Закон о «Суверенном Рунете» стал применяться для политического давления и сокрытия начала блокировок

По-прежнему не утихает резонанс, вызванный блокировкой связанных с оппозиционным политиком Алексеем Навальным сайтов, а также их зеркал. Отслеживание всех событий, в которых можно наблюдать за действиями властей в отношении соответствующих интернет-ресурсов, позволяет прийти к некоторому пониманию новой официальной российской политики в отношении цензурирования Сети.

Рунет про массовую блокировку оппозиционных сайтов: «Вернулись глушилки»❌📵⛔️

✔️Многие считают полит.цензурой запрет сайтов, связанных с Навальным (собрали комменты)
✔️Вновь актуальны VPN
✔️Возможна ли блокировка таких сервисов? (мнение специалиста)https://t.co/5PUV84WvUA

— РосКомСвобода (@RuBlackListNET) July 26, 2021

Видя, как власти последовательно и достаточно успешно ограничивают доступ к всё новым зеркалам, созданным с помощью сервисов Google (при этом работа самого IT-гиганта на территории России не нарушена), можно прийти к выводу — блокировки, к которым мы привыкли, изменились. Они стали более точечными, успешными, а процесс наблюдения и предупреждения ограничения доступа становится гораздо сложнее — такого мнения придерживается IT-эксперт Владислав Здольников, с которым побеседовала «Роскомсвобода».

«Роскомсвобода»: Раньше многие ресурсы, например, «Грани.Ру», «МБХ», «Медуза» и даже пиратские сайты, чтоб избежать блокировок, пользовались ресурсами Google и Amazon. Как только операторы по требованию Роскомнадзора пытались блокировать их, начинало лихорадить и Google, и Amazon, что сказывалось на работе многих сервисов в России. Теперь всё обстоит по-другому?

Владислав Здольников: На самом деле, ресурсы Amazon в небольшой период борьбы с блокировкой использовал только Telegram. И когда власти начали блокировать подсети Amazon в попытке заблокировать его, стали недоступны многие ресурсы.

«Грани.Ру», «МБХ Медиа» и множество других ресурсов, включая RuTracker, разместив там «зеркало», использовали для обхода блокировок поддомен хостинга Google — appspot.com. И в 2019 году, когда я разместил там зеркало «Умного Голосования» (УМГ), у Роскомнадзора ещё не было технических возможностей заблокировать ресурс на Appspot таким образом, чтобы: 1) он был заблокирован больше, чем для ±30% российских пользователей, 2) не повредить доступности других ресурсов Google, включая YouTube.

РКС: Судя по всему, «свежие» блокировки происходят с помощью так называемых Технических средств противодействия угрозам (ТСПУ), которые есть ни что иное как DPI? То есть когда пользователи облегчённо выдохнули, поскольку знали: блокировки властями самим выходят боком, депутаты придумали закон «о суверенном интернете», который обязывает операторов устанавливать эти ТСПУ. Они также проводили учения, чтоб посмотреть, какой ущерб они могут нанести, и в какой-то момент научились относительно безболезненно для Google прицельно блокировать «крамольные» сайты?

ВЗ: На самом деле, закон о «сувенирке» подразумевает установку ТСПУ у всех операторов, чем Роскомнадзор сейчас и занимается, и мы видим, что их главная цель — сотовые операторы, и только сейчас они начали устанавливать на проводных.

Учения же заключались в том, что они пытались блокировать разные протоколы: и VPN, и те, которые использует Telegram… Они смотрели, насколько блокировка будет успешной и как хорошо будет работать остальной интернет. Я точно знаю, что с блокировкой протоколов обфускации Telegram там был полный провал: например, из-за этого становились недоступны многие игры.

Как только ТСПУ был установлен на большую часть трафика мобильных операторов, приняли решение их «обкатать» на замедлении Twitter. Ну а сейчас же мы наблюдали первые блокировки сайтов с использованием исключительно ТСПУ. С технической точки зрения это «простые» блокировки, которые не повлекут за собой проблем с доступностью других ресурсов.

