С 1 сентября россиян могут штрафовать за поиск «экстремистского» контента и доступ к запрещенным властями материалам. Это опасный шаг в сторону «криминализации чтения» по примеру Беларуси, где за одну только подписку на оппозиционные телеграм-каналы людей сажают в тюрьму. Российский закон пока не так суров — но и в нынешнем виде может сильно осложнить гражданам доступ к независимой информации. Мы составили инструкцию о том, как можно снизить риски потребления запрещенного контента. Что важно знать о технических возможностях спецслужб следить за вашей активностью в сети удаленно? Как можно скрыть историю поиска и другие данные при непосредственном досмотре ваших устройств? И что предпринять, если вы все равно боитесь за свою безопасность?

🤬

Что важно знать о новом правонарушении

Власти ограничили право россиян свободно искать и получать информацию в интернете1 сентября в Кодексе об административных правонарушениях РФ появилась новая статья:
Статья 13.53. Поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограниченОна позволяет штрафовать на сумму от трех тысяч до пяти тысяч рублей за умышленный поиск в интернете «экстремистских» материалов и получение доступа к ним. Это могут быть самые разные тексты (от политических манифестов до анекдотов), книги, песни, видеозаписи и даже компьютерные игры.
При этом мы пока не знаем, как именно будет применяться закон:

• как часто и насколько вольно власти будут использовать расширительное определение
  «экстремистских» материалов;
• в частности, будет ли весь контент «экстремистских» организаций (а таковой власти считают, например, ФБК) автоматически считаться «экстремистским»;
• как будут доказывать умышленность действий правонарушителя;
• будет ли считаться правонарушением один только поиск запрещенных материалов — без доступа к ним;
• будет ли считаться правонарушением один только доступ к запрещенным материалам — без их поиска;
• станут ли такие штрафы массовым явлением.

Выявлять «правонарушителей» будут в ФСБ и МВДПолицейские получили право составлять протоколы по новой статье КоАП только в случае «непосредственного обнаружения признаков административного правонарушения». Например, если сотрудник Центра «Э»
лично обнаружил в истории браузера на вашем телефоне или компьютере поисковые запросы и переход на страницы с «экстремистскими» материалами.
У сотрудников ФСБ такого ограничения нет. Они смогут использовать и другие поводы для возбуждения дел о таких правонарушениях. Это могут быть доносы («сообщения и заявления физических и юридических лиц») или обращения других органов власти.
Кроме того, СОРМ
и взаимодействие с «организаторами распространения информации»
замыкаются на ФСБ. Поэтому сотрудники спецслужбы для поиска правонарушителей могут использовать данные из доступных им информационных систем. Например, отлавливать тех, кто находил и изучал запрещенный контент внутри VK.
😶‍🌫️

