Про небезпеку впровадження тоталітарних механізмів в інтернеті (навіть тимчасово, навіть зважаючи…

(навіть тимчасово, навіть зважаючи на гібридну війну)

Як завжди після лівацьких постів на захист свободи слова та доступу до інформації, я отримав цілу купу критики. В основному через те, що в позиції не враховані гібридна війна, пацакська агресія та інші обтяжувальні обставини, в яких зараз опинилася наша держава.

Справді, нормальний режим функціонування демократії може перериватися на тимчасові військові або надзвичайні стани. В ці періоди діє окрема форма суспільного договору: на цей час народ жертвує певними правами заради якнайшвидшого завершення війни або кризи, ліквідації наслідків стихійного лиха тощо. Деколи держава цим зловживає та встановлює військовий чи надзвичайний стан саме для того, щоб придушити мирні демонстрації народу, який прагне здобуття чи відновлення певних прав.

Важливою особливістю військового та надзвичайного станів є те, що з їхнім завершенням тимчасово обмежені права та свободи автоматично відновлюються. Обмеження ж прав в «нормальному» режимі становить суттєву загрозу, про яку власне й мова. Але ж у нас ситуація інша, дорікають мені, у нас гібридна війна.

Моя думка: війна це явище тимчасове та спрямоване на вирішення ситуації за допомогою силових методів, коли мирні, політичні засоби вже не працюють. У нас не так. У нас — на всю голову відморожений сусід, який використовує силу не для вирішення ситуації, а для її створення. Я не буду зараз робити екскурс в історію пацакстану для тих, хто пропустив останні 18 років. Обмежуся лише тим, що на даному етапі розвитку диктатури в РФ їхньому уряду потрібен зовнішній ворог. Бажано, хтось дуже злий, щоб на фоні цього антагоніста пуйло виглядало більш-менш пристойно. Зараз негативний імідж «Київської хунти» підтримується в свідомостях росіян здебільшого за допомогою інтенсивної пропаганди. Та чим далі стежкою закручування гайок піде український уряд, тим легше Кремлю буде досягати своєї мети. І триватиме це стільки, скільки пуйло при владі, тобто ми не можемо вважати це тимчасовим явищем.

Тому хочемо ми чи ні, розглядати агресора нам треба як щось перманентне. Як Ізраїль розглядає ісламські держави, що його не визнали. Як Штати розглядають терористів та наркокартелі. Як Росія, Іран та КНДР розглядають Штати. І так само, як введення військового стану було б контрпродуктивним для розбудови демократичної держави, загрозливим є введення механізмів обмеження прав та свобод громадян. Адже від того, який шлях ми оберемо, — Західну ліберальну демократію, чи Східний тоталітаризм — залежить, якою буде наша держава в недалекому майбутньому.

Ось ми впритул наблизились до коріння проблеми: чому в ХХІ столітті в парламенті європейської країни лунають заклики до впровадження механізмів обмеження свободи слова та доступу до інформації. Справа в тому, що взагалі тоталітаризм простіше за демократію. Прості відповіді на складні запитання та інші популярні політичні методи приваблюють політиків відсутністю необхідності щось пояснювати. Від давньогрецьких популістів, які згноїли Сократа в тюрмі саме за його прихильність до свободи думок та висловлювань, до сучасних українських — популізм не втратив своєї магічної аури. Як боротися з популізмом? Так само, як і з пропагандою: просвітництвом мас. Але це ж так багато роботи… Тому набагато легше заборонити, врегулювати, дати змогу блокувати, створити ще один реєстр та “вдосконалити” КПК. Тут нічого не треба мудрувати, всі розв’язки на поверхні. Їхня ефективність сумнівна, але ж видно, що “ми щось робимо”.

Остання репліка, про свободу слова. Чую як часто дорікають, не завжди в цивілізованій манері, що ліберал-демократи носяться з свободою слова як дурень зі ступою та ставляться до неї як до релігійної догми. Поясню, чому може скластися таке враження.

Як каже Сем Гарріс, якого я б не став підозрювати в догматизмі, свобода слова захищає всі інші. Лише зберігаючи свободу слова ми можемо зберегти можливість продовжувати перемовини суспільства та держави без застосування сили з обох боків — повстань та репресій відповідно. Аргументована, цивілізована дискусія можлива лише в умовах свободи слова. Саме тому збереження свободи слова таке важливе та вимагає такої безкомпромісної рішучості.

