Власти России провели кампанию по блокировке VPN-сервисов в России — она отличается от предыдущих масштабом и способом. Проблемы, в первую очередь, возникли у пользователей мобильных операторов — МТС, «Мегафона», «Теле2» и других. В сетях стационарных интернет-провайдеров, в том числе «Ростелекома», блокировки не наблюдаются. Некоторые VPN-сервисы уже восстановили работу.
«Бумага» поговорила с техническим директором «Роскомсвободы» Станиславом Шакировым о том, почему блокировки начались с мобильных операторов и как пользователи могут обойти их.
Обновление от 10 августа. Добавлен комментарий экспертов проекта «На связи»
— Пользователи каких протоколов сейчас сталкиваются с проблемами?
— Блокируется практически все VPN-протоколы — и современные, и старые.
На десктопных клиентах стараются блокировать устаревшие протоколы для корпоративных сетей. На них, например, работают банкоматы, терминалы оплаты или же корпоративные банковские сети.
На мобильных операторах тем временем блокируется прямо всё — и старые протоколы, и новые.
— Почему так происходит?
— Я предполагаю, это нужно, чтобы минимизировать риски того, что упадет что-то важное. И, может быть, чтобы минимизировать общественный резонанс, который может прийти со стороны бизнеса в случае падения [важных ресурсов].
Пока сохраняется тенденция, что это только мобильные операторы. На десктопе работает чуточку лучше.
— Почему блокировки начались именно с мобильных операторов? Стоит ли в ближайшее время ждать проблем со стационарными операторами, вроде «Ростелекома»?
— Да, стоит. Сейчас мы не знаем эффект от текущих блокировок. Если власти с обычным VPN не положили что-то еще, то да, эта практика будет распространяться дальше.
Надо понимать, что мы входим в такую эпоху «кошек-мышек» в контексте блокировки VPN. Если буквально до этих выходных более или менее все VPN-протоколы работали, а блокировки происходили, в основном, по IP-адресам популярных VPN-сервисов, то сейчас блокируют и IP-адреса, и VPN-протоколы, и трафик, который похож на VPN-трафик.
Вот с этого момента мы движемся в сторону Китая, и рано или поздно дойдем до китайской модели интернета. Не думаю, что это случится в 2023 году, но к следующему году, уверен, они рассчитывают, что заблокируют весь неопознанный VPN-трафик.
В этом году мы будем видеть какие-то попытки блокировать протоколы. Что будет получаться, они будут оставлять. Что не будет — на какое-то время откатывать, чтобы позднее тестировать вновь
— Как это технически осуществляется?
— Это происходит на ТСПУ (технические средства противодействия угрозам). Они стоят у каждого оператора связи и управляются из единого центра Роскомнадзора.
DPI-оборудование перехватывает трафик, смотрит на старт соединения, которое происходит между пользователем и VPN-сервисом. Оператор блокирует трафик, если понимает, что это VPN, а протоколы, которые блокируются сейчас, в явном виде показывают, что это VPN-трафик.
— Какие сервисы стоит скачивать, чтобы оставаться на связи и на что в них обращать внимание?
— На те сервисы, которые занимаются обфускацией, то есть маскировкой трафика, а это Psiphon, можно использовать Tor (а также PaperVPN — прим. «Бумаги»). Можно также обратить внимание на селф-хост решения вроде Amnezia VPN и Outline.
Но Outline будет работать не у всех провайдеров, потому что там протокол Shadowsocks. Он уже достаточно давно блокируется у некоторых провайдеров в России.
Если выбрать Amnezia, сделать свой собственный сервер и выбрать на нем протокол Clock — там есть маскировка трафика, и эта история будет работать, скорее всего, еще достаточно долго.
Лучше поставить все бесплатные сервисы, про которые я говорил, в том числе Proton, Psiphon. Их с какой-то периодичностью тоже удается заглушить, но, по моим наблюдениям, когда один не работает, остальные работают — то есть всегда какой-то из этих сервисов активен.
Если всё же получилось так, что ничего из них не работает, а собственный сервер для установки Amnezia покупать не хочется, то можно подождать, пока в софт [разработчики] внесут корректировки, который позволяет обходить блокировки. Это происходит не быстро, потому что релиз должен пройти магазины приложений Apple Store и Google Play. Но через 2–4 дня программа обновится, и получится выйти в сеть.
— Может государство полностью обрубить возможность использования VPN?
— Нет. Но возможно, что [свободно] выйти в интернет будет значительно сложнее, чем раньше.
В Китае VPN полностью обрубить не получилось до сих пор, хотя они там строят китайский файрвол с момента появления интернета в Китае. Но там другая модель. Когда ты хочешь обрубить возможность выхода в интернет, тебе нужно сделать так, чтобы людям в принципе не нужно было выходить из твоего местного национального интернета — локализовать все сервисы внутри.
А у нас нет замены инстаграма и ютьюба, поэтому, думаю, всё это будет не очень эффективно. После такой серии блокировок, как мы видели вчера и позавчера, пройдет несколько дней, сервисы адаптируются, и люди снова смогут ими пользоваться.
