Доклад: Замедление Twitter в России

Представляем вашему вниманию перевод отчёта международной группы интернет-экспертов Censored Planet, которые провели исследование замедления в России трафика американской социальной сети Twitter. По их словам, это ознаменует новый этап цензуры интернета в РФ, поскольку была задействована система воздействия, управляемая централизованно.

Very interesting report looking at Russia's throttling of Twitter traffic, suggesting a new centrally managed system. Also, funny that some RU ISPs have multiple throttling schemes (some not Twitter-specific), so Twitter throttling can be tough to isolate https://t.co/fnrkOmeI7P

— Bill Marczak (@billmarczak) April 6, 2021

Среди авторов исследования — сотрудничающие с «РосКомСвободой» эксперты Леонид Евдокимов и ValdikSS. Руководитель проекта — Roya Ensafi из Мичиганского Университета.

С 10 марта текущего года Россия начала ограничивать несколько доменов, связанных с Twitter. В ранних отчётах, выложенных на ntc.party, высказывалось предположение, что дросселирование было вызвано TLS SNI, нацеленным на домены, включая *t.co*, *.twimg.com и *twitter.com. Скорость соединения с этими доменами была ограничена до 128 кбит/с.

Вскоре после этих сообщений российские власти дали официальное объяснение замедления трафика, объяснив, что госудаственными органами «приняты меры для защиты российских граждан от влияния незаконного контента», и ссылаясь на невыполнение Twitter запросов на удаление запрещённой на территории РФ информации. Инцидент приобрел чуть больший, чем планировался, масштаб отчасти из-за правила сопоставления *t.co*, которое непреднамеренно активировало регулирование для несвязанных высокопрофессиональных доменов, таких как reddit.com или microsoft.com.

Авторы исследования считают, что:

«Этот инцидент представляет собой первую известную попытку властей России использовать дросселирование (вместо прямого блокирования) для давления на сайты социальных сетей. Более того, это знаменует собой отход от ранее децентрализованной модели цензуры, контролируемой интернет-провайдерами в России, к более централизованной модели, которая дает властям значительные полномочия по одностороннему наложению желаемых ограничений».

В этом отчёте предоставлены результаты текущих измерений и новые технические подробности о том, как реализовано регулирование.

Интернет в России состоит из тысяч автономных систем и большого количества интернет-провайдеров, аналогично архитектуре многих других стран мира. Федеральный закон 139-ФЗ, принятый в 2012 году, определил политику того, как российские интернет-провайдеры могут осуществлять децентрализованный контроль информации.

Однако теперь появляются сообщения о том, что Twitter блокируется с помощью другого механизма, так называемого ТСПУ (технические средства противодействия угрозам). Для этого была использована технология DPI, на базе которой для Роскомнадзора компанией RDP.RU были разработаны устройства специального назначения. В недавнем интервью депутат российского парламента Александр Хинштейн заявил, что троттлинг Twitter является первым случаем, когда блоки DPI используются в массовом масштабе. ТСПУ контролируется напрямую и удалённо Роскомнадзором, а не отдельными интернет-провайдерами, что приближает архитектуру цензуры в стране к централизованным моделям Китая и Ирана.

Что происходит при дросселировании (замедлении) трафика:

• замедляющее устройство реагирует, отслеживая домены Twitter в расширении SNI записи приветствия клиента TLS;
• дросселирование осуществляется с помощью контроля трафика. При срабатывании дросселя пакеты данных, передаваемые в любом направлении (загрузка/выгрузка), отбрасываются при достижении предельной скорости;
• дросселирующие устройства расположены не рядом с блокировочными устройствами, что позволяет предположить, они администрирутся отдельно. Замедляющие устройства размещаются на 1-2 перехода ближе к конечным пользователям, чем блокирующие;
• поведение регулирования одинаково у разных интернет-провайдеров, что предполагает широкое развертывание одного способа цензурирования или централизованное управление устройствами регулирования;
• регулирование может быть активировано только для TCP-соединений, исходящих из России (т.е. клиент находится в России). Однако, как только такое соединение установлено, дросселирование может быть инициировано SNI Twitter, отправленным в любом направлении;
• в отличие от предыдущих отчётов, ослабленное правило сопоставления строк регулятора все еще действует для некоторых строк домена, вызывая сопутствующий ущерб, даже несмотря на то, что *t.co*, а недавно и *twitter.com были исправлены. Например, garbage.twimg.com регулируется, что означает, что *.twimg.com всё ещё является правилом сопоставления;
• дроссель отслеживает состояние и сбрасывает состояния для неактивных подключений примерно через 10 минут. Видимо, в качестве меры против попыток обхода регулирования задействована процедура проверки каждого нового соединения помимо исходного пакета;
• регулирование легко обойти на основе специальных модификаций сеанса, фрагментации на уровне TCP или заполнения пакетов TLS (разделение приветствия клиента между пакетами);
• авторы доклада рекомендуют браузерам и веб-сайтам реализовать поддержку TLS Encrypted Client Hello (ECH и его предшественника ESNI), чтобы цензорам было труднее регулировать скорость на основе SNI;
• мониторинг замедления является сложной задачей, и существующие антицензурные платформы не оборудованы средствами обнаружения и защиты. Этот инцидент, когда Россия «задушила» Twitter, стал тревожным сигналом.

