Громкие блокировки через ТСПУ: разбираемся, что это такое
И прогнозируем, что ждёт Рунет в ближайшем будущем.
От 16.09.2021
1
Что случилось?
В начале сентября сайт «Умного голосования» заблокировали, не задев ресурсы Google. Раньше так сделать было нельзя, теперь это стало возможно из-за ТСПУ.
Позднее в этом месяце «Ростелеком» предложил ограничить доступ к публичным DNS-серверам Google и Cloudflare и протоколам DoH (DNS over HTTPS) и DoT (DNS over TLS).
В ночь с 15-го на 16-е сентября Роскомнадзор блокировал docs.google.com и telegra.ph через ряд операторов связи, не внося ни тот, ни другой в свой реестр.
2
Что такое ТСПУ?
ТСПУ — технические средства противодействия угрозам. Другими словами, это новый программно-аппаратный комплекс, позволяющий ограничивать доступ к информации, распространение которой запрещено на территории России.
3
Когда это появилось?
Роскомнадзор стал требовать от операторов установливать ТСПУ с сентября 2020 года. Делает он это в рамках закона о «суверенном интернете» 2019 года. Теперь надзорное ведомство может централизованно управлять российским сегментом интернета, фильтруя трафик при помощи DPI.
4
Что такое DPI?
DPI — Deep Packet Inspection («глубокое исследование пакетов»). Это анализ содержимого пакетов (коротких блоков, которыми информация передаётся по интернету). Прочитать содержимое зашифрованных пакетов нельзя, но по метаданным можно понять, какие сайты смотрит пользователь и, в большинстве случаев, какой протокол обмена данными он использует.
5
Раньше такое не применяли?
ТСПУ, согласно доступным данным, мало чем отличаются от других DPI-комплексов, которые провайдеры ставят уже много лет. Другое дело, изначально трафик изучали, чтобы выставлять приоритеты при его передаче. Например, голосовые сообщения более требовательны к задержкам и им нужно предоставлять бо́льший приоритет в общем потоке трафика.
Позже появились решения для монетизации (анализа трафика для продажи информации и подмены рекламы на сайтах, не использующих HTTPS на «свою»). И вот в последние пару лет уже, как мы видим, технологии применяют в том числе для блокировки контента.
6
То есть с помощью ТСПУ можно блокировать «эффективнее»?
Да, можно так сказать. Всё дело в том, что DPI-оборудование стоит далеко не у всех провайдеров и не все, у кого оно есть, используют его для блокировки. ТСПУ же управляются централизованно Роскомнадзором, который может распространить одинаковые правила блокировок на всех.
С ТСПУ можно не только блокировать, но и, например, «замедлять» те или иные сервисы и протоколы передачи данных (вспомните историю с Twitter), а также устраивать «шатдауны» на локальном уровне.
7
Кроме того, блокировки стали менее прозрачными?
Да. Все списки сайтов, доменов и IP-адресов, по которым приняты решения об ограничении доступа в России, фиксируются в реестре запрещённых сайтов. «Роскомсвобода» проводит открытый общественный мониторинг этих блокировок.
Но теперь делают блокировки вне этого реестра. Всё стало более непредсказуемым, к тому же, мягко говоря, весьма сомнительным даже с точки зрения тех норм законов, которые регламентируют блокировки сайтов. Нельзя проследить — по какому решению, от какого госоргана и на каких основаниях происходят эти блокировки и замедления через ТСПУ. А это же, напомним, затрагивает наши конституционные права на доступ и распространение информации.
8
К слову, кто производитель этих ТСПУ-«железок»?
Точно не известно, но есть весьма вероятные предположения от экспертов, что это ООО «РДП.ру» — фирма, которую купил «Ростелеком».
Для подключения трафика напрямую в случае проблем с ТСПУ, по некоторым данным, предлагается использовать оборудование израильской компании Silicom.
9
Кстати, а VPN-сервисы всё ещё могут помочь?
VPN-сервисы используют множество протоколов, но при проектировании большинства из них не стояло задачи скрыть факт их использования. Соответственно, если задаться целью, определить протоколы VPN относительно легко. Более того, в случаях пристального анализа трафика (вряд ли массового, скорее, в случае, если вы лично кого-то заинтересовали), признаком использования VPN может быть то, что у вас много трафика проходит через один и тот же IP-адрес, даже если внешне он выглядит как «безобидный».
Протоколы можно усовершенствовать, но сервисы, ориентированные на массового пользователя, не очень гибки в обходе блокировок: каждое изменение в работе несёт риск того, что у уже имеющихся клиентов может что-нибудь «сломаться».
Кроме того, внедрение дополнительных технологий сокрытия и маскировки трафика требует дополнительного усложнения. Из-за добавления новых «слоёв» оно может сказаться, например, на скорости прохождения трафика через серверы провайдера.
10
Но в будущем сервисы, наверно, научатся маскировать трафик?
Должно быть. Сейчас самыми многообещающими являются Shadowsocks, OBFS4 и Cloak.
11
А что делать технически не сильно подкованному пользователю?
Искать сервисы, которые учитывают современные реалии (в виде необходимости маскировки трафика) и при этом довольно просты в использовании. Такие тоже появляются, например, Amnesia VPN или вот наш Censor Tracker.
12
Что будет дальше с Рунетом? Мнение высказывает руководитель «Роскомсвободы» Артём Козлюк
Теперь можно предположить следующие варианты развития событий (что-то из этого уже начинает происходить прямо сейчас):
Подорожание связи из-за издержек операторов связи при исполнении множества законов, регулирующих Рунет.
Ухудшение качества связи (замедление и блокировки негативно влияют на трафик в целом).
Ухудшение связности и устойчивости Сети.
Усиление «балканизации» интернета.
Ухудшение инвестиционного климата из-за непредсказуемого российского законодательства и его правоприменения.
Уход контент-мейкеров из российской юрисдикции.
«Ростелеком» всё больше будет монополизировать рынок операторских услуг связи.
Времени на раскачку больше нет. Ломать так до основания, а затем?...
yaplakal.com