The Bell объясняет 27 сентября 2019

Защитники приватности «сломали» суверенный рунет до запуска

Программисты Telegram должны к 31 октября представить работающую блокчейн-платформу TON — иначе Павлу Дурову придется вернуть инвесторам $1,7 млрд. Но, даже если все получится, в числе главных рисков для TON инвесторы называют готовность российских властей продолжать борьбу с Telegram — Роскомнадзор уже разворачивает новое оборудование, которое позволит ему блокировать нежелательные сайты и сервисы, минуя операторов связи. Но усилия властей могут оказаться тщетными — новые способы обхода блокировок могут свести эффективность запретов на нет. The Bell рассказывает о самых новых и действенных.

Эта заметка изначально была написана для технорассылки The Bell. Подписаться на рассылку можно здесь.

Проблема. Telegram — не единственный глобальный сервис, который уже столкнулся с проблемами и столкнется с еще большими. В России не работает деловая социальная сеть LinkedIn, считающаяся стандартом для всех, кто пытается найти международных бизнес-партнеров и построить глобальную карьеру. Закрыт проект презентаций slideshare.com. Прекращен доступ к российским и зарубежным оппозиционным СМИ. По ошибке заблокирован даже математический форум Art of Problem Solving.

Мы делали главные деловые СМИ страны, теперь делаем лучше - подпишитесь на The Bell.

Тот же запрещенный в России Telegram, несмотря на то что им, по недавнему исследованию Deloitte (pdf), пользуется 25% россиян, ежемесячно тратит миллионы долларов на противодействие ведомству. Теперь это противостояние выходит на новый уровень из-за четырех ключевых событий. Первые два касаются рунета.

  • К середине октября Роскомнадзор намерен завершить тестирование оборудования для реализации закона о суверенном рунете, частично вступающего в силу уже 1 ноября и позволяющего переложить блокировки напрямую на ведомство вместо операторов связи. Системы блокировки уже развертываются, пилотным регионом стал Урал, а  куратором — компания «Данные — центр обработки и автоматизации», которую возглавил бывший глава Nokia в России и замминистра связи Рашид Исмаилов.

Для блокировки Telegram разрабатывается и тестируется — в Тюмени — новая система. Новый виток попыток заблокировать мессенджер глава ведомства называет «борьбой снаряда и брони».

Решения. Но если в ближайшие месяцы Telegram все-таки запустит TON, то через его протоколы и сервисы можно будет дублировать многие возможности сети и в том числе — построить платные анонимизаторы, которые будет сложно заблокировать.

Два других события меняют отношения в области регулирования доступа в сеть не на местном российском, а на глобальном уровне — и могут значительно усложнить российским властям блокировки.

  • Во-первых, недавно Mozilla начала массово использовать в Firefox технологию DNS over HTTPS (DoH). По умолчанию выбираются сервера облачного CDN-провайдера Cloudflare. Технология не позволяет без досмотра трафика определить, куда именно заходит и что делает на сайте пользователь. Сейчас на DoH переключают американских пользователей, чтобы обеспечить им защиту от коммерческой слежки (список посещенных сайтов — лакомая добыча рекламодателей).
  • Во-вторых, в конце сентября тот же Cloudflare запустил рабочую версию WARP. Это, говоря грубо, защищенный DNS, который не позволяет провайдерам понять, к какому сайту вы обращаетесь, и меняет маршрут прохождения данных. Он не только защищает от рекламной слежки, но и делает бесполезными попытки заблокировать доступ к сайтам со стороны регуляторов или провайдеров. Установка приложения WARP (iOS, Android) моментально и бесплатно позволяет получить доступ к заблокированным сайтам.

Как это работает. Хотя технически WARP — VPN, сервис не обеспечивает анонимности и не скрывает интернет-адрес человека, как Tor. Вместо этого он шифрует запросы к DNS и увеличивает вероятность того, что передаваемые данные не смогут перехватить. Как представляют создатели — «он защитит вас от людей, пытающихся подглядеть, чем вы занимаетесь в кофейне, и не позволит вашему провайдеру продавать список ваших любимых сайтов рекламодателям».

  • Особый интерес также представляет причина задержки запуска Warp на несколько месяцев. Специалисты Cloudflare опубликовали технический пост о принципах работы сети. Он слишком обширен для этой рассылки, но его стоит прочесть, если вы разбираетесь в сетях.
  • Здесь достаточно сказать, что специалистам удалось решить непростую задачу удержания зашифрованного сеанса при переподключении мобильного устройства между разными сетями (например, в случае если вы переключаетесь на сотовую сеть с домашнего Wi-Fi и наоборот) и пришлось разобраться в сложностях того, как настроены сети в реальном мире.

Что здесь не так. Впрочем, у этих схем — несомненно, прогрессивных — уже есть собственные критики. И к их аргументам стоит прислушаться:

  • Централизованное делегирование своей информации незнакомцам — всегда компромисс. Вне зависимости от того, шифруется DNS-соединение или нет, тот, у кого DNS, знает, куда вы направились. Извлечение выгоды из этих данных — вопрос времени, особенно если компания поставит перед собою не идеологическую, а сугубо капиталистическую цель. Cloudflare собирается выходить на биржу, и продажа данных о DNS может оказаться в интересах акционеров.
  • Страны и территории, где DoH и подобные технологии могут применять для обхода запретов властей (Китай, Россия, Иран, Средняя Азия и т.п.), зачастую предъявляют нестандартные требования. Например, VPN может использоваться в целях обхода медленного досмотра трафика. VPN в таких странах просто быстрее, а приватность мало кого волнует, так как граждане часто справедливо предполагают, что за ними все равно следят.

Что будет дальше. Для суверенного рунета все это — очень плохие новости, так как включить WARP на мобильнике или DoH на настольном компьютере очень легко даже технически неграмотному пользователю. Более того, о работе над поддержкой DoH уже заявили разработчики других браузеров, включая самый популярный браузер планеты — Chrome.

Роскомнадзору останется пойти по одному из двух направлений, и ни одно из них не обеспечит победы в столкновении «снаряда и брони»:

  • Начать блокировать инфраструктуру Cloudflare (это частично делается и сейчас, но полная блокировка нанесет серьезный ущерб многим сайтам), одновременно пытаясь убрать блокировщики из магазинов приложений. Это приведет к появлению множества клонов чуть худшего качества.
  • Досматривать вообще весь проходящий трафик. Это очень дорого в реализации, бессмысленно и приведет к падению пропускной способности каналов.

Можно констатировать, что правоприменительная практика суверенного рунета существенно отстанет от даты вступления закона в силу.

Александр Амзин