Что за новая система блокировок?
24 сентября глава Роскомнадзора Александр Жаров рассказал, что ведомство начало тестировать новые технологии для блокировок.
«Осуществляется монтаж оборудования на сетях основных операторов связи, и мы с конца сентября в течение нескольких недель будем его тестировать, — сказал он. — <…> будем сначала проводить техническую проверку: влияет на трафик, не влияет на трафик, все ли сервисы работают успешно. И потом уже протестируем его в боевом режиме. Пока все идет нормально, когда эксперимент завершится, я расскажу о результатах». Он добавил, что конец тестирования намечен на середину октября.
Новое оборудование уже установлено в Екатеринбурге, пишет РБК, а в ближайшее время появится в Магнитогорске, Тюмени и других городах.
Жители Тюмени, которые пользовались Telegram, не заметили изменений, пишет «Новая газета». В Тюменском государственном университете, одной из точек проведения эксперимента, с доступом к приложению проблем нет. Зайти в него можно даже через вайфай участвующего в тестировании «Ростелекома».
Почему систему начали тестировать?
Учения проходят для реализации закона об «автономном интернете», который приняли 1 мая 2019 года. В частности, в нем сказано, что все интернет-операторы должны установить в свои сети «технические средства противодействия угрозам». Позже выяснилось, что для «противодействия угрозам» (а также для блокировок) решили использовать технологию глубокой фильтрации трафика (Deep Packet Inspection или DPI).
Как работают новые блокировки?
технический директор «Роскомсвободы»
«Есть три способа блокировки.
Его очень легко обходить, поэтому почти никто из провайдеров этим не пользуется.
На одном IP-адресе могут находиться много сайтов — большинство сайтов в интернете находятся у облачных хостинг-провайдеров, таких как Amazon, либо у сервисов типа CloudFlare, — поэтому блокировка по IP приведет к тому, что будут заблокирован и сайт, и еще куча всего, что находится в облаке на этом адресе. Такой способ достаточно редко применяется.
В основном применяется блокировка такого типа. DPI — это черная коробочка, сквозь которую проходит весь трафик оператора. Она пытается определить по проходящему трафику, что это за протокол, то есть какие приложения пользуются этим трафиком или на какой сайт идет пользователь, чтобы принять решение — пропустить этот трафик дальше, заблокировать его полностью или как‑то уменьшить скорость.
Например, у каждого человека есть своя походка. Издалека мы не разглядим лицо, но увидим походку и по ней определим, что это за человек. Здесь то же самое: мы не можем видеть весь трафик, который проходит сквозь черную коробочку, но можем по каким‑то косвенным признакам определить, что этот трафик условно принадлежит WhatsApp или приложению Facebook. Если увидели, что трафик похож на тот, что мы ищем, можем как‑то на него повлиять».
Сейчас блокировку по DPI осуществляют провайдеры, хотя эта система не очень мощная, ее можно назвать такой лишь условно.
Что изменит новая система?
Раньше, чтобы заблокировать сайт, Роскомнадзор вносил его в реестр запрещенных ресурсов, затем отправлял уведомление хостинг-провайдеру, а тот в течение трех дней писал владельцу сайта. Администраторам нужно было удалить информацию. Если этого не происходило, сайт добавляли в «выгрузку» для операторов, которые блокировали доступ.
DPI упростит этот процесс. Роскомнадзор сможет блокировать сайты напрямую, без обращения к операторам.
технический директор «Роскомсвободы»
«У Роскомнадзора будут чуть больше развязаны руки. С помощью черных коробочек у него будет возможность блокировать что‑то втихаря. Непубличные блокировки достаточно сложно выявить, намного сложнее контролировать обществу.
Закон о «суверенном интернете» также предполагает возможность отключения интернета в России целиком, регионах и районах, в случае если это будет создавать «угрозу безопасности». Если где‑то идут протесты, то Роскомнадзор будет иметь возможность просто обрубить интернет, как это было в Ингушетии (во время протестов в Магасе из‑за новой границы между Ингушетией и Чечней были перебои с мобильным интернетом. — Прим. ред.)».
Получится ли таким образом заблокировать Telegram?
Возможно, одна из целей установки нового оборудования — более эффективная блокировка Telegram, сообщало BBC. Приложение блокируют в России с весны 2018 года, но оно до сих пор работает, даже если не включать прокси и VPN. В частности, сложность блокировки Telegram в том, что Роскомнадзору нужно бороться не с конкретным сайтом, а с инфраструктурой приложения, которая постоянно присылает новые данные для подключения с помощью системы уведомлений из App Store.
технический директор «Роскомсвободы»
«Возьмем Facebook, который, вероятно, запустит свою криптовалюту, и его захотят заблокировать. Он будет работать в России, если Цукерберг захочет унизить Жарова и станет бороться за аудиторию. Если Цукербергу плевать на Жарова и на российский рынок, то Facebook не будет работать».
Можно ли обойти блокировку DPI с помощью VPN?
В России уже два года действуют правила, согласно которым VPN-сервисы должны подключиться к реестру запрещенных сайтов и блокировать для россиян страницы оттуда. Отказавшиеся сервисы, согласно поправкам в закон, сами попадут в черный список. На самом деле эти правила не работают: большинство VPN, которым написал Роскомнадзор, отказались сотрудничать, но их не заблокировали.
технический директор «Роскомсвободы»
«При помощи VPN можно будет обойти блокировку DPI, если система не будет блокировать VPN. Если будет, то есть механизмы, которые позволяют обойти блокировку. Китай постоянно борется с VPN, но они там неплохо работают. Когда Китай применяет новые механизмы блокировок, VPN-сервисам нужно время, чтобы подстроиться и обойти их.
Это работает так: трафик VPN маскируется под трафик чего‑то другого. Цензор не знает, что это за трафик, и в случае блокировки может обрубить не только сам VPN, но, например, весь видеотрафик, который идет пользователям провайдера.
Если власти готовы отключить видеотрафик, то VPN работать не будет, но, скорее всего, этого не произойдет. VPN продолжит маскироваться под что угодно — например, под видео, под IP-телефонию».
Может ли новая система случайно сломать российский интернет?
Роскомнадзор купит и установит оборудование операторам за счет государственного бюджета. На это планируется потратить около 20 млрд рублей. Вероятно, операторы не будут до конца контролировать работу оборудования, потому что в случае неполадок им придется отправить запрос в Роскомнадзор. Участник тестирования на Урале рассказывал РБК, что во время учений хотят выяснить, будет ли система блокировать что‑то не из реестра запрещенных сайтов.
технический директор «Роскомсвободы»
«Чем меньше центров управления интернетом, тем проще его положить. Теоретически из‑за своих косяков Роскомнадзор может произвольно сломать различные сегменты интернета и весь интернет России в целом.
Был случай, когда в Сирии взломали провайдера-монополиста — и во всей стране отключился интернет. В России такое невозможно, потому что у нас много провайдеров, всех одновременно взломать невозможно. Но когда Роскомнадзор сделает черный ящик с DPI, он создаст глобальную уязвимость в российском интернете. Если он будет взломан, то не так сложно потом отключить интернет во всей России в хулиганских целях или в целях саботажа, чтобы нарушить транспортную или энергетическую системы».
Когда мы окажемся в новом российском интернете?
Закон об «автономном интернете» должен вступить в силу 1 ноября. Но, по словам источников РБК, до конца 2019 года в рамках пилотного проекта планируется покрыть системами DPI только Уральский федеральный округ.
технический директор «Роскомсвободы»
«Единственный плюс — 1 ноября [система не заработает], потому что пока нет таких коробочек. А может, это не произойдет никогда».