рекламным партнерам.

«Основная причина инсталляции десятками миллионов пользователями этих приложений - защита своих данных, но как раз данную функцию эти приложения не выполняют», - гласит отчет.

Хотя большинство исследованных приложений предлагают «определенную форму» онлайновой анонимности, CSIRO сообщает, что некоторые разработчики приложений сознательно ставят целью сбор персональной информации пользователей, которую можно было бы продавать внешним партнерам. Однако лишь меньше 1% пользователей проявляют какое-то беспокойство относительности безопасности и приватности использования этих приложений.

18% исследованных VPN-приложения используют технологии туннелирования без шифрования и 84 и 66% приложений осуществляют утечку IPv6 - и DNS -трафика соответственно. В итоге, говорится в отчете, эти приложения не защищают пользовательский трафик от устанавливаемых по пути его перемещения агентов, осуществляющих онлайновое наблюдение или слежку за пользователями.

Если же взглянуть на официальные описания приложений в Google Play , то для 94% приложений с утечкой IPv6- и DNS-данных, говорится, что они обеспечивают защиту личной информации.

Перед публикацией своего отчета CSIRO связалась с разработчиками, в приложениях которых были найдены дефекты безопасности, и в результате часть из них предприняла меры для устранения уязвимостей, а некоторые приложения были удалены из Google Play.

Не так много времени остается до вступления в силу нового Федерального закона 1 , который известен как Закон о запрете анонимайзеров и VPN-сервисов (далее - Федеральный закон, Поправки). Речь идет о запрете использования технологий, информационных систем и программ, позволяющих обойти блокировку и получить доступ к заблокированным информационным ресурсам с запрещенным контентом, доступ к которым в России ограничен. Мировые СМИ уже поспешили сравнить серию российских запретов с китайской программой «Золотой щит», которая предусматривает систему фильтрации интернет-контента и блокировку мобильных приложений и сервисов, предлагающих VPN и инструкции для анонимного входа в Интернет По оценкам специалистов, усиление цензуры в Интернете с легкой руки российского законодателя приведет к тому, что Россия соорудит свой защитный экран, который будет эффективно отражать весь негативный контент, не позволяя российским пользователям получить к нему доступ. Однако можно ли реализовать такие попытки на практике с технической точки зрения и помогут ли тут правовые механизмы, далеко не ясно. Поправки затронут прежде всего владельцев VPN 2 и анонимайзеров 3 , а также поисковые системы, которые обязаны будут блокировать любые ссылки на информационные ресурсы или информационно-телекоммуникационные сети, запрещенные Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор). Ответственность за нарушение новых требований будут нести непосредственно владельцы VPN-технологий. Так, под запрет попадает такой известный анонимный браузер, как Tor или анонимная сеть I2P, которые должны будут блокировать доступ на запрещенные веб-сайты. Под запрет попадут также прокси и умные системы доменных имен (Domain Name Systems, DNS). Однако не стоит думать, что запрет будет распространяться только на владельцев специализированных технологий VPN. Речь идет и о сайтах, на которых размещаются инструкции по обходу блокировок, а также о магазинах приложений, предусматривающих VPN-сервисы для смартфонов. Условно говоря, любой интернет-ресурс, предлагающий использование VPN для обхода заблокированных сайтов, будет в зоне риска. Что касается безопасности, например, интернет-банкинга, то на средства шифрования, применяемые банками при осуществлении платежей, Поправки распространяться не будут. При проведении платежей банки зачастую используют защищенное SSL-соединение 4 , обеспечивающее конфиденциальность передаваемой информации с помощью специального канала, по которому информация передается между обозревателем и сервером в зашифрованном виде во избежание ее искажения и утери.

Пояснительная записка многое объясняет?

В пояснительной записке5 не раз указывалось на то, что опыт блокировки информационных ресурсов, размещающих запрещенный контент, оказывался не совсем удачным. К примеру, поисковые системы даже после блокировки выдавали ссылки на заблокированные ресурсы, не говоря уже об использовании анонимных прокси-серверов, VPN для получения доступа к заблокированным ресурсам. Не секрет, что VPN работает как прокси-сервер, используя который пользователь при просматривании интернет-страниц будто бы находится в другой стране. Такая технология позволяет обойти установленные правительством системы сетевой защиты и получить доступ в Интернет без каких-то ограничений и без риска слежки со стороны госструктур. Любопытно, что основная масса сервисов, предоставляющих данные возможности, находится не в России, что ставит под вопрос потенциал нового Федерального закона. При этом контрольные полномочия по соблюдению новых запретов предоставлены не только Роскомнадзору, но и правоохранительным органам, с которыми Роскомнадзор планирует взаимодействовать в целях отслеживания и получения информации о появлении сервисов для обхода блокировок.