Про законопроект 6688. Цього разу розгорнуто та без емоцій

Як дуже влучно зазначає чотиризірковий генерал Майкл Гайден, який за свою цікаву кар’єру мав змогу керувати і ЦРУ, і АНБ, приватність — це результат постійних перемовин, наскільки ми можемо поступитися нашим особистим заради нашого суспільного. Іншими словами, персональна свобода та суспільна безпека завжди знаходяться в певному балансі, який наразі актуальний з точки зору безпеки та прийнятний з точки зору свободи. І ці перемовини не припиняються ніколи.

Приватність, свобода слова, свобода доступу до інформації, свобода думки та переконань — це фундаментальні принципи, які складають той самий європейський вибір України, про який ми так часто говоримо або чуємо. Це універсальні цінності так званого Вільного Світу, і якщо ми вважаємо, що належимо до нього, то це і наші цінності теж. А якщо це не наші цінності, то ми до нього не належимо. Тут з причиною та наслідком все дуже просто.

Наша держава останнім часом демонструє нам деякі відхилення від стратегічного вектору інтеграції в той самий Вільний Світ. Спочатку вона запропонувала нам боротися в інтернеті, який взагалі вважається вільним та незалежним середовищем обміну інформацією, з відверто ворожими нам ресурсами. Ідея сама по собі непогана, але реалізація трохи кульгає. Задля реалізації, держава запропонувала розміщувати на провайдерах доступу до інтернету спеціальне обладнання та технічно блокувати доступ користувачів до визначеного переліку ресурсів. Але менше з тим, будемо вважати, що попри всі застереження експертів цей раунд переговорів про баланс свободи та безпеки держава в суспільства виграла.

Наступним кроком, держава пропонує нам надати можливість слідчим органам в досудовому порядку блокувати доступ до ресурсів на час до двох діб. Тобто, по суті, список блокування стає динамічним, і його можуть наповнювати дуже багато різних людей, здебільшого службовців. Кого це врятує та кому додасть безпеки, особисто мені не очевидно, але ж я не експерт зі слідчих дій. Я трохи шарю в кібербезпеці та ніби розуміюся на приватності, тому дозвольте поділитися з вами наступним. В тому, де проходитиме межа, є певні неприємні наслідки, які слід враховувати, коли ми, як вільне суспільство, ведемо з державою відповідні перемовини. Наприклад:

  1. Підсилення заходів безпеки за рахунок послаблення свободи перейде у спадок наступному уряду. Тому, помилковим є міркування з точки зору “а чи довіряю я поточному Президенту, прем’єру або голові СБУ”. Мова йде про системні зрушення, зміну “суспільного договору”, яка в бік підсилення цензури, тоталітаризму та регулювання інтернету відбувається дуже легко, а от вибороти “обмежені” права назад буде набагато складніше.
  2. Завжди думайте про наступний крок, який держава спробує зробити в бік обмеження свободи та підсилення безпеки. Вчора нам заборонили пацакські соцмережі, сьогодні намагаються зробити ці заборони гнучкими та зручними (читати: вразливими для зловживань). Що буде завтра? Блокування VPN, якими масово захопилася молодь, чи одразу заборона криптографії та шифрування пристроїв, дисків та повідомлень?
  3. Аргументи держави завжди будуть логічними. І в ідеальному світі вони були б правильними. Але ніколи не можна виключати з рівняння людину та її егоїзм. Всі запропоновані інструменти регулювання та блокування можуть, а отже будуть, використані не за призначенням. Скоріш за все, з метою підсилення цензури, здійснення нечесної конкуренції та інших проявів корупції. Тому, коли ми говоримо про розширення повноважень держави в інтернеті, ми повинні в першу чергу думати про потенційну шкоду, яку нам за допомогою цих нових можливостей зможуть нанести окремі корумповані можновладці, чиновники та правоохоронці.
  4. Аргументи держави завжди будуть більш-менш прийнятними. Тому що цензура та тоталітаризм водночас не встановлюються. До них йдуть роками, роблячи маленькі кроки. Кожен з яких зрушує status quo на невеличку, суспільно прийнятну дельту. “Та шо, ми ж всього на 48 годин. І якшо шо то слідчому надають по шапці. Та шо ж ви не довіряєте нашим суддям та прокурорам?” І так далі.

На фоні цих невеличких кроків на провайдерах будуть впроваджуватися та удосконалюватися технології, які одного дня дадуть державі не косметичні, як зараз, а вже суттєві важелі впливу на інформаційний простір. І вже не обов’язково з метою забезпечення суспільної безпеки.

