1
У россиян растет готовность участвовать в массовых протестах,
хотя доля граждан, считающих возможными такие акции там, где они живут, снижается, следует из майского опроса «Левада-центра». При этом доля респондентов, готовых протестовать против падения уровня жизни (27%), впервые превысила долю тех, кто говорит о вероятности самих протестов (26% против 41% в июле 2018 г.). Минимума с весны 2018 г. достигла и доля тех, кто считает возможными протесты с политическими требованиями (24%), хотя к ним готовы присоединиться 22% (в июле 2018 г., после объявления о пенсионной реформе, таковых было 23%, в марте 2018 г. лишь 6%).
Социологи также выяснили, знают ли россияне о самых громких протестах последнего времени. Больше всего люди информированы об акциях в Екатеринбурге против строительства храма в сквере: 17% внимательно за этим следили и 42% что-то слышали. О протестах против мусорного полигона в Архангельской области и митингах в Ингушетии против изменения границы с Чечней знают или слышали соответственно 35 и 26% опрошенных. При этом среди тех, кто слышал хотя бы об одном из этих событий, доля готовых протестовать составляет 39%.
Люди, лучше информированные о протестах, и сами больше готовы протестовать, говорит директор «Левада-центра» Лев Гудков: «Это не просто информирование, а направленный интерес. При этом готовность участвовать в протестах почти вдвое выше, чем обычно, – это явный признак неканализируемого раздражения. Обычно готовы к экономическим протестам 17–20%, а сейчас – 26–28%». Те, кто готов участвовать в протестах, ждут подкрепления со стороны других, поясняет социолог: «В превращении своего недовольства в публичный факт видится и защита, и действенность. Оценка же возможности протестов ниже, чем год назад, потому что тогда было сильное раздражение из-за пенсионной реформы». Благодаря последним протестам политически активные люди почувствовали, что что-то сдвинулось, добавляет Гудков.
Фонд «Петербургская политика» тоже отметил в своем ежемесячном рейтинге социально-политической устойчивости регионов, что усиление уличной активности стало одной из ключевых майских тем. Но эти акции в основном носят локальный характер и сами по себе не являются признаками надвигающейся серьезной социально-политической турбулентности, считают эксперты: «В то же время на повестке дня естественным образом встает вопрос: имеет ли происходящее сугубо местную природу или следует говорить о том, что наблюдаемое в течение последнего года сочетание социального пессимизма и апатии постепенно сменяется ростом потребности в протестной активности». По их мнению, майские волнения могут и не стать серьезным поворотным моментом, но для управленческой системы протестная активность становится болезненной темой.
Существует конфликт между социологией и текущей повесткой, считает президент «Петербургской политики» Михаил Виноградов: «По текущей повестке весна 2019 г. – самое интенсивное время резонансных протестов. А конкретные протестные события традиционно чувствительнее для политики, чем потенциальная готовность к ним». К тому же участие в протесте нередко может быть спонтанным, как любая эмоция, а особенно негативная, добавляет эксперт: «В целом я бы масштаб этих протестов не преувеличивал: пока еще рано утверждать, что годичное разочарование и апатия завершились запросом на протестные действия».
- От редакции Ведомостей
- Недовольство властью, продавливающей принятые без обсуждения решения, прорывается в самых разных местах
2
ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса»
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram
Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу». Оба собеседника РБК утверждают, что за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram.
Почему «Яндекс» не готов передавать ключи и чем это обернется для компании, разбирался РБК.
Почему ФСБ потребовала от «Яндекса» ключи
«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
В ФСБ не ответили на запрос РБК. В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. В свою очередь, основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.
Что ответил «Яндекс»
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством». Он отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.
Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. «Сама идея сессионного ключа состоит в том, что он не сохраняется. Тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать. В этом смысле хранение и передача сессионных ключей создают определенные риски», — отметил он.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя». Он указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис. «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно», — рассуждает Лукацкий.
Леонид Евдокимов считает, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.
По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. «Иностранные компании, например Google, ФСБ не принуждает к такому сотрудничеству [это временно, imho], поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — говорит он.
Чем грозит «Яндексу» отказ
Непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает «Яндекс» виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.
По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. «В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации», — говорит Дарбинян.
Однако он считает маловероятным развитием событий блокировку сервисов «Яндекса» на территории России, как это было с Telegram. «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — говорит Саркис Дарбинян.
По данным SimilarWeb, число посещений «Яндекс.Почта» в апреле 2019 года составило 432 млн, а «Яндекс.Диск» — 27,32 млн.
По закону «Об оперативно-розыскной деятельности» ФСБ уже на протяжении многих лет может получать доступ к телефонным переговорам граждан или запрашивать у интернет-компаний их переписку, но для этого ей необходимо получать постановление суда. По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров. Еще 6,6 тыс. таких ходатайств было отклонено.
«Получение ключей шифрования и последующего доступа к переписке для ФСБ — более удобная схема, чем идти в суд, просить постановление и лишь затем запрашивать переписку, как это работало ранее. Не вижу никаких логичных и понятных причин, кроме возможного сокращения скорости информационного обмена (то есть отсутствия необходимости ждать постановление суда) и потенциального перехвата сессий для выемки данных и других действий в обход стандартных процедур», — считает Леонид Евдокимов.
У кого еще могут потребовать ключи шифрования
В реестр ОРИ на данный момент включено более 170 сервисов, среди которых Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и др. У любого из этих сервисов ФСБ в какой-то момент может потребовать предоставить ключи для дешифровки переписки пользователей.
Собеседников РБК тревожит включение в реестр ОРИ в январе 2019 года сервиса «Сбербанк Онлайн» — это система дистанционного банковского обслуживания для клиентов Сбербанка.
Включение «Сбербанк Онлайн» в реестр ОРИ выглядит довольно странно, хотя и понятно с точки зрения законодательства, поясняет Алексей Лукацкий. Многое зависит от того, как разделены в этом сервисе функции защиты финансовых транзакций и встроенного мессенджера, из-за которого, собственно, сервис и попал в реестр Роскомнадзора. «Если они шифруются разными ключами, то тогда все более-менее в порядке. Если же нет, то передача ключей шифрования от такого «чувствительного» сервиса — законодательно понятное, но с точки зрения безопасности очень сомнительное решение», — отмечает собеседник РБК. Представитель пресс-службы Сбербанка отказался от комментариев.
No comments:
Post a Comment