Category: «Страшилки»

На фоне кратного увеличения количества публикаций, в которых «твердо и четко» утверждается, что «цифровые свободы», а также приватность, конфиденциальность, и прочие «блага» цифрового века у россиян если не отсутствуют вовсе, то находятся на околонулевом уровне, необходимо прояснить, «что и как» обстоит на самом деле.

Первая, и самая главная «предьява» к цифровой политике текущего правительства, разумеется, заключается в блокировках различных сервисов (не потому что «ЛОМов» особо беспокоит понятие «сетевой нейтральности», а потому что это «тема» является одной из самых популистских) — мол, якобы, россиян постоянно «ограничивают».

Причем, пишется это с такой интонацией, как-будто в России больше не существует выхода в интернет в принципе. Разумеется, это не так — не хотелось бы ломать пресловутое «эго» РКН, но абсолютное большинство блокировок носят исключительно «поверхностный» характер, и обходятся даже школьниками.

Важно заметить, что те самые «школьники» пользуются коммерческими провайдерами — которых проще всего заблокировать. Если речь идёт о создании собственного сервера, то подобное решение будет работать крайне длительный промежуток времени — пока вы будете оплачивать счета хостинг-провайдера, разумеется.

По личному опыту, до последнего времени даже самый простой частный сервер OpenVPN без использования какой-либо обфускации (вроде tls-crypt-v2) работал без нареканий. Сейчас лучше всего работает Outline, который настраивать несоизмеримо проще.

Второе. Якобы, российское государство также загоняет в государственные же приложения, в которых, о боже — есть размыто определенная «слежка». Амбассадором этого нарратива сейчас выступает Павел Дуров — откровенный идиот, особенно если брать во внимание его собственное «детище».

Пресловутая «слежка» — концепт навязанный той самой «либеротой», к которой Павел на «бумаге» принадлежит. Он предполагает, что даже самые бытовые беседы обычного гражданина представляют интерес для служб безопасности (нет), а также что каждый гражданин является террористом/шпионом/экстремистом, и ему необходимо любой ценой не дать тем самым «службам» прочитать его переписку с условной женой.

Тем не менее, решения для защищённой коммуникации существуют, широко доступны, а создание собственного мессенджера (если, например, не хочется через VPN заходить в Signal) являются лишь вопросом внимательного следования уже написанным руководствам.

Говоря о более технических вещах, вроде «фильтров» ТСПУ — использование даже самого простого VPN (главное, не от участников операции «Ледокол») сводит на нет большинство функций подобных «девайсов». К счастью, пока что современную криптографию сломать никто не может.

Единственное, что можно в заключение порекомендовать — разберитесь, какие проблемы в «голове» у вас «натуральные», а какие — искусственного происхождения.

В массовом сознании уверенно закрепился образ «спецслужбиста», который зажигает «красные лампочки», делает специальные пометки на деле человека, или поднимает «флажок» если использовать средства шифрования «слишком много».

Необходимо заметить, что в отличии от нарратива об опасности VPN, данная «пугалка» имеет совершенно натуральный характер, и произошла из фильмов и сериалов про «шпионов», а не из офиса на определённой «площади».

Начнем с основ. Шифрование является «краеугольным камнем» интернета — так как любые передаваемые по интернету данные по умолчанию публичные, для сокрытия содержания (важно — шифрование не скрывает метаданные, т. е. кто, откуда, куда, сколько) был придуман стандарт TLS, он же SSL. Так как обычный трафик HTTP можно не только читать, но и изменять, смотреть даже условные «смешные видео» без TLS — сомнительная идея.

Исходя из этой «пугалки», каждый, кто использует хоть какие-то интернет сервисы с использованием шифрования получает себе «красный флажок», что прямо указывает на техническую несостоятельность «предмета» обсуждения. Но, допустим, «лампочка» загорается только у тех, кто использует безопасные мессенджеры. Что в этом случае?

Во-первых, не все мессенджеры имеют «четкий» отпечаток, по которому их можно обнаружить. Наиболее «ярким» отпечатком среди всех обладает Telegram, в том числе потому, что он передаёт уникальный номер пользователя в незашифрованном виде. Наиболее трудно обнаружить использование «частного» мессенджера, так как, повторяя тезис из недавней публикации, его трафик составляет меньше «капли» в море.

Само использование безопасных средств коммуникации преступлением не является, и может представлять интерес только в контексте «оперативно-розыскных мероприятий» — без этого, до ваших «предпочтений» никому не будет дела.

Гораздо большую угрозу в этом плане несёт СОРМ-3 — если вами «заинтересуются» в будущем, ретроспективно прослушать все разговоры по сотовой связи не составит труда.

Нарратив об «опасности» VPN-сервисов строится не столько на мнимной опасности подключения к чему-либо зарубежному, сколько на большой «угрозе», исходящей от приложений (читай: клиентов) VPN-сервисов.

Стоит отметить, что если первую часть «уравнения» ещё можно обосновать заботой о «сохранности» данных своих сограждан, то вторую — только полным незнанием базовых принципов работы современных ОС.

Начнем с основ. Мобильные операционные системы (iOS, Android) и некоторые стационарные (macOS, Linux*) изолируют приложения друг от друга — грубо говоря, не получив специальный «пропуск» на использование камеры или просмотр галереи, без дорогостоящей цепочки уязвимостей программа не сможет получить к ним доступ.

Единственным «исключением» из правил являются «системные» приложения — остальные, вне зависимости от собственной «значимости», действуют строго в установленных «правилах» игры. С точки зрения системы, клиент VPN-сервиса ничем не отличается от мессенджера Max, Telegram, или любой другой «пользовательской» программы.

Даже если любой из перечисленных примеров окажется зараженным, без «пропуска» от вас украсть какую-либо информацию он не сможет. Это, в том числе, обусловливает высокую цену шпионского ПО — обойти «правила» далеко не самая простая задача.

Отвечая на поставленный вопрос, — нет, не могут. Важно заметить, что для поддержки модели безопасности ОС вам необходимо регулярно устанавливать обновления ПО, желательно в первые четыре дня от их публикации.

Примечание: обычные программы в Linux имеют минимальную изоляцию, но использование контейнеров Flatpak/AppImage это исправляет.

С момента начала массового использования технологий VPN российским обществом, несколько отдельных «медиасеток» начали трубить об их исключительной опасности. Но так ли это на самом деле?

Начнем с основ. С «профессиональной» точки зрения, подключение через сервер VPN ничем не отличается от «прямого» подключения через интернет-провайдера. Более того, использование «туннеля» VPN по праву считается более безопасным методом выхода в интернет, т. к. не даёт или сильно уменьшает возможность «надзора» за вашим соединением.

Также, зачастую вдобавок к нарративу о непременной «опасности» также идёт «пугалка» о том, что все ваши данные VPN непременно «украдет». Тут важно заметить, что сами технологии VPN защищают данные от кражи, а не способствуют ей. Те, кто говорят обратное, с очень большой вероятностью хотят, как минимум, за вашими данными «присматривать».

Даже если VPN-сервер «заражен», ваш телефон/компьютер по умолчанию использует шифрование HTTPS (TLS), т. е. «замочек» в браузере. Подключение через сервер VPN никак не влияет на использование шифрования, ибо оно зависит от «сертификатов» в вашей системе, а не от интернета вовсе.

Отвечая на поставленный вопрос: это глупый, и, стоит отметить, достаточно «грубый» фейк. Как и во многих других случаях, российские медиа любят «держать» своих читателей за «идиотов».