megavolt0

На волне хайпа новости о запрете VPN и анонимайзеров и почитав вносимые поправки в законодательство, я направил в Роскомндзор письмо, с просьбой разъяснить: что всё-таки можно, а что нельзя. И на сколько новые требования распространяются на частное применение технологий VPN и проксирования. И вот, через некоторое время, я получил ответ.

Собственно вот текст моего запроса (направлен через форму обратной связи на сайте регулятора):

Добрый день.
Прошу дать разъяснения по поправкам, вносимым 276-ФЗ от 29.07.2017г.
Зарубежные ИТ-компании предоставляют любому лицу, в том числе гражданам РФ, возможность аренды виртуального или физического сервера (далее — сервер) подключенного к сети Интернет для личного пользования (отказоустойчивые сервисы хранения инфорамации, совместной работы/игры и пр). Для защиты передаваемой личной информации граждане часто применяют VPN (Virtual Private Network) с принудительным шифрованием. Т.е формируется закрытый канал связи между абонентским оборудованием на территории РФ и сервером за пределами РФ. Такой сервер может выступать в качестве шлюза в сеть Интернет для VPN. При этом фильтрация трафика российскими провайдерами с целью ограничить доступ к забокированным интернет-ресурсам становится не возможной.
В результате граждане невольно могут получить доступ к заблокированным на территории РФ интернет-сайтам: зарубежные компании, не имея представительства в РФ, не исполняют требований законодательства РФ.
Поправки к 149-ФЗ от 27.6.2006г. возлагают ответственность за ограничение доступа к информационным ресурсам, доступ к которым ограничен на территории РФ на владельцев информационно-телекоммуникационных сетей, информационных ресурсов (далее ИТ-сетей), посредством которых обеспечивается доступ к сети Интернет и к заблокированным ресурсам.
Прошу Вас разъяснить:

1. Кто в описанной выше ситуации, с точки зрения 149-ФЗ, является владельцем ИТ-сетей, посредством которых становится возможным доступ к заблокированным ресурсам: организация, предоставившая в аренду сервер или лицо использующее арендованные ресурсы для создания VPN в личных целях, не связанных с предоставлением оплачиваемого доступа к VPN третьим лицам?
2. Как будет определятся сам факт наличия доступа к заблокированным ресурсам у граждан, создавших и использующих описанные выше VPN?
3. Какое наказание понесут владельцы ИТ-сетей из вопроса №1? Какие меры принуждения к исполнению 149-ФЗ будут использоваться?

Может где-то и не очень юридически грамотно, но я постарался написать так, чтобы суть моего запроса была понятна широкому кругу лиц. В ответ я получил следующее:

Ну что, вам всё понятно? Мне — нет. Кто такой «владелец информационной системы или программы для электронных вычислительных машин»? Тот, у кого права на ПО? Т.е. разработчик, например, OpenVPN? Тот, кто установил OpenVPN на свой VPS ну никак не может быть владельцем ПО.

Далее, вот эта фраза «определяет провайдера хостинга или иное лицо, обеспечивающее размещение в сети «Интернет» программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен». Хостинг VPS изначального не обеспечивает доступ к запрещенным ресурсам. Он просто даёт в аренду виртуальную машину и канал связи. А вот как эта машина будет настроена, зависит от арендатора. У меня складывается стойкое ощущение, что тот, кто писал этот ответ, не понял вопрос. Что, тот кто писал ответ, про Интернет знает только, что там есть «сайты и(или страницы», что VPN бывают только публичные, а VPS и VPN — это одно и то же. Что тот, кто писал ответ, попросту технически не компетентен в вопросах ИТ и ЗИ.

А вот эта замечательная фраза «операторы связи, оказывающие услуги по предоставлению доступа к сети «Интернет», в течение суток с момента получения по системе взаимодействия информации, обязаны ограничить на территории Российской Федерации доступ к …». По какой системе взаимодействия они прикажут хостеру за пределами РФ? Да он просто не поймёт, что они хотят. И как он может «ограничить на территории Российской Федерации доступ» если его самого на этой территории нет. И его каналов нет. Ничего у него на этой территории нет.

Лично мне, после такого ответа, понятнее не стало, но, возможно, я не правильно читаю. Если у Вас есть аргументированное и понятное толкование приведённого выше ответа регулятора, прошу писать в комментариях.

Источник.

В своих статьях я не раз обращал внимание, что любые сторонние сервисы VPN или proxy являются анонимными только в рекламных слоганах. Все громкие слова макетологов об анонимности и отсутствии логов — это ложь. Вашу статистику будут собирать. А в худшем случае ещё и продавать. Вот очередное этому подтверждение.

