Специалист по защищенным интернет-соединениям – о том, можно ли переиграть Роскомнадзор
Заканчивается вторая неделя противостояния Роскомнадзора и Telegram. Ее результат все меньше вызывает хохот, потому что заблокированы не просто миллионы IP-адресов. Самые популярные сервисы – от YouTube до Slack – работают нестабильно. Похоже, что ведомство Александра Жарова в попытках выполнить решение суда готово уничтожить половину рунета, а может и весь: в ночь на 27 апреля кратковременная блокировка коснулась даже отечественных мастодонтов рынка – «Яндекса» и «ВКонтакте». О том, почему методы Роскомнадзора бессмысленны и когда нам ждать великий китайский фаервол у себя дома, мы поговорили с Ильей Шараповым, главой аналитического подразделения по информационной безопасности компании «ТСС», которая в том числе занимается корпоративными VPN.
– На прошлой неделе активно обсуждалась закупка силовиками и госструктурами VPN. Не все правильно поняли, о чем шла речь. Что они конкретно купили?
– Давайте начнем с основ. Что такое VPN? Если перевести дословно – это приватная частная сеть. То есть, любой пользователь, как частное лицо, так и компания, может поверх сетевой инфраструктуры, которая уже есть, организовать логическое соединение, по которому будут передаваться какие-то данные пользователей компании. Это соединение может быть открыто, то есть провайдер может заглянуть в него, посмотреть, что за данные, а может быть зашифрованным. Соответственно, в этом случае провайдер будет видеть только куда данные идут, но что в них – неизвестно.
Что же на самом деле было в той нашумевшей новости? Так же, как пользователь может захотеть скрыть свои данные, этого может захотеть и компания. Например, есть два удаленных офиса, между ними передаются какие-то конфиденциальные данные клиентов, защищенные коммерческой тайной данные – все что угодно. Как правило, компания не может себе позволить прямой канал, который будет принадлежать только ей, чтобы туда никто не вмешивался.
– Слишком дорого?
– Да. Если говорить о небольших расстояниях, то, пожалуй, компании могут договориться между собой о прокладке кабеля. Если брать офисные здания, то нетрудно провести кабель с этажа на этаж. Но если судить в масштабах страны, то провести кабель между двумя городами одной компании будет слишком затратно. Проще воспользоваться услугами провайдера, у которого уже есть инфраструктура – бери и пользуйся.
Но тогда возникает проблема: данные будут передаваться в открытом виде, по кабелю, и их легко перехватить. Поэтому компания закупает оборудование VPN, позволяющее создать защищенное соединение. Технология VPN может быть реализована несколькими способами: в программном (установка программы на компьютер и удаленные рабочие станции сотрудников) или аппаратном («железо») виде. Функционал одинаков, но программные решения чуть медленнее.
Российские компании в силу требований законодательства уже давно обязаны закупать технологии по защите каналов связи. Кроме того, госкомпании обязаны отказываться от зарубежных продуктов и устанавливать отечественные сертифицированные решения. Вот почему госорганы массово закупают технологию VPN, позволяющую шифровать трафик и защищать данные, передающиеся между подразделениями и пользователями.
– Насколько бессмысленны блокировки, которыми Роскомнадзор уже вторую неделю терроризирует рунет?
– По моему мнению, у Роскомнадзора хорошо получается бороться с конкретными интернет-ресурсами. Возьмем для примера Рутрекер: ему соответствует один или два IP-адреса, которые легко заблокировать. С Telegram сложнее: команда мессенджера подсуетилась и загодя арендовала сотни и тысячи IP-адресов, позволяющие пользователям подключаться к мессенджеру распределенно. Когда мы берем планшет или телефон, мы не вводим никакой IP-адрес: приложение все делает за нас. Поэтому у Роскомнадзора было два варианта: блокировать все тысячи IP-адресов точечно или блокировать целые подсети с миллионами адресов. Первый вариант требует колоссальных ресурсов, которых у чиновников нет.
Поэтому власти начали блокировать целые подсети. Это, конечно, быстрее, но в результате под удар попали все: сотни компаний, также арендующие IP-адреса на серверах Google и Amazon (включая сайт нашей компании: заблокированы пять из восьми айпишников). А Telegram продолжил жить. Нельзя утверждать, что «30% Telegram деградировало», как это сделали чиновники, – люди продолжили пользоваться сервисом.
– Не деградирует, а, наоборот, растет – количество просмотров и подписчиков в каналах только увеличилось.
