Пройдите короткий опрос. Это важно для нас ❤️
В России хотят создать «белые списки» сайтов и сервисов, которые будут доступны во время отключения интернета. Как может работать эта схема? Мы спросили юриста и сооснователя «Роскомсвободы» Саркиса Дарбиняна
Мы рассказываем честно не только про войну. Скачайте приложение.
Минцифры России и крупнейшие операторы связи согласовали «белый список» сервисов, к которому россияне сохранят доступ во время шатдаунов. Пока неизвестно, какие именно сайты и приложения попадут туда. Но действительно ли такие списки облегчат жизнь россиян во время отключения интернета? Как вообще можно реализовать это технически и можно ли будет обойти ограничения? «Медуза» поговорила об этом с киберадвокатом, сооснователем общественной организации «Роскомсвобода» Саркисом Дарбиняном.
— Вы можете предположить, как будут работать «белые списки»? Глава Минцифры РФ Максут Шадаев заявил, что в них войдут «любые сервисы массового пользования».
— Думаю, что инициатива Шадаева «прекрасна» в том смысле, что она даст россиянам хоть какой-то доступ в интернет [во время шатдаунов]. Все это пока звучит очень сомнительно с рыночной точки зрения — и может способствовать коррупции. Потому что определять, кто войдет в «белые списки», будет правительство. Судя по всему, там точно окажутся «Сбер», VK и другие госкомпании, которые пролоббируют свои интересы.
Другие [частные компании], наверное, окажутся в самом незавидном положении. Им придется доказывать, что они нужны и важны россиянам. Это создает много непрозрачности — и почву для взяток. Скорее всего, большая часть игроков [онлайн-] рынка будет дискриминирована — в этом нет никаких сомнений. Речь идет о e-commerce, сервисных сайтах, предлагающих свои услуги. Например, юридические, бухгалтерские, маркетинговые и так далее. Особенно это касается иностранных компаний — из Армении, Казахстана, дальнего зарубежья. Наверное, 99% всех этих сервисов в «белых списках» не окажется.
Непонятно, что будет с банковскими приложениями — и какая часть банков попадет в «белые списки». Вряд ли там окажутся все финансовые институции.
Я предполагаю, что в «белых списках» окажутся какие-нибудь пролоббированные VPN-сервисы. Условный «Касперский». Но, естественно, большинство услуг [во время отключения мобильного интернета] будет недоступно пользователям.
— А как технически могут работать «белые списки»?
— Реализовываться они будут на уровне ТСПУ и настроек DPI. Туда загружается «белый список» сайтов, которые доступны через мобильный интернет. Пользователь подключается к сети, к вышке. Дальше вышка у него запрашивает капчу. Похожая система работает в стамбульском аэропорту: чтобы подключиться к интернету, вы берете квитанцию и вводите какой-то номер.
Возможно, в России доступ к интернету по «белым спискам» будет привязан к номеру пользовательского договора с провайдером интернета. Система должна определить, что это живой человек, а не дрон. После этого его подключат к сети — с обрезанной версией интернета. Допуск будет осуществляться только к утвержденным доменам и сетевым адресам.
— Некоторые СМИ уже писали, что доступ к «белым спискам», вероятно, будет работать как раз через технологию DPI. В чем ее особенности? Российские власти уже как-то пользуются ею?
— DPI — это изначально чисто технический инструмент. Он был интересен крупным провайдерам, чтобы эффективно управлять трафиком внутри сетей. Довольно быстро российские власти поняли, что могут использовать такую технологию в своих целях, чтобы цензурировать контент, фильтровать его — и ограничивать доступ к информации.
Изначально технология была опробована, как я уже говорил, на ТСПУ — это, по сути, программно-аппаратный комплекс, который состоит из американского, тайваньского железа и софта. К слову, софт пишется уже на российской стороне. А правила, по которым проходит маршрутизация, определяет так называемый Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП).
ТСПУ — это та софтверная часть технологии DPI, которая теперь управляется не самими операторами, а, по сути, централизована Роскомнадзором и его «дочками». Доступ к ТСПУ имеет только надзорное ведомство, операторы связи даже не знают, что там происходит. Их задача — пропускать весь трафик через эту «черную коробку». И уже что в этой коробке происходит — вне контроля операторов.