Unlike the existing blacklist, which shares a list of banned websites/IPs with ISPs (a public list run by @RuBlackListNET is here: https://t.co/oUBG3uoq5c), the new centralized filtering is less visible - and harder to track. Crowdsourced checks help: https://t.co/ntDkZczyeu

— RuNet Echo (@runetecho) July 28, 2021

РКС: Логично было бы предположить, что случай с сайтами Навального, когда ты создал сначала navalny.app, затем comnavalny.appspot.com, показывает: блокировка точечная, когда больше никакие другие больше сторонние сервисы Google не затрагиваются, стала к радости властей возможна. Правда, не блокируется при этом несколько других «зеркал» оппозиционных сайтов, а также УМГ. Интересно, почему это происходит так выборочно?

ВЗ: Блокировка navalny.app нужна была лично мне, чтобы получить в руки заблокированный домен, с которым можно пытаться проводить манипуляции, — потом это может помочь обходить DPI с помощью различных техник.

К тому же мы увидели, что они начали блокировать на ТСПУ. Увидели, у каких операторов они установлены — это очень важная информация.

К сожалению, с 2019 года, когда я разместил сайт УМГ на Appspot, РКН значительно нарастил свои ресурсы — как в старой схеме блокировок, так и по закону о «сувенирке». Уже около года мы наблюдаем на примере десятков других заблокированных сайтов на Appspot, что технических ресурсов РКН хватает на практически полную блокировку любого сайта на этой площадке. И да, при этом другие ресурсы Google никак не страдают.

Например, видно, как падает доступность зеркала рутрекера на appspot даже в ретроспективе нескольких предыдущих месяцев.

Почему власти не блокируют политические ресурсы на Appspot — у меня есть следующие предположения: 

▪️ В случае с ресурсами вроде «Грани.ру» или «МБХ медиа», думаю, они не хотят лишний раз пиарить их через блокировку. Их устраивает текущее количество посетителей. Как только они посчитают, что количество посетителей превысило какой-то их порог — ресурсы будут заблокированы. Мы видим, что новое руководство Роскомнадзора ведёт себя хитрее предыдущего.

▪️ В случае с УМГ, думаю, их тактика заключается в том, чтобы ударить по нему перед публикацией списков кандидатов. Причём сразу и по приложению, и по сайту.

Ребята из команды Навального почему-то говорят, что приложение нельзя заблокировать, хотя это абсолютно не так. Там гораздо больше манёвров для обхода блокировок, чем в случае с сайтом, — и я участвовал в разработке этих механизмов, — но даже активно используя их, приложение будет периодически падать. Блокировка сайта в данный момент повлечёт за собой приток пользователей в альтернативные каналы: приложения, Telegram-бот. И эти пользователи в любом случае получат рекомендацию по голосованию.

РКС: Давай снова поговорим о ТСПУ. Судя по тому, что они не задевают Google, это уже другое поколение таких агрегатов, с которым обходчикам блокировок станет работать гораздо сложнее?

ВЗ: В качестве ТСПУ используется оборудование «ЭкоDPI» фирмы «РДП.Ру». Это оборудование давно и успешно работает на сетях провайдеров, которые покупали и покупают его по своей воле для эффективных блокировок (за пропуски их автоматически штрафует система «Ревизор»), потому что у этого оборудования есть полезные операторам функции, которые работают на этом оборудовании очень хорошо,  такие как BRAS и NAT.

«Задевание» других ресурсов Google зависит не от оборудования, а устройства механизма блокировок у оператора. Если попытаться просто рассказать о схемах блокировок у операторов, то получается следующее.

1. Схема Full-DPI — оператор установил DPI на весь трафик, подключил его к общедоступной операторской выгрузке, но DPI при этом находится под управлением оператора. На таком оборудовании можно на 100% заблокировать любой ресурс на Appspot без ущерба другим ресурсам Google. Такая схема уже реализована почти у всех операторов.

2. Схема Недо-DPI — оператор на основании IP-адреса «заворачивает» трафик в дешёвый DPI. Такая схема будет игнорировать блокировку ресурса на Appspot, потому что запись в реестре не имеет IP-адреса — то есть основания для маршрутизации трафика в DPI. Это дешёвая схема, но из-за несовершенства у этой схемы много «пропусков» в блокировках и их постоянно штрафует РКН. Операторов, которые используют эту схему, почти не осталось.

