На смену IP-геноциду может прийти «Охота на протокол»

Блокировка OpenVPN приведёт к коллапсу в работе многих российских компаний, поскольку они используют протокол данного сервиса.

В конце марта 2019 года Роскомнадзор потребовал от десяти крупных VPN-сервисов, в том числе OpenVPN, подключиться к реестру запрещенных сайтов, которые необходимо блокировать в России. В случае, если VPN-сервисы откажутся, им также грозит блокировка в стране, которая может затронуть огромное число сторонних сервисов, в том числе в сфере онлайн-банкинга.

Компания OpenVPN отказалась сотрудничать с РКН, и в результате под угрозой блокировки оказался популярный одноименный протокол. Его используют, например, банки и операторы связи. Хорошая новость: протокол вряд ли получится заблокировать. Но есть и плохая: https://t.co/aLnTMr8xmx

— Meduza (@meduzaproject) April 10, 2019

OpenVPN Inc. — американская компания, работающая на рынке VPN-сервисов, с помощью которых можно анонимно пользоваться интернетом. Среди прочего у нее есть платный VPN-сервис Private Tunnel, а также собственный VPN-протокол OpenVPN. Такое же название имеет бесплатная open-source программа, с помощью которой можно создать свой VPN, использующий протокол OpenVPN. Из-за доступности OpenVPN стал одним из самых популярных VPN-протоколов в мире. По оценке технического директора РосКомСвободы Станислава Шакирова, протокол могут использовать до 90% всех платных VPN-сервисов. Точные оценки неизвестны.

Также OpenVPN широко используется при настройке внутренних корпоративных сетей, в том числе в банках и мобильных операторах, отмечает исполнительный директор «Общества защиты интернета» Михаил Климарев. «OpenVPN используют, потому что пользоваться им очень просто и удобно, а платить за него не нужно», — подчеркивает он.

По словам пресс-секретаря Роскомнадзора Вадима Ампелонского, ведомство пока не знает, какие именно сервисы могут попасть под блокировку. «Есть 30 дней на подключение [к реестру]. О том, что мы будем делать, если они не исполнят требование, уместно будет говорить по истечении этого срока», — сказал он.

Технический директор РосКомСвободы Станислав Шакиров в интервью «Медузе» сказал, что протокол OpenVPN можно блокировать с помощью DPI-систем (их тестировали для блокировки Telegram), но такую атаку можно будет обойти с помощью маскировки VPN-трафика под обычный трафик — такую стратегию применяют многие VPN-сервисы. Шакиров отмечает, что такой метод борьбы сервисы применяют и в Китае, где борьба государства с VPN идет уже много лет. В OpenVPN Inc. не уточнили, как именно хотят бороться с блокировкой.

Похожей точки зрения придерживаются и владельцы VPN-сервисов, попавших в список Роскомнадзора. Бен Ван Пелт, генеральный директор TorGuard (этот сервис, как и пять других, уже официально отказался от сотрудничества с Роскомнадзором), пояснил, что компания имеет большой опыт работы с системой фильтрации контента в Китае и благодаря этому точно знала как действовать. Уже через несколько часов после запроса серверы, находившиеся в Москве и Петербурге, были отключены, а команда добавила больше серверов в соседних странах, чтобы скорость соединения не пострадала. Кроме того, из-за работы в Китае у компании есть собственные технические разработки, которые могут бороться в том числе и с DPI. «Для нас все это — обычная часть бизнеса», — говорит Ван Пелт.

По словам гендиректора OpenVPN Фрэнсиса Диньи, в компанию не поступали требования от Роскомнадзора, но компания не собирается сотрудничать с ведомством.

Динья подчеркивает, что требования Роскомнадзора не только ограничивают свободу информации, на что компания не может пойти, но и практически нереализуемы технически. Например, у VPN-сервиса компании нет серверов в России, а вычислять конкретных пользователей и блокировать для них определенные сайты — по оценке компании, невозможно. «Мы не собираемся сортировать наших пользователей и дискриминировать некоторых из них», — подчеркивает он.

Динья также отметил, что компания не стала бы сотрудничать с РКН даже если бы могла выполнить его требования. «Отказываясь подчиниться, мы понимаем, что не обязательно добьемся изменения их позиции. Но мы надеемся, что вместе с другими сервисами мы по крайней мере замедлим распространение этого вида авторитаризма. Мы не можем просто стоять в стороне или отвернуться. Возможно, мир в конечном итоге поймет: от ограничения свободы слова или информации ничего хорошего никогда не получится <…> Мы будем работать в России так долго, как это будет возможно. Но если нас заблокируют, что ж пусть будет так», — заявил он.

«Сейчас доля российских пользователей, использующих VPN, составляет около 3%. До попыток заблокировать Telegram она была существенно меньше, а если РКН будет дальше продолжать блокировки, в какой-то момент она может вырасти до китайского уровня — порядка 25%», — говорит технический Станислав Шакиров.

Он отмечает, что если даже Роскомнадзор начнет блокировать VPN-сервисы, то в большинстве случаев на пользователях это не скажется, так как сервисы умеют обходить блокировки. Однако возможная блокировка протокола OpenVPN в России может привести к временным проблемам у платных сервисов и компаний, которые используют его в своей работе, но они это смогут достаточно быстро решить, так как практически все VPN-провайдеры пользуются сразу несколькими протоколами. «Я думаю, что в худшем случае нас ждет то же самое, что было с Telegram. РКН начнет блокировать OpenVPN, нанесет какой-то минимальный ущерб, но по пути временно порушит много всего еще. А OpenVPN продолжит работать», — говорит Шакиров.

С такой оценкой важности OpenVPN согласен и CEO украинской компании Keep Solid, чей сервис тоже попал в список РКН, Василий Иванов. «Может так случиться, что у многих международных бизнесов пропадет связь, что снова вызовет негатив и дополнительные затраты этих бизнесов на возобновление работоспособности. Впрочем, если цель оправдывает средства, а средства мы видим, то я даже боюсь представить какая была изначальная цель», — подчеркнул он.

На данный момент 12 сервисов уже официально отказались исполнять требования Роскомнадзора, причем письма получали не все из того списка, кто уже чётко обозначил свою позицию, три — пока ещё размышляют. Сотрудничать согласился только один сервис — Kaspersky Secure Connection «Лаборатории Касперского».