Изоляция рунета: почему Россия не сможет повторить путь Китая
16 апреля 2019 года Госдума РФ приняла в третьем чтении законопроект об изоляции рунета, после чего его одобрил Совет Федерации. Власти мотивируют такое решение необходимостью «обеспечить работу российского сегмента интернета даже в том случае, если его отключат от общемировой сети».
В свою очередь, президент Владимир Путин еще в феврале этого года заявил, что в случае отключения России от интернета после принятия данного закона, действия РФ не позволят западным спецслужбам накапливать информацию о россиянах.
Это решение наделало много шума и вызвало ожесточенные споры между сторонниками и противниками изоляции. Вопрос целесообразности такой суверенности довольно неоднозначный, и многие уже начали проводить параллель с так называемым Великим китайским файрволом. Однако имеет ли такое сравнение под собой почву?
ForkLog разобрался, сможет ли Россия добиться таких же результатов на поприще «интернета со своей атмосферой» как КНР, и как она собирается это осуществить.
Какой он, китайский интернет?
Китайский интернет всегда стоял особняком. Он появился в Поднебесной в середине 90-х годов и практически сразу попал в поле зрения властей, которые не обрадовались возможности граждан смотреть и читать все, что им вздумается.
Разработка проекта «Золотой щит«, так называют Великий файрвол сами китайцы, началась в 1998 году. По своей сути, это очень продвинутая система обеспечения безопасности. Она тесно связана с Министерством общественной безопасности КНР, а потому «нарушителей порядка» можно не только засечь в сети и заблокировать им доступ к определенным ресурсам, но и найти в реальном мире для «более предметного» разбирательства.
Таким образом китайский сегмент интернета развивался отдельно от остального мира: там не работают Google, Facebook, Netflix и другие популярные сервисы. Все они были успешно заменены китайскими аналогами.
Именно поэтому огромное число жителей КНР иногда просто не знает о существовании западных соцсетей и сервисов. Вот такое вот импортозамещение.
В 2013 году сотрудник неназванной китайской телекоммуникационной компании, пожелавший сохранить анонимность, в рамках интервью изложил тонкости работы сети в Китае. Впоследствии текст был опубликован в книге Игоря Савчука «Отъявленный программист«.
Для удобства назовем специалиста Админом. Так вот, он рассказал, что Великий китайский файрвол держится на трех драконах — технологиях Deep Packet Inspection (DPI), Connection probe и Support vector machines (SVM).
Официальная линия Коммунистической партии Китая (КПК) заключается в том, что основной задачей «Золотого щита» является защита интересов государственной безопасности и ограждение граждан от контента, противоречащего устоявшимся в стране политически корректным нормам. По мнению многих других, это просто очень продвинутый фильтр, который позволяет КПК цензурировать ресурсы из внешнего интернета. Однако нас в первую очередь интересует техническая реализация суверенного интернета, а не его идеологическое подспорье.
Каждый из трех драконов выполняет важную роль в изоляции китайского сегмента глобальной сети:
Что такое DPI?
DPI — это технология низкоуровневой проверки и фильтрации сетевых пакетов по их содержимому. DPI можно представить как некую фильтрующую машину, которая находит данные по заранее заданным статическим правилам, которые также называют сигнатурами.
Как это работает? В качестве примера можно привести события на площади Тяньаньмэнь, которые произошли 4 июня 1989 года в Пекине. В Китае официально запрещено упоминать о годовщине протестов, в ходе которых несколько сотен студентов были в буквальном смысле раздавлены танками.
В данном случае сигнатурами будут выступать даты протеста в различных форматах: 1989年6月4日, 04.06.1989, 06/04/1989, June 4th, 1989 и т.д. DPI сканирует национальный интернет-трафик и блокирует все URL-адреса с упоминанием даты.
При этом все происходит в режиме реального времени, а для конечного пользователя задержки и манипуляции трафиком остаются практически незаметными.
Что такое Connection probe?
По словам Админа, connection probe — это эволюция вышеупомянутого DPI, в рамках которой прокси-сервер и низкоуровневый фильтр действуют как единый механизм.
