Что означает запрет мобильный мессенджер. Выполнимы ли новые правила работы с сервисами

Правительство России вводит новые правила использования мессенджеров. Теперь пользоваться аккаунтом сможет только тот человек, на которого зарегистрирован телефонный номер, привязанный к сервису. Об этом сказано в сообщении кабмина, опубликованном на официальном интернет-портале правовой информации.

Новый порядок вступит в силу через 180 дней. Глава Роскомнадзора Александр Жаров в комментарии «Известиям» рассказал, что это необходимо для создания безопасной коммуникационной среды для граждан.

«Возможность анонимной коммуникации в мессенджерах затрудняет деятельность правоохранительных органов при расследовании преступлений», - подчеркнул Жаров.

По его словам, теперь администраторы мессенджеров будут проверять, действительно ли номер телефона пользователя зарегистрирован на того, кто ведет переписку. На ответ сотовому оператору дается 20 минут. Если данные пользователя совпадут с информацией в базе компании, идентификация будет считаться пройденной. В противном случае сервис должен отказать в предоставлении услуги.

Кроме того, сотовые компании обязаны будут присваивать пользователям уникальный код идентификации, который автоматически сгенерирует мессенджер. В пресс-службе МТС изданию сообщили, что операторам придется провести технические доработки, поскольку сейчас оборудование не отвечает заявленным требованиям. Но ответ на запрос от мессенджера в течение 20 минут, в теории, реализуем.

Почему это важно

• 1 января 2018 года в России вступил в силу закон , обязывающий мессенджеры идентифицировать пользователей по абонентскому номеру. При этом уже после вступления закона в СМИ писали, что он не выполняется, поскольку нет подзаконных актов, прописывающих правила идентификации пользователей.
• За нарушение закона о запрете анонимности в мессенджерах для юридических лиц предусмотрены штрафы до 1 млн рублей.

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится - люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Недавно на «Хакере» был опрос « », и самый популярный ответ (Telegram) серьезно настораживал. Насколько все далеко зашло, если даже средний читатель «Хакера» уже потерял связь с реальностью после атаки маркетинг-хедкраба (на картинке)?

Мы составили список мессенджеров, чтобы посмотреть, как у каждого из них обстоят дела с безопасностью. В подборку пошли как популярные, так и перспективные в плане безопасности программы. Предупреждаем, что углубляться в техническую сторону мы будем настолько, насколько это необходимо для среднего пользователя, не дальше.

Во многом мы повторили путь авторов серии статей Electronic Frontier Foundation под названием Secure Messaging Scorecard , но выбрали другие критерии - на наш взгляд, более важные.

Критерии

FOSS

Распространяется ли исходный код мессенджера на условиях одной из свободных лицензий? Если да, то ведется ли разработка открытым методом? Насколько тесно разработчики взаимодействуют с сообществом? Принимают ли pull request’ы? Все это важно учитывать при выборе.

Степень централизации

Здесь возможен один из трех вариантов:

Возможность анонимной регистрации и использования

Для некоторых сервисов телефон может понадобиться только для защиты от спама при регистрации, соответственно, очень просто использовать сервисы аренды номеров для SMS.

В остальных случаях мессенджер плотно привязан к телефону. Это плохо тем, что если не включена двухфакторная аутентификация, то при получении доступа к этому номеру можно зайти в аккаунт и слить все данные. Но даже если двухфакторка включена, все равно остается возможность удалить все данные с аккаунта. Ну и конечно, это, считай, регистрация по паспорту (используем реалии РФ, других не завезли).

Но не все так плохо. Есть мессенджеры, которые позволяют регистрироваться с использованием почтового ящика или учетной записи в социальной сети. Есть и такие, где учетную запись можно создать в самом мессенджере без привязки к чему-то.

Наличие End-to-End Encryption (E2EE)

Некоторые мессенджеры имеют такую функцию по умолчанию, в других ее можно включить, но есть и те, где сквозного шифрования просто нет.

Синхронизация E2EE-чатов

Опять же эта функция пока что встречается не так часто, как хотелось бы. Ее наличие сильно упрощает жизнь.

Уведомление о необходимости проверки отпечатков E2EE

При старте E2EE-чатов некоторые мессенджеры предлагают проверить отпечатки собеседников, другие не предлагают это открыто. Но не все мессенджеры имеют функцию проверки отпечатков.

Запрет делать скриншот секретного чата

Не самая полезная функция, потому что для обхода запрета достаточно, например, иметь под рукой второй телефон.

Групповые E2EE-чаты

Групповые E2EE-чаты обычно не такая уж необходимая функция, но весьма удобная. Правило «больше двух - говори вслух» стоит оставить для детей.