Порядок взаимодействия с Роскомнадзором

Единый реестр доменных имен, указателей страниц сайтов в Интернете и сетевых адресов, позволяющих идентифицировать сайты в Сети, содержащие информацию, распространение которой в Российской Федерации запрещено, доступен на сайте Роскомнадзора по ссылке http://eais.rkn.gov.ru/ .

Нововведения будут применяться только к VPN-сервисам и анонимайзерам, предоставляющим доступ к онлайн-ресурсам и информационно-телекоммуникационным сетям, доступ к которым в России был заблокирован Роскомнадзором. Как правило, решение о блокировке информационных ресурсов принимается в отношении тех из них, которые содержат информацию, связанную с детской порнографией, наркотиками, пропагандой суицида или экстремизма. Кроме того, Роскомнадзором регулярно блокируются веб-сайты, содержащие пиратские видео, музыку или программное обеспечение. В связи с этим возникает вопрос: как следует применять новые правила в отношении VPN-сервисов, используемых для корпоративных целей, и применимы ли нововведения Федерального закона к таким ситуациям в принципе?

VPN для применения в корпоративных целях

Вопрос, связанный с применением анонимайзеров или VPN-сервисов в корпоративных целях, в Поправках напрямую не затронут. Вместе с тем крупные компании, располагающие офисами по всему миру, довольно часто обеспечивают удаленный доступ своих сотрудников к единой корпоративной платформе как раз с использованием VPN-каналов.

В Поправках, однако, есть исключение из принятых нововведений, предусмотренное ст. 17 Федерального закона. В частности, ограничения не будут применяться при соблюдении двух условий: 1) круг пользователей программно-аппаратных средств заранее определен их владельцами (владельцами VPN-сервисов); 2) такие программно-аппаратные средства применяются для технологического обеспечения деятельности лица, их использующего. В отсутствие официальных разъяснений со стороны Роскомнадзора и Минкомсвязи полагаем, что в последнем случае речь идет как раз о применении программно-аппаратных средств для осуществления коммерческой (хозяйственной) деятельности. Примером здесь и может служить применение VPN-соединений в корпоративных целях, среди ограниченного круга пользователей. В связи с этим напрашивается предварительный вывод о том, что VPN, равно как и другие программно-аппаратные средства и технологии, применяемые для внутрикорпоративных целей и поддержания деятельности компании, подпадают под исключения, предусмотренные Федеральным законом. Стоит отметить, что в проекте Федерального закона ст. 17 выглядела несколько иначе и там непосредственно упоминалось о том, что под требования Закона не будут подпадать случаи, когда владельцы информационно-телекоммуникационных сетей, информационных систем или программ для ЭВМ обеспечивают их использование исключительно лицами, которые состоят с такими владельцами в трудовых отношениях 6 . Однако редакция, изначально предложенная депутатами Госдумы, претерпела изменения в пользу более размытой и широкой формулировки исключения.

В связи с этим однозначные выводы делать пока рано. К тому же нет никаких гарантий относительно того, что один и тот же VPN-канал может использоваться как в корпоративных целях, так и в целях получения доступа к ресурсам и веб-сайтам, заблокированным в России. К примеру, такие VPN-соединения, как HideMy.name, ExpressVPN или PIA, могут одновременно применяться как для обеспечения доступа сотрудников корпорации к глобальной корпоративной платформе, так и для возможности обхода заблокированного доступа к запрещенным информационным ресурсам в России. При этом из нового Федерального закона явно не следует, как будет распределяться ответственность (и будет ли) среди владельцев программно-аппаратных средств и лиц, использующих такие технологии для обеспечения своей деятельности.

По сообщениям прессы, интернет-омбудсмен Д. Мариничев уже назвал принятый Федеральный закон безумием со ссылкой на то, что «невозможно отделить VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок» 7 . Есть опасения, что практика применения нового Федерального закона пойдет по пути тотальной блокировки администраторами сервисов таких инструментов, как VPN и TOR, вне зависимости от того, для каких целей они используются.