Что это значит? Когда вы хотите воспользоваться сайтом, расположенным за пределами КНР, ваш запрос на подключение подвергается заморозке, после чего связь устанавливается уже от имени DPI.
Таким образом «Золотой щит» с помощью DPI идентифицирует содержимое запроса, а при помощи connection probe — тип запрашиваемого сервиса из внешнего интернета.
Соответственно если сервис запрещен в Китае, пользователь не сможет им воспользоваться. Админ также добавил, что именно connection probe была успешно применена против анонимной распределенной сети I2P, после чего она была заблокирована в Китае.
Что такое Support vector machines (SVM)?
Support vector machines (SVM) или метод опорных векторов — набор алгоритмов машинного обучения, использующихся для задач классификации и регрессионного анализа.
SVM позволяет сканировать интернет-потоки на основе статического анализа, но в отличие от DPI, уже без каких-либо сигнатур. По словам Админа, это предоставляет огромные возможности, поскольку «позволяет проводить анализ частоты определенных символов, длин пакетов, анализ подозрительной активности с заданных адресов, замечать различные диспропорции и сетевые аномалии, этим выявляя скрытые закономерности».
Как это применяется на практике? Вернемся к примеру с событиями на площади Тяньаньмэнь. После того как DPI начал блокировать сайты с упоминанием даты протеста, китайцы начали писать эту дату как 35 мая или 1989年5月35日 на китайском (а еще множеством других неочевидных и креативных вариантов), и анализ на основе сигнатур значительно усложнился.
Благодаря SVM, «Золотой щит» распознает контекст и обнаруживает такие «подозрительные» даты с минимальным участием человека или полностью автономно.
По своей сути, SVM и connection probe можно назвать «интеллектуальными» надстройками над базовым китайским DPI. Более подробно узнать об устройстве китайского интернета можно здесь и здесь.
Пробивая «Золотой Щит»: можно ли выйти во внешний интернет?
Многие пользователи интернета хорошо знакомы с VPN, Tor и другими технологиями для обхода блокировок сайтов или приложений (например, блокировки Telegram).
Что же мешает китайцам использовать подобные сервисы для выхода во внешний интернет? Причина проста: они заблокированы.
Админ рассказал, что такие обходные средства «малоэффективные и вовсе не такие живучие, каковыми их считают простые люди. Более того, заблокировать Tor или i2p можно десятком разных способов, самый простой из которых — блокировка bootstrap-процедуры в момент инициализации их клиентов».
По его словам, осуществить блокировку подобным образом — «тривиальная задача даже для администратора средней руки», что уж говорить о правительстве КНР с его вычислительными мощностями и технологиями.
Так, на сабреддите сервиса Tor в декабре 2018 года была опубликована статистика использования программы на территории Китая в период с 18 декабря 2017 по 18 декабря 2018 гг. Из нее следует, что в декабре прошлого года было зафиксировано около 2000 уникальных китайских IP-адресов.
Даже если смотреть на пиковые показатели января 2018 года, сервис зафиксировал приблизительно 9000 уникальных IP-адресов. Учитывая, что население КНР превышает 1,3 млрд человек, а число интернет-пользователей достигает 800 млн, эти показатели эквивалентны нулю.
Из рассказа Админа становится понятно, что ситуация с блокировкой VPN-сервисов менее однозначна.
«Отдельные провайдеры его агрессивно подавляют, некоторые — почти нет».
Попытки запретить VPN напоминают бесконечную игру в кошки-мышки между властями Китая и разработчиками таких сервисов. Первые улучшают технологии блокировки, а вторые постоянно адаптируются. Поэтому использовать VPN в Китае возможно, но при этом желательно иметь подписки хотя бы на 2 сервиса: первый использовать как основной, а второй — в случае форс-мажоров. При этом крайне важно следить за выпуском альтернатив, поскольку рано или поздно любой сервис может быть полностью заблокирован.
Возникает логичный вопрос: в чем смысл этой гонки вооружений и зачем Китай блокирует внешний интернет?
