Роскомнадзор — главный инструмент государственного контроля российского интернета, но он не справляется со своими задачами: долгое время сайты легко обходили блокировки ведомства. В ответ на это РКН разрабатывает новые программы и оборудование, ищущие запрещённую информацию в сети. Если их введут в эксплуатацию по всей России, интернет станет ещё более централизованным, скорость передачи данных замедлится в сотни раз, а для того, чтобы получить контроль над центром управления, понадобится всего одна хакерская атака вместо нескольких тысяч. Новые «дыры» в работе ведомства могут обнаружиться в ближайшее время.
Журналистка Екатерина Пимурзина поговорила с исполнительным директором Общества защиты интернета Михаилом Климарёвым о том, чего ждать от оборудования Роскомнадзора и почему оно создаёт больше проблем, чем пользы — как можно одномоментно отключить интернет в России, в чём разница между «великим китайским файрволом» и «российским суверенным интернетом», из-за чего в последнее время операторов меньше штрафуют за неблокировку ресурсов, сколько стоит обслуживание нового контролирующего оборудования и почему замедления Твиттера провалились.
Справка по технической стороне блокировок: какое оборудование есть у Роскомнадзора и как оно работает
Сегодня любой может подать заявление на блокировку сайтов — всего-то нужно заполнить форму на странице Роскомнадзора. РКН проверяет ресурс, если выявляет нарушения — сайт попадает в выгрузку. Выгрузка — обычный xml-файл (текстовый файл, размеченный определенным образом), его забирают операторы связи и блокируют сайты с помощью фильтрующего оборудования. Сейчас возможно технически контролировать, какие ресурсы попадают в выгрузку Роскомнадзора. Если заработает суверенный рунет, мы не увидим xml-файлов, потому что они будут применяться напрямую, без участия третьих лиц. Мы не узнаем, что заблокировано.
Раньше ресурсы попадали в выгрузку, но не блокировались — не было никакого наказания со стороны Роскомнадзора за неблокировку, потому что отследить, что заблокировано, а что нет, было невозможно. Для контроля работы операторов РКН ввел в оборот автоматизированную систему «Ревизор».
«Ревизор» обходит заблокированные ресурсы. Если он находит незаблокированный сайт из списка — оператора связи штрафуют. Если ресурс меняет IP-адрес, переводит хостинг в другую локацию, то Роскомнадзор это фиксирует и исправляет выгрузки. У «Ревизора» есть минус: в последние годы количество IP-адресов стало настолько большим, что прибор просто не успевает обойти все. Чтобы решить проблему, Роскомнадзор разработал новое оборудование.
ТСПУ (технические средства противодействия угрозам) — это оборудование, которое заглядывает внутрь каждого пакета и проверяет его на наличие «запрещенки».
Для суверенного рунета используется оборудование EcoDPI от компании RDP.ru.
«Дырявая» система Роскомнадзора: в чем уязвимость оборудования
Продвинутым пользователям важно знать о механизме блокировок. В один «прекрасный» день заблокировать могут вас: страницу в соцсети вашего бренда или ваше медиа. О том, почему оборудование РКН — это проблема, рассказал исполнительный директор Общества защиты интернета Михаил Климарев.
— В мае 2018 года вы с помощью азбуки Морзе показали уязвимость в системе блокировок. Какие еще могут быть «дыры» в блокировках Роскомнадзора?
Это не только я, нас было много: Филипп Кулин, Леонид Евдокимов… Таких «дыр» у РКН немало. Если у кого-то появляется идея насчет уязвимости, он её проверяет. Например, как с перегрузкой таблиц маршрутизации. Эта идея не новая, я бы даже сказал древняя. Проверили её до того, как это сделали мы. Этим занимался Максим Мошков, его тоже блокировали. Он направил в DNS сайт прокуратуры, и домен заблокировали. Это решение само по себе уязвимое звено, потому что работа централизована. В случае атаки целью будет центр мониторинга и управления. Если получить управление над этой системой, то получится контролировать всех операторов связи и одномоментно отключить интернет в России. Пока такого оборудования не было — для того, чтобы отключить интернет в стране, нужно было провести атаку на 3500 операторов связи. После того, как ТСПУ заработают везде — достаточно будет взломать «Центр мониторинга и управления связью в РКН». Крупные операторы разбиты на филиалы, и это по сути дела отдельные автономные сети. Таких сетей в России порядка 6500. Когда появляется централизованная система управления, вместо шести тысяч атак требуется всего одна. Если бы я был злобным хакером, то попытался бы получить контроль над центром мониторинга. Судя по документам, которые рассылает РКН операторам связи, всем управляют, мягко говоря, не самые квалифицированные люди, поэтому я уверен: какие-то «дыры» обнаружатся в ближайшее время.
