Великая российско-китайская стена

Как Москва и Пекин сотрудничают в области контроля над интернетом

Россия и Китай активно сотрудничают в области контроля над интернетом. Россия получает из Китая опробованные технологии по контролю доступа граждан к контенту, а Китай учится у России оптимизации расходов на слежку за сайтами и публикациями в социальных сетях. К такому выводу пришли российские эксперты по деятельности спецслужб Андрей Солдатов и Ирина Бороган, авторы вышедшей недавно на русском языке книги "Битва за Рунет", рассказывающей о попытках российских властей манипулировать информацией и следить за пользователями интернета.

Свои выводы Солдатов и Бороган основывают, в числе прочего, на информации о серии встреч между российскими и китайскими функционерами, состоявшихся в 2016 году. Версия о тесном сотрудничестве России и Китая по усовершенствованию механизмов контроля над интернетом подтверждается и самой жизнью. Российские методы, такие как обычная блокировка сайтов, оказываются малоэффективными. Такие блокировки обходятся с помощью простейших действий, доступных даже неопытным пользователям.

В то же время "Великий китайский файерволл" успешно действует уже более 10 лет и постоянно совершенствуется. Кроме того, Китай остается единственным партнером России, способным снабдить Москву современными технологиями и аппаратурой в условиях западных санкций. В качестве ответной услуги Россия может поделиться с Китаем способами оптимизации интернет-цензуры или даже секретами российских хакеров, взломавших почту демократической партии во время недавней предвыборной кампании в США.

В интервью Радио Свобода Андрей Солдатов рассказывает, когда в России возникла идея перенять китайский опыт интернет-цензуры, какие люди и компании стоят за этим сотрудничеством и почему российские чиновники лукавят, кивая на западный опыт контроля над интернетом.

– Андрей, какие факты свидетельствуют о том, что Россия работает над проектом создания новой системы контроля над интернетом в сотрудничестве с Китаем?

Где-то осенью прошлого года стало достаточно очевидно, что та система контроля, которая была выстроена Кремлем начиная с 2012 года, малоэффективна и не решает поставленных задач. С этого момента начались порой достаточно хаотические движения, например, серия реальных приговоров в отношении блогеров. Эти движения в конце концов привели к тому, что появились новые игроки с довольно неожиданной стороны, которые предложили в качестве решения более тесное сотрудничество с Китаем.

Мы предполагаем, что ключевые договоренности были достигнуты где-то в декабре 2015 года, в Учжэне, на конференции, на которой присутствовали как Дмитрий Медведев, так и Фан Бинсинь, главный архитектор "Великого китайского файервола". В результате этих соглашений в апреле в Москве прошел первый китайско-российский киберфорум, и в последующие месяцы стало постепенно понятно, какие контуры принимает это сотрудничество.

Я бы начал с того, что, во-первых, здесь речь идет прежде всего о двустороннем сотрудничестве, потому что не только Россия берет из Китая, но и Китай берет из России. Например, у нас существует "Лига безопасного интернета" – это такая квазинезависимая организация, волонтеры которой занимаются тем, что патрулируют интернет на добровольной основе. Фан Бинсинь создал похожую организацию в марте этого года. Только что, в ноябре, в Китае был принят новый закон о кибербезопасности, где есть пункт о локализации данных на территории Китая, и это тоже очень похоже на российское законодательство в этой области. Если говорить о том, чтó Россия заимствует из Китая, то прежде всего сейчас идет речь о разработке второго этапа системы интернет-фильтрации, потому что нынешняя система не очень эффективна. Фактически мы имеем дело с очень примитивной системой, где речь идет только о блокировании сайтов и страниц. Сейчас специалисты той же "Лиги безопасного интернета" думают над тем, как перейти ко второму этапу, который будет позволять искать контент, то есть это уже способ фильтрации, который используется в Китае.

