ФСБ потребовала у компании «Яндекс» выдать ключи шифрования к данным пользователей. Сотрудников Службы безопасности заинтересовались подробностями пользователей сервисов «Яндекс. Почта» и «Яндекс. Диск». Причем силовики направили требование «Яндексу» несколько месяцев назад, но компания до сих пор не подчинилась. 4 июня «Яндекс» выпустил публичный, хотя и довольно размытый комментарий. О том, что грозит «Яндексу» и его пользователям, поговорили со Станиславом Шакировым, техническим директором проекта «Роскомсвобода».
Станислав, из того, что я прочитал, а там довольно много терминов, ключевое слово ― это так называемые сессионные ключи. Допустим, я вступаю во взаимодействие с «Яндексом»: я заказываю еду, я заказываю такси, я по почте отправляю сообщения или делаю еще все, что угодно, потому что «Яндекс» всё теперь у нас. И в этот момент генерируется с моей стороны и со стороны сервера «Яндекса» некий ключ, который потом исчезает. Именно он представляет собой интерес. Правильно ли я понимаю, что речь идет о передаче именно этих ключей, через которые оперативно можно проникнуть в мой мир «Яндекса»?
И да, и нет. Насколько я понимаю, исходно речь идет о том, что «Яндекс» должен передавать сообщения только к своим сервисам «Яндекс. Почта» и «Яндекс. Диск», которые находятся в реестре организаторов распространения информации. ФСБ трактует это по-другому, что «Яндекс» должен передавать именно сессионные ключи от этих сервисов. Но если передавать сессионные ключи именно от этих сервисов, то получается, что трафик становится для ФСБ открыт, а значит, логины и пароли от «Яндекса» утекают к ним, а значит, все сервисы «Яндекса» становятся доступны ФСБ.
Потому что если вы регистрируетесь в «Яндексе» в каком-либо сервисе, вы там сообщаете ту почту «Яндекса», к которой это все привязывается. Соответственно, я сам создаю уязвимости, правильно, таким образом получается? Если это передается.
Поскольку у «Яндекса» сквозная авторизация на все его сервисы, то, залогинившись на почте, вы отдали в ФСБ свои логины и пароли от всех сервисов «Яндекса».
Как вы поняли вообще этот релиз «Яндекса»?
Надо сказать, что «Яндекс», вообще говоря, не имеет права сообщать всему миру о том, что он ведет какие-то переговоры с ФСБ. Просто вышло отдельное постановление правительства, которое запрещает это делать. И в этом пресс-релизе, собственно, «Яндекс» не говорит о том, что они ведут переговоры, но также не говорит о том, что они не ведут переговоры, да, чтобы не попасть таким образом на «свидетельство канарейки».
Что касается остального, я увидел, что у «Яндекса», да, позиция именно такая, что «Яндекс» не обязан по закону передавать ключи от трафика, потому что закон Яровой, в соответствии с которым ФСБ делает к ним обращение, говорит о том, что в случае обращения ФСБ к сервису, включенному в ОРИ, сервис должен хранить и отдавать по запросу голосовые сообщения, текстовые сообщения, графические изображения и иные электронные сообщения.
Насколько я понимаю, ФСБ здесь говорит о том, что иные электронные сообщения в череде текстовых, графических, видео и прочих ― это имеется в виду трафик. А «Яндекс» говорит о том, что это не трафик, это если вдруг пользователи обмениваются какими-то другими сообщениями в какой-то другой форме. Явно про трафик в законе не написано. Вот, в принципе, то, что можно понять из письма «Яндекса».
То есть это значит, что возможна как передача каких-то общих ключей, и это для нас не будет иметь никакого значения, так возможно, действительно, открывание для товарища майора всей нашей богатой жизни в «Яндексе», начиная с того, откуда мы и куда поехали, кому мы что написали и какой гамбургер мы заказали.
Надо понимать, что «Яндекс» в принципе работает в рамках оперативно-розыскных мероприятий с российскими спецслужбами, как российский сервис, и по запросу он, естественно, выдает информацию о том или ином пользователе, если приходит законно оформленный запрос. Во всяком случае, так говорит «Яндекс». Поэтому, в принципе, «Яндекс» настаивает на том, что эту процедуру необходимо сохранить, потому что ее достаточно, собственно, для оперативно-розыскных мероприятий.
ФСБ же говорит: «Давайте все-таки раскроем все, что делают пользователи с вашими сервисами, и мы уже сами будем разбираться в этом трафике, который у нас окажется». Но надо понимать, что для «Яндекса» это не очень хорошая ситуация по той причине, что они оказываются более-менее уникальной из крупных компаний, кто работает в таком режиме, потому что все их конкуренты не раскрывают трафик.
Google, например, этого не делает.
Да.
ФСБ, таким образом, должны бы защищать отечественный бизнес, а получается, что ФСБ защищает бизнес Google в России.
Именно так, да. Таким образом, «Яндекс» просто потеряет достаточно много пользователей. И так он потерял, потому что он для российских пользователей небезопасен, это люди знают, многие пользуются зарубежными сервисами только потому, что знают, что нашим спецслужбам просто сложнее получать информацию, потому что необходимо соблюдать какие-то законные требования, да. Google, Facebook и прочие достаточно серьезно это проверяют. «Яндекс» утверждает, что он тоже это серьезно проверяет, да, но это просто поставит его сразу на уровень ниже всех остальных сервисов, которые предоставляют почту или возможность облачного хранения.
Вот и задумаешься, где же на самом деле обитают русофобы. Обитают ли они вот в этих самых компьютерных компаниях, это вот эти хипстеры, которые ездят на своих гироскутерах и придумывают разные коды, или все-таки настоящие русофобы ― это майоры ФСБ, которые просто рушат российский IT-бизнес?
Фото: Антон Новодережкин/ТАСС