За поиск «экстремистского» контента в России теперь грозит штраф. Но вы можете попытаться скрыть, что читали или смотрели запрещенные материалы. Вот как это сделать Партизанская инструкция «Медузы»
Мы рассказываем честно не только про войну. Скачайте приложение.
С 1 сентября россиян могут штрафовать за поиск «экстремистского» контента и доступ к запрещенным властями материалам. Это опасный шаг в сторону «криминализации чтения» по примеру Беларуси, где за одну только подписку на оппозиционные телеграм-каналы людей сажают в тюрьму. Российский закон пока не так суров — но и в нынешнем виде может сильно осложнить гражданам доступ к независимой информации. Мы составили инструкцию о том, как можно снизить риски потребления запрещенного контента. Что важно знать о технических возможностях спецслужб следить за вашей активностью в сети удаленно? Как можно скрыть историю поиска и другие данные при непосредственном досмотре ваших устройств? И что предпринять, если вы все равно боитесь за свою безопасность?
Мы надеемся, что эта инструкция будет полезна всем нашим читателям в России. При этом хотим, чтобы вы помнили: подчиняйся «Медуза» цензурным ограничениям — мы бы не смогли выпустить такой материал. Если вы считаете нашу работу важной и хотите, чтобы «Медуза» выжила, пожалуйста, поддержите нас. Сегодня нам ОЧЕНЬ нужна ваша помощь.
Что важно знать о новом правонарушении
Власти ограничили право россиян свободно искать и получать информацию в интернете
1 сентября в Кодексе об административных правонарушениях РФ появилась новая статья:
Статья 13.53. Поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен
Она позволяет штрафовать на сумму от трех тысяч до пяти тысяч рублей за умышленный поиск в интернете «экстремистских» материалов и получение доступа к ним. Это могут быть самые разные тексты (от политических манифестов до анекдотов), книги, песни, видеозаписи и даже компьютерные игры.
При этом мы пока не знаем, как именно будет применяться закон:
- как часто и насколько вольно власти будут использовать расширительное определение «экстремистских» материалов;
- в частности, будет ли весь контент «экстремистских» организаций (а таковой власти считают, например, ФБК) автоматически считаться «экстремистским»;
- как будут доказывать умышленность действий правонарушителя;
- будет ли считаться правонарушением один только поиск запрещенных материалов — без доступа к ним;
- будет ли считаться правонарушением один только доступ к запрещенным материалам — без их поиска;
- станут ли такие штрафы массовым явлением.
Выявлять «правонарушителей» будут в ФСБ и МВД
Полицейские получили право составлять протоколы по новой статье КоАП только в случае «непосредственного обнаружения признаков административного правонарушения». Например, если сотрудник Центра «Э» лично обнаружил в истории браузера на вашем телефоне или компьютере поисковые запросы и переход на страницы с «экстремистскими» материалами.
У сотрудников ФСБ такого ограничения нет. Они смогут использовать и другие поводы для возбуждения дел о таких правонарушениях. Это могут быть доносы («сообщения и заявления физических и юридических лиц») или обращения других органов власти.
Кроме того, СОРМ и взаимодействие с «организаторами распространения информации» замыкаются на ФСБ. Поэтому сотрудники спецслужбы для поиска правонарушителей могут использовать данные из доступных им информационных систем. Например, отлавливать тех, кто находил и изучал запрещенный контент внутри VK.
Как защититься от удаленного изучения вашей активности в сети
Обязательно используйте надежный VPN
Средства обхода российских блокировок явно упоминаются прямо в названии новой статьи КоАП:
[В] том числе с использованием программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен.
Это уточнение объясняет, что использование VPN не освобождает от ответственности за поиск и доступ к «экстремистским» материалам. Зато оно сильно осложнит работу правоохранителей по выявлению правонарушений.
Правильно настроенный VPN скроет от ФСБ ваш трафик. Сотрудники спецслужб будут видеть, когда и в каком объеме вы потребляли интернет-контент, но не смогут выяснить, что же это было.
Если только вы не ищете «экстремистские» материалы в VK, предварительно залогинившись в соцсеть с аккаунта, привязанного к вашему российскому номеру, который был выдан по паспорту. Тогда никакой VPN не поможет.
Остерегайтесь бесплатных VPN и расширений для браузера
Бесплатные VPN могут не соблюдать приватность и передавать IP-адреса, данные о местоположении и другую информацию третьим лицам (например, рекламодателям). Если вы собираетесь использовать такой VPN, постарайтесь выяснить, каким образом он финансируется. Если такой информации в материалах сервиса нет, есть риск, что вашими данными будут торговать.
Например, в августе исследователи из компании Koi Security обнаружили, что FreeVPN.One — популярное расширение для Google Chrome — втайне от пользователей делало скриншоты каждой открытой ими страницы и загружало их на свой сервер.
Избегайте российских браузеров при изучении любого потенциально «экстремистского» контента
Просто на всякий случай. Мы даже не знаем, сколько информации о пользователях компании собирают с помощью собственных браузеров.