– Естественно, каналы раскрутились, плюс Дуров обещал спонсировать частные VPN – это еще спровоцировало волну людей. Мне кажется, такие действия приводят к тому, что Роскомнадзор фактически просвещает население, как обходить блокировку, потому что, если блокировку сделать грамотно и ее нельзя будет обойти, то тут без вариантов, что бы ты ни делал. А здесь очень много маленьких лазеечек то тут, то там, и уже скоро каждый школьник сможет настроить на Amazon или где-то еще свой небольшой сервер.
Инициатива Роскомнадзора не очень хороша и с точки зрения свободного интернета. В перспективе это может обернуться вариантом создания аналога «Великого китайского файрвола», когда в рамках страны будет внедрен корневой сертификат, а на каждый компьютер установят специальный ключ, шифрующий трафик и позволяющий провайдерам полностью просканировать его содержимое.
– В первые же дни после блокировок Дуров пообещал использовать такие способы обхода блокировок, чтобы пользователям даже не пришлось вводить данные прокси-сервера или ставить VPN. Как технически это можно реализовать?
– Разработчики увеличили количество новых точек подключения по всему миру, арендовав дополнительные сервера и IP-адреса у Google и Amazon. Кроме того, в сети мелькала информация, что мессенджер хочет разместить новые IP-адреса в сегменте, где находятся обновления Windows. Грубо говоря, если Роскомнадзор ударит по таким подсетям, то по всей стране Windows может перестать обновляться.
– Есть ли какой-то предел, которого Дуров и команда могут достигнуть в попытках сбежать от Роскомназдора? Могут ли в какой-то момент переносы IP-адресов достичь барьера?
– Тут главный вопрос в деньгах – IP-адреса стоят дорого, но если их покупать в большом количестве, то для компании, наверное, это терпимо. Проскакивала новость, что Microsoft за 660 тысяч адресов заплатила около $7,5 млн. И деньги для компании уровня Microsoft не такие большие, и количество адресов приличное.
Поэтому здесь надо исходить из какого расчета? У нас есть какое-то количество неизрасходованных IP-адресов, которые можно купить, и вот если они все купят, и Роскомнадзор рано или поздно их все заблокирует, то, наверное, история закончится, и Роскомнадзору придется заблокировать весь интернет тогда – это будет проще.
Здесь мы сразу сталкиваемся тоже с проблемой, о которой Роскомнадзор не всегда думает. У провайдера сетевое оборудование, которое занимается блокировкой, сейчас работает по IP-адресам, соответственно, это все формируется в некоторый список, и по этому списку пакетики проверяются. Этот список имеет ограниченные размеры из-за характеристик устройств. Чем больше подсетей будут блокировать, тем больше список, который уже и без Роскомнадзора довольно-таки обширный, он все пополняется и пополняется, и гипотетически может возникнуть такая ситуация, когда в этот список нельзя будет больше добавить записи и надо будет что-то думать, то есть сервис-провайдеру придется ломать голову, как же выполнить требования, чтобы все было заблокировано.
Сервис-провайдеры блокируют все спустя рукава, по самому дешевому для себя варианту. То есть изначально, когда выпускались все законы, по которым трафик должен контролироваться, храниться, в том числе пакет Яровой, то провайдерам рекомендовали устанавливать у себя средства DPI, которые будут заглядывать в пакеты на всех уровнях, в том числе и до седьмого. То есть подразумевалось, что мы сможем заглядывать в http-трафик, по которому мы обращаемся к сайтам, по ссылкам ходим, и вот прямо на таком уровне все это блокировать. Поскольку пользователей много, соответственно, объемы трафика очень большие, и чтобы система могла обрабатывать такое количество трафика, она должна быть очень производительной и стоить очень-очень дорого. Не всегда провайдеры могут себе это позволить.
– В ситуации с телеграмом люди стали думать: так, пора VPN или прокси-сервер использовать, но появились опасения – а кто их, собственно, держит, эти серверы, кто их контролирует? Насколько велик риск, что либо на мошенников наткнешься, либо на силовиков по другую сторону сервера?
– Если включать уровень паранойи, то давайте зайдем, например, в AppStore или GooglePlay. Там сейчас количество VPN-приложений выросло в разы. Кто производитель этих приложений? Кто их писал, как писал? Шифруют ли они вообще трафик или, может быть, там на сервере, куда мы подключаемся, он куда-то еще складируется, отправляется. Без каких-то подробных исследований сделать эти выводы нельзя. Поэтому просто скачать приложение, включить его и радоваться, что все зашифровано, наверное, неправильно. То есть, с одной стороны, хочется получить доступ к заблокированным ресурсам, но нужно себе представлять все те опасности и угрозы, которым потенциально человек себя подвергает.