Порядок взаимодействия Роскомнадзора с провайдерами хостинга и владельцами сайтов 8

Известно, что Роскомнадзор осуществляет ведение Единого реестра запрещенных сайтов (далее - Реестр) 9 . Сведения об ограничении доступа к сайтам и (или) страницам сайтов в Интернете можно получить посредством обращения к универсальному сервису проверки ограничения доступа к сайтам и (или) страницам сайтов в Сети, размещенному на официальном сайте Роскомнадзора: http://blocklist.rkn.gov.ru/ . О причинах отсутствия доступа следует запрашивать провайдера хостинга либо оператора связи.

В связи с этим происходит активное взаимодействие Роскомнадзора и оператора Реестра. У провайдера хостинга 10 есть всего 24 часа на уведомление владельца сайта 11 , который у него обслуживается, о необходимости незамедлительно удалить интернет-страницу, где содержится недопустимая к распространению в Российской Федерации информация. В свою очередь, в распоряжении владельца сайта также есть 24 часа на удаление спорной интернет-страницы. В противном случае доступ к этой странице будет ограничен провайдером хостинга. Отказ или бездействие владельца сайта приведут к аналогичным последствиям. Непринятие указанных мер провайдером хостинга и/или владельцем сайта непосредственно повлечет за собой включение сетевого адреса, позволяющего идентифицировать сайт в Интернете, в Реестр, в силу чего провайдерам хостинга и владельцам сайтов рекомендуется своевременно выполнять требования законодательства, а уже потом пытаться оспорить решение о включении в Реестр в судебном порядке 12 .

Альтернативным вариантом является обращение к оператору Реестра с просьбой об исключении сведений из Реестра после удаления запрещенной информации с заблокированного сайта. Процедура обращения к оператору Реестра предусмотрена и в случае отмены решения о включении в Реестр заблокированного сайта в судебном порядке.

Взаимодействие Роскомнадзора с правоохранительными органами

В Федеральном законе также подробно описан порядок действий Роскомнадзора при обращении к нему правоохранительных органов, в случае если ими были выявлены сайты или программы для ЭВМ, позволяющие обходить блокировку и получать доступ к заблокированным в России ресурсам. Получив обращение от правоохранительных органов, Роскомнадзор, в свою очередь, направляет уведомление провайдеру хостинга или иному лицу, разместившему в Интернете ПО для доступа к заблокированным ресурсам. Уведомление направляется в целях идентификации владельца сайта или ПО, посредством которых предоставляется доступ к запрещенным сетям и ресурсам. Провайдер хостинга, в свою очередь, направляет владельцу сайта или ПО требование о подключении к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен (далее - Система). Впрочем, Роскомнадзор может направить соответствующее требование напрямую, если нарушения были выявлены им самостоятельно. На выполнение требования Роскомнадзора дается 30 рабочих дней. Аналогичные правила распространяются и на операторов поисковых систем.

Ответственность

Ответственность за несоблюдение принятых Поправок ни для поисковых систем, ни для провайдеров хостинга или владельцев интернет-сайтов в Федеральном законе не установлена. Возможно, последующие поправки будут внесены в КоАП РФ позже, после начала действия Федерального закона. Пока КоАП РФ устанавливает лишь ответственность операторов связи за неисполнение ими обязанности по ограничению/возобновлению доступа к информации, доступ к которой был ограничен/возобновлен на основании сведений, полученных от Роскомнадзора (ст. 13.34 КоАП РФ).

Вместе с тем ряд VPN-владельцев в России уже согласились с новыми поправками и используют тот же черный список адресов URL (ссылок в Интернете), которые провайдеры и телекоммуникационные компании должны блокировать. Соответственно VPN-сервисы, которые не соответствуют установленным в законодательстве требованиям, попадают в черный список. В начале этого года Роскомнадзор по инициативе прокуратуры уже заблокировал VPN-сервис Hideme.ru на основании решения суда после того, как было установлено, что VPN-канал используется для доступа к экстремистским материалам.

Иностранные провайдеры VPN-соединений уже начали уходить из России, как это сделал, например, PIA (Private Internet Access, американский VPN-провайдер), свернув всю свою деятельность в РФ с июля 2016 года, после принятия «пакета Яровой» 13 . По словам представителей сервиса, это было сделано после того, как серверы владельцев VPN в России были изъяты российскими властями без какого-либо предупреждения.

Что дальше?