— Есть ли какие-то плюсы у ТСПУ?
Нет, никаких. Зато могу назвать главный минус — это централизованное управление. Сразу можно сказать «нет» этой системе. Второй минус — ТСПУ замедляет работу интернета. Что делает DPI? Это такой же маршрутизатор, как и все остальные, за исключением того, что он не нужен. У него есть только два интерфейса: вход и выход, ТСПУ заглядывает внутрь каждого пакета и принимает по нему решение — пропустить или не пропустить. На это тратится время: во-первых, машинное, а во вторых — физическое. Либо пакет просто «пробежал» два метра оптического кабеля со скоростью света в среде, либо он «бежит» через прибор, который сравнивает его с заранее заготовленными паттернами, принимает решение и отправляет дальше. Это происходит с каждым пакетом. Соответственно, скорость передачи теряется.
Сколько времени уходит на передачу, мы пока не знаем, но есть пример Китая, где работает примерно такая же штука — «великий китайский файрвол» (golden shield). Состояние сети в Китае мониторит компания ThousandEyes. Они регулярно делают отчеты о китайском интернете. Сравнивают доступность американских сайтов из Китая, их же доступность из Гонконга, где нет golden shield, и наоборот — доступность гонконгских сайтов из США или Европы. Разница большая. Например, Шэньчжэнь и Гонконг — города, находящиеся рядом, — они связаны одной линией метро. Если сервер находится в Шэньчжэне, то его доступность примерно в тысячу раз меньше, чем доступность такого же сервера в Гонконге, то есть «великий китайских фаервол» замедлил передачу данных в тысячу раз. У нас система чуть-чуть другая, но в России тоже будут замедления в десятки и сотни раз. В Китае скорость замедляется на три порядка, у нас — на один-два. Проблема в том, что падает доступность, но главное — китайцы блокируют иностранные сайты, а наши будут блокировать собственные. Если информационный ресурс находится в России, то доступ к нему будем получать только тогда, когда он пройдет через ТСПУ два раза. Например, человек пользуется услугами оператора МТС, заходит во Вконтакте, который находится в Selectel, а ТСПУ стоит у них обоих, поэтому потребуется больше времени на проверку пакетов. Для сравнения: во время использования Фейсбука через DPI данные пройдут всего один раз, потому что сервер социальной сети расположен не в России В итоге видео и сервисы реального времени у Вконтакте будут работать заметно хуже.
— Если ТСПУ стоит не у всех операторов, а «Ревизор» не успевает обходить все IP-адреса, значит, сейчас мы снова пришли к тому, что наказания за неблокировку фактически нет?
Не знаю, как у всех операторов обстоят дела. Но насколько могу судить по тому, что обсуждается в операторских чатах, вопрос по поводу штрафов от «Ревизоров» пропал — есть ощущение, что штрафовать стали гораздо меньше. Это не значит, что количество оборудования для блокировок сократилось — это значит, что стали меньше отправлять в блокировку ресурсы типа Telegram. С оборудованием немного устаканилось — улучшилась прошивка.
Боль операторов и абонентов. Кто покупает оборудование, как его доставляют и сколько стоит его обслуживание
К выбору оператора стоит подойти ответственно, ведь от него зависит качество связи. ТСПУ замедляет передачу данных, поэтому если важна скорость — стоит выбирать операторов без DPI.
— Почему ТСПУ стоят только у крупных операторов?
