Мы все под колпаком у… – Владислав Здольников о борьбе с государством за анонимность в Сети
Интернет в России (да и не только в России) давно уже перестал быть анонимным. Государство может довольно просто получить информацию о почти любой деятельности пользователя в Cети. А еще эта деятельность все сильнее ограничивается. И все больше интернет-ресурсов блокируются чуть ли не с каждым днем.
Кто-то хочет сохранить анонимность при использовании Интернета. А кто-то – сохранить возможность свободно им пользоваться. Мы поговорили с Владиславом Здольниковым, создателем VPN-сервиса Red Shield и бывшим IT-консультантом ФБК, чтобы узнать, как избежать идентификации личности при использовании криптовалют и анонимных браузеров, и может ли государство заблокировать вообще все.
Насколько анонимны криптовалюты? Как можно связать транзакции с личностью пользователя?
Миф об анонимности криптовалют, к сожалению, существует. Информация обо всех транзакциях хранится в блокчейне, доступ к которому есть у любого пользователя Интернета. Если вы пользуетесь одним криптокошельком, а его адрес есть в открытом доступе, то узнать о ваших транзакциях может каждый. Но даже если вы не выкладываете адрес своего кошелька, сохранить анонимность может быть сложно. В особенности проблемы с анонимностью возникают при использовании бирж. Большинство людей пользуются криптовалютой через биржи, храня ее на так называемых кастодиальных кошельках, которые на самом деле не совсем принадлежат пользователю. Деньги хранятся на самой бирже – у третьей стороны. И если криптовалюта как-то завязана на фиатные (в этом контексте – выпущенные правительствами – ред.) деньги, то все биржи будут знать все ваши личные данные. В рамках процедур по установлению личности они запрашивают, например, документы. Таким образом, можно привязать транзакции или хранение криптовалют к вашей личности. Но даже при пользовании локальным кошельком, все равно производятся транзакции, по которым можно установить личность человека. Например, если используется локальный кошелёк, то при какой-либо транзакции в блокчейне отражается IP-адрес. Если не использовать средства анонимизации интернет трафика (VPN), то даже при использовании локального кошелька можно связать транзакции с компьютером, с которого они производятся, и, соответственно, с личностью. В целом, если мы говорим об анонимности для российского правительства, если вы не собираетесь нарушать международное законодательство, то такой уровень многие биржи могут вам обеспечить. Основное исключение - Binance. Эта биржа сотрудничает с российскими властями. Именно благодаря этому ему и позволяют свободно работать в России. Если мы говорим именно в контексте рисков, связанных с российским государством, то просто следует избегать Binance, с осторожностью использовать другие биржи, для покупки и вывода криптовалют пользоваться проверенными обменниками, гарантирующими анонимность. Их, например, можно найти на сайте BestChange (рейтинг криптовалютных серых обменников). В целом, этого будет достаточно, чтобы не иметь проблем с российскими властями.
Можно ли покупать криптовалюту, не связав свой криптокошелек с банковским счетом?
Я не слышал о каких-либо проблемах при использовании обменников с BestChange. Но если хочется дополнительного уровня анонимности, то при получении криптовалюты при покупке нужно указать не свой локальный криптокошелек, а адрес какого-нибудь биткоин-миксера, например Tornado Cash, и через него уже направлять криптовалюту на свой кошелек. Это стоит некоторый процент, но при этом анонимность вашего кошелька значительно повышается. Но при этом российские власти все равно прекрасно понимают, что происходит. Человек переводит с карты на карту деньги – власти догадываются, что он, возможно, купил криптовалюту. Но куда она приходит дальше, на какой кошелек, понять будет уже сложнее.
Какие-то криптовалюты гарантируют большую анонимность?
