Суверенный интернет не настолько суровый. На Урале испытывают «русский файервол». Его можно обойти в один клик
Операторы связи в Екатеринбурге и Тюмени установили оборудование для изоляции Рунета и запустили его в тестовом режиме. Информацию об этом РБК подтвердил представитель екатеринбургского оператора «ЭР-Телеком» Дмитрий Смиркин. По информации собеседников «Новой газеты», эксперимент проводится не повсеместно, а на выбранных площадках: например, в Тюмени их шесть: это несколько торговых центров и Тюменский государственный университет.
В эксперименте участвуют все крупные операторы сотовой связи: МТС, «Мегафон», Ростелеком, Вымпелком и другие. Блокировка «запрещенного контента» ведется с помощью технологии Deep Packet Inspection (DPI): ее, например, использовали в 2017 году в Азербайджане для блокировки оппозиционных новостных сайтов и звонков через Skype и WhatsApp.
По признанию самих участников тестирования, эксперимент на Урале пока проводится «незаметно для пользователей». И действительно: в Тюменском государственном университете блокировку Telegram — главной мишени блокировок Роскомнадзора — не заметили ни студенты, ни преподаватели.
Зайти в приложение можно даже через Wi-Fi, доступ к которому предоставляет Ростелеком, участник эксперимента по блокировке.
Интересно в этом контексте выглядит заявление заместителя руководителя Роскомнадзора по Тюменской области Руслана Джумасова, который на брифинге 25 сентября заявил, что проведением эксперимента в Тюмени целиком заведуют московские сотрудники Роскомнадзора. «Вся работа ведется без нашего привлечения», — сказал он.
В Екатеринбурге введение суверенного интернета ознаменовалось разве что нестабильностью работы сотовой связи: несущественные сбои наблюдались в работе сети «Мегафон». Впрочем, и это может быть совпадением.
По мнению телеком-аналитика Михаила Климарева, DPI не поможет российским чиновникам заблокировать Telegram ни на Урале, ни в России в целом.
— Чтобы понять, что такое DPI, представьте себе компьютер с двумя кабелями: один в компьютер входит, другой из него выходит. Этот компьютер должен отсматривать каждый входящий пакет, то есть блок данных, и принимать по нему решение: пропускать или не пропускать. Если блок данных подпадает под шаблон запрещенных, его не пропускают. Казалось бы, все просто. Но есть такая вещь — инкапсуляция: это когда один пакет данных вставляется в другой пакет данных. И пакет с данными Telegram может быть легко инкапсулирован в пакет с другими данными, не запрещенными. Если помните, Роскомнадзор в свое время обвинял Telegram в том, что они прикрываются другими сервисами. Это так и было, это факт. Но чтобы заблокировать Telegram, в таком случае надо заблокировать и остальные ресурсы, под которые он мимикрирует.
Климарев отмечает, что, несмотря на работу DPI,
рядовому пользователю при возникновении проблем с доступом к заблокированным Роскомнадзором сайтам и приложениям хватит прежнего инструментария: proxy и VPN. Telegram можно просто обновить.
— Единственный способ отключить Telegram в России — это отключить интернет. И это единственное, чему реально может посодействовать DPI: с помощью него отключать интернет в каждой отдельной локации можно будет за несколько минут, потому что исчезнет бумажная волокита: сейчас Роскомнадзор должен написать интернет-оператору письмо с просьбой отключить интернет, при этом нужно еще выяснить, какой конкретно оператор обслуживает нужную локацию. На это уходит не менее суток. Теперь Роскомнадзор сможет отключать интернет самостоятельно.
Отключений интернета ни в Екатеринбурге, ни в Тюмени пока не наблюдается. Учитывая тот факт, что местных сотрудников Роскомнадзора к эксперименту не допускают, непонятно, проводится ли он на самом деле, или нет.
Тут важно сказать, что качество эксперимента будут оценивать как раз по степени «токсичности» для пользователей: то есть по тому, возникают ли у них проблемы с доступом к запрещенным сервисам, или нет. Пока — явно не возникают.
