Великий російський файрвол: як Росія рухається до китайської моделі контролю інтернету Статті редакції
Вибіркові блокування, автономний рунет і тиск на бізнес - три кроки до повної зачистки мережі від забороненої інформації.
На початку вересня Роскомнадзор заблокував шість великих VPN-сервісів, але залишив вільний доступ до них для деяких організацій на кшталт банків. Пізніше деякі користувачі інтернету повідомили , що Ростелеком почав блокувати децентралізований протокол BitTorrent, а клієнти декількох провайдерів поскаржилися на проблеми в роботі онлайн-ігор і сервісів.
«Білі списки» доступу і блокування протоколів замість окремих сайтів або сервісів - це частина нової стратегії контролю російської влади над рунетом, яка все більше схожа на китайську модель. TJ розповідає, як Росія рухається до власного «великому файрвол», які етапи вже пройшла і чого чекати далі.
Як контролюють інтернет в Китаї
Китайська влада почали створювати «великий файрвол» в 1997 році, коли лише 1,6% китайських сімей мали комп'ютер. В таких умовах владі не склало труднощів впровадити централізовану багаторівневу систему фільтрації інтернет-трафіку. Повністю вона заробила в 2008 році, коли інтернетом користувалися вже понад 20% населення.
Програма контролю працює в декількох напрямках. По-перше, «великий файрвол» уповільнює з'єднання з ресурсами поза Китаєм до 56 кілобіт в секунду і нижче, а також не дає відкрити деякі з них - наприклад, Ютуб , Твіттер , Редді і Вікіпедію . По-друге, система за допомогою глибокого аналізу трафіку і активного зондування мереж протидіє обходу фільтрації: блокує недозволені зашифровані з'єднання IPsec і TLS , перекриває доступ до VPN-сервісів і анонімної мережі Tor .
Нарешті, уряд тисне на китайські та іноземні компанії. Дослідники вказують : «великий файрвол», скоріше, покликаний шкодити роботі місцевих інтернет-провайдерів і сервісів, щоб схилити їх до самоцензури . З тією ж метою влади можуть загрожувати блокуваннями іноземним технологічним компаніям. Всі ці заходи слідують ряду законів, прийнятих в кінці 1990-х і початку 2000-х років - вони визначають, яка інформація є небажаною і підлягає блокуванню.
- заклики до діяльності проти конституції, уряду і соціалістичної системи;
- розпалювання ненависті і дискримінації, шкоди національному та територіальній єдності;
- брехня, перекручення правди, наклеп, чутки, підрив репутації державних органів;
- пропаганда тероризму, злочинності, насильства;
- матеріали сексуального характеру, азартні ігри, релігійні забобони.
Як Росія прийшла до контролю інтернету
Можливість обмеження доступу до тієї чи іншої інформації закладена в Конституції РФ - наприклад, частина 3 статті 55 говорить :
Права і свободи людини і громадянина можуть бути обмежені федеральним законом тільки в тій мірі, в якій це необхідно з метою захисту основ конституційного ладу, моральності, здоров'я, прав і законних інтересів інших осіб, забезпечення оборони країни і безпеки держави.
Також обмеження свободи слова передбачені частиною 3 статті 17 і частиною 2 статті 29 Конституції - вони забороняють пропаганду соціальної, расової, релігійної ворожнечі та реалізацію прав людини, які порушують права інших людей. З такими мотивами російська влада почала впроваджувати механізми контролю над інтернетом ще в 2000-х роках.
Спочатку це були заходи проти тероризму і екстремізму - з 2005 року Генеральна прокуратура подавала позови до провайдерів, вимагаючи заблокувати той чи інший сайт. У квітні 2007 року з'явився Федеральний список екстремістських матеріалів, і вже через місяць в нього потрапив перший сайт - новосибірський суд постановив заблокувати доступ до «Кавказ-центру».
Поворотним моментом можна вважати осінь 2012 року, коли відповідно до Федерального закону № 139-ФЗ з'явився єдиний реєстр заборонених сайтів - «чорний список» доменних імен та мережевих адрес. Роскомнадзор, МВС і Росспоживнагляд отримали право блокувати сайти без рішення суду, якщо експерти знайдуть на них інформацію , яка «завдає шкоди здоров'ю і розвитку дітей», розпалює ненависть до соціальних груп або просто заборонена будь-яким судовим рішенням.
Рішення про блокування сайтів може приймати і Генеральна прокуратура - за заклики до масових безладів, «несанкціонованих мітингів», екстремізму і тероризму, а також за поширення інформації «небажаних організацій», які «підривають конституційний лад Росії і її обороноздатність». Це не повний список відомств, які мають право перекривати доступ до сайтів - всього їх більше десятка.