Мы имеем дело с очень примитивной системой

Еще одно направление сотрудничества – это контроль над доменными именами или, скорее, использование доменных имен как инструмента, который позволит лучше контролировать глобальные корпорации. В Китае еще в марте было принято требование к иностранным компаниям – получать местные доменные имена, если они хотят работать в Китае. По результатам российско-китайского форума была принята "дорожная карта", и там вопрос о доменах и о контроле над ними был одним из всего двух пунктов, которые фактически вошли в эту "дорожную карту". Была создана совместная российско-китайская рабочая группа, где специалисты двух стран обсуждают, что же им делать с доменными именами.

И наконец, последнее, но, может быть, самое важное. Российская система контроля над интернетом всегда была технологически не очень продвинутой, и как раз Китай сейчас видится как страна, которая может поставлять технологии. Уже в августе было известно о переговорах между российскими производителями телекоммуникационного оборудования и китайскими производителями, такими как Huawei и Lenovo. Переговоры касались лицензирования китайского производства в России именно для выполнения "закона Яровой". Провозглашен курс на импортозамещение, и прежде всего речь идет о том, что надо замещать западные телекоммуникационные технологии российскими. Но по большому счету, мы придем к замещению западных технологий китайскими.

– Представим себе, что я владелец сайта или нескольких сайтов, которые российское государство может счесть нежелательными. Если мой сайт будет заблокирован, сейчас я могу объяснить пользователям, как эту блокировку обойти. Что случится, если будет введена в действие китайская модель контроля над интернетом?

Во-первых, китайская модель контроля намного эффективнее осуществляет контроль над средствами обхода цензуры. Собственно, из-за этого китайский интернет сильно медленнее, чем интернет в других странах. Там есть проблемы с доступом именно потому, что достаточно эффективно блокируются различные VPN-сервисы. Кроме того, в Китае довольно успешно реализована схема, по которой интернет целиком может блокироваться на территории каких-то регионов. То есть по желанию чиновников можно просто отключить какой-то регион. И ваш сайт просто не будет виден на каких-то территориях.

На ваш смартфон приходит лишь одна эсэмэска: "Обратитесь в ближайший полицейский участок"

Еще один важный момент, который сейчас активно тестируется в Китае. Российским чиновникам не очень понятно, что делать с теми же мессенджерами на смартфонах, где применяется end-to-end шифрование. Технологически это очень хорошее решение, и даже если вы контролируете компанию или имеете сервер этой компании на вашей территории, все равно это шифрование не позволяет вам читать сообщения, которыми обмениваются ваши пользователи, потому что оно осуществляется между двумя собеседниками. То, что сейчас пытаются сделать в Китае, и это уже опробовано в Синьцзян-Уйгурском районе это не попытка расшифровывать сообщения мессенджеров, а идентификация тех устройств, на которых установлены такие мессенджеры или VPN-сервисы. Такие устройства просто отключают от сотовой связи. Фактически речь идет не о том, что китайцы так хорошо научились взламывать все эти системы, это не так, просто вы лишаетесь сотовой связи и ваш смартфон становится бесполезным устройством, на которое приходит лишь одна эсэмэска: "Обратитесь в ближайший полицейский участок". И все, больше вы им пользоваться не можете. В этом направлении Китай находится впереди России.

Штаб-квартира Google в Китае

– Существуют ли в Китае сейчас и будут ли существовать после нового закона о кибербезопасности какие-то способы обхода даже такой системы контроля?

Все равно мы имеем дело с гонкой технологий, VPN-сервисы тоже становятся все более и более изощренными. Люди, которые действительно хотят получить доступ к информации, все равно найдут способ получить этот доступ. К сожалению, в нашей стране ситуация несколько другая, потому что российская модель контроля над интернетом, по большому счету, никогда не ставила перед собой целью ограничение доступа, как это ни странно звучит. Если мы хотим найти какую-то информацию в российском интернете, мы можем ее найти, и по ситуации на Украине, и по ситуации на Донбассе, и по ситуации в Сирии. То, что всегда пыталось делать российское государство, это уничтожение интернета как площадки для нецензурируемого обмена мнениями, как площадки для публичных дебатов.