Тем не менее эксперимент собираются расширять на Южный Урал: в ближайшее время DPI должен прийти в Челябинск и Магнитогорск.
Собеседники «Новой газеты» предполагают, что цель эксперимента — не столько в реальном апробировании суверенного интернета (непонятно, что он вообще должен собой представлять, если все блокировки обходятся в один клик с помощью proxy и VPN), сколько в освоении денег. На реализацию закона о суверенном интернете выделено 30 миллиардов рублей. Из них 20 миллиардов планируется потратить на оборудование. Будет или не будет это оборудование работать — вопрос второстепенный.
Не прощайтесь с блокировками. Радость по поводу новых технологий борьбы с цензурой в интернете преждевременна
Забавно наблюдать, как в мейнстримную прессу, особенно заряженную политикой, залетают «сенсации» из мира IT и наполняют читателей надеждами. Надежды эти, увы, по большей части ложные, поэтому так обидно прочитать сначала, что «все блокировки Роскомнадзора превратятся в тыкву», а потом, после изучения вопроса, узнать, что блажен, кто верует.
Свежий сюжет, который предлагаю читателю к совместному разбору, завязан на публикации в блоге весьма прогрессивного фонда Mozilla, в которой рассказывается о намерении в скором времени включить по умолчанию в браузере Firefox опции DNS-over-HTTPS (DoH).
Публикация эта выдержана даже не в осторожном, а в испуганном духе:
И вот в ответ на эту опаску-оглядку по просторам прогрессивного отечества вирусно разливается публикация под названием «ПРОЩАЙ ДИ-ПИ-АЙ» (ноги, как я понял, растут из телеграм-канала Михаила Климарева «ЗаТелеком»). Из текста мы узнаем, что теперь
Мы и в самом деле с этим «ничо» не сделаем, потому что ситуация сильно сложнее. Начнем с технологии. DNS-over-HTTPS означает простую вещь. Когда вы хотите посетить сайт, вы набираете в адресной строке браузера его название, например, novayagazeta.ru. Интернет человеческого языка не понимает, поэтому ваш запрос сначала отправляется на специальные серверы доменных имен (DNS-серверы), которые переводят названия сайтов в соответствующие им цифровые IP-адреса. Например, IP-адрес «Новой газеты» — 198.100.146.115. Именно этот цифровой адрес DNS-сервер передает дальше в сеть, после чего страница сайта воспроизводится в вашем браузере.
По умолчанию ваш запрос с названием сайта, который вы набираете в адресной строке браузера, отправляется в сеть в незашифрованном виде, поэтому посредник может его прочитать и тем самым узнать, какой сайт вы собираетесь посетить. Протокол DNS-over-HTTPS позволяет передавать пользовательские запросы к серверу DNS не в открытом виде, а через зашифрованный протокол HTTPS.
Надо сказать, что Mozilla (а также Google) тестируют DNS-over-HTTPS уже больше года — с июня 2018 года. Начиная с версии 62 (а сегодня доступна уже версия 68), любой пользователь браузера Firefox может включить DoH самостоятельно в настройках, поэтому резонно предположить, что воодушевивший соотечественников меморандум имеет отношение не столько к самой технологии, сколько к ее применению в браузере по умолчанию. При этом речь идет только о гражданах США и Великобритании, поскольку именно в этих странах инициатива Mozilla вызвала яростную критику и противодействие со стороны влиятельных общественных организаций — Фонда надзора за интернетом и Ассоциации провайдеров интернета.
Последние даже наградили Mozilla издевательской премией в номинации «Интернет-преступник года».
Что же так возмущает англосаксонскую общественность в протоколе DNS-over-HTTPS? Коллизия в том, что на пользовательских запросах к серверам DNS строятся американские и британские системы родительского контроля и слежения за нарушением авторских прав.