— Существуют ли еще какие-то технические возможности для реализации «белых списков», кроме DPI?
— Нет. DPI — это основа всей государственной политики по контролю оборота информации. Раньше мы видели, что Роскомнадзор пополнял «черные списки», которые должны были со своей стороны обновлять операторы связи по API и затем самостоятельно блокировать.
С «белыми списками» блокировка от них не требуется. Поэтому сейчас Минцифры пытается пропихнуть это решение на федеральном уровне. В это же время регионы продолжают придумывать какие-то «костыли», чтобы пользователи не остались совсем без интернета. Это и создание горячих Wi-Fi-спотов в городах, и переход людей на SMS.
Также власти стали обсуждать очередную инициативу запретить звонки через мессенджеры. Судя по всему, это реализуют.
— Ограничения звонков нужны, чтобы звонки могли осуществляться только по мобильной связи либо через мессенджер MAX?
— Из-за мобильных шатдаунов операторы почувствовали запах денег. Та самая участившаяся отправка SMS [из-за неработающего мобильного интернета] обогащает операторов. Вначале кажется, что тут пчелы против меда: зачем запрещать интернет-трафик, на котором операторы сами же зарабатывают.
Наверное, операторы посчитали всю маржинальность и решили, что все-таки звонки через обычные GSM-сети прибыльнее для них, чем потребление трафика и звонки через условные телеграм или вотсап. Мне кажется, это чисто лоббистская инициатива, чтобы заработать больше денег.
Операторы уже неоднократно приходили к властям с такой идеей. Сейчас кажется, что обсуждение «белых списков» и участившиеся шатдауны — очень удобная конъюнктура, чтобы опять пропихнуть идею запрета звонков через мессенджеры как в Эмиратах.
Такая мера понравится и ФСБ. Силовикам будет легче через СОРМ все эти звонки при необходимости прослушивать. Сейчас им приходится разбираться с мессенджерами со сквозным шифрованием, с которым не всегда понятно, что делать.
— Но с точки зрения конечных пользователей интернета, смогут ли «белые списки» облегчить жизнь россиянам во время шатдаунов?
— Конечно. По крайней мере, без «белых списков» вы не можете заказать, оплатить покупки в магазине или выбить чек. Цифровизация государственных услуг и потребления настолько высока, что мобильные шатдауны очень сильно ударяли по пользователю. Мы видим огромное недовольство. И я не думаю, что власти сами были очень рады отключениям.
Судя по всему, они прибегали к этой мере от бессилия, чтобы хоть как-то отчитаться федеральному центру о принятых мерах безопасности. И вот это кажется костыльным решением, которое может помочь россиянам не терять элементарные сервисы. Но, как говорят в России, нет ничего более постоянного, чем что-то временное. Этот прецедент страшен, потому что рискует из временных мер превратиться в какую-то постоянную модель с «белыми списками», которую могут развернуть в России в ближайшие несколько лет.
— Чем рискуют россияне, которые будут пользоваться сайтами из «белых списков»?
— Будьте уверены, что сайты, которые окажутся в «белых списках», станут соблюдать все требования властей. Они будут официально считаться законными, легальными сервисами. В России, скорее всего, у всех уже выполнены требования по пакету Яровой. Сайты из будущих «белых списков» уже находятся в реестре организаторов распространения информации — и делятся данными для декодирования.
Поэтому с точки зрения безопасности ничего не меняется. Российскими сервисами, которые находятся в так называемом реестре ОРИ, пользоваться небезопасно уже сейчас, потому что они следят за вашим поведением и трафиком. Они хранят не только все метаданные, но и все сообщения, которые потом могут быть легко проанализированы.
Это касается и VK, и продуктов Mail.ru, и Сбербанка. Нужно отдавать себе в этом отчет, когда вы пользуетесь этими сервисами. Но никаких дополнительных рисков, кроме исполнения предыдущих законов, здесь пока не возникает.
