Рунет обреченный: замуровали, демоны

В последнее время часто возникают разговоры о текущих и будущих повальных блокировках сетевых ресурсов, о грядущей потере связности единой сети Интернет. В противовес намереньям светских властей «держать и не пущать», все чаще приходится сталкиваться с абстрактными инициативами независимо настроенной технической братии, считающей анонимность в Сети своим «священным Граалем», принимая подобные наезды государства за святотатство и кощунство. Все чаще в дискурсе этой части сетян применяются колюще-режущие по отношению к цензуре инструменты типа VPN, Tor, i2p и т.д., которые якобы разнесут в пух и прах ограничительные инициативы государства.

----------------------<cut>----------------------

Ниже я предлагаю свою, противоположную точку зрения, почему все эти усилия против цензуры тщетны, — нет, технарям не получится обойти эти препоны, если против них начинает играть их родное государство.

Рунет обреченный: замуровали, демоны

С чего кончается Родина?

Многие молодые технари хотят победить заразу цензуры и блокировок, воспользовавшись сервисом частного виртуального тоннеля (VPN), который позволит лихо обойти все препятствия, чинимые государством на пути любознательного гика. Давайте рассмотрим первый вариант — блокируемый сайт находится в рамках самого Рунета, т.е. хостится на серверах, подключенных к одной их многочисленных региональных сетей России, совокупность которых и принято обозначать емким термином «Рунет».

Символическая схема фильтрации Рунета для этого случая будет выглядеть примерно так:

Рунет обреченный: замуровали, демоны

Пояснение к схеме — каждая из огромного множества российских сетей на данный момент обязана фильтровать весь входящий и исходящий трафик в точке сопряжения с внешними сетями.

Список для фильтрации дважды в день выгружает согласно установленной процедуры уполномоченный на то Роскомнадзор.

Таким образом, в какой бы российской сети не находился хостер, на мощностях которого размещен «забаненный сайт», как правило, хотя бы в двух точках сопряжения сетей весь транзитный трафик между ним и абонентом из «внешнего мира» будет прочищен от запрещенной информации. Получается, что если даже у вас VPN физически расположен в самой демократически свободной стране мира — США (гипотетическое утверждение), то забаненный в РФ ресурс будет вам точно так же недоступен, как и непосредственно с территории самой России.
Таким образом, мы видим, что VPN «во внешний мир» бессмысленен для сайтов, заблокированных Роскомнадзором и физически находящихся в пределах (сетях) самого Рунета. Какой смысл от того же VPN, когда все транзитные провайдеры во внешний мир отгружают лишь предварительно отфильтрованный вариант российской сетевой действительности?

Прежде чем перейти к следующему варианту, внизу привожу совсем немного статистики, чтобы помочь более емко осмыслить это первое утверждение на примере из голых цифр. По состоянию на начало 2013 года большая часть сайтов из домена .ru физически хостилась на территории РФ — именно эта часть Рунета может исчезнуть в любой момент времени из поля вашего зрения, попав по одной из многочисленных причин в реестр Роскомнадзора, — и, как я показал выше, даже могущественная технарская магия в лице VPN/Tor/etc здесь будет бессильна.

Рунет обреченный: замуровали, демоны

Проблемы власти: англосаксонский домен

Хорошо, давайте рассмотрим ситуацию в отношении другой половины сайтов, которые предусмотрительно разместились за пределами той самой «я другой такой страны не знаю, где так вольно дышит человек».

Общая схема работы VPN для пользователя из России в этом случае будет примерно такова:

Рунет обреченный: замуровали, демоны

ак видно из схемы, пресловутые siloviki здесь ничего поделать (пока) не могут. Но как меня учили на физмате, реальная суть физических процессов наблюдаемых в природе — это непрерывная динамика, а не абстрактная статика здесь-и-сейчас. А динамика процессов, бурлящих в siloviki_land сейчас, такова — далее по пунктам.

Делаем раз: средства анонимизации вне закона

Пару недель назад общественный совет при ФСБ России, конечно, по чисто случайному совпадению, продекларировал, что он:

считает необходимым совершенствование правового регулирования деятельности юридических и физических лиц, распространяющих информацию в интернете. В связи с этим советом были сформированы предложения к законодателям о необходимости запретить использование анонимайзеров — программ, маскирующих информационные данные и IP-адрес пользователей».
Инициатива силовиков подразумевает запрет программного обеспечения или браузеров со встроенным анонимайзером (таких как браузер Tor). Кроме того, к маскирующим инструментам относятся и прокси в виде веб-сервисов — «автономные сайты, при помощи которых пользователи могут без установления специальных программ переходить с измененным IP-адресом на блокируемый сайт».