3. ТСПУ — оператору устанавливают всё то же самое, что в первой схеме, только под управлением государства. Так как первая схема есть почти у всех операторов, ТСПУ дублирует. Рано или поздно, ТСПУ будут установлены у всех операторов.

4. Схема «Ревизор в песочнице» — оператор покупает самый дешёвый DPI на маленькое количество трафика и ставит за него единственного клиента — систему «Ревизор», которая проверяет блокировки. Так делают небольшие операторы в регионах. Их очень мало, почти не осталось. В том числе потому, что РКН вычисляет эту схему.

Роскомнадзор впервые задействовал оборудование государственного DPI – глубокого анализа пакетов данных – для блокировки сайта – зеркала блога Навального https://t.co/3KAzUoQ63D, сообщил его соратник, программист Владислав Здольников.https://t.co/yXIERvg3um pic.twitter.com/vIXv15ZTeD

— SOTA (@SotaVision) July 27, 2021

РКС: Наверное, рано или поздно придут инструменты, которыми можно будет обманывать и эти новые ТСПУ. Скорее всего, власти тоже об этом знают. А могут ли они, условно говоря, пойти дальше — начать по айпишникам вычислять тех, кто заходил на сайт УМГ или сайты Навального? Смогут ли приглушить трафик ВПН?

ВЗ: Могут. Рано или поздно посещение запрещённых сайтов станет преступлением. На ТСПУ нет никаких проблем заблокировать VPN-протоколы, которые не могут маскироваться либо под мусор, либо под TLS (обычный веб-трафик) — то есть почти все.

РКС: Когда произошли первые блокировки сайтов на Appspot?

ВЗ: Мы наблюдаем это примерно полтора года. А то, как это применяется для блокировок ТСПУ, мы впервые увидели вчера. До этого, повторюсь, было только замедление Twitter.

***

С помощью сервиса GlobalCheck, Владислав отследил ещё одну любопытную вещь: процесс ограничения доступа становится менее прозрачным и более непредсказуемым. По примеру блокировки зеркала сайта Навального он увидел, что блокировка с помощью ТСПУ произошла вчера вечером, а по старой схеме, т.е. когда 29.07.2021 операторы получили выгрузку от Роскомнадзора и приступили к блокировке со своей стороны, уже сегодня утром.

«Таким образом, продолжительность так называемой «внереестровой» блокировки только на ТСПУ составила около 14 часов, — написал он в своём telegram-канале. — Блокировки ресурсов на Appspot (Google) с помощью «старой» схемы через оборудование самих операторов, к сожалению, эффективны и не влекут за собой недоступность других ресурсов Google, если в реестр вносится только домен, без IP-адресов. В таком случае, домен ресурса блокируется по SNI на собственных DPI операторов — почти у всех операторов это оборудование установлено на весь трафик».

Об этом же говорит специалист «Роскомсвободы» по безопасности Вадим Лосев:

«В чем мы сегодня убедились? Раньше считалось, что „прятаться“ в инфраструктуре Googlе — это хорошая защита от российских блокировок. На это, к примеру, рассчитывали разработчики сайта „Умное голосование“, когда разместили его на votesmart.appspot.com. Действительно, раньше провайдеры блокировали в основном по IP-адресам, и было представление, что РКН не решится блокировать IP-адреса, принадлежащие Googlе, чтобы не нарушить работоспособность других сервисов. Эта защита больше не работает: сегодняшняя блокировка происходит по SNI и позволяет эффективно блокировать домен третьего уровня на Appspot. Ничего не мешает РКН точно таким же способом блокировать „Умное голосование“. Почему оно до сих пор не заблокировано —   большой вопрос».

Также можно прийти к выводу, что новая централизованная фильтрация трафика стала гораздо более изощрённой. Её труднее отследить, она менее заметна. Какие инструменты для борьбы с блокировками предложат оппоненты цензурных органов, пока неизвестно.