Технологии
Дамир Камалетдинов

Роскомнадзор замедляет Twitter в России: как это работает, чем опасно для рунета и как обойти ограничения

Главное о беспрецедентных мерах ведомства, обернувшихся случайными «жертвами» — от сайта RT до Steam.

Фото TJ

10 марта Роскомнадзор начал замедлять скорость работы твиттера в России из-за того, что соцсеть не стала удалять запрещённый контент. Но в итоге на фоне ограничений перестали работать правительственные сайты, замедлились крупные ресурсы вроде Microsoft и Steam, а у Ростелекома случился сбой.

К вечеру Роскомнадзор пригрозил Twitter полной блокировкой в случае отказа и дальше удалять запрещённый контент. В компании отметили, что «глубоко обеспокоены» попытками «ограничить общение в интернете».

TJ рассказывает, что известно о первом дне замедления — как это оказалось возможным, что думают эксперты в индустрии и чем это крайне опасно для рунета.

Почему замедлили твиттер

Обычно Роскомнадзор блокирует сайты, которые не подчиняются требованиям ведомства. Однако в случае с твиттером впервые применили новый способ ограничения доступа к ресурсу — регулятор заявил, что замедлит сервис на 100% на мобильных устройствах и на 50% на десктопах.

Ведомство назвало причиной то, что Twitter не удалил часть запрещённого с 2017 года контента. В том числе «склоняющего несовершеннолетних к совершению самоубийств, содержащего детскую порнографию, а также информацию об использовании наркотических средств». В Роскомнадзоре утверждают, что направили более 28 тысяч жалоб, но 3168 публикаций соцсеть так и не убрала.

Обычно Twitter соблюдает требования Роскомнадзора. Согласно отчёту компании о взаимодействии с госорганами разных стран, только в первом полугодии 2020 года сервис ограничил доступ к 1400 сообщениям по заявкам российских властей. Для сравнения: это вдвое больше, чем в Великобритании (699 публикаций) и в Индии (377). Уровень исполнения требований при этом составил 26% и оказался близок к среднемировым значениям (31,7%).

Формально в законах нет замедления сайтов в качестве мер ограничений, а в российских судах до сих пор не выносили подобных решений.

Совет Федерации ещё в ноябре 2020 года предлагал замедлять доступ к ресурсам, которые не соблюдают требования властей. Но тогда это озвучивали в качестве крайней меры после штрафов за отказ открыть представительство в России (у Twitter его нет) и блокировки в магазинах приложений.

Решение Роскомнадзора основывается на федеральном законе 149 «об информации, информационных технологиях и защите информации». Ведомство использовало статью 15.1, которую ввели ещё в 2012 году, но с тех пор постоянно расширяли. Её суть сводится к тому, что Роскомнадзор может обязать провайдеров ограничивать доступ к сайтам, если те нарушают законы и не удаляют запрещённую информацию.

При этом в статье 15.1 не говорится о замедлении сайтов — там упоминается лишь «ограничение доступа» провайдерами, под которое формально попадает и замедление скорости. Из правила есть лишь одно исключение, когда доступ ограничивают с помощью «средств противодействия угрозам в порядке централизованного управления сетью связи». Как отметил в разговоре с TJ юрист Роскомсвободы Саркис Дарбинян, таким образом Роскомнадзор «вольно трактует закон».

Как работает замедление сайтов

По данным источников РБК среди интернет-провайдеров, Роскомнадзор самостоятельно ограничил скорость к твиттеру, воспользовавшись лазейкой в законе. Один из крупнейших провайдеров «ЭР-Телеком» (бренд «Дом.ru») также подтвердил изданию, что власти могут ограничивать скорости к сайтам независимо от операторов связи.

Ведомство применило технологию «глубокого анализа пакетов» (DPI): она работает через специальное оборудование ТСПУ (технические средства противодействия угрозам). Его обязали устанавливать на сетях провайдеров после принятия закона «об автономном рунете», и оно способно фильтровать трафик между оператором и интернетом. Это дорогое оборудование, которое пока установили только самые крупные операторы и «большая четвёрка».

Устройства ТСПУ позволяют выявлять трафик конкретного ресурса или приложения, например, соцсетей. Затем они могут либо полностью его заблокировать, либо пропустить, либо замедлить — это называется «шейпингом». Такая техника управления сетью задумана для оптимизации сетей и увеличения пропускной способности одних типов пакетов за счёт задержки других.

Как считают сетевые специалисты, в случае с твиттером Роскомнадзор ограничивает скорость по именам доменов — вероятно, из-за того, что сервис хранит изображения и видео на отдельных поддоменах. Таким образом замедляют не только twitter.com, но и video.twimg.com, и даже CDN-серверы Akamai eip-ntt.video.twimg.com.akahost.net, video.twimg.com.eip.akadns.nen.

Когда DPI находит домен для ограничения скорости, он либо начинает сам замедлять соединение и пропускать только определённое количество пакетов в секунду, либо передаёт отметку маршрутизаторам провайдеров, чтобы замедление происходило на сетевом оборудовании. Скорость в среднем ограничивают до 128 кбит в секунду, а при обращении напрямую по IP скорость не замедляется.