Как говорят эти же источники, подобные поправки будут скоро внесены в федеральный закон РФ «Об информации, информационных технологиях и о защите информации».

Одновременно директор ФСБ РФ Александр Бортников заявил прессе:
Необходимо переходить от тактики выявления, фиксирования и блокирования работы сайтов, используемых экстремистами в своей деятельности, к активной информационной работе в киберпространстве».
Подготовка чего-то подобного «активного» упоминалась и раньше.

Например, опять же, чисто случайно, пару месяцев назад на письмо лидера движения «Охотники за головами» Сергея Жука в ФСБ, в котором он просил блокировать сеть Tor на территории РФ «из-за большого количества детской порнографии», ему дали успокоительный ответ, дословно:

В России на законодательном уровне рассматривается вопрос о блокировке интернет-доступа к Tor и другим анонимным серверам».
Между тем в США, где VPN, хотя и не запрещен, давно является средством деанонимизации: АНБ сохраняет всю метаинформацию на все зафиксированные сессии граждан с использованием криптографических инструментов. Иначе говоря, хотя и содержимое ваших PGP-писем или VPN-туннелей просмотреть спецслужбам легко не получится (гипотетическое утверждение), но факт того, что именно вы пользуетесь подобными инструментами, будет навсегда зафиксирован в соответствующих базах данных.

Отныне ваша сетевая активность будет превентивно отслеживаться уже в профилактических целях.

Делаем два: углубляем область контроля трафика через DPI

Но за этой юридической инициативой возникают чисто технические проблемы — для проведения соответствующих мероприятий по обнаружению и блокировке VPN-подобной активности в большинстве случаев требуется Deep Packet Inspection (DPI).

Прежде чем следовать дальше, очень кратко поясню суть DPI для людей «не в теме» — это настоящая шайтан-машина, которая умеет делать с «большим транзитным трафиком» то, что всяким файрволам, маршрутизаторам и СОРМ’ам сейчас не под силу, вот как кратко комментирует эти возможности эксперт от Cisco:

В отличие от стандартных механизмов классификации трафика, встроенных в распространенные маршрутизаторы и основанных на данных, содержащихся в заголовках 3–4 уровней OSI модели (IP,TCP/UDP), системы DPI обладают возможностями распознавать в потоке отдельные сетевые приложения (например, YouTube, P2P, Instant Messaging, Browsing и т.д.), а также извлекать, блокировать и анализировать любые инкапсулируемые на таком «пользовательском уровне» данные в режиме on-the-fly. Кроме того, система позволяет ограничивать скорость доступа к интернету отдельным пользователям, блокировать отдельные протоколы, изменять их приоритетность и параметры работы в режиме реального времени«.
Таким образом, DPI — это чудовищно производительный «сетевой микроскоп», который позволяет каждый пакет, проходящий через пограничный шлюз, распаковывать и тщательно досматривать на предмет «таможня дает добро». С недавних пор DPI стал чрезвычайно актуален после введения в России понятия «информация, запрещенная к распространению» (партия руководящие товарищи долго ждали наступления XXI века и «информационной эпохи» и вот, наконец, решились на это).

Поэтому пограничный досмотр теперь требует особенно тщательного обшаривания естественных ниш и отверстий всех проходящих информационных пакетов на предмет сокрытия там диковинного заморского инакомыслия и запретных для духовных скреп государства знаний.

Возвращаясь к нашей истории — вы будете смеяться, но, как это водится, чисто случайно Ростелеком в последние месяцы развил просто бешеную активность по созданию своего собственного DPI. На данный момент вроде бы они уже определились, что будет внедрена именно китайская система фильтрации интернет-трафика на базе оборудования Huawei, «которая уже хорошо зарекомендовала себя у наших китайских товарищей».
Делаем три: монополизируем интерконнект во внешний мир

Да, дорогая это вещь — DPI (стоимость от 10 миллионов долларов и выше), только очень крупные провайдеры могут позволить себе это. Да и опять же, как контролировать такое количество сетей... никаких людей-роботов-DPI не напасешься, все штрафуешь их, штрафуешь... сопротивляются почему-то операторы цензуре, несознательные они какие-то, гады.

На сегодняшний день нужно признать — множество мелких региональных операторов пока и вовсе в гробу видели игнорируют Роскомнадзор и его реестры. Как в классике: «суровость российских законов компенсируется необязательностью их исполнения».