— Существуют ли похожие «белые списки» в других странах? И как они устроены?
— В Китае, например, «белый список» работает для всего международного трафика, «великий китайский файрвол». Если говорить про Иран, то там есть большие «белые списки» для внутреннего интернета.
В Иране в целом все работает по концепции «белых списков». Туда входят все местные IT-компании, которые подчиняются иранскому законодательству. В «сером списке» находятся иностранные компании. В «черном» — все остальные, которые не определены. Поэтому при такой модели VPN-сервисы в Иране работают куда хуже. Там работают какие-то хитрые инструменты, вроде Psiphon или VPN с обфускацией.
В Иране куда сложнее обходить ограничения. Подобная схема реализована в том числе и в Туркменистане. Там доступ к интернету обеспечивает всего лишь один госпровайдер. И что-то подобное сейчас происходит и в соседнем Кыргызстане. Там предложили ввести монополию на международный трафик для одной компании, через которую затем могут быть реализованы и «белые списки».
— А чем отличается Psiphon или VPN с обфускацией от обычных сервисов?
— Psiphon — это не просто VPN. Там комбинация технологий VPN и технологий распределенных серверов, похожих на Tor, на луковую сеть. И «под капотом» у приложения тоже есть собственные разработки. Поэтому Psiphon работает даже в странах с высокой цензурой. Но наверное, самый рабочий сервис в России сейчас — это Amnezia VPN, у которого есть свой протокол обфускации — Amnezia WireGuard.
С прошлого года Роскомнадзор научился блокировать VPN по протоколам. По сути, из-за этого сейчас в стране работает только WireGuard, который использует Amnezia и X-Ray. Эти два протокола умеют обманывать систему Роскомнадзора, камуфлируя трафик. Разбивают его по пакетам так, что софтверная часть ТСПУ не может его определить.
Иногда трафик может маскироваться под другие сервисы, и Роскомнадзор это обнаруживает. Например, такое произошло где-то неделю назад с сервисом Speedtest. Многие удивлялись, почему замер скорости интернета заблокирован. Так вот как раз некоторые VPN-сервисы использовали трафик Speedtest, чтобы маскировать собственный трафик.
Это постоянная игра в кошки-мышки. Поэтому инженеры тех VPN-провайдеров, которые нацелены на работу в таких странах, как Туркменистан и Россия, пытаются обеспечивать более сложные технологии обхода блокировок. С остальными VPN сложности уже порядком выше. Начиная с того, что их невозможно купить с российской карты, и заканчивая тем, что их протоколы просто не работают. Их серверы публичные, местные заблокированы, поэтому соединение происходит либо очень плохо, либо постоянно обрывается.
— Давайте представим, что какой-то регион России атакуют дроны. Власти отключают свободный доступ к мобильному интернету — и начинают работать «белые списки». Можно ли как-то обойти эти ограничения?
— С подключением мобильного интернета и «белыми списками» ограничения будет обойти сложнее. Но даже такая мера не станет панацеей, потому что дрон может притвориться каким-нибудь такси, подключенным к «Яндекс.Такси». Так он сможет пробиться к интернету даже через «белый список». Хотя мобильный интернет, скорее всего, далеко не единственный способ навигации дронов в настоящее время. Поэтому такое ограничение вряд ли сможет полноценно защитить регионы от тех рисков, связанных с налетами БПЛА, которые они испытывают на себе сейчас.
А теперь реклама. Если вы в России и вам нужен VPN — попробуйте Media VPN и AmneziaVPN. Их делают наши друзья.
«Медуза»
(1) Что такое ТСПУ?
Технические средства противодействия угрозам — это комплекс оборудования, используемый Роскомнадзором для контроля и фильтрации интернет-трафика в России. Он предназначен для блокировки доступа к запрещенным в России ресурсам и может использоваться для замедления трафика или организации.
(2) Deep Packet Inspection
Специальное оборудование, установленное на сетях российских операторов связи. Занимается мониторингом интернет-трафика сети и блокировкой доступа к запрещенным сайтам.
(3) Капчу?