Однозначного ответа нет, но можно предположить, что существует как минимум две цели:
- Контролировать или запретить использование китайскими гражданами внешнего интернета.
- Контролировать использование интернета различными компаниями и корпорациями (для этих целей, собственно, и создавались VPN).
С первым пунктом все более-менее понятно, но зачем властям КНР ограничивать бизнес? Админ высказал свое мнение по этому поводу в интервью:
«Насколько мне известно, правительство Китая собирается лицензировать сферу использования VPN, то есть после соответствующей государственной регистрации разрешить бизнесу применение VPN , и это будет своя собственная версия протокола на базе OpenVPN. После вступления этого закона в силу все отличные от государственного варианта VPN-протоколы будут тотально «резаться» на трансграничном шлюзе».
Таким образом Китай сможет фильтровать данные, которые передаются компаниями по сети VPN. Не исключено, что это используется в целях промышленного шпионажа.
Цензура в китайском интернете
Этот вопрос часто мусолится в западных СМИ, которые утверждают, что китайцы лишены свободы слова, однако это не совсем так.
Как и «Золотой щит», система цензуры в китайском интернете тоже состоит из трех слоев:
- Цензура обычных пользователей.
- Цензура систематической критики власти, активных блогеров с маленькой/средней аудиторией.
- Цензура резонансных событий и топ-блогеров с большой аудиторией.
На первом уровне в Китае практически нет цензуры. Среднестатистический пользователь не ощущает никакого давления со стороны властей. Более того, люди в социальных сетях могут писать все, что угодно, например, — критиковать власть или распускать различные слухи о членах партии. Власти не намерены и не могут фильтровать каждое слово более одного миллиарда человек. На этом уровне каждый может почувствовать себя V из фильма «V — значит вендетта», поскольку спецслужбы не отслеживают подобную активность.
На следующем уровне речь идет о систематической критике власти блогерами с маленькой/средней аудиторией. Здесь уже присутствует активная цензура и удаление провокационных постов.
Третий слой цензуры распространяется на блогеров с крупной аудиторией и резонансные события. Здесь система наиболее интенсивно противодействует инакодумцам — вплоть до выдвижения обвинений в уголовных правонарушениях с последующим арестом.
В итоге ситуация с цензурой в Китае не столь однозначная, какой кажется на первый взгляд. Туристу может показаться, что ее и вовсе не существует, однако, одновременно с этим, блогеры неоднократно сталкивались с арестами и преследованием. Так, в 2012 году одного из них арестовали за шутку о съезде КПК в Пекине, а в октябре 2018 года известную китайскую стримершу Янг Кайли задержали за неуважительное пение гимна КНР.
В интервью Админ добавил, что не стоит осмысливать официальные версии властей о блокировках чего-либо.
«Когда здесь закрывали Википедию, это обосновали борьбой «с пропагандой агрессии и насилия», которую якобы и осуществляет по всему миру эта свободная онлайн-энциклопедия».
При этом пользователи Quora отметили, что Википедия на китайском языке действительно заблокирована, но английская версия энциклопедии по большей части доступна.
[Подробнее о цензурировании и удалении информации на просторах китайского интернета можно прочесть в статье профессора Гэри Кинга из Гарвардского университета].
Анонимность в китайском интернете
Для многих пользователей анонимность и защита персональных данных является краеугольным камнем жизни в сети. Однако, по словам Админа, в Китае анонимность полностью отсутствует.
Так, еще в июне 2005 года власти КНР обязали владельцев сайтов и блогеров официально регистрировать свою деятельность, пригрозив санкциями в случае непослушания. В 2007 году появились слухи, что Китай внес изменения в правила и позволил блогерам регистрироваться по желанию, однако до сих пор сложно наверняка ответить, как именно работает эта система.
Админ рассказал, что в стране «действуют законы, обязывающие блогеров регистрироваться с указанием своих реальных паспортных данных. Также действует закон, обязывающий документально удостоверять свою личность при заключении любых соглашений на получение услуг доступа в Интернет. Таким образом, при любом исходе событий всегда есть конкретный ответственный за любые потенциальные нарушения».
