Хочу подробно рассказать о том, как дела у Общества Защиты Интернета, а также спросить у вас совета (но это в конце).

I. Старые проекты.
Когда мы с Сергеем Бойко все начинали, мы договорились, что начнем с трех небольших проектов, а по мере того, как с ними будет все получаться, будем добавлять новые. Поэтому для начала расскажу, что с этими тремя проектами.

1. Индекс Свободы Интернета.
Все хорошо работает. Много уважаемых экспертов собрано, индекс ежемесячно публикуется и позволяет объективно оценивать состояние дел и, главное, его динамику. Мы же хотим повлиять на эту самую свободу интернета — поэтому без объективной метрики никуда, без нее мы и не узнаем, удалось нам на что-то повлиять или нет. Поэтому Индекс Свободы Интернета — это самый первый, базовый и важный проект. Динамика, кстати, пока негативная, но кое-какие положительные тренды наметились.

2. Атака на СОРМ.
Тут все сложнее (но никто и не обещал, что будет легко). То, что СОРМ — это зло, незаконная коррупционная кормушка для сомнительных личностей, с которой надо бороться — это мы понимали с самого начала; но как бороться? Мы разобрались подробно с тем, кто «зарабатывает» на СОРМе, и мы придумали проект «народного провайдера» для того, чтобы идти судиться с ФСБ о незаконности СОРМа.

Дальше проект немного забуксовал: два месяца ушло на получение лицензии для «народного провайдера», еще два месяца — на подключение его к сетям и подготовку узла связи к сдаче. Почему: потому что мы, конечно, не хотели «втемную» использовать вышестоящих провайдеров, к которым подключались, и сразу рассказывали им, для чего сдаем узел связи. Конечно, многие отказывались... Но, наконец, два провайдера, согласившихся нас подключить, нашлись. Узел связи готов, и мы его идем сдавать на следующей неделе (ура!).

Пока вся эта работа велась, мы не сидели, однако, без дела, и дальше разбирались в том, как что устроено с этим СОРМом. И выяснили одну важную вещь: рынок СОРМа еще и потому коррупционен, что, вопреки закону, ФСБ не ведет публичного реестра лицензиатов. Это дает им возможность говорить провайдерам «купи оборудование там, где я тебе скажу» (вместо «вот список, купи там, где хочешь»). Мы даже написали официальный запрос в ФСБ, и они прямо сказали, что список не дадут (хотя норма закона, на которую они ссылаются в своем письме, ничего такого в себе не содержит):

Список компаний, имеющих право продавать оборудование для СОРМ — тайна за семью замками

Соответственно, наш план атаки на СОРМ претерпел некоторые изменения:
— на следующей неделе сдаем узел связи, в ответ от нас требуют согласовать план СОРМ
— требуем предоставить список лицензиатов, нам отказывают, судимся
— после этого уже судимся за компенсацию расходов

Смысл, впрочем, остается прежним: выбить из-под СОРМ его экономическую базу. Если удастся сделать так, что провайдеры перестанут платить, или станут платить значительно меньше — СОРМ исчезнет. Потому что сейчас он не решает никаких задач, кроме одной-единственной — обдирания провайдеров (ну и абонентов, таким образом).

3. Мониторинг связности.
Ведется в автоматическом режиме с весны, а все интересные артефакты на графике проверяются в ручном режиме. Так, в последнюю неделю есть довольно заметное снижение связности, но оно было вызвано тем, что отваливались болгарский оператор Sofia Connect и германский M-NET, которые были напрямую связаны суммарно примерно со 150 российскими провайдерами; это не выглядит системной проблемой, а выглядит временной трудностью, причем не на российской стороне. Короче говоря, Индекс связности работает так, как и задумывалось: дает грубую интегральную оценку состояния дел — примерно как температура тела человека — а дальше уже мы начинаем смотреть вручную детали. И пока видим, что все хорошо.

Индекс связности Рунета-2016: пока что все колебания в допустимом диапазоне значений

Конечно, нам хочется повысить точность мониторинга связности (я еще напишу отдельно большой пост о том, почему это важно), и с этой целью в конце августа ОЗИ совместно с рядом партнеров провело первый российский хакатон по интернет-измерениям. Времени на подготовку взяли недостаточно, поэтому первый блин вышел слегка комом, тем не менее, что-то получилось.