Некий Райан Лин (Ryan Lin), 24-х лет от роду, проживающий в штате Массачусетс (США) занимался киберпреследованием (то есть преследованием в Интернете) некоей женщины. Он, используя социальные сети, мессенджеры, электронную почту, угрожал ей, писал гадости и прочее. Для сокрытия личности злоумышленник применял ProtonMail, VPN-сервисы и Tor.

На поиск злодея ФБР потратила год. Для начала им удалось наткнуться на бывший рабочий компьютер бывшего работодателя Лина. Хотя компьютер переустановили, агентам удалось найти следы использования коммерческих VPN. Дальше было совсем просто. Лин пользовался услугами PureVPN и WANSecurity — это VPN-провайдеры, берущие плату за обеспечение анонимности своих пользователей. По крайней мере так написано на их сайтах. Тем не менее, как оказалось, оба провайдера вели и ведут журналы активности пользователей. Их они и передали агентам ФБР. Благодаря журналам были вычислены почтовые ящики Gmail Лина. Один из этих ящиков и использовался для рассылки угроз. PureVPN оказал агентам ключевую помощь в определении связи между рабочим и домашним IP-адресами.

Я категорически рад, что злодея поймали, а женщину оградили от преследования. Но вот анонимности у коммерческих VPN-сервисов нет от слова совсем. Только свой, личный VPN-сервер позволит исключить ведение логов сетевой активности. Конечно, одной этой меры не достаточно. Но и этого не мало. Как сделать свой VPN-сервер, читайте здесь.

Не так давно я опубликовал гневный опус про плохую работу отечественного хостера RuFOX. И эта ситуация показательна для отечественных ИТ-сервисов в целом. Уж поверьте моему опыту. А почему у «них» не так? А вот почему.

На днях Федеральная комиссия по связи США (FCC) вынесла решение о взыскании штрафа и неустойки с провайдера услуг связи Sorenson Communications. В вину провайдеру вменено опоздание с продлением доменного имени, которым пользуется служба спасения 911. Размер штрафа, как уже догадались, $3 миллиона.

Из-за нарушения, допущенного провайдером, стала не возможной работа сервиса видеовызовов, который все провайдеры США обязаны предоставлять людям с нарушениями речи и слуха для связи с операторами 911. Использую сервис, люди с ограниченными возможностями могут общаться с оператором языком жестов.

Срок регистрации домена истёк 6 июня этого года. Провайдер, которому было поручено автопродления (прямо как в моём случае), не заметил эту проблему. Сервис видеовызовов не работал почти три дня. Делегирование домена было возобновлено 8 июня.

Комиссия определила, что виновный провайдер должен заплатить штраф $252 тысячи, а также выплатить неустойку в размере $2,7 миллиона фонду TSRF, через который субсидируется все системы видеовызовов операторов 911 в США.

А какой бы штраф заплатил RuFOX в моём случае. Смотрим КоАП и видим: 30 тысяч рублей максимум. Смешно в сравнении, не правда ли?

Сегодня не про VPN, но про хостинг.  Если вы решите завязать какие-либо свои сервисы на хостинг от RuFox, то остановитесь и подумайте.

Так уж сложилось исторически, что для некоторых своих сервисов я пользуюсь краснодарским хостингом от RuFox. Оплачиваю исправно.

В последнее время наблюдаю деградацию качества сервиса и при неизменной цене. Хотя конкуренты подешевели и существенно. Постепенно я перетянул хостинг сайтов в другие дата-центры, но хостинг DNS остаётся у RuFox. Казалось бы, что можно накосячить с хостингом DNS?

Можно! Сегодня я получил такой письмо:

Скажите: сам виноват, не оплатил, не продлил. Смотрим в админку:

О как! А по сведениям RuFox домен активен и оплачен. И автопродление включено. Деньги на счету есть (кстати в зелёном прямоугольнике счёт, который я прошу отменить уже более полугода). Наверное денег мало? Смотрим:

Денег достаточно. Кнопку "Продлить" можно нажимать хоть до посинения, ничего не происходит.

Вы скажете, megavolt0, ты деньги только что положил, вот тебе и не продлили. Смотрим:

10.08.2017 года. Полтора месяца назад. И позвонил (запись разговора имеется) и попросил продлить. И попросил в очередной раз отменить зависший счёт.

Ну что сказать, мой домен в заложниках у не компетентных и необязательных людей. Конечно же я перенесу всё от RuFox на другие хостинги. И конечно же они будут не в России. Российским сервисом я наелся (это не только к RuFox относится).

Пост не плюсов ради, хотя и прошу поднять в топ. Комментарии для минусов внутри.