Российская модель контроля над интернетом никогда не ставила перед собой целью ограничение доступа

Если проанализировать дела против блогеров, которые были в России, мы увидим, что речь шла не о том, что люди засветили какую-то сверхсекретную информацию для российского государства. Люди просто обсуждали какие-то темы, которые оказались слишком острыми. Вот это цель, которую ставит перед собой государство. Если задача стоит – уничтожить интернет как площадку для дебатов, то тот набор средств, который сейчас есть в российском государстве, которые они могут получить от Китая, сделает эту задачу более достижимой. Потому что главное, что тут надо сделать, это напугать пользователей. Эта система она основана на самоцензуре и запугивании.

Блокировка сайта LinkedIn стала первым случаем применения закона о хранении персональных данных на территории России. Впрочем, этим сервисом хоть и пользуются многие россияне, но он несравним по числу российских пользователей с теми же "Фейсбуком" или "Твиттером". Как вы думаете, что это было? Последнее китайское предупреждение? Или это обычная российская показуха для отчетности?

Это как раз показатель слабости той модели, которая действовала с 2012 по 2015 год. Потому что модель была основана на запугивании прежде всего компаний, а не пользователей, и здесь закон о персональных данных как раз был эдакой главной дубиной в руках: "Переносите свои серверы, а иначе мы вас заблокируем". Он вступил в силу еще в сентябре, а отчитываться о результатах Роскомнадзору здесь сложно, потому что ни "Твиттер", ни "Гугл", ни "Фейсбук" не спешат подчиняться российскому законодательству. И здесь еще с сентября началась такая странная игра. Роскомнадзор постоянно делал какие-то противоречивые заявления, что они готовы выполнять закон, но не готовы включать в план проверок перечисленные выше три компании или что они не готовы их проверять, по крайней мере, до января. Потом пришел январь, февраль, пришла весна, Александр Жаров (руководитель Роскомнадзора. – РС) появился на российско-китайском форуме и был вынужден как-то отчитываться о том, как у него обстоят дела с переносом серверов. И все, что он сумел сказать, – это похвалить китайские компании за то, что они быстро перенесли свои данные.

Александр Жаров

Все мы прекрасно понимаем, что никто в России китайскими социальными сетями не пользуется, и весь разговор был не об этом, а именно о "Гугле", "Твиттере" и "Фейсбуке". Поэтому мне кажется, что история с блокировкой LinkedIn – это попытка продемонстрировать какие-то успехи, когда хвастаться нечем. Кроме того, тут важно помнить, что идут переговоры о покупке LinkedIn компанией Microsoft, и поскольку Microsoft считается в среде российских чиновников компанией, крайне лояльной российскому государству, видимо, это сподвигло чиновников думать, что LinkedIn им удастся как-то приручить, и это может стать хотя бы первым поучительным примером, позволит сдвинуть ситуацию с мертвой точки.

– Известны ли какие-то имена и фамилии людей, кроме того же Медведева или Жарова, которые участвуют в этом сотрудничестве с Китаем с российской стороны?

Это довольно интересная история. Традиционно этой темой в России занимались, конечно, силовики и сотрудники МИДа, соответствующих департаментов, которые выступали на различных конференциях и продвигали эти вещи – от какой-нибудь "доктрины информационной безопасности" до выступлений на уровне ООН, Шанхайской организации сотрудничества и так далее. В данном случае мы имеем дело с другими людьми. Главную роль здесь играет прежде всего "Лига безопасного интернета" Константина Малафеева и Игоря Щеголева. Собственно, они договорились о приезде Фан Бинсиня в Россию, и они же подписали еще в декабре 2015 года соглашение о сотрудничестве между организацией Фан Бинсиня и "Лигой безопасного интернета". В общем, такое ощущение, что сейчас это и есть та организация, та группа людей, где придумываются новые решения.

Если посмотреть, кто стоял, например, за законом Яровой, называются фамилии того же Щеголева или Николая Патрушева, и в данном случае Патрушев, скорее, видится не как представитель силовиков, а как представитель администрации президента и Совета безопасности. Собственно, он полностью поддерживает эти инициативы и сам в мае этого года встречался с одним из членов китайского политбюро, обсуждая социальные сети и угрозу цветных революций.