Роскомнадзор обещает, что замедление в основном коснётся только фото- и видеоконтента, а передачу текста не ограничат. Вероятно, это связано с тем, что текст слишком небольшой по размеру: на скорость его публикации можно повлиять лишь незначительно.

Как обойти замедление

В отличие от телеграма, который долгое время работал, обходя блокировку, замедление твиттера сразу оказалось заметным для многих. Хотя часть пользователей десктопной версии даже не почувствовала ограничений скорости, поскольку дорогое DPI-оборудование установлено далеко не у всех провайдеров.

Как и в случае с блокировками, ограничения властей пока можно обойти так же просто, как и раньше — с помощью установки VPN. В этом случае трафик твиттера будет зашифрован внутри потока данных, передаваемых по VPN, и его не выявят на стороне провайдеров.

Среди бесплатных VPN популярны TunnelBear, FreeOpenVPN, CyberGhost, Hola, наиболее распространённые платные или частично платные сервисы — HotSpot Shield, Mullvad, Zenmate, IPVanish VPN, NordVPN, StrongVPN, OverPlay, ProtonVPN, CyberGhost, Betternet.

Ограничение скорости по DPI также можно обойти, используя технологию ESNI, но для этого изменения в инфраструктуру придётся внедрить самому твиттеру. Достаточно настроить DNS over HTTPS (DOH) одновременно на сервере, то есть у твиттера, и на стороне пользователей. В этом случае во всех браузерах с поддержкой ESNI не будет заметно замедления скорости.

Третий вариант требует смелости от провайдеров. В подзаконных актах к закону «об автономном рунете» указано, что они могут в одностороннем порядке отключить замедление скорости. Для этого достаточно, чтобы ТСПУ «начали влиять на качество оказания услуг». Имеется в виду ситуации, при которой пользователи сталкиваются с ограничениями других ресурсов, а не только твиттера. Вряд ли провайдеры решатся пойти против Роскомнадзора, да и неясно, надолго ли этот метод сработает.

Роскомнадзор замедлил не только твиттер, но и все сайты с t.co, а сайты правительства перестали работать

Вскоре после начала замедления твиттера у части пользователей перестали работать государственные ресурсы, включая сайт Кремля, правительства, премьер-министра, Госдумы, а также самого Роскомнадзора. В ведомстве попросили не связывать это с ограничением доступа к соцсети и назвали причиной сбой «Ростелекома», который произошёл из-за пожара в европейском дата-центре OVH в Страсбурге.

Как выяснили исследователи сетевых блокировок, вместе с твиттером Роскомнадзор случайно начал замедлять все сайты, в домене которых присутствует «t.co» — сокращённый адрес соцсети.

Энтузиасты узнали об этом случайно, проведя серию тестов со многими адресами. У всех сайтов с t.co наблюдалась одна и та же проблема с ограничением скорости: под удар попали Reddit, Microsoft, Steam, RT, поддомен GitHub и многие другие востребованные ресурсы.

Причиной ограничения скорости к сайтам стала сама механика работы Роскомнадзора с DPI. В ведомстве замедляют скорость по доменным именам. При обращении к сервису система проверяет адрес в том числе на наличие строки «t.co», но та присутствует не только у твиттера, но и у многих других сайтов.

Судя по всему, ограничение скорости к ресурсам вроде Microsoft или Steam нанесло больший ущерб, чем замедление твиттера. Например, пользователи не могли загрузить образ Windows 10 с официального сайта Microsoft, загрузить игры в Steam или воспользоваться сервисами Xbox.

Скриншот с форума ntc.party

Чем замедление сайтов опасно для рунета

Впервые о массовой установке DPI заговорили в 2018 году на фоне безуспешной блокировки Telegram: тогда Роскомнадзор, Минцифразвития и ФСБ проводили испытания систем в подмосковном Реутове. В конце года «Би-би-си» сообщал, что уже с 2019 года власти начнут блокировать сайты с помощью DPI и готовы потратить на это 20 миллиардов рублей, но о замедлении скоростей речи не шло.

По задумке чиновников, DPI решила бы проблему с методом обхода блокировок, которым пользовались разработчики Telegram, постоянно менявшие IP-адреса серверов. Это также позволило бы избежать ущерба в виде блокировок случайных ресурсов, оказавшихся на одном IP.

Применение DPI при ограничении доступа к Telegram уже тогда вызывало сомнения, ведь мессенджер мог, например, маскировать трафик под HTTPS или использовать инкапсуляцию. К тому же стало бы неясно, что именно и когда блокируется.

Непрозрачность замедления скорости — один из самых пугающих аспектов нового механизма ограничений рунета. Если о блокировке тех или иных ресурсов всегда можно было узнать благодаря специальному реестру запрещённых сайтов, то об ограничении скорости можно узнать лишь от самого Роскомнадзора — если он захочет об этом сообщить.