Поправки в законодательство об информации, скорее всего, заставят владельцев VPN и подобных сервисов более осторожно и тщательно отслеживать, в каких целях они используются. В противном случае есть риск того, что при выявлении нарушений, анонимайзеры и VPN-сервисы могут быть заблокированы. IT-специалисты уточняют, что это можно сделать несколькими методами: по типу трафика или по IP-адресам. Последний способ довольно прост, Роскомнадзору потребуется лишь внести в реестр заблокированных сайтов все IP-адреса официальных сайтов, где можно приобрести VPN, и публичные серверы Tor. Второй путь - более тернистый, так как требует установки специального и весьма дорогого DPI-оборудования, которое будет анализировать интернет-трафик. Идентифицировать VPN-трафик с помощью такого оборудования не составит труда.

Однако, если с технической точки зрения заблокировать VPN-сервис достаточно просто, еще проще провайдеру его реструктурировать и создать новые IP-адреса. К тому же масштаб использования VPN-технологий и появление все новых и новых средств, обеспечивающих анонимность в Сети, на сегодняшний день несоизмерим с запретами, которые вводит законодатель.

За рубежом новые поправки называют очередным сильным ударом по открытому Интернету со стороны российских властей. Многие проводят параллели с китайской интернет-реформой, так как именно китайское правительство стало первопроходцем в деле запрета VPN-каналов, установив требование о лицензировании VPN-сервисов. При этом одним из критериев получения лицензии является то, что VPN-сервисы должны блокировать доступ к сайтам и сервисам с запрещенным контентом. Поэтому, делая прогнозы относительно реализации российских Поправок на практике, стоит упомянуть о китайском опыте, где после принятых запретов стал применяться скрытый режим для обхода системы межсетевой защиты (firewall). Такой сервис уже используется обычными гражданами в Китае, ОАЭ, Иране и других странах, где доступ к VPN заблокирован или ограничен. Скрытый режим маскирует зашифрованный VPN-трафик под обычные TLS- или SSL-соединения. Поскольку https-трафик регулярно использует в целях шифрования скрытый режим (например, для безопасной оплаты с кредитной карты и при введении паролей), этот метод маскировки VPN-трафика кажется довольно удобным и эффективным. Такой режим позволит с высокой долей вероятности скрыть тот факт, что VPN-канал был использован. В связи с этим, даже несмотря на то, что уже разработан проект приказа Роскомнадзора об утверждении Порядка контроля за исполнением владельцами анонимайзеров, сервисов VPN и операторами поисковых систем обязанностей по исполнению нововведений, вступающих в силу с 1 ноября 2017 года, представляется весьма сложным применить новые ограничения российского законодателя на практике.

1. Федеральный закон от 29.07.2017 № 276-ФЗ «О внесении изменений в Федеральный закон об информации, информационных технологиях и о защите информации».
2. VPN (англ. Virtual Private Network - виртуальная частная сеть) - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети.
3. К анонимайзерам можно отнести веб-сайты и специальные вредоносные программы, дающие возможность открывать ранее заблокированные интернет-ресурсы. Анонимайзеры позволяют не оставлять данные о своем реальном местоположении, IP-адресе и прочих параметрах при посещении заблокированных ресурсов в Интернете.
4. SSL (Secure Sockets Layer) - это протокол, который защищает данные, пересылаемые между веб-обозревателями и веб-серверами. Основное назначение протокола - аутентификация сервера, гарантирующая пользователям, что они попали именно на тот веб-узел, который хотели посетить. Любая страница, чей адрес начинается с https, передается в защищенном виде с помощью SSL.
5. Одним из инициаторов законопроекта стал Общественный совет при ФСБ России.
6. http://asozd2.duma.gov.ru/addwork/scans.nsf/ID/F071CE249CC1BD814325813900378252/$File/195446-7_08062017_195446-7.PDF?OpenElement .
7. https://zona.media/news/2017/06/08/marinichev .
8. https://eais.rkn.gov.ru/toproviders/ .
9. Полное наименование реестра - Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено.
10. Провайдер хостинга - лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к Интернету, https://eais.rkn.gov.ru/toproviders/ .
11. Владелец сайта в Сети - лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в Интернете, в том числе порядок размещения информации на таком сайте, https://eais.rkn.gov.ru/toproviders/ .
12. Решение может быть обжаловано владельцем сайта в Интернете, провайдером хостинга, оператором связи в суде в течение трех месяцев со дня принятия такого решения,

Провели опрос специалистов с целью выяснить, насколько это реализуемо.

В документе говорится об «информационно-телекоммуникационных сетях, информационных системах или программах для электронных вычислительных машин, которые могут использоваться на территории Российской Федерации для обхода ограничения доступа». То есть ограничения касаются и VPN, и браузера Tor.