– С блокировкой сайтов более-менее понятно, а изменились ли за последние годы методики слежки российского государства за пользователями? Кто и как сейчас осуществляет мониторинг интернета и удалось ли властям добиться "прогресса" в этом вопросе?

Здесь тоже очень интересная история. С одной стороны, мы видим, что технологически система слежки постоянно развивается. Например, в апреле 2015 года вступила в силу новая версия система СОРМ, которая предполагает перехват на уровне приложений. Это значит, что система должна иметь возможность перехватывать сообщения в Yahoo, Gmail и так далее. И в общем, это серьезный шаг вперед для российского СОРМа. Новый СОРМ разрабатывается прямо сейчас, буквально две недели назад был размещен проект новых требований к СОРМу, который должен соответствовать уже "пакету Яровой".

Митинг против пакета законов "Яровой – Озерова" в Москве, август 2016 года

С другой стороны, когда эксперты того же центра "СОВА" и мы смотрели на случаи тюремных сроков блогерам за их критические посты, создалась поразительная картина. Выяснилось, что условно эти дела можно поделить на две части. Эти блогеры становились жертвами по нескольким причинам. Во-первых, почти все они писали в социальной сети "ВКонтакте". Во-вторых, эти люди были активистами, то есть уже находились в каких-то черных списках местных подразделений ФСБ или Центра "Э". В третьих, на них просто писали доносы их собеседники. То есть фактически мы имеем дело с достаточно старомодной, вполне традиционной для России схемой, где технологии не играют никакой роли. Потому что как доносы, так и нахождение в черных списках к интернет-технологиям никакого отношения не имеют.

Доносы к интернет-технологиям никакого отношения не имеют

Я думаю, что в какой-то степени это отражает слабость технологической модели. Об этом говорили уже очень давно, и российские системы мониторинга социальных сетей, например, никак не поражают своей эффективностью, они достаточно слабые. Не говоря о том, что они не позволяют отслеживать ничего в закрытых аккаунтах. Так что пока мы имеем дело, повторюсь, с очень традиционными для России способами идентификации людей, которые, по мнению властей, представляют для них угрозу.

– Какими бы ни были методы слежки, актуальной остается всегда одна и та же проблема – невозможно отслеживать абсолютно всех, это неподъемный ни для одной системы в мире объем данных. Есть ли в этом направлении какие-то разработки, которые Россия могла бы позаимствовать у Китая?

Китай пытается удешевить модель контроля над интернетом, взять ее из России

Здесь как раз происходит обратная ситуация. В отличие от Китая, в России очень небольшое количество цензоров. В том же Роскомнадзоре над этой проблемой работают буквально несколько десятков людей, плюс какое-то количество людей в регионах. В то время как в Китае это десятки тысяч людей, если не сотни тысяч. И как раз Фан Бинсинь, когда он создавал свою "Ассоциацию кибербезопасности Китая", воодушевился опытом "Лиги безопасного интернета", потому что ему показалось, что возможно использовать волонтеров вместо людей, которым приходится платить зарплату и которых слишком много. Поэтому в данном случае мы скорее можем говорить о том, что Китай пытается удешевить модель контроля над интернетом, взять ее из России, нежели о том, что Россия пытается заимствовать китайскую идею десятков тысяч государственных цензоров. Я думаю, что пока, по большому счету, это говорит об одном: ни у Китая, ни у России нет ответа на вопрос, как контролировать огромные массы интернет-пользователей.

– Россия и Китай оказались в одном ряду не только из-за предполагаемого сотрудничества в области интернет-цензуры, но и из-за подозрений в адрес российских хакеров, которые, по словам официальных лиц в США и экспертов, причастны к взлому электронной почты функционеров Демократической партии. Прежде основным источником хакерских атак на американские компании был именно Китай. Есть ли свидетельства того, что китайские хакеры могли поделиться в рамках сотрудничества своими секретами с хакерами российскими?