Перший крок - адресна блокування сайтів
На відміну від китайської влади, росіяни не могли з самого початку впровадити централізовану систему фільтрації трафіку: влітку 2012 року інтернетом користувалася вже половина росіян (понад 70 мільйонів чоловік) через трьох-чотирьох тисяч провайдерів, включаючи місцевих. Тому блокування сайтів уряд вирішив перекласти на самих операторів зв'язку.
Отримавши від будь-якого відомства рішення про заборону доступу до тих чи інших веб-сторінок, Роскомнадзор вносить їх до реєстру, після чого проводить вивантаження - розсилає провайдерам XML-файл з новими записами. Провайдери повинні оперативно перекрити доступ до вказаними адресами. Програмно-апаратний комплекс «Ревізор», встановлений у кожного оператора, перевіряє доступність сайту в його мережі і відсилає звіт в Роскомнадзор. За невиконання рішень провайдерів штрафують.
Зазвичай Роскомнадзор вказує URL-адресу конкретної веб-сторінки із забороненою інформацією (наприклад, https://tjournal.ru/tech/434934), щоб не блокувати весь сайт. Однак зараз три чверті сайтів використовують зашифрований протокол HTTPS для передачі даних, через що провайдери часом не можуть визначити, до якої саме сторінці звертається користувач, і блокують сайт цілком.
Набагато більш грубий метод - блокування сайтів за IP-адресою. Якщо URL сайту або сторінки можна порівняти з мобільним телефоном людини, то IP - це адреса будинку, в якому він живе. Але в одному будинку з ним можуть жити і інші люди - так само, як багато сайтів можуть використовувати один IP-адреса.
Коли Роскомнадзор перекриває доступ до сайтів з IP, це майже завжди призводить до масових проблем - разом з забороненими ресурсами «під удар» потрапляють десятки або навіть тисячі інших сайтів і сервісів. Найбільш яскравий приклад - боротьба з Телеграма, коли відомство внесло до реєстру більше 18 мільйонів IP-адрес, перекривши доступ до десяткам популярних сайтів і ускладнивши роботу багатьох сервісів, включаючи державні . При цьому сам телеграм продовжував працювати в Росії, а влітку 2020 року його перестали блокувати.
Другий крок - автономний рунет
До 2019 року неефективність підходу Роскомнадзора стала очевидною: шифрування протоколів ускладнювало блокування веб-сторінок, історія з Телеграма показала його невразливість і руйнівність «банів по IP», а проксі і VPN-сервіси дозволяли користувачам без праці обходити заходи відомства.
VPN (Virtual Private Network) зручні для організацій - вони дозволяють створити всередині інтернету захищену віртуальну мережу для зв'язку різних відділень. «Побічний ефект» VPN - його ефективність в боротьбі з фільтрацією трафіку. За допомогою VPN можна прокласти зашифрований тунель до зарубіжного сервера і через нього виходити в звичайний інтернет, уникаючи блокувань.
Це підштовхнуло державу до зміни стратегії: в травні 2019 року президент РФ підписав пакет поправок , відомих як закон про автономний рунеті. За офіційною версією, його прийняли для захисту російського сегмента мережі від атак і відключення ззовні. Фактично ж закон вводить централізовану модель контролю над рунетом - дуже схожу на ту, що використовує Китай. При цьому закон, скоріше, суперечить декларованої мети - централізація рунета може катастрофічно погіршити його надійність і захищеність.
Які заходи ввів новий закон
Устаткування «технічних засобів протидії загрозам» (ТСПУ) з 2019-2020 року встановлено у кожного великого провайдера, при цьому контролює його безпосередньо Роскомнадзор. Провайдери не мають до ТСПУ ніякого доступу, крім фізичного. Відповідно, обов'язок блокувати заборонені сайти переходить від провайдерів до Роскомнадзор.
Нове обладнання дозволяє збільшити ефективність блокувань завдяки DPI - глибокого аналізу пакетів. Інтернет-трафік складається з потоку даних, розбитого на окремі порції - пакети. Зазвичай мережеві програми і обладнання перевіряють тільки заголовки цих пакетів і не «дивляться», що знаходиться в самих пакетах, тому що це складно і дорого, особливо з урахуванням повсюдного шифрування.
Системи DPI аналізують саме вміст трафіку, при цьому здатні «розуміти», що в ньому знаходиться, навіть якщо він зашифрований. Для цього система вивчає структуру трафіку (пакети багатьох протоколів на кшталт BitTorrent мають характерний «малюнок»), цільові IP і DNS -адреси, непрямі параметри начебто поведінки пакетів, тривалості та частоти з'єднань. Спочатку технології DPI створювали для оптимізації роботи мереж і підвищення їх безпеки.