Сервис, который требует от пользователя выполнить определенные действия. Его задача — отделить людей от роботов. Например, нужно ввести слова, изображенные на картинке.
(4) А подробнее?
Чтобы получить талон с доступом к Wi-Fi в аэропорту Стамбула, нужно отсканировать паспорт или ввести мобильный номер для получения SMS.
(5) Deep Packet Inspection
Специальное оборудование, установленное на сетях российских операторов связи. Занимается мониторингом интернет-трафика сети и блокировкой доступа к запрещенным сайтам.
(6) Что такое ТСПУ?
Технические средства противодействия угрозам — это комплекс оборудования, используемый Роскомнадзором для контроля и фильтрации интернет-трафика в России. Он предназначен для блокировки доступа к запрещенным в России ресурсам и может использоваться для замедления трафика или организации.
(7) А чем он занимается?
Появление Центра мониторинга и управления сетью связи общего было предусмотрено в федеральном законе о «суверенном» Рунете. ЦМУ ССОП создан на базе Главного радиочастотного центра Роскомнадзора. Он занимается централизованным управлением российским сегментом интернета, поиском угроз, установкой средств блокировки трафика (ТСПУ) и раздачей операторам связи обязательных к исполнению указаний.
(8) Application Programming Interface
Это интерфейс программирования приложений, набор определений, протоколов и инструментов для создания и интеграции программного обеспечения. API определяет, каким образом программные компоненты должны взаимодействовать между собой.
(9) А что в Эмиратах?
В ОАЭ запрещены звонки в мессенджерах. Обойти ограничение можно в помощью VPN.
(10) СОРМ
Системы оперативно-разыскных мероприятий (СОРМ). Подразделяются на СОРМ-1 (система прослушивания телефонных переговоров), СОРМ-2 (система отслеживания источников трафика в интернете) и СОРМ-3 (сбор информации со всех видов связи и ее долговременное хранение операторами связи по так называемому закону Яровой). Оборудование СОРМ должны установить все компании, получившие у Роскомнадзора лицензию на деятельность в сфере связи.
(11) Пакет Яровой
Принятый в России в 2016 году пакет из двух законопроектов, один из которых обязывает операторов связи хранить звонки и сообщения абонентов в период сроком в полгода, а информацию о фактах приема, передачи, доставки и обработки сообщений и звонков — три года.
Интернет-компании и сервисы должны хранить и предоставлять спецслужбам: псевдоним, дату рождения, адрес, фамилию, имя, отчество, паспортные данные, языки, которыми владеет пользователь, список его родственников, текст сообщений, аудио- и видеозаписи, адрес электронной почты, дату и время авторизации и выхода из информационного сервиса, наименование программы-клиента.
Также «закон Яровой» обязывает организаторов распространения информации в интернете декодировать сообщения пользователей. По требованию ФСБ компании должны предоставлять ключи к зашифрованному трафику.
(12) Что это?
Организаторы распространения информации — так российские власти называют любые ресурсы, на которых пользователи могут обмениваться сообщениями.
(13) Psiphon
Приложение, созданное для обхода цензуры. Большая часть его аудитории — жители России, Китая и Ирана.
(14) Обфускация
Маскировка соединения по VPN-протоколам. После ее применения трафик для провайдера выглядит как «нормальный», то есть не идущий по VPN-туннелю.
(15) Луковая маршрутизация (Onion routing)
Технология анонимного обмена информацией. Сообщения неоднократно шифруются и затем отсылаются через несколько сетевых узлов, называемых луковыми маршрутизаторами. Каждый маршрутизатор удаляет слой шифрования, чтобы открыть трассировочные инструкции и отослать сообщения на следующий маршрутизатор, где все повторяется. Таким образом, промежуточные узлы не знают источника, пункта назначения и содержания сообщения.
Маршрутизаторы были названы луковыми, так как слои шифрования похожи на слои луковицы. Анонимная сеть Tor — крупнейшая технология, которая использует луковую маршрутизацию.
(16) WireGuard
Современный VPN-протокол, который проще в настройке и быстрее популярного OpenVPN.