Но решение есть — в российской прессе это уже обозвали как «белорусский вариант». Речь идет о централизации операторов, которые получат эксклюзивное право на работу с иностранным интернет-трафиком. И вот опять же, чисто случайно, так совпало, что правительством РФ уже в ближайшее время планируется разделить всех операторов связи на две группы: на федеральных операторов связи (ФОС) и на обычных операторов связи (ОС). При этом ФОСы получал эксклюзивное право на работу с иностранным интернет-трафиком, а вот обычным операторам — теперь нужно подключаться к федеральным ФОСам в качестве даунлинка.

Суть новой реформы: чтобы получить статус «федеральный», провайдер должен иметь трансграничные переходы на западе и на востоке России, собственные каналы связи, доходящие до всех регионов РФ, а также точки присоединения во всех городах с населением свыше 100 тысяч человек. По мнению независимых экспертов, условия получения статуса ФОСа подогнано под... государственного монополиста Ростелекома — чисто случайно того самого, который сейчас развернул просто лихорадочное по своей спешке внедрение DPI.

Если не последует укрупнений и слияний, на данный момент в РФ нет ни одного другого телекома, который удовлетворял бы сразу всем заявленным условиям для получения статуса ФОС, кроме упомянутого РСТ.

В общем виде схема этой реформы будет выглядеть примерно так:

Рунет обреченный: замуровали, демоны

Ради справедливости для российской аудитории стоит пояснить: это дело уже поздновато называть «белорусским вариантом», потому как с недавних пор здешний государственный монополист Белтелеком лишился статуса единственного шлюза во внешний мир — как ранее и обещали власти РБ, право интерконнекта получило новосозданное СООО «Белорусские облачные технологии» (их учредитель — «Национальный центр обмена трафиком»).

Возвращаясь к России: меня несколько позабавило заявление-реакция на эти планы со стороны весьма авторитетной Российской Ассоциации электронных коммуникаций (РАЭК), которая перепутала причину со следствием и на полном серьезе заявила:

Сокращение трансграничных переходов сетей передачи интернет-трафика с территории России облегчит иностранным спецслужбам контроль за ним (трафиком)«.
Прямо как в том анекдоте: облегчить контроль не иностранным спецслужбам, а в первую очередь — российским, и, конечно, это вовсе не досадный баг, а драгоценная фича. А с остальным все верно — централизация, национализация и плановая экономика в любой форме существенно облегчают жизнь всем служивым, и не только в области телекома.

Всем выйти из сумрака!

В качестве готового государственного рецепта по блокированию вольницы, льющейся из англосаксонского домена, еще раз суммируем последовательность из вышеописанных шагов:

вводим законодательный запрет на VPN и аналоги;
в качестве обеспечения технических мер по его исполнению монополизируем интерконнект с внешним миром, чтобы в его узкое горлышко стекался весь трафик, идущий за рубеж (и обратно) со всей страны;
после чего ставим туда вместо пробки такую ядреную китайскую машинку с DPI, которая сможет фильтровать базары протоколы и сервисы на пользовательском уровне.
Конечно, текущее демонстративное осуществление буквально всех звеньев этой единой цепи правительством РФ — это не более как очередная случайность. И тем более это не касается технарей, они ведь очень сильно верят в сетевую анонимность: они знают Tor, VPN, торренты и другие очень страшные слова.

Что интересно, обратите внимание на разность подходов: если в упомянутой Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (и что почти никто не выполняет), то в России-таки решили сделать «все по-взрослому» — развернуть полноценную систему «принуждения к миру» на базе DPI и целого ряда околоюридических подпорок.

И чем все это закончится, ребяты?

Года через 2–3 российские пользователи всяких там VPN’ов и Tor’ов начнут автоматически получать штрафы. Подобно тому как сейчас достаточно превысить скорость на определенных участках дороги — и всё: получите-распишитесь. А в некоторых, особо интересных случаях, быть может, приключится даже вариант «пройдемте, товарищ». Не буду долго расписывать этот вариант, ограничусь лишь словами о том, что «советский суд самый гуманный суд в мире».

Делаем четыре: фиксация клиента в неподвижном положении

Ну, а чтобы ерунды всякой аналогичной вместо VPN/Tor’а не писали — это ж новые сигнатуры в этот DPI вносить надо, анализировать, чего это они там понаписали такого, от дел государственных, опять же, почем зря отвлекаться, — есть уже у государства российского закончик один такой остро заточенный.