Исследование дросселирования Twitter началось 12 марта, для чего Censored Planet связалась с российскими активистами, выступающими за свободу интернета — они помогли обеспечить 7 точек наблюдения, где были зафиксированы попытки замедлить трафик соцсети: 3 региональных точки на стационарных телефонах (ОБИТ, Уфанет) и 4 мобильных точки обзора (Билайн, МТС, Теле2, Мегафон), откуда наблюдался троттлинг.

Установив, что дросселирование действительно происходит, Censored Planet провела более глубокие измерения, чтобы понять нюансы дросселирования и лежащую в его основе технологию. Пропускная способность регулирования сошлась к значению от 100 до 150 кбит/с. Регулирование происходило путем отбрасывания пакетов, превышающих ограничение скорости (контроль трафика). Также было установлено, что дроссель отбрасывает входящие пакеты данных с любого направления после превышения пакета скорости.

Исследователи установили, что у некоторых провайдеров замедление трафика соцсети происходило несколько иначе, чем у других, но главный принцип дросселирования всё равно оставался тем же.

«В отличие от блокировки, при которой доступ к контенту заблокирован, дросселирование направлено на снижение качества обслуживания, что делает практически невозможным для пользователей отличить навязанное/преднамеренное замедление от ряда нюансов, например, таких как высокая нагрузка на сервер или перегрузка сети», — говорят исследователи.

По их словам, с распространением технологий двойного назначения, к которым относится и DPI, регулирование интернета для властей становится делом несложным, а вот пользователям задача обойти такую цензуру становится чуть сложнее.

Russia’s Twitter throttling may give censors never-before-seen capabilities https://t.co/gbU7IZ2NH5 by @dangoodin001

— Ars Technica (@arstechnica) April 6, 2021

«Сообщества по борьбе с цензурой опасаются, что государство может использовать троттлинг для ограничения свободы интернета. К сожалению, существующие платформы обнаружения цензуры сосредоточены на блокировке и не оборудованы для отслеживания троттлинга. Этот инцидент, когда Россия ограничила работу Твиттера, служит тревожным сигналом для исследователей цензуры, и мы надеемся стимулировать дальнейшую работу по обнаружению и обходу этой новой технологии цензуры», — резюмируют авторы доклада.

Россия увеличивает давление на социальные сети, стремясь к усилению контроля над источниками информации, которые не подчиняются государству, пишет Bloomberg. Доступ к Twitter был замедлен почти на месяц, так как надзорный орган в Москве требует удалить отмеченный им как незаконный контент — некоторые из публикаций относятся к 2017 году, в то время как Facebook, Telegram, TikTok и Google сталкиваются с штрафами за сообщения, призывающие к протестам из-за заключения в тюрьму лидера оппозиции Алексея Навального в начале этого года.

Угроза заблокировать Twitter, отмечает издание, возникла из-за того, что Россия вложилась в оборудование, которое может позволить Кремлю отрезать страну от глобального интернета после неудачной попытки заблокировать приложение Telegram.

По словам исследователя кибербезопасности Леонида Евдокимова, властям удалось добиться 30-40-процентного успеха во время замедления активности Twitter и устранить недостатки, которые на начальных этапах приводили к зависанию не связанных с американской соцсетью веб-сайтов. Он также считает, что отключением именно Twitter никогда не было целью российских властей:

«Twitter стал своего рода «лабораторной крысой» для Роскомнадзора, на которой он проверил — насколько хорошо работают новое оборудование и стратегия [цензурирования Сети]».