Отрок отправляется на какой-нибудь порноресурс, а специальные программы вроде OpenDNS, SafeDNS, Quostodio, Net Nanny или Symantec Norton Family Premier перехватывают его запрос и делают пальчиком: «Ай-ай-ай, такой-сякой шалунишка! Рано тебе заглядывать в эту сторону!».
Аналогично стращают и борцы из Американской ассоциации звукозаписывающих компаний (RIAA): набрал в адресной строке браузера что-нибудь вроде thepiratebay.org, а тебе, голубчику, вместо торрента с любимой песней прилетает ответка с напоминанием о многомиллионном штрафе за скачивание и распространение контрафакта.
Очевидно, что протокол DoH, шифрующий запросы DNS, сильно усложнит жизнь американским заботливым родителям и контроллерам авторского права (сознательно употребляю термин «контроллер», потому что в массе своей авторские права принадлежат не самим авторам, а монопольным структурам, эти права за гроши изымающим), отсюда и неприязнь к Mozilla и Google, планирующим включить опцию DoH по умолчанию в своих браузерах.
Теперь самое интересное. Я понимаю эйфорию, которая заставила коллегу Климарева писать о «тыкве» блокировок РКН. Автор, кажется, решил, что отечественные провайдеры блокируют по требованию государства нежелательные сайты так же, как в Америке — через запросы DNS. Поэтому и понадеялось, что протокол DNS-over-HTTPS приблизит вожделенный момент с «ПРОЩАЙ ДИ-ПИ-АЙ».
Тут нас, однако, поджидает первая — малая — неприятность (малая, потому что будет еще и вторая — уже большая). По DNS в РФ блокировку осуществляют только 10–15 процентов провайдеров.
А остальные 85–90% используют блокировку на совсем другом уровне — протоколе указания имени сервера, т.н. Server Name Indication (SNI).
Термин тоже звучит страшно, но объясняется просто. В момент установки соединения по зашифрованному протоколу HTTPS происходит обмен сертификатами между сервером и компьютером пользователя (то, что называется handshaking, рукопожатием). При этом обмене, предшествующем шифрованию последующего трафика, имя запрашиваемого пользователем сайта передается в открытом, а не зашифрованном виде. Тут-то его и перехватывают родные провайдеры, сопоставляют запрос с запретным списком РКН и, в случае совпадения, выдают пользователю вместо нужного сайта заглушку про постановление советского правительства.
Теперь вы понимаете, что DoH ровным счетом ничего не изменит в сложившейся ситуации и никакого «ПРОЩАЙ ДИ-ПИ-АЙ» не случится.
Можно, конечно, потрафить тщетным надеждам и сказать, что с осени 2018 года интенсивно ведется подготовка к внедрению нового протокола — Encrypted SNI (ESNI), который шифрует в «рукопожатии» имя запрашиваемого сайта с помощью публичного ключа сайта, получаемого из системы имен DNS. И если в новые версии браузеров включат обе опции — и DoH, и ESNI, тогда можно будет с натяжкой уже говорить о технических сложностях блокировки сайтов, которые не нравятся Большому брату.
Не хочется быть гонцом плохих вестей, но и утаивать помянутую выше большую неприятность не имею права. Вы не задумывались, почему в США, ЕС и других «свободных» странах не заморачиваются с изощренными технологиями противодействия нежелательным вылазкам нетизанов, вроде скачивания на торрент-трекерах новинок кинопроката и посещения сайтов, разжигающих расовую неприязнь и гендерную нетерпимость?
Почему структуры-церберы «глушат» запросы нерадивых пользователей преимущественно по DNS, а не по SNI, как то делают более продвинутые российские и китайские борцы за чистоту идей?
В июле я уже рассказывал читателям об удивительном изобретении «наших американских партнеров» — универсальном коде, который массово прививается населению и делает избыточным любые непопулярные запретительные меры. Население нагружено на уровне общественного порицания такими жесткими конструкциями самоконтроля, что без всякого внешнего принуждения добровольно сторонится любых действий, которые государство полагает нежелательными.