Кроме того, документ обязывает поисковики не показывать ссылки на заблокированные в России сайты. Поисковым системам откроют доступ к реестру запрещенных сайтов, и если они откажутся убрать их из выдачи, то компанию оштрафуют на 500–700 тысяч рублей. Возможно, это делается для того, чтобы через Google нельзя было найти запрещенный сайт, скопировать ссылку, а потом зайти на него через VPN.

Зачем нужен VPN

С помощью VPN-сервисов можно обходить блокировки сайтов, которые не работают в России (например, Spotify). Но это не единственное, зачем они нужны. Удаленные работники и сотрудники филиалов подключаются по VPN к корпоративным сервисам, тем самым они не ставят данные компании под угрозу. Люди, которые выходят в интернет через общественный Wi-Fi и боятся, что их данные перехватят, тоже используют VPN, чтобы защититься от злоумышленников.

Если обычно компьютер подключается к интернету через сервер провайдера, то VPN-сервис настраивает туннель между вашим компьютером и удаленным сервером. Таким образом вы выходите в интернет обходным путем. Все данные внутри туннеля шифруются, поэтому провайдер и хакеры не знают, куда вы заходите под VPN-соединением и что делаете в интернете. При этом сайты не видят истинный IP-адрес вашего компьютера, поскольку вы работаете под чужим адресом. VPN (Virtual Private Network) создает безопасную частную сеть внутри незащищенного интернета.

Как его будут блокировать?

Согласно проекту, Роскомнадзор собирается находить VPN-сервисы, такие как TunnelBear, к примеру. После этого будет просить хостинговую компанию дать контакты владельцев TunnelBear. Если хостинг пришлет контакты (он должен сделать это за три дня), то Роскомнадзор пишет владельцам TunnelBear письмо, в котором требует закрыть для россиян доступ к заблокированным в России сайтам. На эту процедуру дается месяц. Если сервис соглашается, ему открывают доступ к реестру запрещенных сайтов, если он отказывается, то его сайт (и, возможно, инфраструктуру) блокируют в течение двух суток.

Когда начнутся блокировки?

В проекте сказано, что закон вступит в силу через 90 дней после официальной публикации. Если законопроект рассмотрят и примут до конца весенней сессии Государственной думы, то закон вступит в силу до ноября. Первые блокировки могут произойти до конца года.

Артем Козлюк, руководитель общественной организации «Роскомсвобода»:

«Все идет к тому, что закон примут в экстренном порядке. Скорее всего, до конца весенней сессии. Сейчас он проходит согласование по думским комитетам: был одобрен в правовом управлении, был предварительно одобрен в комитете по инфополитике, 19 июня пройдет заседание, на котором, не сомневаюсь, он будет окончательно согласован. Безусловно, заседание пройдет с бенефициарами законопроекта, в первую очередь с Медиакоммуникационным союзом, в недрах которого родился первоначальный проект документа.

Это тренд последних пяти лет. Практически все эти законы принимались в сверхкороткие сроки - от двух недель до месяца, - без учета мнения отрасли, не говоря уже о том, чтобы принять к сведению общественный резонанс. В расчет даже не принимается мнение правительства. В тексте есть приписка о том, что внедрение не потребует затрат из федерального бюджета. Поэтому отзыв правительства России на законопроект не требуется. Правительство иногда поступает разумно, делает критические замечания по тексту. Но их никто не принимает в расчет, потому что этого не хотят депутаты и бенефициары.

Будет удивительно, если первое чтение не пройдет до конца июня. Но если не в весеннюю сессию, то в начале осенней сессии его примут. Когда он вступит в силу? Если примут в этом году, то, скорее всего, в начале следующего года мы будем жить по новым правилам».

Саркис Дарбинян, сопредседатель Ассоциации пользователей интернета:

«Опыт последних лет показал, что даже самые дикие инициативы по регулированию интернета могут быть приняты в Государственной думе. Ведь за законодательной инициативой стоят известные медиалоббисты доинтернетовской эпохи, Роскомнадзор и некоторые частные лица, которые не прочь на этом заработать. Поэтому они обладают весьма большим ресурсом, который может быть использован для принятия закона».

Возможно ли вообще заблокировать VPN?

