Сергей Владимиров

Эксперт по защите информации

Искать самолетики под кроватью

Эпическая битва Роскомнадзора и мессенджера Telegram продолжается уже несколько дней, победитель пока не ясен, но пострадавшие уже есть — множество сервисов, которым не повезло попасть под блокировки, жалуются на проблемы. Сколько еще может продлиться эта война, существуют ли способы действительно сделать заблокированный сервис недоступным для пользователей (помимо отключения интернета вообще) и какую тактику могут избрать пользователи и хозяева заблокированных проектов, N + 1 объяснил эксперт по информационной безопасности Сергей Владимиров, сотрудник МФТИ и консультант Национальной системы платежных карт.

До сих пор Роскомнадзор занимался в основном блокировкой сайтов, и это было относительно просто: ведомство вносит доменное имя сайта в список на блокировку, провайдеры должны заблокировать IP-адреса, которые этому имени соответствуют. Конечно, владелец сайта может менять IP-адреса и выходить из-под блокировок. На освободившийся адрес (в силу дефицита свободных адресов) может переехать другой, добросовестный сервис и — неожиданно для себя — попасть под блокировку. Но в целом во многих случаях доступ к заблокированным сайтам удавалось перекрыть.

Конечно, пути обхода были и остаются. Пользователь может поставить себе VPN, virtual private network, — собственную виртуальную сеть внутри сети «физической». Если использовать аналогию, то представьте себе, что у вас запретили доступ к горячей воде, соответствующий кран заблокирован. Вы берете тонкую трубочку и проталкиваете ее сквозь водопроводную сеть. Она выходит где-то в другой стране, где горячую воду никто не запрещал, и кто-то по вашей просьбе начинает заливать туда горячую воду. В результате вы по одному крану получаете и запрещенную горячую, и разрешенную холодную воду.

Заблокировать VPN практически нельзя, потому что это почти то же самое, что заблокировать интернет — это просто передача зашифрованных данных, что там зашифровано — мы не знаем. Если мы просто перекроем передачу зашифрованных данных, то мы выключим вообще все, потому что в интернете сейчас шифруется почти весь трафик. Роскомнадзор может попробовать заблокировать все адреса VPN-сервисов. Но есть еще и личные VPN. Пользователь может не платить сервису, а просто арендовать в каком-то дата-центре за границей сервер и с помощью несложной программы настроить себе персональный тоннель. Это не запрещено законом.

Тем не менее, усилия по блокировке сайтов можно назвать относительно успешными, потому что большинство пользователей инертны, а настройка VPN требует определенных усилий и знаний. В случае с сервисами ситуация становится намного сложнее.

Если у сайта есть конкретный адрес и компьютер обращается на этот адрес за данными, то у таких сервисов, как Telegram, какого-то одного адреса может и не быть: как именно приложение работает с сетью, решает автор приложения. Он может сделать так, что в процессе работы приложение обращается сразу к 100 разным адресам и случайным образом при запуске определяет, к какому из них сейчас присоединиться.

Набор IP-адресов может быть очень большой, их счет может идти на миллионы. Объем работы, которую сейчас ведет Роскомнадзор, очень большой, но его деятельность выглядит почти бессмысленной, потому что авторы приложения могут включать новые IP-адреса быстрее, чем их блокируют. Но пока паны дерутся, чубы начинают трещать у ни в чем не повинных холопов: дело в том, что Telegram активно использует облачные сервисы — сервисы по предоставлению виртуальных серверов, которые есть, например, у Amazon, у Google, у многих других крупных и мелких интернет-компаний. Они дают большое количество адресов автору приложения, но, в то же самое время, эти адреса могут использоваться другими, вполне добросовестными приложениями, которые тоже попадут под блокировку.

В ближайшее время ситуация может стать циклической: крупные облачные сервисы заблокируют, владельцы облаков попросят Telegram уйти с них, Telegram на какое-то время уйдет, потом облака разблокируют и Telegram вернется под другим именем. Работа мессенджера может оказаться под угрозой, если удастся нанести удар по его уязвимому месту — сервису авторизации. Его сложнее всего защитить, потому что для его работы требуются определенные адреса (хотя их тоже может быть много, и их можно менять). Если удастся найти и заблокировать эти адреса, у Telegram могут быть серьезные проблемы.

Но все остальное, помимо авторизации, можно вывести из-под угрозы блокировки, если перейти к p2p-технологиям на основе торрентов — то есть к передаче данных от пользователя к пользователю. Это, конечно, замедлит работу системы, но позволит ей остаться работоспособной на территории России. Заблокировать ее в том режиме, в каком это делает Роскомнадзор, технологически будет очень сложно.

Серьезные проблемы у Telegram также могут возникнуть, если удастся добиться удаления приложения из официальных магазинов Google и Apple. Это удар по распространению сервиса — телефоны обновляются, выходят из строя, и если Telegram нельзя установить заново, это приведет к сокращению числа пользователей. Конечно некоторые из них смогут поставить его «руками» или получить из зарубежного магазина с помощью иностранной банковской карты. Но это значительно усложнит процедуру, и обычные пользователи не станут этим заниматься.

Но пока что игра в кошки-мышки продолжается, и прогноз для Роскомнадзора неутешительный. Более того, он фактически сам роет себе яму, повышая грамотность пользователей. Люди начинают повсеместно использовать прокси-серверы, VPN, многие организации начинают создавать VPN в офисных сетях, чтобы иметь доступ к заблокированным сервисам. Ведомству надо было с самого начала запрещать все VPN и другие способы обхода блокировок, чтобы цена обхода была высокой, а кривая обучения — крутой. Теперь же, когда срок обучения растянулся на два года, кривая значительно сгладилось и пользователи получили возможность смеяться над Роскомнадзором — по крайней мере до тех пор, пока не будет введен в действие так называемый «пакет Яровой».

Дело в том, что по закону Роскомнадзор может только блокировать адреса, других полномочий у него нет. Но если вступит в силу «пакет Яровой» (сейчас этот момент отложили до октября), провайдеры будут обязаны передавать весь нешифрованный трафик в органы власти. Они смогут это сделать, только если сами сумеют его каким-то образом расшифровывать, поэтому, чтобы не попасть под штрафы, провайдеры просто заблокируют тот шифрованный трафик, который дешифровать не удастся.

Я полагаю, что провайдеры начнут действовать так же, как в Казахстане, где все пользователи обязаны поставить у себя на компьютере доверенный сертификат от государственного органа. У нас, скорее всего, такие сертификаты будут выдавать провайдеры. Если сертификат установлен, то его владелец сможет расшифровать все переговоры пользователя по стандартным протоколам.

Автоматически это будет означать блокировку всех сервисов, которые не поддерживают установку подобных сертификатов. В их числе, естественно, окажутся финансовые приложения, системы бронирования, прочие достаточно старые приложения, которые не поймут такого вмешательства в свои протоколы.

Пока, скорее всего, Роскомнадзор продолжит действовать в режиме черного списка, а не белого. Над добросовестными сервисами по-прежнему будет висеть угроза блокировки, но сохранятся и возможности по ее обходу.


Ранее в этом блоге

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.