Из-за логистики. С точки зрения менеджмента, нужно, в первую очередь, обеспечивать операторов, которые оказывают услуги большему количеству абонентов. Прежде всего, ТСПУ стоит у мобильных операторов связи, потом — у крупных операторов, например, у «Ростелекома», «Дом.ru» и так далее. Москва и Петербург — первые города, куда привезли оборудование, потому что логистические центры находятся там. Оттуда ТСПУ развозят дальше по регионам.
— Сколько стоит ТСПУ, и сколько операторы тратят на его месячное обслуживание? Как Роскомнадзор на этом зарабатывает?
DPI может стоить пять-десять тысяч долларов. На один такой сервер «накатывается» соответствующее ПО. Сервер подключен к магистральной линии, и если прибор ломается, то связь пропадает. Чтобы предотвратить исчезновение связи, у EcoDPI стоит аппаратный Bypass — прибор, который в случае неисправности пропускает сигнал напрямую. Он вставляется в разрыв магистральной линии и пропускает поток данных в обход самого DPI. Программное обеспечение стоит порядка пяти тысяч долларов. Грубо говоря, одна единица ТСПУ может обойтись в десять-двадцать тысяч долларов. Поставка ТСПУ идет по линии РКН, поэтому операторы не покупают его сами. Они предоставляют место в стойке, электричество, руки: обслуживание оборудования — дорогая штука, за ним следят высококвалифицированные специалисты. Поставкой занимается контора ДЦОА. Непонятно, как именно происходит покупка оборудования, и на какие деньги ДЦОА существует. Роскомнадзор ни разу не объявлял конкурсов на закупку оборудования, по крайней мере, никто этого не видел.
— 7 апреля был сбой у Петербургского оператора «Обит», предположительно из-за ТСПУ. При этом РКН заявил, что оборудование никак не влияет на качество связи. Что же на самом деле случилось с ТСПУ у «Обит»?
Известная история. Мне рассказали, что они попали под раздачу DPI — у них упало оборудование. Я уже описал, как это будет выглядеть, если кто-то хакнет систему мониторинга, а когда — это просто вопрос времени.
— Получается, их взломали?
Скорее всего, они просто облажались. Бритва Хэнлона. Они неправильно настроили оборудование, которое сломалось.
Птичка в клетке. Как ТСПУ замедляет социальные сети и может ли пользователь обойти блокировки
Под раздачу Роскомнадзора может попасть любая социальная сеть. Чтобы не остаться без любимой площадки из-за РКН, стоит знать о механизме подобных блокировок.
— Как с помощью ТСПУ Роскомнадзору удалось замедлить Твиттер? И был ли в этом вообще смысл?
На самом деле, это анекдот. Твиты — короткие текстовые сообщения, и их замедление просто смешно. Правда, есть мультимедиа: фотографии, видео. Как раз они и замедляются. РКН таким образом хотел снизить доходы Твиттера от рекламы в России. Реклама же с картинками, значит, компания будет страдать. Выяснилось, что нет: Твиттер замедляется не у всех. РКН сказал, что замедление работает у мобильных операторов и у половины абонентов фиксированной связи. Получается, у части пользователей социальная сеть работает нормально. В мобильных сетях проблема есть: картинки плохо прогружаются, но это спокойно «лечится» VPN. Проблема в том, что рекламу Твиттер в России не продает. Если попробовать купить у них рекламу, то специальный ресурс отправит рекламодателя в Чехию или Польшу.
Информация передается с помощью пакетов. Почему «пакеты»? Идея, что информацию лучше передавать кусочками, а не целиком, появилась еще во время Второй мировой войны. Американские пилоты, когда бомбили немецкие города, передавали координаты бомбежки по радио. Из-за помех качество передачи было плохим, поэтому передавать координаты было физически невозможно. Тогда люди сделали следующим образом: разбили координаты на несколько букв, один человек называл их, а пилот должен был повторить. Если буквы совпадали, значит, пакет прошел правильно. Не нужно было передавать сотню цифр. Наименование «пакет» в значении части информации закрепилось с тех пор. В интернете происходит примерно так же: если файл на гигабайт «бежал» по интернету и повредился — придется с самого начала передавать файл. Берем гигабайт, делим на пакеты по килобайту и начинаем их слать. Одна машина разбивает информацию на пакеты, вторая — принимает. Даже если они пришли не подряд, они всё равно пронумерованы, и машина их складывает.