Саркис Дарбинян : «Самое простое, что сделает Роскомнадзор, - внесет в реестр все доменные имена и IP-адреса официальных сайтов популярных VPN-сервисов, на которых можно приобрести продукт. Однако это не значит, что пользователи не смогут получать установочные файлы VPN-приложений на форумах, зеркалах, по почте или в мессенджерах или настраивать туннели самостоятельно. Если будет подлинное желание объявить масштабный рейд против VPN и принципиальной возможности соединяться с удаленными машинами за пределами России, придется понести колоссальные расходы. Все операторы связи будут вынуждены приобрести за свой счет сертифицированное DPI-оборудование, которое производят в Китае. Лишь оно умеет определять VPN-трафик и отличать его от иного зашифрованного HTTPS-трафика».

Артем Козлюк : «Будут вставлять палки в колеса тем, кто почему-то не хочет подключаться к реестру запрещенных сайтов и ограничивать доступ для клиентов. Будут блокировать IP-адреса, технические домены, а не только сайты. Это сейчас происходит с блокировкой мессенджеров: блокируется не только веб-ресурс, но и технические мощности приложения. Иногда это удается, но потом мессенджер снова оживает. Это зависит от владельца ресурса, который попал под блокировку: готов ли он предоставить клиентам обновления для того, чтобы сервис снова заработал. Я предполагаю, что 80–90% сервисов останутся доступными для пользователей из России. Какие-то совсем мелкие, возможно, отомрут, но большинство, конечно, останется».

Карен Казарян, генеральный директор Института интернет-исследований:

«Технически это игра в кошки-мышки. Как мы знаем, в Китае есть сложная интеллектуальная система для блокировки подобных приложений, которая анализирует трафик. Система очень и очень дорогая и работать будет только при централизации доступа в интернет. Но, как мы опять-таки знаем, с доступом к западным сервисам в Китае особой проблемы нет - не все ловит система. В России же речь будет идти о том, чтобы банально внести в черные списки ссылки на скачивание приложений. Что будут делать с магазинами приложений или встроенными в операционные системы инструментами - отдельный вопрос».

Маркус Саар, глава VPN-сервиса HideMy.name:

«Если происходит блокировка сайта, это никак не влияет на работу самого VPN, а значит, те, кто уже является клиентами сервиса, не заметят никаких изменений для себя. Сам VPN, в отличие от сайта, заблокировать крайне сложно, и потребуется глубоко вникнуть в принципы работы каждого отдельного сервиса, структуру сети и т. д., а сервисов таких во всем мире не одна сотня, и постоянно появляются новые. При этом VPN-сервис может оперативно реструктурировать сеть, и все потребуется делать заново (причем процедура может быть автоматизирована). Никто подобными вещами на практике не занимается, даже в Китае».

Может ли Роскомнадзор помешать работе Tor?

Карен Казарян : «Теоретически можно внести адреса узлов в черные списки, но обходится это очень быстро. Хотя с учетом продолжающегося цирка с работой системы «Ревизор» и рассылкой «белых» списков по провайдерам - непонятно, как они вообще что-то собрались блокировать».

Артем Козлюк : «Осложнить работу возможно, но для этого нужны огромные мощности и большие деньги из бюджета».

Саркис Дарбинян : «С Tor еще сложнее. Можно блокировать выходные узлы и даже вычислять промежуточные реле. Но после того как в том же Китае начали бороться с Tor, разработчики приложения научили систему прокладывать мосты с помощью скрытых ретрансляторов. Функция моста была создана специально для того, чтобы помочь людям использовать Tor там, где доступ к сети Tor заблокирован».

Есть ли у пользователей VPN альтернативы?

Карен Казарян : «VPN-сервисов существует масса. Я сомневаюсь, что в Роскомнадзоре действительно повлияют на их работоспособность. Не говоря уже о том, что поднять собственный VPN на арендованном иностранном хостинге - вопрос десяти минут и пяти долларов.

Саркис Дарбинян : «Есть множество способов, которыми может воспользоваться человек: изучить вопрос и с легкостью настроить собственный VPN, использовать иные решения, такие как Psiphon, Tor, турборежимы браузеров, плагины, приобрести иной VPN-сервис, который заботится о пользователях и предпринимает оперативные меры».

К чему приведет блокировка?

Артем Козлюк : «Практически весь бизнес завязан на VPN. Под угрозу встают виртуальные частные сети любых предприятий, от мелких до крупных. Сбои в работе VPN могут произойти в любой момент из-за некорректной работы по правоприменению нового закона. Мы бесконечное число раз видим, как Роскомнадзор исполняет эти законы. Во-первых, они неграмотно написаны с технической стороны, во-вторых, в процессе правоприменения Роскомнадзор наращивает эту техническую безграмотность до новых масштабов».

