В россии запретят анонимное использование мессенджеров. Выполнимы ли новые правила работы с сервисами Почему это важно

Россиянам запретили анонимно пользоваться мессенджерами. Правительство утвердило новые правила, согласно которым теперь сервисами мгновенных сообщений смогут пользоваться только те, кто привяжет их к настоящему номеру и подтвердит свою личность через оператора. Во время процесса идентификации мессенджер будет направлять оператору запрос, чтобы узнать, есть ли абонент в базе данных. У оператора будет 20 минут на то, чтобы предоставить ответ. Каждому пользователю будет присваиваться уникальный код.

От операторов исполнение нового законодательства потребует дополнительных затрат, подчеркивает ведущий аналитик акселератора Fintech Lab Сергей Вильянов: «Операторам придется обрабатывать миллионы обращений, а учитывая, что сегодня у каждого гражданина на руках более чем одна SIM-карта, компаниям придется постоянно отвечать на эти запросы и создавать нагрузку на свое оборудование. Получается, что каждый должен будет при регистрации в мессенджере писать свои полные имя, фамилию и отчество. Это, во-первых, странно, в мессенджерах это не принято. Во-вторых, это что же получается?

Мы берем базу пользователей - имена, фамилии, отчества, наверняка еще дата рождения потребуется - и своими руками отдаем эту информацию иностранным компаниям.

Ведь большинство мессенджеров, которые популярны в России сегодня, это зарубежные разработки. Никакой практической пользы в этом нет».

По мнению Роскомнадзора, который и предложил законопроект, анонимная переписка в мессенджерах мешает правоохранительным органам расследовать преступления, а новые правила якобы смогут это исправить. Но интернет-омбудсмен Дмитрий Мариничев в это не верит. По его словам, это не только не поможет работе полиции, но и затруднит корпоративное общение: «Это просто незаконно, какая-то огромная дыра в безопасности. Грубо говоря, вы создали какую-то платформу и просто методом перебора и обращения к операторам связи можете получить всю выборку по базам данных с номерами телефонов, именами и фамилиями зарегистрированных абонентов. Это же сюрреалистическая ситуация. Кроме того, вопрос остается открытым с точки зрения корпоративных средств связи. Кто будет идентифицировать того сотрудника, который использует корпоративную связь? У них вообще нельзя будет ставить тогда мессенджеры, мы запретим бизнесу общаться. Я не вижу, во-первых, смысла, во-вторых, технической и юридической исполнимости этого закона.

Кроме ущерба репутации власти, он ничего привнести не сможет».

Если пользователь сменит номер телефона, то идентификацию нужно будет повторить. А те, кто проверку не прошел, не смогут отправлять сообщения. Но как новые правила будут работать на практике, непонятно, отметил ведущий аналитик Mobile Research Group Эльдар Муртазин: «На сегодняшний день это полная утопия, потому что добиться этого практически невозможно. На практике мы столкнемся с тем, что у нас будет опять ситуация, как с запретом Telegram. Запрет существует, но при этом все мессенджером пользуются. Просто деньги налогоплательщиков будут пущены на воздух, формально появится бурная активность, а операторов заставят "ломать" интернет, что уже само по себе смешно. Но добиться того, чтобы все это работало в каком-то удобоваримом виде, нельзя. Де-факто все самые популярные мессенджеры находятся вне России. Так же, как Telegram не соблюдает российское законодательство, так и они не будут идти на поводу у правительства и делать что-либо».

С января в России уже действует закон, который предусматривает штраф за отказ мессенджеров идентифицировать пользователей. Для юрлиц он составляет от 800 тыс. руб. до 1 млн руб.

Правительство России вводит новые правила использования мессенджеров. Теперь пользоваться аккаунтом сможет только тот человек, на которого зарегистрирован телефонный номер, привязанный к сервису. Об этом сказано в сообщении кабмина, опубликованном на официальном интернет-портале правовой информации.

Новый порядок вступит в силу через 180 дней. Глава Роскомнадзора Александр Жаров в комментарии «Известиям» рассказал, что это необходимо для создания безопасной коммуникационной среды для граждан.

«Возможность анонимной коммуникации в мессенджерах затрудняет деятельность правоохранительных органов при расследовании преступлений», - подчеркнул Жаров.