Как Твиттер замедляется? Пакеты «бегут» по сети передачи данных от источника к пункту назначения, но на пути у них появляется некая «комната», куда пакеты забегают с какой-то скоростью, но там «дверка». Пакеты начинают пускать условно по одному в секунду. Буфер накапливается, а когда переполняется — связь обрывается. Какой пакет пришел первым, тот первым и выйдет. Во время того, как пакеты начинают «выбегать», может случится обрыв связи по истечению времени или, например, пакеты «бегут» очень долго, поэтому картинки грузятся несколько минут. Это и есть DPI: оно смотрит, что у этого пакета источник — Твиттер, и замедляет его. Источник узнается по доменному имени и IP-адресу (данные об IP-адресах хранятся в таблице маршрутизации). Такая система вызвала ошибку: вместе с Твиттером начали замедлять, в том числе, reddit.com, microsoft.com и другие ресурсы, в имени которых есть последовательность символов «t.co».
«Квалифицированные» сотрудники начали использовать паттерн t.co, чтобы вычислить Твиттер. Раньше там можно было использовать только 140 символов, поэтому вставлять ссылки в твиты было невозможно. Специально для этого придумали «сокращатор» ссылок — сайт, который редиректил на другой ресурс, ссылка на который содержала t.co. Исторически у Твиттера остался этот домен, поэтому для того, чтобы определить отношение ресурса к Твиттеру, выполняется проверка на вхождение в ссылку (t.co). Но никому в голову не пришло, что у Майкрософта и RT (rt.com) t.co тоже входит в домен. Это же трудно: подумать пять минут, прежде чем делать.
Такое замедление Твиттер может обойти очень легко: необходима буквально одна строчка в конфигурационных файлах. В качестве ускорения доставки контента используется CDN. Это специальный провайдер, у которого есть сервера по всему миру. Основное время уходит на передачу данных между городами и континентами, поэтому в городах ставится этот промежуточный сервер, у которого в кэше уже лежит картинка. Представим, что пользователь её запросил: изначально картинка была у Твиттера в Калифорнии, там у них расположены дата-центры. Картинка прибыла в CDN в город пользователя. Следующий, кто обратится за изображением, будет ждать меньше, потому что оно загружается из кэша CDN. Из-за этого CDN экономит много ресурсов. У Google, например, как раз такой CDN, который называется Google Global Cache. CDN стоит почти у каждого оператора, у которого больше 30 тысяч абонентов по России, поэтому в России быстро работают сервисы Google. Твиттер пользуется CDN Akamai, там как раз и хранятся мультимедийные файлы. Твиттеру достаточно поменять в одном конфигурационном файле домен, чтобы для России была ссылка, допустим, f.co. РКН не замедлит таким образом мультимедиа.
— Если у сервиса есть CDN, то VPN нет смысла использовать?
Смысл использовать VPN есть в любом случае. Даже не для того, чтобы обходить блокировки, а чтобы не оставлять следов, на какие ресурсы вы ходили в России. Есть такой закон — «пакет Яровой», по которому операторы должны хранить информацию о посещениях интернет-пользователей. Всю информацию хранить, конечно, не получилось, но по этому закону государству удалось обязать операторов хранить мета-информацию — это логи запросов каждого абонента, IP-адреса и домены ресурсов, к которым обращались. Вспомним кейс Дмитрия Богатова. Кто-то зашел на форум sysadmins.ru и написал призывы к насильственным действиям. Полицейские вычислили, что это было написано с IP Дмитрия, и его задержали.
«Ревизор» и ТСПУ — это больше о палках в колеса, а не о безопасности. Слежка за пользователями, анализ трафика, централизованное управление, замедление сети — проблемы DPI, которые в совокупности с новыми законами могут коснуться каждого.
Иллюстрации: Роман Олейник