Уведомление о необходимости проверки отпечатков E2EE в групповых чатах

При добавлении нового собеседника, с которым не сверены отпечатки, в секретный групповой чат не все мессенджеры предлагают проверить его отпечатки. Из-за такого упущения теряется смысл секретных чатов.

Защита социального графа

Некоторые мессенджеры собирают информацию о контактах пользователя и другие данные, например кому звонил пользователь, как долго разговаривал. На эту тему есть .

WWW

Мы выбрали лишь часть критериев, которые могут сыграть роль при выборе мессенджера. Существуют и другие, но не всегда они связаны с безопасностью. Группа ученых из европейских университетов неплохо разложила все по полочкам в работе Obstacles to the Adoption of Secure Communication Tools (PDF). Также всегда полезно знакомиться с результатами независимого аудита, если они есть. Например, в случае с Signal такой аудит проводился (PDF).

Telegram

Лицензия: формально - GPLv3. Однако важная часть разработки закрыта. Если взглянуть на репозитории, то видно, что в последнее время какое-то движение наблюдалось только в вебовой версии. Увы, в таком виде это скорее иллюзия открытости
Степень централизации: централизованный
нет
Наличие E2EE: реализованы, но как дополнение. По умолчанию чаты не шифруются
Синхронизация E2EE-чатов: нет. Секретный чат можно использовать только с одного устройства, с другого доступа к нему уже не будет
нет. Пользователи могут сами зайти в настройки, чтобы сравнить отпечатки
есть, но работает не на всех устройствах
Групповые чаты E2EE: нет
Защита социального графа: нет

Мессенджер, созданный командой Павла Дурова, построен на технологии шифрования переписки MTProto. На данный момент частично заблокирован на территории России, но эта блокировка - отдельная тема для разговора.

Мессенджер неоднозначный. Вокруг него много шума, но оправдан ли он? Доступа к исходникам нет, чаты по умолчанию не шифруются, нет защиты социального графа (все твои контакты хранятся на серверах Telegram), нет групповых E2EE-чатов, E2EE-чаты не поддерживаются в настольной версии программы, только в мобильной, мессенджер централизованный, сообщения хранятся на сервере (и они, как уже было отмечено, не зашифрованы), и при всем этом отсутствует возможность анонимной регистрации.

Если ты хочешь использовать Telegram, то для защиты переписки не забывай создавать секретные чаты. В мобильной версии для этого нужно выбрать команду New Secret Chat. Из настольных версий секретные чаты поддерживают только некоторые (например, один из двух клиентов для macOS).

В секретном чате сообщения шифруются и не хранятся на серверах мессенджера. Также нельзя сделать скриншот секретного чата, но ничто не мешает сфотографировать такой чат с экрана.

Signal

Лицензия: AGPLv3
Степень централизации: централизованный
Возможность анонимной регистрации и работы: нет. Кроме номера телефона, других вариантов нет
Наличие E2EE: есть
Синхронизация E2EE-чатов: есть
Уведомление о проверке отпечатков E2EE: нет. Пользователям предлагается сосканировать QR-коды друг у друга или сравнить отпечатки
Запрет на скриншоты секретных чатов: можно включить или выключить
Групповые чаты E2EE: есть
Уведомление о необходимости проверки отпечатков E2EE в групповых чатах: нет
Защита социального графа: есть

Мессенджер Signal разработан американским стартапом Open Whisper Systems, где, кроме двоих основателей, работает всего несколько человек. Для шифрования сообщений используется созданный специально для него криптографический протокол - Signal Protocol . Он применяется для сквозного (end-to-end) шифрования звонков (голосовых и видео), а также обычных сообщений. Протокол Signal с тех пор стали использовать и другие мессенджеры: WhatsApp, Facebook Messenger, Google Allo.

Казалось бы, в этом случае любой мессенджер может стать таким же безопасным, как и Signal. Но, как показывает практика, - нет. В отличие от Signal, где шифрование включено по умолчанию, в этих мессенджерах оно выключено. Для его включения в Facebook Messenger нужно активировать Secret Conversations, а в Google Allo - режим инкогнито (Incognito Mode).

Хоть Signal и централизованный, но код открыт и распространяется по свободной лицензии. У Signal есть поддержка групповых E2EE-чатов, защита социального графа, поддерживаются исчезающие по таймеру сообщения .

Однако не стоит путать защиту с анонимностью. Signal не анонимен: при регистрации нужно указывать номер телефона, к которому мессенджер и привязывается. Что касается исчезающих сообщений, то эта фишка встречается и в других мессенджерах, например в Viber и Telegram (в меню секретного чата нужно выбрать команду Set self-destruct timer).