Маркус Саар : «До сих пор не ясно, как будет происходить проверка и контроль. VPN, в отличие от формы анонимайзера, - это закрытая сеть, и для доступа к ней необходимо приобрести платную подписку и установить ПО. Причем у некоторых сервисов нет своего ПО, и необходимо настраивать подключение вручную, используя конфигурационные файлы, ключи и сертификаты. Второй вопрос - насколько рационально «бить» по технически подкованным пользователям, которые дошли до использования VPN, Tor и других инструментов. Ведь если они один раз нашли в себе силы и желание обойти цензуру, то сделают это снова и снова».

Саркис Дарбинян : «Блокировка операторами связи VPN-трафика однозначно означает колоссальный ущерб всему корпоративному сектору, цифровой экономике страны и понижение защищенности российских граждан в глобальной цифровой среде перед лицом иностранных спецслужб, корпораций и злоумышленников, использующих уязвимости для слежки и похищения данных. Закрыть на 100% возможность передавать и получать информацию по VPN не удавалось еще никому, даже в азиатских и мусульманских странах с репрессивными режимами. У провайдеров есть списки IP-адресов самых популярных VPN, которые они с какой-то периодичностью обновляют и блокируют. Но VPN-трафик тоже научился маскироваться. Провайдер VPN может создавать новые IP-адреса хоть каждую минуту (плюс бесконечный IPv6), поэтому делать это будет все сложнее и дороже».

Использование в России средств для обхода блокировок для доступа к запрещенным сайтам с 1 ноября будет преследоваться по закону. Что такое VPN и анонимайзеры и что грозит тем, кто решит сделать вид, что он не услышал о новом законе, рассказываем в рубрике "Вопрос-ответ".

Что такое анонимайзеры?

Анонимайзеры – это специальные сайты (прокси-серверы), выступающие в роли посредника между вами и ресурсом, который вы желаете посетить. Но при этом ваш настоящий IP-адрес на сайте отследить не смогут, так как вы заглянете к ним от имени IP-адреса веб-прокси. У анонимайзера область применения у́же, чем у VPN, но по принципу работы они схожи.

А что такое VPN?

VPN - это виртуальная частная сеть, простыми словами, это технология, обеспечивающая защищенную связь логической сети поверх частной или публичной при наличии высокоскоростного интернета. При этом вся передаваемая внутри информация надежно защищается алгоритмами шифрования, которые образуют безопасные туннели. В отличие от обычной сети, VPN-подключение делает передаваемую информацию недоступной извне и защищает ее от незаконного использования.

И что, теперь нельзя пользоваться VPN-сервисами и анонимайзерами?

Федеральный закон № 276 "О внесении изменений в закон "Об информации, информационных технологиях и о защите информации" не запрещает пользоваться VPN-сервисами и анонимайзерами. Речь идет лишь о том, что с их помощью теперь нельзя будет наведываться на запрещенные сайты.

Владельцам информационно-телекоммуникационных сетей и информационных ресурсов, посредством которых обеспечивается доступ к запрещенным в России сайтам, запрещается предоставлять возможности для их просмотра. Показ поисковиками ссылок на заблокированные интернет-ресурсы теперь тоже вне закона, в первую очередь запрет касается ресурсов порнографического и экстремистского содержания.

Таким образом, в России с помощью закона намерены бороться с распространением экстремистских материалов и другой запрещенной информации.

Кто и как это будет отслеживать?

Контроль возложен на Роскомнадзор. Комитет создаст и будет вести федеральную государственную информационную систему (ФГИС), в которой будет находиться черный список запрещенных ресурсов. При этом ФСБ и МВД получат полномочия находить сервисы, которые помогают получать доступ к заблокированным в России сайтам.

При обращении правоохранительных органов Роскомнадзор будет определять провайдера, который допускает использование анонимайзеров. Ему будет направляться уведомление в электронном виде о необходимости предоставления данных, которые позволят идентифицировать владельца анонимайзера. У провайдера будет три дня на предоставление соответствующей информации, сообщает ТАСС .

После этого Роскомнадзор будет направлять анонимайзеру требование о необходимости подключения к ФГИС. Присоединиться к системе ресурс должен будет через 30 дней. Подключиться к ФГИС по требованию ведомства также будут обязаны интернет-поисковики, работающие на территории России.

После выполнения первого требования анонимайзерам дается всего три дня для обеспечения соблюдения запрета предоставлять возможность использования в России программ и иных техсредств для получения доступа к запрещенным сайтам, а поисковикам — прекратить выдачу ссылок на них. В случае отказа последует блокировка таких сервисов.