Буквально намедни довелось мне побеседовать с «известным в узких кругах» Павлом Домкиным — московским адвокатом, который специализируется именно на киберпреступлениях и правонарушениях в области ИТ. И речь наша шла в том числе про тот самый закон, о котором я упомянул выше: «Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических средств)» (Постановление Правительства РФ от 16 апреля 2012 года № 313).

Это интервью бралось для крупного российского издания, поэтому не могу пока цитировать до его публикации, но главную суть любезно перескажу. Применяется ли этот закон к области интернета и телекоммуникаций? Да, безусловно. Запрещает ли он де-факто использование специальных криптографических средств типа протокола https или использование интернет-сервисов, применяющих в своей работе криптографические элементы и стойкое шифрование?

От прямого ответа адвокат тактично уклонился, но при этом весьма настоятельно рекомендовал российским интернет-компаниям отправить запрос в ФСБ РФ, разъясняющий легитимность использования ими любой криптографии в своих сервисах на территории РФ.

И хотя правоприменительной практики в рамках этого относительно свежего закона (пока) нет, но, опять же, финка у фраера уже блестит под пальтишком, ручка ножа приятно руку греет...

Общие выводы: наше ближайшее политкорректное будущее

Bitcoin, i2p, Tor — эй, о чем это ты, товарищ? Прямо сейчас заканчивается очередной исторический цикл, аналогичный хрущевской оттепели, — и лет эдак через 5 зарегулируют все эти полезные для инакомыслия вещи так, что при одной только установке VPN-клиента сразу завоют бешеные сирены в Комитете Сетевой Безопасности, а дверь твоей квартиры с этим компом вырежут болгаркой («хочешь, не хочешь, а по почкам схлопочешь»).

И всё, что нужно для подобного сценария, — это политическая воля, и если команда сверху будет дана (уже дана?), то совокупная мощь государственной машины просто раздавит разрозненное сообщество сетевых вольнодумцев, оставив его как минимум без коннекта, а как максимум — пригласят «искупить свой долг» (как это в песне поется: «Все мы в неоплатном долгу перед Родиной...»).
В чем-то такой поворот дел даже полезен — меня часто обвиняют в либертанстве и очернительстве памяти безвременно усопшего СССР, впереди всю эту ностальгирующую публику ждет очень полезный, чисто «эсэсэровский» опыт затыкания ртов оппонентам.

Это когда эту самую зявку будут затыкать не превосходящими аргументами и опытом, а гулагами кулаками по-деревенски прямолинейных, но зато очень сильных ребят, у которых квартира «на социальном кредите», да и вообще: «ничего личного, мы просто делаем свою работу».

Показатель сегодняшних настроений вверху — недавняя история со скандальным твитом председателя комитета Госдумы РФ по труду, социальной политике Андрея Исаева, где он назвал всех несогласных с ним рядовых интернетчиков «мелкими тварями».

Забавно, что этот хамоватый выпад довольно тучного депутата, чрезвычайно гибкий «креативный интернет» смог отрефлексировать асимметрично и по-своему, в очередной раз «бортанув» очередного чиновника и его высшее начальство...

Рунет обреченный: замуровали, демоны

.... и пришлось даже поспешно внести ясность...

.. Я как типичная, согласно классификации депутата, мелкая тварь, этот месседж приняла и впитала. И хотя я пока, по совету депутата, расслабилась и, как видите, продолжаю потихоньку корябать свои буковки «в эти ваши интернеты», насчет своих реальных перспектив никаких иллюзий не испытываю, потому как по уже старой советской привычке привык читать месседж промеж строк. Но вот эту самую молодежь, лелеющую романтический чегеварский образ СССР, бьюсь о заклад, уже в ближайшем времени ждут очень интересные ощущения от высказывания-своего-мнения в «сетях общего назначения типа Интернет».

И хотя я пишу много на эту тему и предупреждаю других мелких тварей быть поосторожней уже сейчас, спорадическое чтение форумов показывает, что сила веры в VPN/Tor еще весьма сильна и убедительна для большей части техногиков.

В качестве анонса: во второй части статьи мы сосредоточимся больше на технических аспектах и рассмотрим на примере Ирана, который достаточно эффективно блокирует Tor и VPN для своих граждан, как спецслужбы ловят злоумышленников-кардеров, скрывающихся за анонимными VPN и прокси, отдельно обсудим некоторые проблемы протокола https.

Открыто обсуждая все эти детали, я бы хотел развеять максимализм молодых людей о безусловной надежности и неуязвимости подобных сервисов. Как говорил один популярный советский киногерой: «От себя-то убежать можно, а вот от милиции, брат, не убежишь».


Продолжение следует