Как защититься от удаленного изучения вашей активности в сети

Обязательно используйте надежный VPNСредства обхода российских блокировок явно упоминаются прямо в названии новой статьи КоАП:
[В] том числе с использованием программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен.Это уточнение объясняет, что использование VPN не освобождает от ответственности за поиск и доступ к «экстремистским» материалам. Зато оно сильно осложнит работу правоохранителей по выявлению правонарушений.
Правильно настроенный VPN скроет от ФСБ ваш трафик. Сотрудники спецслужб будут видеть, когда и в каком объеме вы потребляли интернет-контент, но не смогут выяснить, что же это было.
Остерегайтесь бесплатных VPN и расширений для браузераБесплатные VPN могут не соблюдать приватность и передавать IP-адреса, данные о местоположении и другую информацию третьим лицам (например, рекламодателям). Если вы собираетесь использовать такой VPN, постарайтесь выяснить, каким образом он финансируется. Если такой информации в материалах сервиса нет, есть риск, что вашими данными будут торговать.
Например, в августе исследователи из компании Koi Security обнаружили, что FreeVPN.One — популярное расширение для Google Chrome — втайне от пользователей делало скриншоты каждой открытой ими страницы и загружало их на свой сервер.
Избегайте российских браузеров при изучении любого потенциально «экстремистского» контентаПросто на всякий случай. Мы даже не знаем, сколько информации о пользователях компании собирают с помощью собственных браузеров.
Даже при первом запуске свежеустановленный браузер отправляет десяток-другой запросов на свои и сторонние внешние сервисы, раскрывая таким образом как минимум IP-адрес пользователя. Исключений из этого правила совсем мало: например, анонимный Tor Browser, лишенный встроенных сервисов поискового монополиста Ungoogled Chromium, нишевый Pale Moon и совсем новый Kagi Orion.
Используйте приватный поискПоисковые сервисы, которые выдают данные по запросу российских властей, тоже могут быть весьма полезны для выявления правонарушителей. Они помогут отследить и сам запрос «экстремистских» материалов, и попытку пользователя перейти на сайт, оказавшийся в выдаче. Даже Google, который в России завалили гигантскими штрафами за отказ подчиняться цензурным требованиям, в последнем отчете о прозрачности за первое полугодие 2024 года сообщил об одном удовлетворенном запросе российских властей о выдаче пользовательских данных.
Выходом может быть поисковый сервис, которые принципиально не собирает запросы пользователей и поэтому не может ими поделиться, даже если его попытаются заставить. Изучите его политику конфиденциальности и отчеты о прозрачности. Ну и конечно, у сервиса опять-таки должна быть понятная бизнес-модель. Например, DuckDuckGo и Brave Search зарабатывают на неперсонализированной рекламе, а Kagi Search вообще продает поисковые услуги напрямую пользователям (но оформить подписку из РФ будет непросто).
🫡

Как защититься при досмотре телефона или ноутбука

Не храните историю посещений сайтов с потенциально «экстремистскими» материаламиПри досмотре телефона или ноутбука важно минимизировать количество сохраняемых данных о ваших действиях в сети. Заполучив разблокированные гаджеты, оперативник наверняка будет изучать историю посещений во всех браузерах.
Используйте режим инкогнито, чтобы история просмотров, cookies и временные файлы не сохранялись. В Firefox есть отдельная кнопка «Забыть», которая позволяет быстро удалить последние минуты, часы или сутки активности. В Google Chrome можно отключить синхронизацию истории со своим аккаунтом.
Существуют также сторонние программы для очистки следов активности. Вроде BleachBit, CCleaner и Wise Disk Cleaner. Они удаляют кэш, журналы и временные файлы с компьютеров. Для мобильных устройств можно применять SD Maid (для андроидов) или iShredder (для айфонов и андроидов).
Откажитесь от биометрииНе используйте биометрическую аутентификацию — отпечаток пальца, скан лица или сетчатки глаза — для разблокировки телефона или ноутбука. В отличие от пароля, биометрические данные проще получить принудительно: палец можно приложить к сканеру или направить камеру на лицо владельца.
И помните: у вас есть право никому не говорить свой пароль. Даже если этого требуют сотрудники правоохранительных органов. Совсем недавно это подтвердил и Верховный суд РФ.
А можно подробнее?
В декабре 2020 года волгоградские полицейские задержали мужчину в состоянии наркотического опьянения с восемью расфасованными пакетиками с запрещенным веществом и ложкой со следами земли. Его обвинили в покушении на незаконный сбыт наркотического средства в крупном размере, а потом осудили на 10 лет лишения свободы в колонии строгого режима.
При этом суды в качестве доказательства умысла мужчины на сбыт наркотиков указывали и на его отказ сообщить пароли от своих мобильных телефонов. Верховный суд РФ не согласился с такой интерпретацией и расценил этот отказ как законный способ защиты подсудимого от обвинения, сославшись на две статьи Конституции РФ:
2. Каждый вправе защищать свои права и свободы всеми способами, не запрещенными законом.1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.В итоге в сентябре 2023 года Верховный суд переквалифицировал действия мужчины на незаконное приобретение и хранение наркотического средства в крупном размере. И снизил ему наказание до трех лет лишения свободы с зачетом уже отбытого срока.