Могут ли мне заблокировать домашний интернет, если я буду искать заблокированный сайт?

Нет. Закон, вступающий в силу с 1 ноября 2017 года, не содержит в себе оснований для блокировки домашнего интернета при осуществлении поиска запрещенных сайтов.

Нормы нового закона не будут распространяться на операторов государственных информационных систем, госорганы и органы местного самоуправления, а также на случаи использования анонимайзеров при условии, что круг их пользователей заранее определен владельцами и их применение происходит в "технологических целях обеспечения деятельности лица, осуществляющего использование".

Закон не накладывает дополнительных запретов, поскольку речь идет о сайтах, которые в России уже заблокированы.

Вопрос безопасности при работе в Интернете всегда стоял остро, и многие решают его с помощью различных бесплатных сервисов, в которых сегодня нет недостатка. Существуют бесплатные анонимайзеры, прокси-серверы и даже в виде браузерных плагинов (расширений). У таких решений есть плюсы, но есть и немало минусов, о которых нужно знать.

Возьмем такое довольно популярное VPN-расширение, как Zenmate . Оно доступно для всех основных браузеров: Chrome, Firefox, Opera. Если ваша единственная цель – зайти на заблокированный провайдером сайт, то Zenmate может вам подойти, но здесь есть обилие «но». Во-первых, работа в Интернете станет ощутимо медленнее. Бесплатные VPN-сервисы весьма популярны, что имеет обратную сторону: ими пользуется очень много людей, тогда как их ресурсы ограничены (в силу бесплатности). Результат – медленная, а порой и вовсе невозможная работа. Это усугубляется тем, что ваш провайдер может ограничивать или замедлять трафик через VPN, что часто происходит неожиданно.

Во-вторых, велика вероятность, что однажды Zenmate просто перестанет у вас работать, поскольку провайдер (либо администратор вашей сети), а также государственные органы прекрасно информированы о бесплатных VPN-сервисах и умеют их отключать. Если такой сервис продолжает работать, он может функционировать частично: однажды вы обнаружите, что не работает почта, торренты, IP-телефония или другие необходимые вам службы.

Если вы хотите обеспечить полноценную анонимность, то бесплатные VPN-сервисы не подходят в принципе, и не только потому, что обычно они активно сотрудничают с правоохранительными органами. Например, упомянутый Zenmate требует регистрации, при которой вы отправляете разработчикам свой адрес электронной почты. Что с ним происходит дальше, остается лишь гадать. Естественно, когда вы явным образом раскрываете свой email, ни о какой анонимности говорить уже не приходится.

Не только Zenmate, но практически все бесплатные VPN и прокси имеют такой арсенал минусов, который делает их непригодными для более-менее серьезной работы работы. Они ведут логи (журналы всех действий пользователя) , соединение нестабильно и временами разрывается, высокая скорость не гарантируется. Некоторые провайдеры ведут активную охоту на бесплатные VPN-сервисы и заодно их пользователей. Пользовательские соглашения таких сервисов часто невыгодны для пользователей, о чем последние могут не догадываться. Там могут быть такие коварные пункты, как передача логинов и паролей от других сервисов или право продажи ваших данных третьим сторонам. Не исключено заражение компьютера вирусами и другими видами вредоносного ПО. Были даже случаи, когда VPN-сервисы крали данные банковских счетов и другие финансовые данные.

Полноценных бесплатных VPN-сервисов попросту не существует , просто потому что им нужно на что-то существовать. Любой бесплатный сервис на самом деле условно бесплатный: он всеми силами продвигает платную версию, а в ее отсутствие усиленно показывает вам рекламу.

Как насчет анонимайзеров?

Анонимайзеры – это еще менее надежное решение. Начать с того, что надежных и быстрых анонимайзеров, которые при этом не показывают рекламу, не существует в природе. Это знают все, кто убил часы на поиск «нормального анонимайзера» и ничего не нашел.

Общим недостатком анонимайзеров является отсутствие картинок на странице, невозможность скачать или просмотреть видеоролики и многие другие дефекты отображения контента. Если вы готовы терпеть и такие трудности, будьте готовы к тому, что ваш любимый анонимайзер однажды «упадет», перестав работать, или вообще закроется. Наблюдение рекламного баннера на каждой странице – это наименьшее зло из всех. Анонимайзеры точно так же, как и бесплатные VPN, ведут логи и сохраняют все действия пользователя, включая введенные на страницах пароли. Стоит ли все это мизерной экономии, которую дают бесплатные анонимайзеры?