Конец блокировкам: как Telegram и защитники приватности сломали суверенный интернет
Программисты Telegram должны к 31 октября представить работающую блокчейн-платформу TON - иначе Павлу Дурову придется вернуть инвесторам $1,7 млрд. Но, даже если все получится, в числе главных рисков для TON инвесторы называют готовность российских властей продолжать борьбу с Telegram - Роскомнадзор уже разворачивает новое оборудование, которое позволит ему блокировать нежелательные сайты и сервисы, минуя операторов связи. Но усилия властей могут оказаться тщетными - новые способы обхода блокировок могут свести эффективность запретов на нет. The Bell рассказывает о самых новых и действенных.
Проблема. Telegram - не единственный глобальный сервис, который уже столкнулся с проблемами и столкнется с еще большими. В России не работает деловая социальная сеть LinkedIn, считающаяся стандартом для всех, кто пытается найти международных бизнес-партнеров и построить глобальную карьеру. Закрыт проект презентаций slideshare.com. Прекращен доступ к российским и зарубежным оппозиционным СМИ. По ошибке заблокирован даже математический форум Art of Problem Solving.
Тот же запрещенный в России Telegram, несмотря на то что им, по недавнему исследованию Deloitte (pdf), пользуется 25% россиян, ежемесячно тратит миллионы долларов на противодействие ведомству. Теперь это противостояние выходит на новый уровень из-за четырех ключевых событий. Первые два касаются рунета.
К середине октября Роскомнадзор намерен завершить тестирование оборудования для реализации закона о суверенном рунете, частично вступающего в силу уже 1 ноября и позволяющего переложить блокировки напрямую на ведомство вместо операторов связи. Системы блокировки уже развертываются, пилотным регионом стал Урал, а куратором - компания "Данные - центр обработки и автоматизации", которую возглавил бывший глава Nokia в России и замминистра связи Рашид Исмаилов.
Для блокировки Telegram разрабатывается и тестируется - в Тюмени - новая система. Новый виток попыток заблокировать мессенджер глава ведомства называет "борьбой снаряда и брони".
Решения. Но если в ближайшие месяцы Telegram все-таки запустит TON, то через его протоколы и сервисы можно будет дублировать многие возможности сети и в том числе - построить платные анонимизаторы, которые будет сложно заблокировать.
Два других события меняют отношения в области регулирования доступа в сеть не на местном российском, а на глобальном уровне - и могут значительно усложнить российским властям блокировки.
Во-первых, недавно Mozilla начала массово использовать в Firefox технологию DNS over HTTPS (DoH). По умолчанию выбираются сервера облачного CDN-провайдера Cloudflare. Технология не позволяет без досмотра трафика определить, куда именно заходит и что делает на сайте пользователь. Сейчас на DoH переключают американских пользователей, чтобы обеспечить им защиту от коммерческой слежки (список посещенных сайтов - лакомая добыча рекламодателей).
Во-вторых, в конце сентября тот же Cloudflare запустил рабочую версию WARP. Это, говоря грубо, защищенный DNS, который не позволяет провайдерам понять, к какому сайту вы обращаетесь, и меняет маршрут прохождения данных. Он не только защищает от рекламной слежки, но и делает бесполезными попытки заблокировать доступ к сайтам со стороны регуляторов или провайдеров. Установка приложения WARP (iOS, Android) моментально и бесплатно позволяет получить доступ к заблокированным сайтам.
Как это работает. Хотя технически WARP - VPN, сервис не обеспечивает анонимности и не скрывает интернет-адрес человека, как Tor. Вместо этого он шифрует запросы к DNS и увеличивает вероятность того, что передаваемые данные не смогут перехватить. Как представляют создатели - "он защитит вас от людей, пытающихся подглядеть, чем вы занимаетесь в кофейне, и не позволит вашему провайдеру продавать список ваших любимых сайтов рекламодателям".
Особый интерес также представляет причина задержки запуска Warp на несколько месяцев. Специалисты Cloudflare опубликовали технический пост о принципах работы сети. Он слишком обширен для этой рассылки, но его стоит прочесть, если вы разбираетесь в сетях.
Здесь достаточно сказать, что специалистам удалось решить непростую задачу удержания зашифрованного сеанса при переподключении мобильного устройства между разными сетями (например, в случае если вы переключаетесь на сотовую сеть с домашнего Wi-Fi и наоборот) и пришлось разобраться в сложностях того, как настроены сети в реальном мире.
Что здесь не так. Впрочем, у этих схем - несомненно, прогрессивных - уже есть собственные критики. И к их аргументам стоит прислушаться:
Централизованное делегирование своей информации незнакомцам - всегда компромисс. Вне зависимости от того, шифруется DNS-соединение или нет, тот, у кого DNS, знает, куда вы направились. Извлечение выгоды из этих данных - вопрос времени, особенно если компания поставит перед собою не идеологическую, а сугубо капиталистическую цель. Cloudflare собирается выходить на биржу, и продажа данных о DNS может оказаться в интересах акционеров.
Страны и территории, где DoH и подобные технологии могут применять для обхода запретов властей (Китай, Россия, Иран, Средняя Азия и т. п.), зачастую предъявляют нестандартные требования. Например, VPN может использоваться в целях обхода медленного досмотра трафика. VPN в таких странах просто быстрее, а приватность мало кого волнует, так как граждане часто справедливо предполагают, что за ними все равно следят.
Что будет дальше. Для суверенного рунета все это - очень плохие новости, так как включить WARP на мобильнике или DoH на настольном компьютере очень легко даже технически неграмотному пользователю. Более того, о работе над поддержкой DoH уже заявили разработчики других браузеров, включая самый популярный браузер планеты - Chrome.
Роскомнадзору останется пойти по одному из двух направлений, и ни одно из них не обеспечит победы в столкновении "снаряда и брони":
Начать блокировать инфраструктуру Cloudflare (это частично делается и сейчас, но полная блокировка нанесет серьезный ущерб многим сайтам), одновременно пытаясь убрать блокировщики из магазинов приложений. Это приведет к появлению множества клонов чуть худшего качества.
Досматривать вообще весь проходящий трафик. Это очень дорого в реализации, бессмысленно и приведет к падению пропускной способности каналов.
Можно констатировать, что правоприменительная практика суверенного рунета существенно отстанет от даты вступления закона в силу.
