Где стол был яств, там гроб стоит.
— Гаврила Державин, «На смерть князя Мещерского».
Чуть меньше года назад мы написали текст «Тёмная сторона сингулярности», в котором предупреждали о том, что для Рунета настала эпоха блокировок и слежки. За этот год интернет в РФ превратился из чего-то цельного, на что можно положиться, в некую неясную субстанцию. Разросшийся список заблокированных сайтов, постоянные слухи о том, что «вот-вот всё прикроют» заставляют людей побеспокойнее скачивать всё на всякий случай, людей поосторожнее — умело выбирать выражения, а самых осторожных — молчать. Нелепым и пугающим кажется огромный перечень жадных ведомств, стремящихся заполучить власть закрывать: от ЦБ РФ до Минприроды. А их цинизм просто зашкаливает:
Официальный паблик Роскомнадзора: говорят, для его владельцев уже шьют плащ от фирмы Federick
Причины для блокировки озвучиваются разные: то экстремисты разместят что-то такое, отчего РФ развалится, то клиент банка напишет что-то такое, отчего банк развалится. Однако самым главным мотивом являются дети. Вы ведь не хотите, чтобы ваш ребёнок стал крокодиловым наркоманом? Или же сделал бомбу на кухне, верно? И потому, по информации Газеты.ру, к новому году нам сделают очередной подарок. Речь идёт о предварительной блокировке «вредоносного» контента, чтобы «оградить от него детей». По словам источника, фильтровать информацию будут обязаны все операторы:
«Те, кто не смогут делать это на своих ресурсах, обязаны будут покупать уже очищенный контент у более крупных операторов. Тем самым будет создан механизм определения доверенных и недоверенных провайдеров».
Стоит отметить, что в условиях надвигающейся рецессии реализовать этот план полностью будет затруднительно. Однако, как показал опыт уходящего года, законодатели прекрасно компенсируют недостаток технических знаний количеством запретительных законов. Мы решили рассмотреть возможный сценарий реализации блокировок, оценив, насколько далеко зашли наши соседи по планете.
***
И всё же, что такое «предфильтрация» и чем она отличается от текущих блокировок? Вероятнее всего, речь идёт о DPI (deep packet inspection) — глубоком анализе пакетов. Эта технология позволяет анализировать тип и содержимое интернет-трафика. Она успешно применяется как во внутренних сетях предприятий, не давая нерадивым сотрудникам возможности смотреть онлайн-видео, так и у операторов мобильной связи: можно занизить приоритет P2P-соединений, чтобы пользователи не использовали мобильный интернет для скачивания контента при помощи торрент-трекеров или разговора по Skype. Или же можно перераспределить нагрузку во время каких-то спортивных соревнований, отдавая приоритет именно болельщикам, желающим насладиться трансляцией без перебоя.
Иными словами, в самом DPI нет чего-то особенно оруэлловского. Он нужен для аналитики, балансирования нагрузки и в конечном итоге — для поддержания работоспособности сети. Конечно, хочется пользоваться по-настоящему безлимитным интернетом, но с другой стороны, важно понимать, что без введения ограничений на P2P-сети пользоваться 3G-связью было бы намного сложнее. Другое дело — введение потребителя в заблуждение, но эта проблема явно не так страшна. Однако нас интересует использование этого механизма на государственном уровне для цензурирования информации — речь шла именно об этом.
На текущий момент российская система блокировки интернет-ресурсов более всего напоминает британскую: немалый список поводов и ведомств, охотно закрывающих сайты. Речь идёт и об автоматической фильтрации порнографии (что-то это напоминает). Не обошлось и без любопытных островных особенностей: так, призывы к отмене монархии до сих пор являются нарушением закона. Тем не менее на сегодняшний день DPI на государственном уровне применяется в достаточно коротком списке стран. Наиболее масштабно его использовало американское агентство национальной безопасности (NSA), однако работа разведки — тема для отдельного разговора. Впрочем, американские производители снабжали Египет, Сирию и другие страны оборудованием для фильтрации, так что нельзя не принимать этот фактор во внимание. Бизнес есть бизнес, потому, несмотря на санкции, Иран тоже обеспечен средствами цензуры и аналитики. Всё же для того, чтобы заглянуть в будущее, стоит выбирать не страны Ближнего Востока — и территория и уровень проникновения интернета в РФ существенно выше. Для сравнения лучше подойдёт Китай.
Следует отметить, что китайская цензура является многоуровневой. В неё входят как и обычные блокировки сайтов, так и анализ контента (DPI), а также армия блогеров на иждивении государства. Анализируется содержание комментариев и сообщений, при желании можно снизить приоритет определённых сервисов — как пишут, в дни съезда коммунистической партии Китая прекращает работать и то, что раньше работало неплохо.
А как же VPN/SSH? Шифрованные каналы, Tor, I2P и прочее? Тут как раз полезен DPI. Для примера можно взять список протоколов, распознаваемых программным обеспечением Cisco. Даже без знания содержимого шифрованного пакета данных можно просто сделать соединение крайне медленным или же просто оборвать его. Не все китайские провайдеры блокируют работу с VPN. Однако вполне вероятно, что в будущем эта деятельность будет попросту лицензироваться.
Tor тоже не является панацеей. В Китае заблокированы практически все выходные узлы (их IP-адреса известны), и количество активных пользователей не превышает нескольких тысяч человек.