GDPR

Я колись обіцяв шо не буду писати нічо про GDPR, але треба, бо деяких діячів вже трохи заносить. Тому мушу, для кращого загального розуміння теми тими з нас, для кого вона важлива, але хто не займається приватністю напряму.

1. GDPR про приватність, а не про кібербезпеку. Приватність це секретність даних про людей. Конфіденційність це секретність даних про бізнес. Кібербезпека це скоріше друге. Тому раджу не змішувати одне з одним та пам’ятати, що в GDPR основні суб’єкти це не ваш бізнес та євробюрократи, а ваш бізнес та резиденти ЄС, які найняли бюрократів, які написали закон. Тому коли вам парять DPI, DLP та Next-Gen фаєрволи для “кращого комплаянсу” з GDPR – попросіть пояснити, чому вам пропонують застосовувати це до всієї вашої інфраструктури. Коли в дійсності треба просто токенізувати або пошифрувати вміст ваших БД та написати пару форм та політик. Я утрірую, але настрій ви вловили.

2. GDPR не регулює дані про померлих. GDPR-compliant cemetery це не вдалий жарт, а маячня та невігластво, хоча і то і то може бути кумедне.

3. Фізичні особи які збирають дані для особистого використання, науковці які збирають знеособлені дані для досліджень, работодавці які збирають дані про працівників є виключеннями з GDPR. Причому стосунки роботодавців та працівників є предметом інших нормативів, але коли вам кажуть шо ви subject to GDPR тому шо у вас працює іноземець – женіть продавця в шию.

4. Збір даних спецслужбами, судами, правоохоронними органами, пенітенціарними установами, військовими, прокуратурами тощо – є виключеннями з GDPR. Думаю, це очевидно, але доводиться чути різне.

Про державне регулювання доступу до інформації

Довший час хотів узагальнити свої думки щодо блокування веб-сайтів та інших форм “регулювання інтернету”, ось нарешті дійшли руки.
По-перше, забудьте про те, що є хороше та погане саме по собі, адже у всього є контекст. І догматичні ствердження про те, що щось є добром, а щось злом – причина більшості страждань на планеті. Тому будь-яке твердження або принцип треба завжди розглядати в контексті та оцінювати яке благо та яке зло вони можуть спричинити.

Довший час хотів узагальнити свої думки щодо блокування вебсайтів та інших форм “регулювання інтернету”, ось нарешті дійшли руки.

По-перше, забудьте про те, що є хороше та погане саме по собі, адже у всього є контекст. І догматичні ствердження про те, що щось є добром, а щось злом – причина більшості страждань на планеті. Тому будь-яке твердження або принцип треба завжди розглядати в контексті та оцінювати яке благо та яке зло вони можуть спричинити.

Ось вам класичний приклад: твердження про цінність людського життя. В будь-якої нормальної людини його правильність сумнівів не викликає. Але якщо звести його у догму, то починаються проблеми, адже неможливо чітко визначити коли свідоме життя розпочинається та коли воно закінчується. Звідси – заборона контрацептивів в певних культах та віруваннях, священні війни проти абортів, та кримінальна відповідальність за згоду на евтаназію.

Ще один приклад: вільний доступ до інформації. Тут у нас просто повний безлад, адже й сама інформація, і її використання, можуть бути дуже й дуже різноманітними. Не будемо вдаватися до суперечок щодо приватності або вільного поширення інформації в інтернеті, краще візьмемо екстремальну точку. Уявіть, що одного дня вчені дізнаються, що на Землю летить астероїд, та людству залишилося існувати лічені дні, і немає жодного шансу щось змінити. Чи повинні вони розголосити цю інформацію? З етичної точки зору – ні, адже це лише призведе до неймовірного збільшення страждань, через які людство пройде в фіналі свого існування. Але якщо сприймати “вільну інформацію” як догму…

Думаю, я склав потрібне враження, ідемо далі. Отже, все залежить від контексту. Тому перед тим як засуджувати або схвалювати щось, треба розібратися в деталях: що взагалі відбувається.