Даже при первом запуске свежеустановленный браузер отправляет десяток-другой запросов на свои и сторонние внешние сервисы, раскрывая таким образом как минимум IP-адрес пользователя. Исключений из этого правила совсем мало: например, анонимный Tor Browser, лишенный встроенных сервисов поискового монополиста Ungoogled Chromium, нишевый Pale Moon и совсем новый Kagi Orion.
Используйте приватный поиск
Поисковые сервисы, которые выдают данные по запросу российских властей, тоже могут быть весьма полезны для выявления правонарушителей. Они помогут отследить и сам запрос «экстремистских» материалов, и попытку пользователя перейти на сайт, оказавшийся в выдаче. Даже Google, который в России завалили гигантскими штрафами за отказ подчиняться цензурным требованиям, в последнем отчете о прозрачности за первое полугодие 2024 года сообщил об одном удовлетворенном запросе российских властей о выдаче пользовательских данных.
Выходом может быть поисковый сервис, которые принципиально не собирает запросы пользователей и поэтому не может ими поделиться, даже если его попытаются заставить. Изучите его политику конфиденциальности и отчеты о прозрачности. Ну и конечно, у сервиса опять-таки должна быть понятная бизнес-модель. Например, DuckDuckGo и Brave Search зарабатывают на неперсонализированной рекламе, а Kagi Search вообще продает поисковые услуги напрямую пользователям (но оформить подписку из РФ будет непросто).
Внимание! DuckDuckGo и Kagi Search позволяют пользователям переадресовать запрос на тысячи других сайтов с помощью поисковых операторов !bangs (вроде !ya для «Яндекса»). Но в этом случае вы переходите на сторонний сайт, который может попытаться идентифицировать вас (особенно если вы там залогинены), запомнить ваш запрос и выдать его по запросу властей.
Как защититься при досмотре телефона или ноутбука
Не храните историю посещений сайтов с потенциально «экстремистскими» материалами
При досмотре телефона или ноутбука важно минимизировать количество сохраняемых данных о ваших действиях в сети. Заполучив разблокированные гаджеты, оперативник наверняка будет изучать историю посещений во всех браузерах.
Используйте режим инкогнито, чтобы история просмотров, cookies и временные файлы не сохранялись. В Firefox есть отдельная кнопка «Забыть», которая позволяет быстро удалить последние минуты, часы или сутки активности. В Google Chrome можно отключить синхронизацию истории со своим аккаунтом.
Существуют также сторонние программы для очистки следов активности. Вроде BleachBit, CCleaner и Wise Disk Cleaner. Они удаляют кэш, журналы и временные файлы с компьютеров. Для мобильных устройств можно применять SD Maid (для андроидов) или iShredder (для айфонов и андроидов).
Откажитесь от биометрии
Не используйте биометрическую аутентификацию — отпечаток пальца, скан лица или сетчатки глаза — для разблокировки телефона или ноутбука. В отличие от пароля, биометрические данные проще получить принудительно: палец можно приложить к сканеру или направить камеру на лицо владельца.
И помните: у вас есть право никому не говорить свой пароль. Даже если этого требуют сотрудники правоохранительных органов. Совсем недавно это подтвердил и Верховный суд РФ.
В декабре 2020 года волгоградские полицейские задержали мужчину в состоянии наркотического опьянения с восемью расфасованными пакетиками с запрещенным веществом и ложкой со следами земли. Его обвинили в покушении на незаконный сбыт наркотического средства в крупном размере, а потом осудили на 10 лет лишения свободы в колонии строгого режима.
При этом суды в качестве доказательства умысла мужчины на сбыт наркотиков указывали и на его отказ сообщить пароли от своих мобильных телефонов. Верховный суд РФ не согласился с такой интерпретацией и расценил этот отказ как законный способ защиты подсудимого от обвинения, сославшись на две статьи Конституции РФ:
Статья 45
2. Каждый вправе защищать свои права и свободы всеми способами, не запрещенными законом.
Статья 51
1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.
В итоге в сентябре 2023 года Верховный суд переквалифицировал действия мужчины на незаконное приобретение и хранение наркотического средства в крупном размере. И снизил ему наказание до трех лет лишения свободы с зачетом уже отбытого срока.
Можно выделить отдельный браузер для «запрещенки» и спрятать его на своем телефоне
Этот подход позволит при желании сначала добровольно отдать разблокированный телефон сотрудникам МВД или ФСБ. А скрытые приложения могут так и остаться не замеченными при досмотре.
Но если вас попросят показать, что же вы там спрятали, снова напомним о вашем конституционном праве не раскрывать свой пароль.
Откажитесь от спящего режима — выключайте компьютер и ноутбук
Полнодисковое шифрование эффективно защищает ваши данные только тогда, когда устройство полностью выключено. Если оставить компьютер или ноутбук в спящем режиме, ключи шифрования продолжают храниться в оперативной памяти. А при гибернации они вместе со всем содержимым оперативной памяти будут сохранены в отдельном файле.
Специалисты умеют извлекать эти ключи при помощи так называемых атак через холодную перезагрузку (cold boot), анализируя содержимое оперативной памяти даже после выключения питания. В результате все преимущества шифрования могут быть потеряны.
