23 January 2023

В России продолжается тестирование блокировки протоколов VPN?

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
VPN-провайдеры сообщают, что пользователи из восточных регионов России не могли подключиться к серверам с помощью популярных протоколов, хотя при этом IP-адреса серверов VPN не блокировались. Мы опросили экспертов, что это может быть и как следует поступить пользователям.

Наши друзья, провайдеры VPN, сообщили о проблемах с подключением пользователей к их серверам из восточных регионов России (Алтай, Бийск, Омск, Новосибирск и другие). При этом IP-адреса серверов VPN не блокировались.

У многих из них, а также у ряда наших экспертов сразу же возникла мысль, что это очередные учения по «суверенизации» Рунета.

Один наш собеседник, представляющий некрупного интернет-провайдера, сообщил нам:

«Да, давненько мы уже наблюдаем всякие «тесты»! Один из крупных сбоев случился в октябре, когда сразу несколько наших каналов, связывающих нас с городами от Питера до Сибири, поотваливались. Проблема была в блокировке определённых протоколов, которые мы обычно используем. Первой мыслью тогда было — «О, снова какие-то «учения» проводят!» Описанные в обращении VPN-сервисов обстоятельства очень напоминают наши октябрьские. К сожалению, точно сказать, что это именно было, мы не можем, но по косвенным признакам похоже было на какое-то тестирование блокировки: словно по щелчку раз — и отвалилось, а потом раз — и заработало. Чтоб обезопасить себя, мы сделали некоторые шаги, настроили туннелей поверх HTTPS. Надеемся теперь, что уж это-то они не смогут заблокировать».

 

«Готовятся к [отключению] YouTube? – рассуждает создатель «Эшер II» Филипп Кулин. – Но возможно, что просто тестируют возможности. Они давно это делают. Скорее всего, так себе получается, но всё лучше и лучше».

 

Один из наших технических специалистов проанализировал ситуацию и с позиции возможных действий Роскомнадзора, и также дал несколько советов пользователям в связи с тем, что может происходить дальше:

— Предположим, что у нас есть задача заблокировать VPN. Как это сделать? У нас есть три основных варианта:

  • Можно блокировать IP-адреса VPN. Но проблема с такой блокировкой примерно та же, как была с блокировкой Telegram. Если у VPN есть какая-то возможность доставить до пользователя новые адреса (а у них есть такая возможность), то вся такая блокировка просто коту под хвост. В общем, блокировать дорого, а разблокировать — дёшево.
  • Второй вариант — можно ввести запрет для граждан, потом ловить тех, кто установит клиент себе на устройство, пригрозив: «Кто установит VPN, тому 20 лет каторги». Потом посадить кого-нибудь на 20 лет, думая, что другие будут бояться. Но и этот вариант тоже не гарантирует стопроцентного успеха. Люди всё равно будут что-то придумывать.
  • А третий вариант — это попытаться каким-то образом заблокировать протокол, отследив какие-то уникальные характеристика трафика. Очень грубо это можно сравнить с блокировкой чьего-то лица по фотографии. И получается, если тебе нужно блокировать VPN в целом, то блокировка «по фотографии» — это, пожалуй, лучший вариант. Потому что тебе не надо морочиться с тем, чтобы ловить пользователей, как-то наказывать их, а также нет необходимости заставлять каких-то людей отыскивать эти IP-адреса VPN-провайдеров.

Теперь стоит остановиться на VPN-сервисах. Есть два типа VPN-нов:

  1. Те, которые в принципе не предназначены для того, чтобы от кого-либо прятаться. Например, есть простой протокол WireGuard, у него очень отчётливая «фотография», его блокировать очень просто.
  2. И есть VPN-ы, которые специально предназначены для того, чтоб «играть в прятки». Например, протокол Shadowsocks, хоть он и не совсем VPN. Придуман он был в Китае, его пытаются там блокировать, потому что придумали — как, но он изначально был создан для того, чтобы прятаться от такого, притворяясь чем-то другим.

Поэтому на вопрос — можно ли заблокировать самые распространённые VPN-ы, ответ уже есть — да, можно. Никаких проблем. Что для этого нужно сделать? Нужно, условно говоря, в это оборудование для «суверенного Рунета», в так называемое ТСПУ (технические средства противодействия угрозам) запихать «фотографии» самых распространённых видов интернет-трафика.