Наибольшего успеха добилась команда под руководством Сергея Тяпкина, которая проводила сравнение данных о российской трансграничной связности по данным протокола BGP (используемых в данный момент ОЗИ для построения графика связности) и данных о российской связности по данным проекта RIPE Atlas. Результат сравнения данных за один день показал довольно серьёзное расхождение: связи видимые протоколом BGP и в общем массиве traceroute измерений RIPE Atlas совпали неожиданно мало. Благодаря тому, что на хакатон приехал Виктор Наумов из RIPE NCC, из этого получилась важная обратная связь для RIPE NCC о том, как реально устроена сеть в России в сравнении с тем, как она выглядит для регистратора. Новый хакатон подготовим получше и проведем, вероятно, в начале декабря.

II. Новые проекты.
Не то, чтобы мы планировали брать что-то еще на себя, но само собой так сложилось, что задачи прыгали на нас и вешались нам на шею, и, объективно говоря, надо выделить еще три направления деятельности, которыми мы сейчас активно занимаемся.

4. Международное сотрудничество.
К внешнему миру, к крупным ИТ-компаниям постепенно приходит осознание того, что слушать только позицию Роскомнадзора и других российских чиновников, для того, чтобы выстроить свою стратегию работы в российском интернете — недостаточно. Потому что простое следование постоянно меняющимся законным и незаконным требованиям российских властей — верный путь к убыткам и потере пользователей, а больше и ни к чему; история с требованием «локализации персональных данных» — яркий тому пример.

Крупные мировые ИТ-компании, поэтому, активно ищут тех, кто мог бы давать им альтернативную точку зрения на происходящее с российским интернетом, тренды и перспективы — и ОЗИ все чаще выступает таким партнером-аналитиком. Это важная и для них и для нас история: мы им объясняем, что слепо выполнять требования РКН не надо, что законы бывают разные (некоторые принимаются для того, чтобы применяться, а некоторые — только для того, чтобы ими пугать) и так далее. В перспективе, мы надеемся, это позволит крупным компаниям занять единую и крепкую позицию в противостоянии по крайней мере наиболее одиозным и вредоносным инициативам российского правительства.

Отдельная большая история — ситуация с банами в Facebook. Расскажу подробнее отдельным постом, но если кратко: ОЗИ взаимодействует с Facebook напрямую, и продолжает добиваться того, чтобы практике необоснованных банов был положен конец — и неважно, кого банят, Виктора Шендеровича или Сергея Железняка.

5. Просвещение.
Открытый ключ, сертификат, MitM, DPI, УЦ — все эти слова еще год назад были интересны только специалистам. Но в силу многих событий последнего года (и, надеюсь, хотя бы отчасти и благодаря деятельности ОЗИ) очень и очень многие «обычные пользователи» стали осознавать, что все эти слова и вопросы теперь становятся частью их повседневной жизни. Нас буквально постоянно теперь просят рассказать о том, как и что устроено в интернете, что угрожает безопасности обычных пользователей, во что могут вылиться те или иные активности нашего неуемно активного государства и т.д.

Нам это очень нравится, и мы никогда не отказываем. Выступаем на конференциях и семинарах, записываем обучающие видео, пишем статьи и отвечаем на вопросы. Российский интернет стремительно становится таким местом, где даже самому рядовому пользователю лучше быть хорошо осведомленным о рисках и опасностях, поэтому мы считаем просветительскую деятельность важной частью того, что делает ОЗИ. Вот лишь некоторые избранные материалы этого года:
— видеоролики: про государственный MitM, про пакет Яровой, про СОРМ;
— статьи: про пакет Яровой, про дешифровку трафика, про защиту от дешифровки (платная);
— карточки: про защиту электронной почты.

Прямо сейчас в работе еще ряд материалов на эти и смежные темы; требует много времени, но очень важно, и будем этим и дальше заниматься.

6. Пакет Яровой.
Тут все понятно, «пакет Яровой» сам себя не отменит, надо им заниматься. Проводить митинги, собирать подписи, пинать нерадивых чиновников, заниматься просвещением, разоблачать жуликов-бенефициаров. Тут вот в чистом виде: «делай, что должно — и будь, что будет». Благо, получается-то неплохо. Работаем.

III. Что дальше.
Есть ощущение, что мы дошли до предела объема задач, которые можно решать просто вдвоем на волонтерской основе в свободное от зарабатывания денег время. Ну, вы сами видите по списку задач. И вот надо понять, что дальше делать:
— оставить все как есть,
— брать новые задачи (какие?), отказываясь от каких-то из нынешних (каких?),
— пытаться организационно расти (например, объявлять краудфандинг, официально регистрировать НКО, набирать сотрудников в штат и т.д.),
— другие варианты.
Интересует ваше мнение, ну и в целом любая обратная связь о работе ОЗИ интересует.