Ментальность русского народа веками формировалась глобальным нигилизмом и органическим недоверием к власти, поэтому универсальный код американского образца не действует по определению. Зато замечательно работает мотивация самосохранения, которая в последние 100 лет окончательно прописалась в генотипе и служит теперь мощным фактором выживания на национальном уровне.
Опросы общественного мнения (любые: что левые, что правые, что провластные, что либеральные) не оставляют сомнений в том, что подавляющему большинству жителей РФ не нужны ни DoH, ни ESNI, ни сайты из списка РКН.
Наш человек со спокойным сердцем готов принять (и принимает) любой запрет в интернете, вплоть до полной самоизоляции национального сегмента.
И это и не хорошо, и не плохо. Это — форма национального самосохранения и результат работы исторической памяти, основанной на опыте взаимоотношений с родной властью.
Дальше — больше. Абсолютно все, кто в РФ интересуются «черным списком» РКН, стряхнули технические препоны, как назойливую муху. О том, как пользоваться VPN, знают даже ученики начальных классов. Кому нужно, те пользуются. Таких меньшинство. Большинству это не нужно. Поэтому никакого «ПРОЩАЙ ДИ-ПИ-АЙ» в обозримом будущем не наступит — что с DoH, что с ESNI, что с VPN, что с Великим русским файрволлом, что с чертом лысым и картавым. Когда говорит психология масс, IT технологии молчат.
Последний нерешенный вопрос: зачем наше государство идет на технологические ухищрения вроде блокировки по SNI и тотального внедрения DPI? Ответ: ума не приложу! Честное слово. Ибо со стороны государства эти телодвижения избыточны и бессмысленны.
Русские люди — не китайцы, ими невозможно управлять при помощи жестких правил. История показала, что русскими людьми можно управлять только по любви и на доверии. Есть любовь и доверие, избыточны любые РКН. Нет любви и доверия, не поможет даже полная изоляция рунета. Альтернатива любви в России только одна — народом не получится управлять, его можно будет только угнетать. Та же история показала, что у последнего сценария всегда и при любом раскладе бывает только один финал.
История вопроса
Дуров объявил о выплате грантов держателям прокси и VPN
Основатель мессенджера Telegram Павел Дуров начал выплачивать биткойн-гранты администраторам прокси-сервисов и VPN. Об этом он рассказал на своей странице «ВКонтакте».
Дуров объяснил, что многие из независимых прокси-сервисов и VPN перестают работать из-за действий российских властей, которые в борьбе с Telegram начали блокировать «миллионы IP-адресов облачных хостингов, не считаясь с потерями посторонних проектов».
«Хотя российский рынок не составляет существенной доли пользовательской базы Telegram, он важен нам по личным соображениям. В рамках Цифрового Сопротивления – децентрализованного движения в защиту цифровых свобод и прогресса – я начал выплачивать биткоин-гранты администраторам proxy и vpn», — написал Дуров. На эти цели он пообещал пожертвовать «миллионы долларов» личных средств в течение всего года.
Днем ранее Роскомнадзор начал ограничивать доступ к мессенджеру Telegram на территории России по решению Таганского суда Москвы от 13 апреля. С иском о блокировке мессенджера в суд обращался Роскомнадзор: ведомство утверждало, что мессенджер не выполняет российские законы, отказываясь предоставить ФСБ ключи для дешифровки переписки пользователей.
В Telegram называли требование ФСБ неисполнимым и противоречащим конституции. По словам основателя мессенджера Павла Дурова, от блокировки Telegram в России пострадают около 15 млн пользователей.
После этого Роскомнадзор начал блокировать облачные сервисы, адреса которых Telegram использует для обхода блокировок. На данный момент заблокированы уже более 15 млн таких адресов.
Прогнулся ли «Гугл» под Роскомнадзор и хватит ли 2 миллиардов для «суверенного интернета»? Эксперт по IT-безопасности комментирует новости цензуры
По мнению руководителя «Роскомсвободы» Артема Козлюка, к которому мы обратились за комментарием, обе новости в таком виде вызывают сомнения экспертов и в целом демонстрируют неэффективность любых инициатив по ограничению свободы интернета.