Можно ли заблокировать все VPN-ы? Нет, наверное, нельзя. Потому что сразу начинается поиск решений со стороны владельца сервиса, ну и так далее. Иногда вот эти хитрые протоколы уже встроены в коммерческие клиенты, например, у NordVPN есть свой протокол, у ExpressVPN свой... У очень многих коммерческих провайдеров есть «птичка» в настройках — «начать прятаться от такой проблемы», и часто оно работает.

Теперь о том, почему вдруг «отключают-включают» доступ к определённым VPN-протоколам. Строго говоря, мы не знаем. Можно, конечно, со всей смелостью утверждать, что нам точно известно — это были учения по отключению того-то и того-то, но по факту-то мы не знаем, что такие учения прошли. Это выглядит так, как будто прошли учения, а реально что там случилось — кот прошёл по клавиатуре, обновили прошивки оборудования или что-то сломалось, а они потом починили, реально были учения, или какие-то программисты накосячили, — в большинстве случаев, если у нас нет реальной утечки информации из Роскомнадзора, то достоверно о причине того или иного сбоя мы не знаем. Можно только предполагать. Мы только пытаемся догадаться, что происходит, сравниваем с тем, что было, пытаемся понять логику людей из Роскомнадзора.

Почему это могут быть учения? Например, помните, когда блокировали Telegram, там очень много чего отвалилось такого полезного, особенно когда навалились на Amazon, проблемы появились у каких-то учебных, коммерческих и даже государственных сайтов. Соответственно, что знает Роскомнадзор и что знают все айтишники — это что с первого редко когда что-то получается. Для этого существуют бета-версии, тестирования, публичные предварительные проверки и всё такое прочее. Как в мире IT никогда ничего с первого раза не получается, так и в мире блокировок всё то же самое. Начал ты что-то блокировать, и тут у тебя банкоматы отвалились, ты — «ой, извините, сейчас мы починим». Начал блокировать что-то другое, у всех QR-коды считываться перестали или какая-то другая неприятность произошла.

Таким образом что мы имеем? Были ли это учения? Неизвестно. Был это сбой оборудования? Тоже неизвестно. Но если и правда Роскомнадзор пытается блокировать VPN по протоколам, то мы снова будем наблюдать соревнование снаряда и брони. Таким образом заблокировать все VPN-ы навсегда нереально. То есть как только кто-то начинает что-то эффективно блокировать, VPN-щики тут же выкатывают контр-решение в течение суток-двух, присылают пользователям апдейты, и всё перестаёт блокироваться.

Что следует делать в такой ситуации пользователям? У них есть несколько вариантов, в зависимости от того, кто эти пользователи:

  • Если они совсем-совсем не понимают в вопросе и не интересуются, тогда, наверное, таким пользователям выгодно купить себе какой-нибудь коммерческий VPN за денежку и ныть в техподдержку. То есть «кто-то другой за меня разберётся, потому что я заплатил»;
  • Если эти пользователи немножко «шарят» и интересуются, то пусть они подписываются на паблики «Роскомсвободы», где как минимум периодически будет рассказываться о том, что происходит, что работает сейчас и что нужно делать;
  • Если же пользователи совсем продвинутые, у них остаётся вариант Outline, Easy VPN и т.д., либо за небольшую цену себе что-нибудь развернуть, либо договориться между собой, чтобы кто-нибудь крутил им какую-то совственную «Амнезию», потому что вот эти «собственные VPN-ы», эти «селф-хостинги» — они наиболее устойчивы из всех остальных решений к блокировкам.

 

«Роскомсвобода» считает, что каждый человек имеет право на свободное получение информации в интернете, анонимность, конфиденциальность, безопасность и на удобство доступа к нужной ему информации. Мы выступаем против цензуры, а также неправомерных блокировок, которые власти многих стран практикуют, минуя суды, закон и здравый смысл.

5,5 лет назад мы создали VPN-маркетплейс VPNlove, где собраны сервисы, максимально отвечающие требованиям надежности и безопасности при использовании интернета. Все рекомендуемые нами сервисы уже заработали репутацию надёжных средств защиты от слежки и утечки личных данных, а также помогают с лёгкостью восстановить доступ к заблокированной информации.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.