Насколько я могу судить по моим разговорам с экспертами, которые занимались анализом этих атак на демократов и других атак, которые происходили на территории США, они не видят никакого обмена опытом между российскими и китайскими хакерами, поскольку почерк совершенно разный, действуют они по-разному и цели у них разные. Китайские хакеры в основном заняты промышленным шпионажем. Их деятельность в этом смысле очень масштабна, но с другой стороны, очень предсказуема, предсказуем список целей и то, какого рода информацию они ищут и каким образом собираются использовать. Российские хакеры действуют совершенно по-другому. Они намного более авантюрны, и получая доступ к информации, они не тащат ее куда-то, а выкладывают ее в публичное пространство, потому что задача стоит другая – не промышленный шпионаж, а влияние на общественное мнение. Более того, судя по почерку и тому, что говорят эксперты той же компании Crowdstrike, которая занималась анализом атаки на комитет демократов, даже на уровне технологий российские и китайские хакеры сильно отличаются, и сейчас речь идет о том, что, возможно, российские хакеры находятся даже на более высоком уровне, чем китайские.

Логотип хакерской группы Fancy Bears, за которой, по мнению экспертов и властей США, стоят российские власти

– Если бы вас попросили назвать три самых защищенных от внешнего воздействия способа общения в интернете в российских условиях, что бы вы выбрали? Чем пользуетесь вы сами?

Во-первых, я стараюсь следить за новостями из мира переноса данных, поэтому для меня важно, находится ли тот сервис, которым я пользуюсь, на территории других стран или уже в России. В принципе, я пользуюсь тем же мессенджером "Фейсбука" или мессенджерами типа Telegram или Signal, потому что: а) их серверы находятся не на территории России, б) потому что они используют end-to-end шифрование, которое исключает расшифровку даже в условиях, если спецслужбы получат доступ к серверам этих компаний. И это достаточно простая сейчас вещь. Более того, "Фейсбук" вообще сейчас открыл функцию безопасного чата, при которой не нужно загружать никакого специального программного обеспечения, а нужно просто поставить галочку, и это уже будет достаточно серьезной гарантией того, что эти переговоры не будут прослушаны.

– Есть ли какая-то разница для пользователя, который хочет избежать слежки, в источнике самого интернета – домашний кабель, мобильный интернет, публичный вайфай?

Да, конечно! Самым уязвимым является публичный вайфай. Это, в общем, верно для всего мира, не случайно эксперты по безопасности все время настойчиво предупреждают, что надо вести себя максимально аккуратно в аэропортах, например, потому что это то место, где наиболее часто встречаются персонажи, которые камуфлируют себя под нормальные, законные вайфай-сети, а на самом деле похищают ваши пароли и так далее. Для этого нужно пользоваться VPN-сервисами, которые позволяют вам оставаться невидимыми для людей, которые могут захотеть перехватить ваши переговоры и ваши пароли. В России это особенно актуально, потому что еще за год до Олимпиады в Сочи по настоянию ФСБ у нас были изменены правила таможенного ввоза для оборудования, предоставляющего вайфай, и у нас публичный вайфай менее безопасен, чем, например, в других странах. С этими вещами нужно вести себя крайне осторожно, тем более что по российскому законодательству, как вы знаете, вы еще должны себя идентифицировать, то есть невозможно просто подсоединиться к вайфаю в московском метро, если у вас включен VPN. Приходится выполнять довольно странную процедуру – сначала вы подсоединяетесь, а потом включаете VPN, но вы не можете держать его включенным все время. Но это стоит того, и лучше это делать.

– А мобильный интернет?

Если у вас на смартфоне стоит VPN, это обеспечивает безопасность и мобильного интернета, и вайфая. Это опция, которая, как мне кажется, является сейчас наиболее адекватной. Кроме того, она позволяет еще и обходить цензуру, то есть вы спокойно заходите на те сайты, которые являются заблокированными.

– Недавно по российским соцсетям прокатилась очередная волна сообщений разного рода активистов и политиков о том, что Gmail предупредил их о попытках спецслужб получить доступ к их аккаунту. Как Google понимает, что кто-то пытался вторгнуться в вашу почту, и что это именно спецслужбы?