Жители Китая знают, что правительство постоянно осуществляет фоновый контроль, и не только в сети. Например, можно использовать различные VPN-сервисы или PGP, разработанную Филом Циммерманном, чтобы пробить «Золотой щит», однако сам факт использования такого ПО будет зафиксирован и впоследствии может стать обоснованием для преследования со стороны соответствующих органов.
Финальный гвоздь в крышку гроба анонимности в китайском интернете забила технология SVM, которая определяет в потоке трафика подозрительные данные, свидетельствующие об использовании криптографии, что в итоге только привлекает нежелательное внимание к личности пользователя.
Примечательно, что активность властей КНР может распространяться и на внешний интернет. Например, правительство США уже неоднократно накладывало запрет на импорт и продажу устройств китайских компаний Huawei и ZTE в связи с рисками. В конечном итоге США запретили правительственным служащим использовать эти гаджеты, а Huawei даже подала в суд за такое решение.
По этому поводу Админ также поделился соображениями:
«…у меня сложилось впечатление, что Китай со своей системой тотального фонового контроля и периодических жестко-демонстративных наказаний пытается настойчиво выработать модель поведения граждан, в рамках которой человек добровольно и подсознательно подвергал бы себя акту самоцензуры, постоянно отдавая себе отчет, что каждый его шаг или высказывание в рамках сети тщательно фиксируются».
Для обычных пользователей китайского интернета цензуры толком и нет, однако они все-равно предпочитают не проверять возможности системы.
«Так выращиваются целые поколения перманентно лояльных к стране граждан без собственной точки зрения. В этом, кстати, дурные корни их хваленой коллективности и патриархальности…», — добавил Админ.
Как в России собираются изолировать интернет
Российские власти уже некоторое время борются с отдельными сайтами и сервисами, ограничивая доступ к ним под разными предлогами. Однако эффективность этих мер сомнительна, поскольку инструментарий Роскомнадзора относительно примитивен.
Так, все действия Роскомнадзора сводятся к требованию от интернет-операторов ограничивать доступ к конкретным IP-адресам. Этот метод не демонстрирует положительных результатов по следующим причинам: всегда можно сменить IP-адрес или обойти блокировку через VPN-сервис. Кроме того, в ходе борьбы с одним сайтом могут пострадать и многие другие: такое случалось при блокировке Telegram, когда операторы ограничивали доступ к сайтам целыми пачками. [Тогда под раздачу попал даже ForkLog].
Новый законопроект предполагает, что для блокировки ресурсов власти РФ будут использовать уже знакомую нам технологию DPI. По информации издания BBC, провайдеров обяжут установить оборудование для ограничения доступа к отдельным ресурсам при помощи DPI. При этом государство покроет издержки из денег налогоплательщиков.
Пока никаких подробностей о механике процесса власти не раскрыли, однако известно, что в августе 2018 года проводилось тестирование различных DPI-систем, в котором приняли участие продукты компаний РДП.РУ (RDP.RU), АДМ Системы, НТЦ Протей, DDoS-Guard, Napa Labs, Vas Experts и Концерн Автоматика. В конечном итоге, победителем стала компания RDP.RU, 15% которой контролирует Ростелеком.
Кроме этого, в законопроекте говорится об учениях, центре мониторинга, Управлении сетью связи общего пользования (контролирующий орган) и особой системе связи для передачи указаний.
Власти оценили реализацию проекта в 30 млрд рублей ($467 млн), однако пока неясно, достаточно ли этого для столь масштабной инициативы.
Есть ли что-то общее у китайского и российского DPI?
DPI требует огромных вычислительных ресурсов для осуществления операций в реальном времени, прямо во время передачи пакетов. А потому технологический уровень DPI можно определить по глубине анализа трафика, который может провести система, при этом сохраняя приемлемый уровень латентности (количество времени, необходимое пакету данных для прохождения от одной точки сети к другой).
Баланс глубины/задержки важен, поскольку существуют объективные требования к уровню латентности. Китай решает эту проблему огромными вычислительными мощностями: эксплуатирует дата-центры, которые по словам Админа, «размером с самый настоящий районный город, который применяет роевой интеллект (Swarm Intelligence) для управления балансировкой и обработкой данных между его бесчисленными частями-узлами».