Коли в нашого уряду лише почали проявлятися схильності до регулювання поширення інформації в інтернеті, я спостерігав виникнення трьох таборів. Перший вважає, що це добре, адже блокувати планується лише “погані” вебсайти, які поширюють російську пропаганду. Другий вважає, що це погано, адже інформація повинна бути вільною, а вільний доступ до інформації – це одна з основ вільного демократичного суспільства. І треті, найменш чисельні, до яких я відношу себе та багато однодумців, вважають, що “добре” або “погано” тут не канає: просто уряд це не та категорія людей, які повинні це визначати. Уряд не має ані морального, ані юридичного права вирішувати, що і як приховувати в інтернеті від народу. Адже уряд не є компетентним вирішувати, що є добре, що є погано, та яку користь або шкоду знання або незнання може спричинити. Уряд складається з політиків та чиновників, які аж ніяк не є моральним компасом суспільства. Ось чому довіряти уряду вирішувати що блокувати – це погана, дуже погана ідея. Тому що така функція неодмінно буде використана урядом не за призначенням.

З цим розібралися, ідемо далі. А що ж тоді робити? Тут теж є варіанти. Можна спробувати створити для цього “компетентний орган”, який складатиметься з найкращих представників суспільства, вчених, філософів, філантропів, соціологів та митців, які колегіально будуть вирішувати морально-етичні дилеми. Я не в курсі, щоб десь таке спрацювало. Або – можна дати урядові по руках та просто не дозволити перетворити доступ до інформації на політичний інструмент, тобто надати проблемі можливість саморегулюватися. Власне, другий спосіб і пропонували активні критики блокувань, більшість з яких далекі від ідей безумовного вільного поширення інформації, – просто вони в курсі, в якій країні ми живемо, та хто нею керує.

Хороші ідеї можуть мати погані наслідки та погану реалізацію. Погані ідеї можуть мати короткочасні позитивні наслідки, які спокушатимуть вас погодитися з їхніми авторами. Щоб не помилитися, треба розглядати будь-які ідеї в контексті їхнього використання. А догми та популістські заклики – завжди сприймати критично.

Antiviruses and other software, Russian and beyond

(This is a rather old post translated to English by a friend, so keep it in mind while reading.)

Another wave of public discussions of Kapersky participation in Russian intelligence operations is emerging, in particularly in the context of stealing US classified documents and NSA software tools, which later got to “Shadow Brokers”, and eventually played role in WannaCry and NotPetya outbreaks.

My opinion on that is consistent: willingly or not, Kaspersky Lab was and is an asset of Russian intelligence. But I’d like to underline a different thing today. Regardless if Kaspersky was or wasn’t a part of their own government’s APT ops, using an antivirus for cyber-attacks and international espionage is awesome.

Firstly, technically this channel is super powerful. As I often told previously, running a process on a computer with unlimited permissions is a very doubtful idea from security architecture point of view. It can have access to any file or memory contents. Moreover, this process must digest a lot of different file formats. For those who don’t know what fuzzing is or why .pdf = Penetration Document Format I will simply tell that a lot of breaches happen because of errors in complex datatype parsers. So, we can only dream that after installing and antivirus the overall system security level will increase at all. (Those, for whom it is still not obvious, should subscribe for Tavis Ormandy on Twitter and to Google Project Zero blog). So what should we do, if we find out that people having access to antivirus updates and vulnerabilities are our enemies?

Secondly, antivirus functionality is complicated and its interaction with the operating system is even more complicated, and we never know for sure, which data they pass to their developers. Therefore, using antivirus for espionage opens enormous opportunities to deny involvement and defend against any accusation. This is a Plausible Deniability apogee. KAV caught some NSA tools on laptop and passed them to Moscow? But they looked like malware! (Which they in fact are). KAV did a keyword search on hard drive? But these words were part of “malware” samples! And so on, and so forth. Until Eugene puts his hands up and claims that he was hacked by GRU or FSB and he is also a victims of cyber espionage. Not taouching an old tradition of Russian special forces to have people on key positions in private companies. In this way they can deny anything and claim that particular employees were recruited directly, whilst the Board and the Management knew nothing.

What are the conclusions?

Simple and radical. You can’t use software and information tools provided by your enemy, created on the territory, controlled by your enemy, or by companies, employing people based on the territory controlled by your enemy. Therefore, rebranding of Laboratory of Kaspersky to Kaspersky Lab with fictitious migration of headquarters doesn’t change anything. Migration from Kaspersky products to products of other companies (Belarusian, Kazakh, Slovakian etc.) with “strong cultural connections” with Russian Federation, again, doesn’t change anything. Only full ban of information products, even intuitively traceable to the enemy, can decrease the risk.

However, even if you get rid of Kaspersky, uninstall 1C, delete account in Vkontakte and will not watch Kurazh Bambey voice overs, residual risk is inevitable. Because, last time I checked, all your friends and business partners used 1C, visited VK, and other Russian web sites.

Stay safe.