Мне все равно очень тревожно. Что делать?
Купите телефон Google Pixel и поставьте на него GrapheneOS
Google Pixel с установленной GrapheneOS — пожалуй, лучшее на сегодня решение для защиты смартфона от взлома с использованием специализированного оборудования, которое активно применяют для атак на андроиды и айфоны.
GrapheneOS — это операционная система именно для телефонов и планшетов Google Pixel. Она основана на открытом исходном коде Android. При этом разработчики GrapheneOS внесли ряд улучшений, направленных на повышение безопасности и конфиденциальности, усиление защиты данных, изоляцию приложений и более строгий контроль доступа к памяти, датчикам и сети.
Помимо прочего, GrapheneOS позволяет создать несколько профилей для разных сценариев: интернет-банкинга, работы, личной переписки или максимально анонимного интернета. В каждом профиле доступен самостоятельный набор приложений. Там могут быть установлены разные VPN (или один и тот же будет подключен к разным серверам). Каждый профиль может быть разблокирован собственным паролем. Более того, в каждом профиле можно создать свой скрытый зашифрованный контейнер (Private Space) с отдельным паролем — и спрятать внутри тот же браузер для «запрещенки» или даже скачанный «экстремистский» контент.
Используйте Tails для компьютера или ноутбука
Tails (The Amnesic Incognito Live System) — это операционная система, которая загружается с USB-флешки и по умолчанию не сохраняет никакие пользовательские данные после перезагрузки. Tails работает полностью в оперативной памяти и не оставляет цифровых следов на компьютере, к которому ее подключили (отсюда «амнезийная» в названии). Все интернет-соединения в Tails автоматически проходят через Tor. Все это делает Tails оптимальным выбором для максимально анонимной и безопасной работы. Операционная система даже может защитить от взлома вашего компьютера спецслужбами (хотя нам сложно представить, что они пойдут на это ради штрафа в пять тысяч рублей).
Иногда взламывают. В качестве примера можно привести дело журналиста Ивана Сафронова, которого задержали в июне 2020 года и обвинили в госизмене, а в сентябре 2022-го приговорили к 22 годам лишения свободы. В обвинительном заключении по делу, опубликованном изданием «Проект», упоминаются несколько «оперативно-розыскных мероприятий в отношении ПЭВМ» журналиста, проведенных за год до его ареста. В документе не приводится подробное описание этих мероприятий. Но утверждается, что в ходе одного из них был «установлен пошаговый алгоритм действий Сафронова И. И. в ПЭВМ... во время сеанса связи с Ларышем М.». То есть на компьютер журналиста мог быть установлен кейлогер, фиксирующий все нажатия клавиш и движения мыши, и программа, которая незаметно делала скриншоты или записывала все происходящее на экране. Так оперативники могли раздобыть пароли от упоминавшихся в обвинительном заключении криптоконтейнеров VeraCrypt.
При этом надо учесть, что Роскомнадзор блокирует Tor в России, поэтому для подключения к интернету вам сначала нужно будет добыть адреса работающих «мостов» (bridge) — специальных прокси-серверов, которые помогают обойти эти блокировки. Их можно получить:
- через официальный сайт Tor;
- написав письмо на bridges@torproject.org с темой get bridges (отправлять письма надо с почтового аккаунта Gmail или Riseup);
- через телеграм-бот @GetBridgesBot
И еще вы не сможете запустить Tails на любом современном аймаке и макбуке (с процессорами серии Apple M) или компьютере с другим ARM-процессором.
Денис Дмитриев
(1) Что это за расширительное определение?
По общему правилу суды выносят решение о признании тех и иных материалов экстремистскими, после чего их помещают в соответствующий список Минюста. Но новая статья КоАП также разрешает ссылаться на Федеральный закон «О противодействии экстремистской деятельности» и считать «экстремистскими» любые документы или информацию, «призывающие к осуществлению экстремистской деятельности либо обосновывающие или оправдывающие необходимость осуществления такой деятельности».
(2) Что это за центр?
Так называют Главное управление по противодействию экстремизму МВД РФ.
(3) Системы оперативно-разыскных мероприятий
Подразделяются на СОРМ-1 (система прослушивания телефонных переговоров), СОРМ-2 (система отслеживания источников трафика в интернете) и СОРМ-3 (сбор информации со всех видов связи и ее долговременное хранение операторами связи по так называемому закону Яровой). Оборудование СОРМ должны установить все компании, получившие у Роскомнадзора лицензию на деятельность в сфере связи.
(4) Что это значит?
Попавшие в список организаторов распространения информации (ОРИ) компании обязаны сотрудничать с ФСБ: хранить и предоставлять по запросу данные о приеме, передаче и обработке любых сообщений пользователей, а также предоставлять «информацию, необходимую для декодирования» таких сообщений.
(5) Но можно и по-другому?
В качестве компромисса между удобством и безопасностью можно сохранять некоторые пользовательские файлы или настройки Tails в зашифрованном разделе на той же флешке.
(6) Что это?
Персональная электронно-вычислительная машина, то есть компьютер. Из обвинительного заключения следует, что речь идет о домашнем стационарном компьютере.