— Как подготовиться к глобальным шатдаунам?
— Это вопрос абсолютно другой. Это не про VPN — это про обрезание каналов связи, которые идут на выход из страны.
Глобальный шатдаун может быть только федерального значения, когда российский интернет замыкается сам на себе. Это будет происходить в достаточно страшных ситуациях, вроде гражданской войны или массовых протестов, которых будут бояться власти.
Это, скорее всего, не будет постоянным свойством рунета. Власти думают, что если отключат интернет, то решат свои проблемы — но дальше оказывается, что им нужен интернет. Потому что есть взаимодействие между банковской системой, есть корпорации, которые работают не только в России, — им также нужен внешний интернет.
Когда у тебя отключается внешний интернет, мало что может помочь. Когда в Беларуси были массовые протесты, там работали те же самые Psiphon, Lantern. Люди записывали их на флешки и через флешки передавали друг другу.
Собственно, это и есть рецепт. Нужно заранее подготовиться и записать этот софт, скачать список мостов, которые можно будет использовать, записать это на флешку или на компьютер.
Почему в этот раз блокируют именно мобильных операторов?
Мы думаем, что есть две причины: техническая и менеджерская. С технической стороны, намного проще начать блокировки с мобильных операторов. В самом дизайне работы их работы предусмотрено использование технологии DPI или Deep Packet Inspection. Вся информация, которая передается через мобильную сеть, разделена на небольшие кусочки или пакеты, а DPI позволяет проверять содержимое этих сетевых пакетов и отправлять какие-то в первую очередь, например, изображение и голос, а какие-то — во вторую.
Стационарные операторы эту технологию не используют — им просто не нужно экономить скорость. Поэтому во время блокировок произошло следующее: все мобильные операторы уже по умолчанию используют технологию DPI, она глубоко анализирует пакеты каждого пользователя, и так намного проще ограничить трафик на запрещенные адреса.
А вторая причина — менеджерская. Когда у тебя ограниченное число ресурсов, ты их хочешь потратить максимально эффективно, правда? А у мобильных операторов больше абонентов, и блокировать их просто выгоднее: действий меньше, а охват больше.
Чем отличается эта волна блокировок с технической точки зрения?
Пока точного ответа у нас нет, но есть гипотеза: скорее всего как раз используется функционал DPI, или глубокой проверки пакетов, о которой мы рассказывали раньше. Они проверяют содержимое каждого пакета и блокируют соединение с теми сетями, которые не находятся в РАНР или Реестре адресно-номерных ресурсов рунета.
Раньше мы думали, что цензоры не будут блокировать протоколы VPN, потому что это парализует экономику: сразу лягут корпоративные сети, перестанут работать банкоматы и логистика. Но, похоже, они научились обходить это условие. Как именно — пока точно сказать нельзя.
Могут ли власти закрыть доступ ко всем VPN-сервисам?
Все VPN-сервисы надежно заблокировать невозможно. Это подорвет работу экономики и отрежет Россию от внешнего мира. Ну если связи с внешним миром будут сохраняться, то VPN-сервисы будут искать лазейки, придумывать технологии по обходу блокировок.
Сейчас в России уже частичный шатдаун, есть мнение, что она медленно движется к туркменскому сценарию: когда формально интернет есть, но заблокированы около трех четвертей существующих в мире IP-адресов. Но довольно сомнительно, что такой сценарий можно воплотить в такой большой стране как Россия.
Что вы посоветовали бы пользователям, которые опасаются глобального шатдауна?
Во-первых, глобальный шатдаун — это всегда чрезвычайная ситуация. Если нет такой базовой вещи, как интернет, то где-то происходит что-то очень страшное: мы видим это по примерам Беларуси и Казахстана. И нужно понимать, что если физически отключены линии связи, никакая программка на телефоне вам не поможет.
Скоро мы выпустим огромный гайд на эту тему, но пока мы советуем на случай полного отключения интернета:
- приготовить Power-банки и генераторы
- скачать оффлайн-карты (просто скачать приложение недостаточно, карты нужных вам регионов вы подгружаете отдельно)
- запастись необходимыми лекарствами
- скачать гайды по оказанию первой помощи
- скачать сериалы, фильмы и музыку — всё, что поможет вам продержаться и пережить стресс
- запастись наличкой, ведь банкоматы работают через интернет
- запастись продуктами
- заранее договориться с соседями и друзьями: вместе легче переживать сложные времена
Что еще почитать:
- «Работа ведется ежедневно». «Роскомсвобода» — о том, как в России пытаются заблокировать протоколы VPN и как обезопасить себя.
- «Теперь за доступ к информации надо бороться». «Роскомсвобода» объясняет, что происходит с интернетом и как обходить ограничения.
- Что делать, если в России отключат интернет? Гид «Бумаги» и «На связи» на случай шатдауна
Фото на обложке: «Бумага»