По его словам, теперь администраторы мессенджеров будут проверять, действительно ли номер телефона пользователя зарегистрирован на того, кто ведет переписку. На ответ сотовому оператору дается 20 минут. Если данные пользователя совпадут с информацией в базе компании, идентификация будет считаться пройденной. В противном случае сервис должен отказать в предоставлении услуги.

Кроме того, сотовые компании обязаны будут присваивать пользователям уникальный код идентификации, который автоматически сгенерирует мессенджер. В пресс-службе МТС изданию сообщили, что операторам придется провести технические доработки, поскольку сейчас оборудование не отвечает заявленным требованиям. Но ответ на запрос от мессенджера в течение 20 минут, в теории, реализуем.

Почему это важно

• 1 января 2018 года в России вступил в силу закон , обязывающий мессенджеры идентифицировать пользователей по абонентскому номеру. При этом уже после вступления закона в СМИ писали, что он не выполняется, поскольку нет подзаконных актов, прописывающих правила идентификации пользователей.
• За нарушение закона о запрете анонимности в мессенджерах для юридических лиц предусмотрены штрафы до 1 млн рублей.

Роскомнадзор внес в реестр запрещенных сайтов мессенджеры BlackBerry Messenger (BBM), LINE, Imo.im и аудиовизуальный чат Vchat, сообщила «Роскомсвобода». В реестр вошли порталы этих мессенджеров и ряд их IP-адресов.

В России будет ограничен доступ не только к сайтам этих мессенджеров, но и к их приложениям – они будут удалены из магазинов приложений либо заблокированы операторами связи, уточнил представитель Роскомнадзора Вадим Ампелонский.

Блокировка мобильного приложения вкупе с сайтом ресурса – несложная задача, говорит человек, близкий к одному из операторов, как правило, современные приложения обращаются к конкретным ресурсам, блокировка которых дает блокировку и приложений тоже. У регулятора есть опыт исключения заблокированного ресурса из магазинов Google и Apple. В январе AppStore и Google Play удалили из своих российских магазинов приложение заблокированного LinkedIn.

Закон обязывает организаторов распространения информации (в том числе мессенджеры) предоставлять по требованию Роскомнадзора свои контактные данные, необходимые для внесения в соответствующий реестр, объясняет Ампелонский: «Те, кто не реагирует, оказываются под блокировкой – в полном соответствии с законом». Для внесения в список организаторов информации регулятор просит компанию предоставить данные о себе (не о пользователях), говорит Ампелонский, но что это за данные, не раскрывает.

У компании с момента поступления запроса есть пять дней, чтобы отреагировать, продолжает он, если ответа не поступает, ведомство направляет уведомление о неисполнении обязанностей организатора распространения информации, компании дается 15 дней на исправление. Далее наступает блокировка. В какие еще мессенджеры обращался Роскомнадзор, Ампелонский не сказал.

Поправки в закон «Об информации, информационных технологиях и о защите информации» с 1 января 2017 г. обязывают организаторов распространения информации в интернете хранить на территории РФ информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео или иных электронных сообщений пользователей и информацию об этих пользователях в течение года, а сам контент – до шести месяцев. Сервисы обязаны также предоставлять этот контент по требованию федеральных органов исполнительной власти и предоставлять им возможность декодирования информации.

Первым в апреле Роскомнадзор заблокировал приложение для обмена короткими голосовыми сообщениями Zello. Компания тоже не предоставила в срок сведения для включения в реестр.

Заблокированные мессенджеры не входят в число популярных в России (см. график). Не исключено, что это показательное внесение в реестр не самых популярных в России, но известных в мире мессенджеров нужно для того, чтобы принудить к сотрудничеству более популярные у российской аудитории и несговорчивые, в первую очередь Telegram, считает руководитель «Роскомсвободы» Артем Козлюк. Владелец Telegram Павел Дуров не раз заявлял, что не сотрудничал и не собирается сотрудничать со спецслужбами ни России, ни других стран. «Но об этом мы узнаем только по факту внесения данного мессенджера в один из двух реестров: организаторов распространения информации со всеми вытекающими обязанностями по сбору данных пользователей и предоставлению их компетентным органам либо в реестр запрещенных сайтов – под блокировку. Пока, видно, регуляторы решают, как надавить на Павла», – рассуждает Козлюк.