Роскомнадзор решил внести в список запрещенных в России сайтов мессенджеры BlackBerry, Imo, Line и видеочат Vchat. Пока сайты приложений доступны

Фото: Shizuo Kambayashi / AP

Роскомнадзор внес в реестр запрещенных сайтов мессенджеры BlackBerry, Imo, Line и видеочат Vchat. Об этом «РИА Новости» рассказал пресс-секретарь ведомства Вадим Ампелонский.

Он пояснил, что Роскомнадзор совместно с правоохранительными органами «планомерно наполняет реестр организаторов распространения информации».

Ранее на внесение сайтов мессенджеров в реестр обратила внимание организация Роскомсвобода. В этом списке находятся некоторые IP-адреса приложений и их сайты. По состоянию на 15:44 2 мая порталы всех четырех мессенджеров открывались.

Роскомсвобода предполагает, что внесение мессенджеров в реестр связано с тем, что их владельцы отказались предоставлять данные пользователей согласно закону «О персональных данных». РБК обратился с запросом в Роскомнадзор за пояснением причины блокировки.

BlackBerry Messenger был создан в августе 2005 года. Приложение доступно не только на телефонах BlackBerry, но и на смартфонах с операционной системой Android, iOS или Windows. На сайте мессенджера указано , что приложение скачали более 100 млн раз.

В середине апреля , которое было популярным у дальнобойщиков и активистов. Ведомство объяснило свое решение тем, что владелец сервиса, американская Zello Inc., вовремя не предоставил российским властям данные для включения в реестр организаторов распространения информации (ОРИ).

В самой компании требования ведомства назвали абсурдным. Операционный директор Zello Russia ​Вероника Заславская в беседе с РБК , что около 400 тыс. человек использовали это приложение в России.

С 1 января 2018 года начнут действовать новые правила использования мессенджеров. Все пользователи должны будут указывать свой номер мобильного телефона при регистрации и работе с любыми программами, в которых есть возможность обмениваться сообщениями. Это требования Федерального закона "Об информации, информационных технологиях и о защите информации". Инициаторами поправок стали депутаты сразу трех фракций – «Единой России », «Справедливой России» и КПРФ .

Согласно этим изменениям, мессенджеры теперь должны будут:

· Идентифицировать своих пользователей (то есть фактически запретить пользоваться сервисами анонимам)

· Рассылать общественно-важную информацию по решению органов власти

Главная наша цель - обезопасить граждан, с учетом сегодняшней обстановки, - говорит Марина Мукабенова , депутат Госдумы от «Единой России». – В таких мессенджерах могут появляться террористические группы и вестись спам-атаки.

Мессенджеры должны будут блокировать сообщения с рекламой терроризма, наркотиков и детской порнографии. И по запросу властей распространять общественно значимую информацию, например, сводки МЧС об экстренном ухудшении погоды.

Что изменится для пользователей

Сейчас регистрироваться в сервисах можно по адресу электронной почты. То есть фактически обезличенно. Но многие мессенджеры уже ввели авторизацию через смс . Время от времени компании проверяют, не сменил ли юзер номер телефона – пользователю предлагается ввести свой текущий номер. После чего на него приходит смс с подтверждающим кодом или ссылкой. С 1 января это авторизация станет правилом для всех.

Передавать мгновенные сообщения смогут лишь пользователи, идентифицированные на основании абонентского номера и соответствующего договора, - объяснил генпрокурор России Юрий Чайка.

Зачем это государству? Чтобы по требованию получить персональные данные пользователя, против которого, например, проводится расследование.

Какие проблемы возможны

1. "Мессенджер" - размытое понятие. Технически под это определение – «информационно-коммуникационный сервис» - попадают не только Telegram и другие, но и чаты на сайтах (например, с онлайн-консультантом) и в играх. Похоже, что решать, на кого распространяется запрет, будет Роскомнадзор – по его предписанию компании должны будут привести свои сервисы в соответствие с новыми требованиями.

2. Сим-карта может быть оформлена на "левых" людей.

Много сим -карт продают «в черную», - приводит пример гендиректор агентства бизнес-разведки «Р-техно» Роман Ромачев . - На любом рынке можно купить номер телефона, который зарегистрирован на юридическое лицо. И полиция пока не особо с этим борется. Этот бизнес надо пресекать, иначе террористы обойдут запрет.

Кроме того, мошенники могут использовать и «мертвые души» - оформить сим-карту на того человека, который ей никогда не воспользуется (например, на одинокую старушку в глубинке или на бомжа).

3. Менять аккаунт при переезде?