Количество китайских пользователей Tor, подключённых напрямую
Для того, чтобы обойти такую блокировку, можно подключиться через tor-bridge — мост, IP-адрес которого не находится в свободном доступе, но его можно получить в индивидуальном порядке. Но тут начинает работать алгоритм DPI-системы, по прямым и косвенным признакам определяющий tor-траффик. Например, так произошло в Иране в 2013 году.
Использование цензурирования значительно сократило иранскую tor-аудиторию
Разработчики Tor не сдались и создали обфусицированную версию «моста» — условно говоря, в трафик подмешиваются случайные данные, что делает его непохожим на tor-соединение с точки зрения аналитического программного обеспечения. Однако система по-прежнему уязвима — как только адрес нового узла становится известен, его можно заблокировать. А самое главное — решение перестаёт быть массовым. I2P тоже не слишком популярен в Китае — во-первых, список узлов тоже доступен публично, а во-вторых, если в Tor теперь есть даже Facebook, то в I2P довольно мало площадок для обсуждения.
Статистика использования I2P, 2013 год. Китая и не видно.
Более того, программное обеспечение всё совершенствуется, используются методы машинного обучения и нейросети — чем дальше, тем сложнее что-то утаить от продвинутых алгоритмов DPI.
Когда какой-то сервис всё же нежелательно блокировать, то в Китае используют подмену сертификатов для шифрованных соединений — таким образом, несмотря на то, что служба работает, доступ к данным можно получить без всяких проблем. Это уже происходило с программным репозиторием Github и сервисами Apple, Google, Yahoo, Microsoft.
Впрочем, у РФ и Китая совсем разные возможности блокировки данных. С учётом российской стагнации и вовсе сомнительно, чтобы в нашем случае цензоры работали с подобным размахом и тщанием — оборудование с продвинутыми возможностями стоит очень дорого, работу персонала следует оплачивать, а самое главное — без чётко выработанной и отлаженной стратегии всё пойдёт прахом.
Сейчас в РФ блокировка происходит по IP-адресу или имени домена, DPI пока не внедрён на федеральном уровне, Tor/I2P/VPN не блокируется. Рассмотрим худший сценарий: подписывается очередной закон и DPI действительно начинает использоваться.
Во-первых, даже если денег у государства окажется недостаточно, установка оборудования вполне может оказаться необходимым условием при получении лицензии на оказание услуг связи. Не можете платить — уходите с рынка. Такое решение неизбежно заставит цены на интернет вырасти, а региональные игроки могут покинуть всё более монополизирующуюся отрасль. Неприятным признаком такого варианта развития событий можно считать прошлогоднюю концепцию развития мультисервисных сетей связи. Если сейчас у небольших провайдеров есть свои арендованные зарубежные каналы, то в дальнейшем, согласно документу, такое смогут позволить себе лишь магистральные операторы.
Во-вторых, нет технических препятствий для действительно мощной блокировки. Как выяснилось, невзирая на санкции, зарубежные коллеги с удовольствием продадут нужное оборудование. В случае же отказа помогут азиатские партнёры. А уровня наших специалистов определённо хватит для доводки.
В-третьих, законодательная база уже готова, с того самого момента, когда было принято решение об ограничении доступа информации. Всё остальное — уже незначительные дополнения.
В-четвёртых, уровень развития китайского интранета намного выше российского. Социальные сети, мессенджеры, торговые площадки, видеохостинги, площадки для ведения блогов — пресловутый обычный китаец будет чувствовать себя не так неуютно, как русский, внезапно лишившийся важных инструментов, замены которым чиновники не придумали. А если и придумают — то на это уйдут годы. Хотя, например, работа над созданием отечественного аналога Steam вот-вот начнётся.
Более мягкий сценарий, без внедрения DPI (или с фикцией внедрения), может подразумевать введение новых категорий запрещённого контента, автоматическую или полуавтоматическую генерацию чёрных списков, ужесточение ответственности за распространение информации, введение пилотных программ по апробированию белых списков и подмену SSL-сертификатов. Остановимся на последнем моменте подробнее: блокировка отдельных страниц на ресурсах, доступ к которым осуществляется через https, практически невозможна. Но часть провайдеров уже начинает самовольно подменять сертификаты самоподписанными. И несомненно, такая методика будет набирать популярность.
Вполне возможны какие-то промежуточные варианты развития событий, но ясно одно — блокировки будут всё эффективнее и эффективнее, при любом сочетании технических и административных мер. Конечно, всегда будет небольшая доля пользователей, способных обойти все препоны и гордо писать через цепочку из прокси в закрытом tor-форуме. Но большая часть людей предпочтёт не связываться со сложными методами связи, и просто решит, что «лучше в интернете ничего не критиковать». А несколько показательных случаев тюремного заключения лишь убедят их. Задача власти — не создать систему идеальной блокировки, а лишь сократить долю людей, способных обойти её, до безопасных значений.
Однако же грубейшей ошибкой является решение социальных проблем исключительно техническими способами — будь то mesh-сети с шифрованием, спутниковый интернет или подключение к воздушным шарам Google. Перемены всегда осуществляет небольшое количество людей, и далеко не всегда техническими методами. Российская Федерация входит в период бурных перемен, и сомнительно, чтобы любые блокировки были способны остановить этот процесс.