Можно выделить отдельный браузер для «запрещенки» и спрятать его на своем телефонеЭтот подход позволит при желании сначала добровольно отдать разблокированный телефон сотрудникам МВД или ФСБ. А скрытые приложения могут так и остаться не замеченными при досмотре.
Но если вас попросят показать, что же вы там спрятали, снова напомним о вашем конституционном праве не раскрывать свой пароль.
Откажитесь от спящего режима — выключайте компьютер и ноутбукПолнодисковое шифрование эффективно защищает ваши данные только тогда, когда устройство полностью выключено. Если оставить компьютер или ноутбук в спящем режиме, ключи шифрования продолжают храниться в оперативной памяти. А при гибернации они вместе со всем содержимым оперативной памяти будут сохранены в отдельном файле.
Специалисты умеют извлекать эти ключи при помощи так называемых атак через холодную перезагрузку (cold boot), анализируя содержимое оперативной памяти даже после выключения питания. В результате все преимущества шифрования могут быть потеряны.
🫣

Мне все равно очень тревожно. Что делать?

Купите телефон Google Pixel и поставьте на него GrapheneOSGoogle Pixel с установленной GrapheneOS — пожалуй, лучшее на сегодня решение для защиты смартфона от взлома с использованием специализированного оборудования, которое активно применяют для атак на андроиды и айфоны.
GrapheneOS — это операционная система именно для телефонов и планшетов Google Pixel. Она основана на открытом исходном коде Android. При этом разработчики GrapheneOS внесли ряд улучшений, направленных на повышение безопасности и конфиденциальности, усиление защиты данных, изоляцию приложений и более строгий контроль доступа к памяти, датчикам и сети.
Помимо прочего, GrapheneOS позволяет создать несколько профилей для разных сценариев: интернет-банкинга, работы, личной переписки или максимально анонимного интернета. В каждом профиле доступен самостоятельный набор приложений. Там могут быть установлены разные VPN (или один и тот же будет подключен к разным серверам). Каждый профиль может быть разблокирован собственным паролем. Более того, в каждом профиле можно создать свой скрытый зашифрованный контейнер (Private Space) с отдельным паролем — и спрятать внутри тот же браузер для «запрещенки» или даже скачанный «экстремистский» контент.
Используйте Tails для компьютера или ноутбукаTails (The Amnesic Incognito Live System) — это операционная система, которая загружается с USB-флешки и по умолчанию
не сохраняет никакие пользовательские данные после перезагрузки. Tails работает полностью в оперативной памяти и не оставляет цифровых следов на компьютере, к которому ее подключили (отсюда «амнезийная» в названии). Все интернет-соединения в Tails автоматически проходят через Tor. Все это делает Tails оптимальным выбором для максимально анонимной и безопасной работы. Операционная система даже может защитить от взлома вашего компьютера спецслужбами (хотя нам сложно представить, что они пойдут на это ради штрафа в пять тысяч рублей).
А они взламывают?
Иногда взламывают. В качестве примера можно привести дело журналиста Ивана Сафронова, которого задержали в июне 2020 года и обвинили в госизмене, а в сентябре 2022-го приговорили к 22 годам лишения свободы. В обвинительном заключении по делу, опубликованном изданием «Проект», упоминаются несколько «оперативно-розыскных мероприятий в отношении ПЭВМ
» журналиста, проведенных за год до его ареста. В документе не приводится подробное описание этих мероприятий. Но утверждается, что в ходе одного из них был «установлен пошаговый алгоритм действий Сафронова И. И. в ПЭВМ… во время сеанса связи с Ларышем М.». То есть на компьютер журналиста мог быть установлен кейлогер, фиксирующий все нажатия клавиш и движения мыши, и программа, которая незаметно делала скриншоты или записывала все происходящее на экране. Так оперативники могли раздобыть пароли от упоминавшихся в обвинительном заключении криптоконтейнеров VeraCrypt.


При этом надо учесть, что Роскомнадзор блокирует Tor в России, поэтому для подключения к интернету вам сначала нужно будет добыть адреса работающих «мостов» (bridge) — специальных прокси-серверов, которые помогают обойти эти блокировки. Их можно получить:

• через официальный сайт Tor;
• написав письмо на [email protected] с темой get bridges (отправлять письма надо с почтового аккаунта Gmail или Riseup);
• через телеграм-бот @GetBridgesBot

И еще вы не сможете запустить Tails на любом современном аймаке и макбуке (с процессорами серии Apple M) или компьютере с другим ARM-процессором.