Даже у легальных пользователей могут возникнуть проблемы.

Привязка к телефонному номеру – это рудимент, – уверен генеральный директор компании Biolink Евгений Черешнев. - Во-первых, номер привязан к региону – а это дополнительные проблемы с идентификацией при переезде. Во-вторых, настоящим преступникам нет смысла пользоваться популярными мессенджерами – с помощью технологий открытого кода создать свой собственный чат (имеется ввиду собственный мессенджер - Ред.) может любой желающий. В-третьих, неизвестно, что делать иностранцам, у которых нет российских сим-карт и чьи данные неизвестны нашим операторам. Есть проблема и с терминацией номеров, когда номер долго не используется, и его передают новому владельцу. Купив новую симку, владелец может получить вместе с ней и весь груз оформленных на нее аккаунтов. Поэтому и возникают такие чернушные ситуации, когда, например, в мессенджере "светится" онлайн уже умерший человек.

4. Можно сделать "подставной" номер.

Сегодня есть множество сервисов, которые позволяют создавать виртуальные телефонные номера. Можно даже создать номер всего на 10 минут, после чего он уничтожится. Но этого времени вполне достаточно, чтобы любые злоумышленники отправить множество сообщений.

Можно, конечно, и эти сервисы обязать отчитываться перед государством, передавать все данные о каждом пользователе. А если это не российские компании? Тут уже возникает масса дополнительных сложностей.

5. Это не панацея от продавцов наркотиков и террористов.

Сами мессенджеры, например, те же Viber и Telegram, не могут читать переписку пользователей и отслеживать, есть ли там что-то про наркотики и терроризм.

Существует два режима общения: обычные чаты, использующие шифрование клиент-сервер, и секретные чаты, использующие оконечное шифрование и защищённые от атак посредника, - объясняют в Telegram . – В обычных чатах сообщения шифруются на стороне отправителя, проходят через сервер зашифрованными, и расшифровываются уже на стороне получателя. То есть, специалисты Telegram видят, что два человека общаются, но не знают, о чем эти сообщения. В режиме секретных чатов есть дополнительная опция – визуальные ключи, которые отображают коды шифровки. Пользователи могут сравнить их и убедиться, что их переписку никто не перехватил. В таких чатах сообщения не могут быть пересланы, они хранятся только на самих устройствах, и самоудаляются с них спустя определенное время.

Кого и как накажут

Штраф физическим лицам - от 3 до 5 тысяч рублей

Должностным лицам – от 30 до 50 тысяч

Юридическим лицам - от 800 тысяч до 1 миллиона рублей.

Мессенджеры могут заблокировать – временно, до устранения нарушений, или «пожизненно».

Но крупным сервисам нет смысла менять алгоритмы шифрования ради российских пользователей. По оценкам экспертов, российская аудитория того же WhatsApp составляет не более 2%. Так что компаниям может оказаться проще уйти с российского рынка, чем менять код и оборудование ради изысков законотворчества.

СКАЗАНО

"Уровень сотрудничества Telegram с властями не зависит от юрисдикции и везде строится на одних и тех же принципах. В отличие от своих российских коллег, индонезийские государственные службы не требовали от нас доступа к личной переписке.

Во всем мире, включая Россию, Telegram обрабатывает запросы на удаление публично доступного противоправного контента, содержащего пропаганду терроризма, детскую порнографию и т. д. Вместе с тем, ни в одной стране мы не выдаем личные данные пользователей государственным органам.

Хотя весомая доля аудитории Telegram приходится на более консервативные страны, чем Россия, только в России Telegram был оштрафован за непредоставление ключей шифрования сообщений. Это единственный подобный прецедент за 4 года работы Telegram на глобальном рынке".

А КАК У НИХ

Обязательная идентификация работает и в других странах мира. Например, в Китае пользователи местных микроблогов обязаны указывать при регистрации свои государственные идентификационные номера. Международные сервисы, такие, как Facebook или WhatsApp , формально запрещены, но работают там только через приложения-анонимайзеры. Но с июня 2017 года в КНР вступил в силу закон, который запрещает и их.

Аналогичный запрет на анонимность в интернете есть и в Швеции . Местное правительство ввело его еще в 2011 году.

А вот США и Германия , напротив, отстаивают право на анонимность – на уровне судебных разбирательств.

КСТАТИ

Глава Роскомнадзора заявил, что анонимности в интернете не существует

Руководитель Роскомнадзора Александр Жаров заявил, что в интернете нет анонимности. По его словам, современные технологии позволяют определить личность по различным прямых и косвенных идентификаторов: голос, лицо, поведение в сети, регулярно посещаемые ресурсы и геолокация ()