У Google есть собственные механизмы и алгоритмы, которые оценивают непрерывность атак и их характер, что позволяет им делать вывод о том, что, скорее всего, за атакой стоит государство. Кроме того, в России есть еще и своя особенность, которая заключается в том, что есть такое понятие, как двухфакторная идентификация. Она привязывает ваш аккаунт к номеру вашего мобильного телефона, и если у вас что-то происходит с вашим аккаунтом, то вы получаете предупреждающую эсэмэску. Звучит это вроде бы очень хорошо и безопасно, но, к сожалению, уже было достаточно много случаев, начиная со взлома аккаунтов журналистов "Новой газеты" и заканчивая недавним взломом того же активиста Олега Козловского, когда выяснялось, что какие-то злоумышленники (и мы догадываемся об их возможностях) просто приходили в офисы мобильных операторов и просили выпустить им сим-карты на номера этих активистов.

Сообщение от Telegram, в котором администрация мессенджера объясняет, как мог быть осуществлен взлом его аккаунта:

Таким образом, получалось, что когда они взламывали аккаунты в том же Gmail, эти предупреждающие эсэмэски приходили не активистам, а на фальшивые сим-карты. И это, конечно, очень опасно, потому что вы думаете, что у вас двойная защита, а получается, что вы очень уязвимы. Я бы сказал, что в нашей стране двухфакторной идентификацией пользоваться надо, но желательно избегать присутствия в этой схеме вашего мобильного телефона. Потому что, к сожалению, в нашей стране у разных государственных и окологосударственных структур есть возможность прийти к мобильным операторам и попросить об услуге, и надо учитывать эту опасность. Лучше пользоваться какими-то технологиями двойной идентификации, которые позволяют обойти использование мобильного телефона.

– Новые законы о контроле над интернетом пытаются ввести и развитые страны Запада. В Великобритании, например, сейчас правительство пытается обязать провайдеров хранить всю историю и переписку пользователей в интернете 12 месяцев. Российские власти очень любят ссылаться на западный опыт, вводя очередные запретительные или ограничительные меры. Наверняка они воспользуются этой возможностью и в этот раз, покажут пальцем на Англию. Тем не менее, есть ли какие-то различия между практикой контроля за пользователями в западных странах и в России?

Технологически западные системы онлайн-слежки часто намного более эффективны, чем российская

Это, конечно, ужасно, потому в нашей недавней истории на Англию уже показывали пальцем как на пример когда вводили интернет-фильтрацию в 2012 году, ссылались именно на опыт Великобритании, говоря: посмотрите, в Великобритании тоже есть черные списки сайтов с детской порнографией и так далее, и мы просто делаем точно так же, как в Англии. Сейчас, в 2016 году, мы прекрасно понимаем, чем мы отличаемся от Великобритании, чем отличается блокировка там и блокировка здесь, но такой предлог был использован. Тем не менее, есть разница между системами, которые используются в России и в западных странах. Это довольно любопытная история. С одной стороны, технологически западные системы онлайн-слежки часто намного более эффективны, чем российская. Например, система так называемой "массовой слежки", которую разоблачил Эдвард Сноуден, фактически не существует в России, потому что для этого требуются очень серьезные вычислительные мощности, и хотя законодательство о массовой слежке у нас существует с 2007 года, это так и остается таким пожеланием в воздух – "хорошо бы уметь это делать". С технологической стороны возможности западных стран кажутся даже более страшными, чем то, с чем мы имеем дело в России. Здесь, я думаю, разница заключается прежде всего в количестве, как это ни странно, жертв. Мы хорошо знаем, сколько людей село в тюрьму в РФ в результате прослушивания и слежки. Мы знаем, какое количество активистов прослушивалось. Мы знаем, что телефон Бориса Немцова, например, прослушивался, и прослушки его телефона регулярно выкладывались на разных сайтах. То есть количество жертв известно. С количеством жертв слежки того же Агентства национальной безопасности США или британской радиоэлектронной разведки JCHQ все не так понятно. Возможно, они есть, но это, по крайней мере, не ведет к посадкам в тюрьму и убийствам.

Радио Свобода