Досвід Китаю показує , що за допомогою систем DPI можна блокувати або сповільнювати навіть зашифрований трафік SSH і VPN - «великий файрвол» за кілька хвилин визначає «небажані» з'єднання і починає їм протидіяти. Приблизно таку ж ефективність можуть мати російські системи DPI: наприклад, Роскомнадзор вже сповільнював роботу Твіттера, причому вибірково - текст завантажувався зі звичайною швидкістю, на відміну від картинок і відео.
Третій крок - тиск на технологічні компанії
Роскомнадзор регулярно вимагає від зарубіжних сайтів і сервісів підкорятися російським законам, погрожуючи блокуваннями. Влітку відомство зупинило роботу сервісів Opera VPN і VyprVPN в Росії через їх небажання перекривати доступ до заборонених сайтів, а уповільнення роботи Твіттера стало наслідком відмови соцмережі видалити незаконні матеріали.
Але зазвичай приватні компанії схильні виконувати вимоги місцевої влади. Наприклад, Apple видаляла додатки з китайського App Store і навіть емодзі з прапором Тайваню з iOS. Microsoft цензурувала свої блоги в китайському сегменті мережі, Yahoo видавала особисті дані журналістів владі Китаю, а Google навіть готувався увійти на китайський ринок з новою пошуковою системою, яка автоматично фільтрувала б видачу.
Також технологічні компанії готові йти на поводу російської влади. Google видаляє з пошукової видачі в Росії сотні тисяч посилань на заборонені сайти. TikTok, Facebook, Twitter, Instagram і YouTube виконують багато вимог відомства по боротьбі з забороненим контентом. Звичайно, зарубіжні соцмережі та інші сервіси ігнорують частину запитів, але в цілому задовольняють їх - той же Google виконує близько 70% вимог.
Податливість бізнесу можна пояснити небажанням втрачати російський інтернет-ринок. Google в 2019 році заробив в Росії 75 мільярдів рублів - при таких прибутках компанії навряд чи будуть активно протидіяти державному контролю. Чи не підкоритися вимогам місцевого регулятора - значить, поступитися ринок своїм Важливим кроком конкурентам.
Що буде далі
Зараз неможливо сказати, наскільки успішними виявляться існуючі методи обходу контролю над рунетом. Судячи з того, що відбувається в Китаї, держава здатна якщо не повністю перекрити доступ до заборонених ресурсів, то максимально ускладнити роботу з ними навіть для досвідчених користувачів.
Використання проксі, VPN, альтернативних DNS-серверів може втратити сенс через перехоплення і підміни адресації. Ще до моменту шифрування трафіку система фільтрації блокує доступ до небажаних сервісів або перенаправляє користувача на потрібні сайти. Наприклад, підміняє зарубіжні DNS-сервери національною системою доменних імен, яка в принципі не видає заборонені адреси.
Виходом може бути шифрування самих DNS-запитів за допомогою протоколів DNS over TLS, DNS over HTTPS і ESNI, але Мінціфри вже розглядає можливість їх заборони на території Росії. Технічно така заборона можна реалізувати за допомогою глибокого аналізу трафіку. До того ж, шифрування DNS не працює проти блокування сайтів за IP або через активне зондування мереж.
Шифрування трафіку взагалі не варто розглядати як панацею - системи DPI можуть блокувати небажані і підозрілі з'єднання на етапі «рукостискання», коли клієнт тільки з'єднується з сервером по HTTPS. Але навіть встановлене зашифроване з'єднання можна виявити і розірвати, вивчивши його трафік - як відбувається з тунелями OpenVPN в Китаї або мережею Tor в деяких країнах. Єдине рішення, яке до сих пір працює навіть в Китаї - обфускація (маскування) зашифрованого трафіку.
Але можливості влади всім цим не обмежуються. Вони можуть, наприклад, зобов'язати користувачів інтернету встановити собі державний SSL-сертифікат, як це хотіли зробити в Казахстані або роблять в Китаї. Тоді контролюючі органи зможуть без праці розшифровувати мережевий трафік і робити з ним що завгодно. Головна проблема державної цензури полягає в тому, що її навряд чи вийде нескінченно уникати за допомогою технічних методів. А більша частина суспільства поки навіть не помічає, як влада створює собі плацдарм для подальших обмежень.
- Получить ссылку
- X
- Электронная почта
- Другие приложения
- Получить ссылку
- X
- Электронная почта
- Другие приложения
Комментарии
Отправить комментарий