Суть проблемы очевидна на примере замедления скорости сайтов GitHub, Microsoft и Steam, которые случайно попали под ограничения. Если бы информация была открытой, вероятно, ошибку с «t.co» могли бы заметить раньше. Теперь, когда тот или иной сайт не загрузится как обычно, нельзя быть уверенным, что скорость доступа к нему ограничил не Роскомнадзор — намеренно или случайно. Проверить это наверняка можно только вручную, используя служебную программу curl.

Качество интернета в России в целом рискует ухудшиться из-за замедления твиттера, отметил в разговоре с It’s My Media Михаил Климарев из «Общества защиты интернета». По его словам, глобальная проверка всех пакетов в итоге замедлит весь рунет.

Если до этого пакет просто бежал, никто его не трогал, то теперь каждый пакет нужно проверять, досматривать, отслеживать, куда он бежит, не Twitter ли это, и принимать по нему решение. Это занимает доли миллисекунды, но тем не менее это время, которое будет замедлять загрузку и ухудшит качество интернета. И чем больше ресурсов будет замедлять, тем хуже будет интернет работать.

Михаил Климарев

Такое же мнение выразил IT-эксперт Владислав Здольников. По его словам, сбой Ростелекома напрямую связан с попыткой замедлить твиттер, а не с чем-то ещё. Здольников обратил внимание, что через оборудование Роскомнадзора проходит весь трафик всех пользователей, даже если он не ограничивается — устройства производит компания «РДП.РУ», они называются ЭкоDPI.

Операторы давно, по своей воле и за свои деньги, используют оборудование этой фирмы для решения внутенних задач, вроде NAT или тех же блокировок.
Но оно никогда не использовалось на деле так, как сегодня: для ограничения скорости от конкретного популярного ресурса с настоящей нагрузкой в сотни тысяч пользователей. Поэтому софт на оборудовании дал сбой, и так как через него проходит весь трафик, интернет раскорячило.

Владислав Здольников

«Шейпинг» трафика действительно не предназначен для массового ограничения скорости доступа к отдельным сайтам. Любая реализация «шейперов» имеет конечный буфер и по-разному справляется с его переполнением. Самый популярный способ — «отброс хвоста», когда весь приходящий трафик отбрасывается до тех пор, пока буфер заполнен до конца. В более сложных вариациях могут использоваться алгоритмы «случайного раннего обнаружения», которые тоже будут игнорировать часть трафика.

Хотя операторов давно обязали установить государственные DPI-устройства, процесс до сих пор идёт медленно. Поэтому Роскомнадзор использовал в своих целях DPI-оборудование, которое уже стояло у многих провайдеров, рассказал «Медиазоне» Артём Козлюк из «Роскомсвободы». Он отметил, что подобные устройства не могут справляться с по-настоящему большой нагрузкой долгое время. По его мнению, в конечном итоге это ударит по карману операторов, и, соответственно, абонентов.

Теоретически оборудование замедлить или заблокировать этот трафик позволяет, правда это большая нагрузка на него, особенно если трафик тяжёлый идет, типа YouTube или много пользователей у сервиса. На какой-то краткосрочный период времени это возможно, а замедлять годами — это большая нагрузка на сети.
Это бьёт по карману операторов — и само оборудование, и фильтрация — и они будут перекладывать все эти затраты на плечи самих абонентов, поэтому мы сейчас видим и будем видеть повышение стоимости услуг.

Артём Козлюк

Создатель сервиса статистики заблокированных IP-адресов Usher2.club Филипп Кулин считает, что замедление будет не повсеместным, а техника наиболее отработана на мобильных операторах. По его мнению, даже если Роскомнадзор не сможет глобально затормозить твиттер, пользователи рискуют столкнуться с проблемами при авторизациях через соцсеть на сторонних сайтах.

«Замедлялка» будет работать только там, где стоят ТСПУ, и пока это далеко не повсеместно. С некоторой натяжкой с правовой точки зрения замедлять можно только на ТСПУ, который по сути является гос-DPI. Все остальное — узурпация и жонглирование правом.

Twitter тормозит в основном из-за CDN и тяжелый js. Сами запросы к серверам Twitter мизерные. Я думаю, они еще поломают копий, чтобы его реально затормозить. Однако, существует очень много всяких сторонних API к твиттеру. И вот где может быть проблема, когда они ухудшат качество. Виджеты всякие, логины через Twitter.

Филипп Кулин

Медиаменеджеру Александру Амзину замедление твиттера напомнило «турецкий сценарий», когда власти страны оказали экономическое давление на соцсети. Тогда в стране начали замедлять ресурсы и требовать подчиняться местным законам, а также открывать местное представительство.

Технически это выглядит просто. Ещё весной 2019 года правительство распорядилось установить у всех операторов связи «технические средства противодействия угрозам». То есть устройства, которые способны были блокировать (не)нужные ресурсы напрямую по команде из Роскомнадзора, а не после длительных переговоров с провайдерами. Сама система должна была вступить в силу в ноябре 2019 года. До сего дня у страны было много других забот, но теперь о ней вспомнили и решили попробовать.

Александр Амзин

#разборы #замедлениерунета #соцсети #твиттер