– Никак нельзя удостовериться в честности разработчиков?
– Нет, можно, конечно, вручную все это проверить – собрать дома небольшой стендик, чтобы там была точка, где можно было перехватить трафик, посмотреть, он вообще там шифруется или не шифруется. К сожалению, рядовым пользователям это будет сложновато, но людям, которые занимаются исследованиями сетевой безопасности, вполне себе это доступно. Как минимум, можно будет убедиться в наличии шифрования.
Самый надежный вариант – это когда вы сами напишете приложение, но это крайний вариант, который доступен единицам. В этой сфере недавно тоже проводили исследование кошельков с криптовалютами, и практически 90% было с критическими уязвимостями. То есть приложение, которое написано на скорую руку, лишь бы пользователей к себе заманить, не может вызывать доверие.
– Уже принят закон о блокировке анонимайзеров и VPN. Следующий шаг после телеграма – работа по этим сервисам?
– Скорее всего, как только у Роскомнадзора появятся свободные ресурсы, они возьмутся за многочисленные VPN и начнут их тоже массово блокировать. Потому что их сейчас не так сложно вычислить, и если сервисы не будут сотрудничать, а они, скорее всего, не будут сотрудничать, то скоро их, в общем, заблокируют. Пользователям придется искать что-то еще.
– Вернемся к китайскому сценарию. Там, по сути, большинство пользователей не обходят блокировки и приняли правила игры, которые навязывают власти. Нас тоже это ждет?
– Для властей важно убрать массовость из этого явления. Большая часть пользователей, которые особо не разбираются в технологиях, не знают, как и что работает, скачали приложение и – оп, все работает, загрузилось, чатики готовы. Когда отсекут эту часть, останется 10–15% технически грамотных людей. Они еще как-то смогут что-то настраивать, обходить блокировки, а остальные этого делать уже не будут. В плане китайского сценария – нам еще, если мы избираем такой путь, надо двигаться и двигаться.
– Есть куда падать?
– Конечно, не решены пока что инфраструктурные вопросы. Китайский вариант настанет тогда, когда наша страна по границе сетевого оборудования будет изолирована от остального мира, полностью будет трафик контролироваться. Но даже в Китае пользователи находят пути обхода блокировок. Условно, у 90% населения YouTube не работает, а на 10% активных юзеров сервиса уже никто не обращает внимания – ну и пусть сидят.
– Для разработчиков VPN и производителей оборудования сейчас идет волна хайпа. Если в России политика государства по регулированию интернета продолжит набирать обороты, они останутся на рынке или уйдут?
– Наверное, массовость уйдет, сейчас это действительно сильно связано с хайпом. Часть компаний что-то быстро наклепали, чтобы по-быстрому срубить денег. VPN-приложения, которые реально заслуживают внимания, хорошо работают, надежные – таких мало. Они, скорее всего, останутся, будут продвигать свои сервисы.
– Есть ли шанс, что все это будет отыграно назад, блокировку телеграма отменят, Жаров уйдет в отставку?
– Я в такой сценарий практически не верю, потому что здесь надо будет признать свою ошибку, и не просто признать, а какие-то официальные заявления сделать.
– Извиниться не только перед командой телеграма, но и перед всем бизнесом, который терпит убытки из-за веерных блокировок?
– Это морально тяжело сделать, потому что глава Роскомнадзора – это тот человек сейчас, из-за которого куча бизнесменов, мелкие и средние, и крупный бизнес просто теряют деньги, клиентов и все. И они ничего не могут сделать. И перед этими людьми вопрос не в официальных извинениях, а в том, кто им будет возмещать потери. А про это сейчас вообще речь не идет, то есть Роскомнадзор говорит, что деградации в интернете нет, все хорошо, все отлично.
– Точно так же не признают и то, что при блокировках страдают сервисы Google, по которым нет судебных решений о блокировках?
– Они не смогут набраться смелости признать свои ошибки. Это фактически будет означать признание того, что вся борьба, все блокировки были неэффективными. И тогда возникает вопрос: а зачем вообще необходим контролирующий орган, неспособный исполнять свои задачи? Думаю, все увязнет в каком-то болоте: Дуров со своими хорошими, технически подкованными специалистами по сетевым технологиям будет вечно переигрывать неповоротливый Роскомнадзор. Борьба будет тянуться и тянуться, а результата не будет.
Никита Соколов
По материалам: “Republic”