Да, это так. Это связано с особенностями реализации блокчейна криптовалюты. Например, у Monero блокчейн, в отличие от почти всех блокчейнов, которые мы знаем, заточен не на максимальную прозрачность, а, наоборот, на запутывание транзакций. Не на то, чтобы любой пользователь интернета мог увидеть любую транзакцию по любому кошельку (как это происходит с большинством криптовалют), а на то, чтобы все было запутано и усложнено. Monero – самая популярная криптовалюта с таким упором на анонимность. Но опять же, если мы говорим не про нарушения международного законодательства, а про безопасность в контексте российских властей, то прибегать специально к Monero – избыточные меры. Не обязательно с этим заморачиваться, если хочется избежать рисков связанных с российским законодательством. Можно спокойно пользоваться Bitcoin, соблюдая уже описанные меры безопасности: не работать с Binance, покупать криптовалюту не через встроенные в биржу механизмы, а через обменники.
Анонимные браузеры всегда анонимны? Можно ли идентифицировать личность человека, пользующегося Tor?
Снова вопрос – кто может идентифицировать? Может ли деанонимизировать пользователя Tor американское ФБР? Если очень захочет, то да. Может ли это сделать российское государство? Даже если очень захочет – скорее всего, нет. Просто потому что у него нет достаточных инструментов, возможностей коммуникации с другими спецслужбами. Но есть еще один аспект – что в Tor делает сам пользователь. Почти все случаи деанонимизации пользователей Tor связаны с ошибкой самого пользователя. Чтобы этого не случилось, надо соблюдать правила по отвязке своих анонимных или псевдонимных аккаунтов от основных. Ни в коем случае нельзя заходить из анонимного или псевдонимного окружения в настоящие аккаунты, либо в аккаунты, в которые вы заходили из основного окружения. Под окружением подразумевается операционная система, браузер, способ выхода в интернет. Если железобетонно соблюдать это правило, то при использовании операционной системы Whonix и встроенного в нее Tor идентифицировать вашу личность будет невозможно. Но еще раз – если страшным образом нарушить законодательство США, например, или Британии (говорю о них, как о государствах с сильными спецслужбами), то даже в этом случае они, скорее всего, смогут вас идентифицировать.
Можно ли пользоваться VPN как средством анонимизации?
VPN не являются средством анонимизации. VPN-сервисы всегда имеют конкретные точки входа и выхода трафика. Почти весь трафик, который проходит через российские интернет-соединения? пишется на некоторое время с помощью системы СОРМ-3. Понимая, куда выходил трафик и откуда он пришел (например, если пользователь из России обращался к российскому ресурсу), очень просто можно установить личность пользователя. VPN хорош для того, чтобы защитить ваш трафик от прослушки местными спецслужбами или третьими лицами – провайдерами, хакерами. Он хорош, чтобы обходить блокировки. Но не более того. Как владелец VPN-сервиса скажу, что девять из десяти VPN-сервисов достаточно долго хранят информацию о том, кто и когда к какому ресурсу обращался, именно для того, чтобы в случае претензий к VPN-сервису перенести этот удар с себя на пользователя. Когда из американской или европейской полиции приходит запрос к компании, арендующей серверы, через которые пользователи выходят в интернет, обычно компания предоставляет все требуемые данные. Иначе проблемы будут уже у самой компании. Именно поэтому владельцы VPN-сервисов пишут трафик. При использовании Tor анонимность гораздо выше, потому что трафик проходит через множество промежуточных узлов в разных странах.
Может ли российское государство заблокировать весь VPN?
