Технологии
Никита Логинов

Великий российский файрвол: как Россия движется к китайской модели контроля интернета

Выборочные блокировки, автономный рунет и давление на бизнес — три шага к полной зачистке сети от запрещённой информации.

Заглушка одного из интернет-провайдеров для заблокированного сайта Изображение ТрансТелеКома

В начале сентября Роскомнадзор заблокировал шесть крупных VPN-сервисов, но оставил свободный доступ к ним для некоторых организаций вроде банков. Позже некоторые пользователи интернета сообщили, что Ростелеком начал блокировать децентрализованный протокол BitTorrent, а клиенты нескольких провайдеров пожаловались на проблемы в работе онлайн-игр и сервисов.

«Белые списки» доступа и блокировки протоколов вместо отдельных сайтов или сервисов — это часть новой стратегии контроля российских властей над рунетом, которая всё больше похожа на китайскую модель. TJ рассказывает, как Россия движется к собственному «великому файрволу», какие этапы уже прошла и чего ждать дальше.

Как контролируют интернет в Китае

Китайские власти начали создавать «великий файрвол» в 1997 году, когда лишь 1,6% китайских семей имели компьютер. В таких условиях властям не составило труда внедрить централизованную многоуровневую систему фильтрации интернет-трафика. Полностью она заработала в 2008 году, когда интернетом пользовались уже более 20% населения.

Программа контроля работает в нескольких направлениях. Во-первых, «великий файрвол» замедляет соединения с ресурсами вне Китая до 56 килобит в секунду и ниже, а также не даёт открыть некоторые из них — например, Ютуб, Твиттер, Реддит и Википедию. Во-вторых, система с помощью глубокого анализа трафика и активного зондирования сетей противодействует обходу фильтрации: блокирует неразрешённые зашифрованные соединения IPsec и TLS, перекрывает доступ к VPN-сервисам и анонимной сети Tor.

Китайские аналоги заблокированных сайтов и сервисов Изображение Nativex

Наконец, правительство давит на китайские и иностранные компании. Исследователи указывают: «великий файрвол», скорее, призван вредить работе местных интернет-провайдеров и сервисов, чтобы склонить их к самоцензуре. С той же целью власти могут угрожать блокировками иностранным технологическим компаниям. Все эти меры следуют ряду законов, принятых в конце 1990-х и начале 2000-х годов — они определяют, какая информация нежелательна и подлежит блокировке.

  • призывы к деятельности против конституции, правительства и социалистической системы;
  • разжигание ненависти и дискриминации, ущерб национальному и территориальному единству;
  • ложь, искажение правды, клевета, слухи, подрыв репутации государственных органов;
  • пропаганда терроризма, преступности, насилия;
  • материалы сексуального характера, азартные игры, религиозные суеверия.

Как Россия пришла к контролю интернета

Возможность ограничения доступа к той или иной информации заложена в Конституцию РФ — например, часть 3 статьи 55 гласит:

Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Также ограничения свободы слова предусмотрены частью 3 статьи 17 и частью 2 статьи 29 Конституции — они запрещают пропаганду социальной, расовой, религиозной вражды и реализацию прав человека, которые нарушают права других людей. С такими мотивами российские власти начали внедрять механизмы контроля над интернетом ещё в 2000-х годах.

Поначалу это были меры против терроризма и экстремизма — с 2005 года Генеральная прокуратура подавала иски к провайдерам, требуя заблокировать тот или иной сайт. В апреле 2007 года появился Федеральный список экстремистских материалов, и уже через месяц в него попал первый сайт — новосибирский суд постановил заблокировать доступ к «Кавказ-центру».

Главная страница сайта «Кавказ-центр» Изображение Вести.ру

Поворотным моментом можно считать осень 2012 года, когда в соответствии с Федеральным законом № 139-ФЗ появился единый реестр запрещённых сайтов — «чёрный список» доменных имён и сетевых адресов. Роскомнадзор, МВД и Роспотребнадзор получили право блокировать сайты без решения суда, если эксперты найдут на них информацию, которая «причиняет вред здоровью и развитию детей», разжигает ненависть к социальным группам или просто запрещена каким-либо судебным решением.

Таблица возможных причин блокировки сайтов Изображение TAdviser

Решения о блокировке сайтов может принимать и Генеральная прокуратура — за призывы к массовым беспорядкам, «несанкционированным митингам», экстремизму и терроризму, а также за распространение информации «нежелательных организаций», которые «подрывают конституционный строй России и её обороноспособность». Это не полный список ведомств, имеющих право перекрывать доступ к сайтам — всего их более десятка.

Первый шаг — адресная блокировка сайтов

В отличие от китайских властей, российские не могли с самого начала внедрить централизованную систему фильтрации трафика: летом 2012 года интернетом пользовалась уже половина россиян (более 70 миллионов человек) через трёх-четырёх тысяч провайдеров, включая местных. Поэтому блокировку сайтов правительство решило переложить на самих операторов связи.

