Кадр из фильма «1984»
Власти делают очередной шаг к созданию «большого файервола». Следующим может стать введение корневого сертификата, позволяющего читать весь трафик пользователей
Совет безопасности России поручил Минкомсвязи и МИДу заняться созданием в странах БРИКС собственных корневых серверов DNS, благодаря чему весь сетевой трафик станет полностью подконтрольным для госорганов, как сообщило на днях РБК.
Фактически это является первым шагом к созданию «большого файервола». DNS-сервера превращают адрес сайта (например, www.forbes.ru) который вы набираете в поле ввода браузера, цифровой IP-адрес, по которому можно найти любой сервер, подключенный к Интернету. Власти получат возможность системно контролировать все запросы, собирая и анализируя статистику обращений, проходящих через корневые DNS-сервера. Зачем изобретать цифровой велосипед и начинать проект, который обойдется в десятки, а то и сотни миллиардов рублей, если в России уже действуют законы, по которым заблокированы десятки тысяч сайтов? Причина в том, что набившие оскомину блокировки, которыми Роскомнадзор наказывал иностранные сайты, не эффективны против опытного пользователя.
Эффективно на 40%
Российские власти активно взялись за интернет в начале 2010-х. Единый реестр запрещенных сайтов появился в 2012 году. За пять лет в черный список попали не только экстремистские или порнографические ресурсы, но и популярные «Луркморье» и Rutracker, оппозиционные издания «Грани», «Каспаров.Ru», Ej.ru. Порой доходило до абсурда: из-за одного возмутительного ролика полный запрет грозил YouTube, и не раз, пока провайдеры не научились блокировать сайты по URL. Случались и конфузы, например, однажды Роскомнадзор заблокировал сам себя (точнее, своего поставщика SSL-сертификатов, после чего интернет-портал оказался недоступен).
- Совбез поручил ФСБ идентифицировать пользователей онлайн-игр
Насколько эффективными оказались блокировки, наглядно видно по профессиональной соцсети LinkedIn: за год с момента блокировки аудитория сайта в России снизилась почти на 40%. Однако 60% пользователей из нашей страны продолжают пользоваться сервисом, свидетельствуют данные исследования компании Mediascope.
Для обхода блокировки LinkedIn пользователи применяют анонимайзеры или VPN-сервисы. Однако, как показывает практика, и это ни к чему — потому что провайдеры борются с сайтами, спустя рукава.
Для выполнения требований Роскомнадзора операторы применяют несколько способов: блокируют ресурсы по IP-адресу или по URL. Вторая блокировка предпочтительнее, но она требует наличия у провайдера системы DPI (deep packet inspection), позволяющей детально анализировать весь проходящий трафик. В новом проекте закона Роскомнадзор требует, чтобы все провайдеры использовали DPI в обязательном порядке.
- Apple в Китае показал модель Рунета будущего
Однако даже крупные операторы, например, «Ростелеком» или «Транстелеком», не торопились устанавливать крайне дорогостоящую аппаратуру DPI.
Но и те компании, которые закупили DPI, сделали это «для галочки»: аппаратура DPI в большинстве компаний работает в пассивном режиме, не блокируя трафик. Если же осуществлять полноценную блокировку сайтов с DPI в активном режиме, это обернется колоссальным падением скорости интернета. На такие меры компании идти не готовы: они сразу же потеряют клиентов.
Не поспевают за прогрессом
Однако даже внедрение DPI в активном режиме не решает проблемы блокировки и делает использование аппаратуры бессмысленной. Дело в том, что в последние годы сайты повсеместно внедряют шифрование трафика с помощью сертификатов протокола SSL.
Владельцы веб-ресурсов переходят с HTTPS-протокол, подтвержденный сертификатом SSL. Для пользователей, использующих современные браузеры, разница незаметна. Зато применение https не позволяет перехватить и проанализировать сетевой трафик, отфильтровать запросы по URL — делает бесполезным все, ради чего, собственно говоря, и устанавливают дорогостоящее оборудование DPI.
Судя по последним событиям, в регулятор понимает уровень эффективности (или неэффективности) своей работы. В марте 2017 года в Минкомсвязи проводилось совещание, посвященное несоответствию между работой автоматической системы «Ревизор» и требованиями Роскомнадзора по блокировке, в рамках которого чиновники начали работу «по корректировке и уточнению методических рекомендаций».
Запрет анонимайзеров
И новые «корректировки» вскоре последовали: с 1 ноября в силу вступил новый закон, налагающий дополнительные ограничения на VPN и анонимайзеры, — он обязывает их блокировать запрещенные ресурсы. Впрочем, представители ряда VPN-сервисов уже заявили, что не собираются выполнять требования регуляторов.
Вероятно, введение системы корневых серверов DNS связано с желанием контролировать Рунет, независимо от VPN-сервисов, выполняющих или не выполняющих российские законы. Следующим шагом может стать введение корневого сертификата, позволяющего читать весь трафик пользователей, так как он будет использоваться для шифрования и дешифровки информации, пересылаемой по HTTPS.
Формально в пояснительной записке Совбеза приводят совсем другую причину: инициаторы предупреждают «серьезной угрозой безопасности России являются возросшие возможности западных стран по ведению наступательных операций в информационном пространстве и готовность к их применению. Сохраняется доминирование США и ряда стран Европейского союза в вопросах управления сетью интернет». Вот только кто определит, что оказывает угрозу безопасности, не получится ли опять, что из-за одной статьи, под угрозой блокировки окажется вся Wikipedia или другой популярный и полезный ресурс.