Тем не менее, несмотря на огромные мощности, в Китае наблюдается регулярная потеря пакетов и увеличение латентности сети.
Принятый Госдумой законопроект предполагает установку оборудования для DPI на стороне интернет-провайдеров. Даже если вычислительные процессы могут быть оптимизированы, заявленный бюджет оставляет вопрос качества системы открытым.
Так, по словам Админа, стоимость китайской национальной системы приближается примерно к миллиарду (по данным на 2013 год). По некоторым неофициальным данным, бюджет до запуска «Золотого щита» оценивался в $0,8 млрд долларов без учета эксплуатационных издержек и расширения инфраструктуры. Реальная же стоимость Великого китайского файрвола может приближаться к нескольким миллиардам.
Существует также разделение на активный и пассивный DPI. Если DPI работает непосредственно на канале интернет-провайдера — это активный DPI, если же параллельно — пассивный. В Китае применяют оба варианта, но в России — в основном последний.
На примере все выглядит следующим образом: предположим, вы пытаетесь подключиться к The Pirate Bay. Как уже говорилось, в Китае запрос замораживается и делается уже от имени DPI. Если сайт в КНР заблокирован, то соединение сбрасывается и вы просто будете видеть вечную загрузку. Это надоедает, после чего пользователь закрывает вкладку, или же происходит событие 504 Gateway Timeout. Последнее говорит о том, что веб-сервер не смог в установленный лимит времени ответить на запрос.
Что же происходит в России? При попытке подключения к The Pirate Bay запрос не замораживается и без проблем достигает серверов ресурса. Параллельно запрос дублируется от имени DPI, где и осуществляется проверка статуса сайта. В случаях, когда сайт заблокирован, задача российского DPI состоит в том, чтобы перенаправить пользователя на страничку «САЙТ ЗАБЛОКИРОВАН» быстрее, чем придет ответ от серверов The Pirate Bay. И если DPI не будет успевать, то сайт будет спокойно загружаться.
Для обхода таких блокировок достаточно дать своему компьютеру задачу по сбрасыванию перенаправлений от DPI. Также можно изменить настройки передаваемых пакетов так, чтобы DPI не обращал на них внимания или же разделять содержимое пакетов. Учитывая скорость реакции пользователей, уже на следующий день после запуска DPI, интернет будет завален подробными инструкциями для обхода (например, похожей на эту).
Учитывая это, способность российского варианта DPI проводить глубокий анализ в максимально короткие сроки выглядит сомнительным с технической точки зрения, поскольку даже у китайской системы довольно большая задержка.
Разумеется, пока еще рано говорить о состоявшемся суверенном рунете, однако похоже, что сходство между российским и китайским DPI закончились на названии и принципах работы.
Выводы
Уже сейчас можно сделать минимум два вывода:
- При наличии определенных знаний и желания, российские пользователи смогут обходить блокировки множеством способов.
- Скорость интернета может значительно упасть, так как DPI просто не сможет обрабатывать пакеты, сохраняя приемлемый уровень латентности.
Китай не смог до конца заблокировать внешний интернет, он просто сделал его использование максимально некомфортным. Самым действенным способом оказалась самоцензура населения.
Стоит отметить, что Китай взял интернет под контроль еще в 90-х и вложил в «Золотой щит» миллиарды. С того времени китайская сеть развивалась самостоятельно и в ней присутствуют аналоги всех западных сервисов, чего нельзя сказать о России, где в случае изоляции отсутствуют конкурентоспособные альтернативы.
Технологический подход КНР прошел долгий путь развития. Роскомнадзор в свою очередь до сих пор просто блокирует IP-адреса, при этом задевая и другие ресурсы. Вероятно, недостатки в технической реализации будут компенсироваться за счет громких заявлений и чрезмерной законодательной активности, однако вряд ли это приведет к выработке самоцензуры у россиян.
Таким образом Россия не готова к изолированному интернету ни технологически, ни морально.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!