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится - люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Недавно на «Хакере» был опрос « », и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard , но выбрали другие критерии - на наш взгляд, более важные.

Критерии

FOSS

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух - говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть .

WWW

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Telegram

Лицензия: формально - GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка - отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет
Наличие E2EE: есть
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол - Signal Protocol . Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, - нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo - режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения .

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Image caption На сотрудничество со спецслужбами России идут далеко не все мессенджеры, но это ставит их под угрозу блокировки

Правительство России запретило интернет-мессенджерам разглашать любую информацию о взаимодействии со спецслужбами. Пользователи мессенджеров, которые исполняют российское законодательство, никогда не узнают, как часто эти сервисы удовлетворяют любопытство ФСБ.

Администрации мессенджеров (в действующем законе их называют организаторами распространения информации в интернете, ОРИ) должны обеспечивать "неразглашение любой информации о конкретных фактах и содержании такого взаимодействия третьим лицам", следует из текста постановления правительства от 18 января. Документ был опубликован на официальном портале правовой информации в понедельник, 22 января.

Для передачи данных пользователей спецслужбам мессенджеры должны устанавливать специальные программно-технические средства. Какие именно, не уточняется. Своим постановлением правительство России запретило размещать эти средства за пределами страны.

Постановление напрямую касается мессенджеров, которые зарегистрированы в реестре ОРИ Роскомнадзора. В их числе Telegram, "Агент Mail.ru", китайский WeChat, российские соцсети "ВКонтакте" и "Одноклассники".

Запрещено быть прозрачными

Международные IT-компании сообщают об обращениях спецслужб в отчетах прозрачности, публикуемых два раза в год. Так, последний отчет Facebook относится ко второй половине 2016 года, отчеты Google , Twitter и Microsoft - к первой половине 2017 года. Российские соцсети "ВКонтакте" и "Одноклассники" не публикуют отчеты о прозрачности и отказываются предоставлять их по запросу.

Правительство не определило наказание за разглашение информации о взаимодействии со спецслужбами, отмечает юрист правозащитной "Команды 29" Дарьяна Грязнова.

"Если ОРИ откажется подчиняться этим требованиям, формально нет составов, по которым можно привлечь к его к ответственности - Административный кодекс устанавливает ответственность за разглашение информации, доступ к которой ограничен федеральным законом, а также за неисполнение обязанностей, которые возложены федеральным законом (а здесь подзаконный акт)", - отмечает юрист.

Грязнова напоминает, что в соответствии с законом об оперативно-розыскной деятельности, информация о силах, средствах, источниках, методах, планах и результатах такой деятельности является государственной тайной.

"Смысл один - если органы внутренних дел, Федеральной службы безопасности и иные органы, которые осуществляют оперативно-розыскную деятельность, решили почитать вашу переписку, то сделают это, и сейчас хотят заставить представителей мессенджеров не сообщать об этом никому", - резюмирует юрист.

Постановление правительства полностью закрывает транспарентность правоприменения и какой-либо общественный контроль, считает партнер Центра цифровых прав, адвокат в сфере киберправа Саркис Дарбинян.

"Такие проекты, как Ranking Digital Rights , исследуют отчеты крупных IT-компаний и ранжируют их, исходя из уровня прозрачности. Судя по позиции правительства, работа таких проектов в России будет невозможна, а весь процесс будет происходить за закрытыми дверями. Это может крайне плохо сказаться на цифровых правах российских пользователей", - считает эксперт.

Мессенджеры обязаны…

Российский закон о мессенджерах вступил в силу 1 января 2018 года. По нему мессенджеры обязаны идентифицировать пользователей по номеру телефона.

Закон обязывает мессенджеры обеспечить возможность рассылки электронных сообщений по инициативе властей, а также ограничивать передачу сообщений, которые содержат "неправомерную информацию". В случае неисполнения мессенджером этих требований закон позволяет операторам связи закрыть доступ к сервису по решению суда.

За нарушения закона на мессенджеры может быть наложен штраф до 1 млн рублей.