Активные действия по блокировке VPN-сервисов российское государство предпринимает с сентября прошлого года в связи с «Умным голосованием». Как и предполагалось, большинство сервисов не принимает по этому поводу каких-либо действий. Потому что их политика, их архитектура заточена на работу на мирных рынках, где нет проблем с властями. Люди в основном используют VPN, чтобы посмотреть Netflix на интересующем их языке или купить какую-нибудь игру якобы из другого региона, где она дешевле. Те сервисы, которые больше заточены именно на обход блокировок, например, наш сервис Red Shield, предпринимают некоторые действия, чтобы остаться доступными. Но надо понимать, что доступными они остаются только благодаря тому, что пока нет политической воли на блокировку всех сервисов. С сентября прошлого года было несколько волн, когда государство тестировало, что же оно может сделать против VPN-сервисов, насколько это снизит VPN-трафик, количество пользователей VPN в России. Видимо, власти сделали некоторые выводы, но при этом на полную мощность блокировку VPN они не включают по разным причинам. Во-первых, думаю, нет политической воли на это. Во-вторых, опасаются проблем с доступом к мирным ресурсам, ухудшения работы интернета в России в целом. При желании, конечно, 99% VPN-сервисов заблокировать государство сможет. И 99% сервисов делать с этим ничего не будут, потому что это слишком дорого. Даже те сервисы, которые привыкли обходить блокировки, – в Китае таких много, например, - не будут бороться за российский рынок, просто потому что из России оплатить подписку на них почти невозможно. Может, бороться будет какой-нибудь Psiphon, мы тоже попытаемся. Но на этом все. Резюмируя, если российское государство этого захочет – 99% VPN-сервисов для всех пользователей в России будет недоступно. Я думаю, это может произойти в какой-то острый момент. Например, в случае массовых уличных протестов России. Но пока что такого решения нет.
Можно ли заблокировать интернет-ресурс так, чтобы зайти на него из России стало невозможно даже при использовании VPN?
На данный момент все блокировки обходятся с помощью VPN. Сделать так, чтобы зайти на какой-то сайт из Росси было нельзя в принципе, возможно только в случае блокировки всех VPN-сервисов.
Роскомнадзор нарастил силы? Возможна ли сейчас успешная блокировка Telegram?
Сейчас справиться с блокировками Telegram будет сложнее. Telegram со времен последних попыток блокировки стал гораздо тяжелее. Чем больше трафик, тем сложнее обходить блокировки, а аудитория Telegram с тех пор стала больше в несколько раз. По моим прикидкам – раз в десять, скорее всего, даже больше. К тому же Telegram из мессенджера превратился в полноценную контент-площадку. И вес относительно трафика каждого пользователя вырос раз в пять. И если раньше этот трафик можно было легко пропустить через разные облака, то сейчас это будет гораздо сложнее. Во-вторых, к сожалению, из-за политической ситуации в США не совсем понятно, какие облака будут готовы принять Telegram. Потому что принципиальной помощи в обходе блокировок нет в политическом плане. Облака ни Amazon, ни Google не будут готовы принять ресурсы Telegram, чтобы помочь ему обойти блокировки в России. Например, я достоверно знаю, что Appstore и Google ставили Telegram перед ультиматумом с целью удаления «Умного голосования». К сожалению, опираться на американский BigTech больше нельзя. Третий фактор – за эти три года с момента последней попытки блокировки у российских властей появился DPI под управлением государства, с помощью которого можно блокировать не только IP-адреса, к которым обращается Telegram, но и протоколы. По моим данным, у них достаточно неплохо получается блокировать один из протоколов маскировки Telegram. Но какие-то новые протоколы маскировки блокировать пока что не получается. Telegram будут блокировать. И, думаю, он будет пытаться это обходить. Сможет ли – это большой вопрос.
Возможно ли в России создание «суверенного» Интернета?
Я не думаю, что у российского государства есть цель изолировать интернет дольше, чем на время каких-то отдельных острых событий. В таком случае, если изолировать все на пару дней, интернет просто не будет работать. Мы уже видели такое в Белоруссии и в Казахстане. Но теоретически долговременная изоляция Интернета возможна. Нормальную работу внутренних ресурсов в условиях изолированного интернета получится наладить в течение двух-трех месяцев с начала изоляции. Потом, конечно, все еще будут оставаться какие-то проблемы, но работать это, в целом, будет. При этом я не думаю, что у государства в ближайшее время появится цель изолировать интернет. Пока что его устраивает, что какой-то процент российских пользователей (максимум 30%) пользуется какими-то средствами обхода различных блокировок. Но если вдруг такое решение примут, то в течение двух-трех месяцев все внутренние ресурсы кое-как нормально заработают и выйти на какой-нибудь внешний ресурс будет невозможно. Средства обхода блокировок работать тоже не будут.