Получив от какого-либо ведомства решение о запрете доступа к тем или иным веб-страницам, Роскомнадзор вносит их в реестр, после чего проводит выгрузку — рассылает провайдерам XML-файл с новыми записями. Провайдеры должны оперативно перекрыть доступ к указанным адресам. Программно-аппаратный комплекс «Ревизор», установленный у каждого оператора, проверяет доступность сайта в его сети и отсылает отчёт в Роскомнадзор. За неисполнение решений провайдеров штрафуют.

Количество сайтов, заблокированных различными ведомствами Изображение Роскомсвободы

Обычно Роскомнадзор указывает URL-адрес конкретной веб-страницы с запрещённой информацией (например, https://tjournal.ru/tech/434934), чтобы не блокировать весь сайт. Однако сейчас три четверти сайтов используют зашифрованный протокол HTTPS для передачи данных, из-за чего провайдеры порой не могут определить, к какой именно странице обращается пользователь, и блокируют сайт целиком.

Намного более грубый метод — блокировка сайтов по IP-адресу. Если URL сайта или страницы можно сравнить с мобильным телефоном человека, то IP — это адрес дома, в котором он живёт. Но в одном доме с ним могут жить и другие люди — так же, как многие сайты могут использовать один IP-адрес.

Статистика заблокированных сайтов, в графе «блокируется неправомерно» — те, что попали в бан из-за одинаковых IP Изображение Роскомсвободы

Когда Роскомнадзор перекрывает доступ к сайтам по IP, это почти всегда приводит к массовым проблемам — вместе с запрещёнными ресурсами «под удар» попадают десятки или даже тысячи других сайтов и сервисов. Наиболее яркий пример — борьба с Телеграмом, когда ведомство внесло в реестр более 18 миллионов IP-адресов, перекрыв доступ к десяткам популярных сайтов и затруднив работу многих сервисов, включая государственные. При этом сам Телеграм продолжал работать в России, а летом 2020 года его перестали блокировать.

Второй шаг — автономный рунет

К 2019 году неэффективность подхода Роскомнадзора стала очевидной: шифрование протоколов затрудняло блокировку веб-страниц, история с Телеграмом показала его неуязвимость и разрушительность «банов по IP», а прокси и VPN-сервисы позволяли пользователям без труда обходить меры ведомства.

VPN (Virtual Private Network) удобны для организаций — они позволяют создать внутри интернета защищённую виртуальную сеть для связи разных отделений. «Побочный эффект» VPN — его эффективность в борьбе с фильтрацией трафика. С помощью VPN можно проложить зашифрованный туннель до зарубежного сервера и через него выходить в обычный интернет, избегая блокировок.

Это подтолкнуло государство к смене стратегии: в мае 2019 года президент РФ подписал пакет поправок, известных как закон об автономном рунете. По официальной версии, его приняли для защиты российского сегмента сети от атак и отключения извне. Фактически же закон вводит централизованную модель контроля над рунетом — очень похожую на ту, что использует Китай. При этом закон, скорее, противоречит декларируемой цели — централизация рунета может катастрофически ухудшить его надёжность и защищённость.

Какие меры ввёл новый закон

  • операторы связи обязаны установить оборудование для глубокого анализа пакетов и их фильтрации на всех точках обмена трафиком — как внутренних, так и пограничных;
  • Роскомнадзор получает функции для блокировки сайтов и «централизованного управления рунетом»;
  • появляется возможность использовать в рунете национальную систему доменных имён вместо мировых DNS-серверов.

Оборудование «технических средств противодействия угрозам» (ТСПУ) с 2019-2020 года установлено у каждого крупного провайдера, при этом контролирует его напрямую Роскомнадзор. Провайдеры не имеют к ТСПУ никакого доступа, кроме физического. Соответственно, обязанность блокировать запрещённые сайты переходит от провайдеров к Роскомнадзору.

Архитектура централизованной фильтрации трафика Роскомнадзором Изображение «Хабра»

Новое оборудование позволяет увеличить эффективность блокировок благодаря DPI — глубокому анализу пакетов. Интернет-трафик состоит из потока данных, разбитого на отдельные порции — пакеты. Обычно сетевые программы и оборудование проверяют только заголовки этих пакетов и не «смотрят», что находится в самих пакетах, потому что это сложно и дорого, особенно с учётом повсеместного шифрования.

Системы DPI анализируют именно содержимое трафика, при этом способны «понимать», что в нём находится, даже если он зашифрован. Для этого система изучает структуру трафика (пакеты многих протоколов вроде BitTorrent имеют характерный «рисунок»), целевые IP и DNS-адреса, косвенные параметры вроде поведения пакетов, длительности и частоты соединений. Изначально технологии DPI создавали для оптимизации работы сетей и повышения их безопасности.