«Ограничивают, но не к тому, о чем все подумали»
Что стоит за кулуарной договоренностью чиновников с «Гугл»
— Ни я, ни мои коллеги не смогли смоделировать ситуацию, когда бы «Гугл» ни показал в поисковой выдаче те ссылки из реестра запрещенных сайтов, которые мы проверяли. Поэтому я подвергаю эту информацию очень большому сомнению.
73% ссылок, которые компания якобы убрала, — большая цифра. Туда должна была попасть выборка запрещенных ресурсов, специалисты бы это увидели. Нам этого сделать, к сожалению, не удалось.
Исключение составляют отдельные пиратские сайты, которые запрещены по антипиратскому закону, но эта категория стоит отдельно. В этом случае «Гугл», действительно, может манипулировать с поисковой выдачей и не показывать ряд ресурсов. Возможно, «Гугл» ограничивает доступ по кулуарной договоренности с Роскомнадзором.
Если корпорация решила, что в тех или иных случаях готова ограничивать доступ, то она может это сделать. Это добрая воля «Гугла». При этом компания понимает риски: если не сотрудничать с государственными ведомствами — будут вставлять палки в колеса. В «Гугле» считают деньги и что им выгодно: работать в России и получать клиентов или нет. С соответствующей интуитивностью они принимают положительные или отрицательные решения по запросам властей.
Но вот что по фактам. Совсем недавно «Гугл» опубликовал отчет о правительственных запросах от стран со всего мира, где компания показала статистику и привела примеры, когда они удовлетворяют запросы на удаление информации. Если говорить про Россию, то корпорация по требованию Роскомнадзора ограничивает доступ к видеороликам на ютьюбе и в своей блог-системе Blogger. Но в отчете я не увидел, чтобы приводились примеры ограничений в поисковой выдаче. Пусть «Гугл» приведет такие факты в отчете за новый период, а пока что все эти слова о выборочном удалении ссылок вызывают подозрение.
«Пара миллиардов рублей — капля в море»
Почему выделенные «на суверенный интернет» деньги еще не означают, что он будет
— Мои коллеги и эксперты говорят, что «Интерфакс» не совсем корректно привел информацию. Они подвергают сомнению, что именно эти деньги соответствуют будущей реализации законопроекта об автономном Рунете.
Но даже если абстрагироваться от этого и принять, что 1,8 миллиарда рублей идут на исполнение закона, то все равно оценка стоимости его реализации со стороны IT-отрасли намного выше. Речь идет о сотнях миллиардов рублей в год. Только от одного крупного оператора потребуется несколько десятков миллиардов рублей, и с каждым годом эта сумма будет увеличиваться.
Даже если государство будет компенсировать затраты на уровне пары миллиардов рублей, причем за три года, то это капля в море от реальной стоимости внедрения тех технологических норм, которые заложены в законе. Мне кажется, что государство предлагает перенести нагрузку на плечи самих операторов и в конечном итоге на самих абонентов: операторы будут компенсировать свои затраты за счет повышения стоимости своих услуг. (В подтверждение слов эксперта уже к середине дня сам сенатор Клишас объявил, что на реализацию идеи о суверенном Рунете бюджетные средства все-таки потребуются, притом не 2, а 20 миллиардов (!) рублей.— Е.К.)
Стоит подвергать сомнению эффективность всех законов по ограничению свободы интернета. Зачастую они не работают по заявленным целям — защите интересов граждан. Напротив, эти законы сами могут представлять угрозу развитию интернет-бизнеса и нарушать гражданские права. Яркий пример — блокировка Telegram.
Сейчас мы видим попытки перестроить структуру Рунета, поставить под контроль точки обмена трафика и наделить Роскомнадзор полномочиями по его маршрутизации. Так масштаб контроля над интернет-пространством со стороны государства растет, и оно не собирается останавливаться.