Опыт Китая показывает, что с помощью систем DPI можно блокировать или замедлять даже зашифрованный трафик SSH и VPN — «великий файрвол» за несколько минут определяет «нежелательные» соединения и начинает им противодействовать. Примерно такую же эффективность могут иметь российские системы DPI: например, Роскомнадзор уже замедлял работу Твиттера, причём избирательно — текст загружался с обычной скоростью, в отличие от картинок и видео.

Третий шаг — давление на технологические компании

Роскомнадзор регулярно требует от зарубежных сайтов и сервисов подчиняться российским законам, угрожая блокировками. Летом ведомство остановило работу сервисов Opera VPN и VyprVPN в России из-за их нежелания перекрывать доступ к запрещённым сайтам, а замедление работы Твиттера стало следствием отказа соцсети удалить незаконные материалы.

Но обычно частные компании склонны выполнять требования местных властей. Например, Apple удаляла приложения из китайского App Store и даже эмодзи с флагом Тайваня из iOS. Microsoft цензурировала свои блоги в китайском сегменте сети, Yahoo выдавала личные данные журналистов властям Китая, а Google даже готовился войти на китайский рынок с новой поисковой системой, которая автоматически фильтровала бы выдачу.

Статистика запросов Роскомнадзора к Google Изображение Google

Также технологические компании готовы идти на поводу российских властей. Google удаляет из поисковой выдачи в России сотни тысяч ссылок на запрещённые сайты. TikTok, Facebook, Twitter, Instagram и YouTube выполняют многие требования ведомства по борьбе с запрещённым контентом. Конечно, зарубежные соцсети и прочие сервисы игнорируют часть запросов, но в целом удовлетворяют их — тот же Google выполняет порядка 70% требований.

Податливость бизнеса можно объяснить нежеланием упускать российский интернет-рынок. Google в 2019 году заработал в России 75 миллиардов рублей — при таких прибылях компании вряд ли будут активно противодействовать государственному контролю. Не подчиниться требованиям местного регулятора — значит, уступить рынок своим менее принципиальным конкурентам.

Что будет дальше

Сейчас невозможно сказать, насколько успешными окажутся существующие методы обхода контроля над рунетом. Судя по происходящему в Китае, государство способно если не полностью перекрыть доступ к запрещённым ресурсам, то максимально осложнить работу с ними даже для искушённых пользователей.

Оборудование для глубокого анализа трафика от российского производителя RDP Фото RDP

Использование прокси, VPN, альтернативных DNS-серверов может потерять смысл из-за перехвата и подмены адресации. Ещё до момента шифрования трафика система фильтрации блокирует доступ к нежелательным сервисам или перенаправляет пользователя на нужные сайты. Например, подменяет зарубежные DNS-серверы национальной системой доменных имён, которая в принципе не выдаёт запрещённые адреса.

Выходом может быть шифрование самих DNS-запросов с помощью протоколов DNS over TLS, DNS over HTTPS и ESNI, но Минцифры уже рассматривает возможность их запрета на территории России. Технически такой запрет можно реализовать с помощью глубокого анализа трафика. К тому же, шифрование DNS не работает против блокировки сайтов по IP или через активное зондирование сетей.

Активное зондирование позволяет бороться с обходом фильтрации через отслеживание движения пакетов по сети и изучение её структуры. Таким способом «великий китайский файрвол» блокирует соединения VPN и Tor.

Шифрование трафика вообще не стоит рассматривать как панацею — системы DPI могут блокировать нежелательные и подозрительные соединения на этапе «рукопожатия», когда клиент только соединяется с сервером по HTTPS. Но даже установленное зашифрованное соединение можно обнаружить и разорвать, изучив его трафик — как происходит с туннелями OpenVPN в Китае или сетью Tor в некоторых странах. Единственное решение, которое до сих пор работает даже в Китае — обфускация (маскировка) зашифрованного трафика.

Обфускаторы вроде obfs4 сбивают с толку анализаторы DPI-систем: перемешивают сетевые пакеты, добавляют в трафик случайные данные, меняют политику соединений, имитируя «законную» передачу данных или вовсе не позволяя определить тип трафика.

Опция включения маскировки трафика в одном из VPN-клиентов Скриншот RestorePrivacy

Но возможности властей всем этим не ограничиваются. Они могут, например, обязать пользователей интернета установить себе государственный SSL-сертификат, как это хотели сделать в Казахстане или делают в Китае. Тогда контролирующие органы смогут без труда расшифровывать сетевой трафик и делать с ним что угодно. Главная проблема государственной цензуры заключается в том, что её вряд ли получится бесконечно избегать с помощью технических методов. А большая часть общества пока даже не замечает, как власти создают себе плацдарм для дальнейших ограничений.

#россия #интернет #роскомнадзор #цензура #китай