Top.Mail.Ru
Все новости

Редакционный материал

Рунет недалекого будущего. Медленный, подцензурный, «китайский» на треть

Закон о «суверенном интернете» еще не принят, но Роскомнадзор уже потребовал от десяти VPN-сервисов подключиться к блокировкам сайтов через  Федеральную государственную информационную систему. Также стало известно о скором тестировании DPI для окончательной блокировки Telegram, а СМИ рассказали об отказе Минобороны передавать операторам частоты для 5G. Рассказываем, к чему всё это приведет

29 Март 2019 18:46

Фото: Unsplash

Что такое VPN

VPN (Virtual Private Network) позволяет объединять доверенные сети, узлы или пользователей через открытые сети, которым нет доверия. Возможность обхода блокировок — одна из побочных функций, но вовсе не цель технологии.

Цель заключается в другом. Приведем пример: у вас есть компания, имеющая 30 филиалов. Боясь проникновения извне, вы хотите объединить филиалы в доверенную корпоративную сеть, защищенную от вторжений. VPN-построители (программные или аппаратные («железки») позволяют проложить канал связи между филиалами, полностью шифруют трафик благодаря использованию ключей. Не имея этих ключей, никто извне не сможет подключиться к вашей сети.

Зачистка VPN

Пакет поправок, согласно которому в России будет запрещено использовать анонимайзеры, в том числе VPN-сервисы, вступил в силу в 2017 году. Согласно закону, VPN обязаны блокировать доступ к запрещенным на территории РФ сайтам, провайдеры или хостинги — ограничивать доступ к ресурсам, предоставляющим услуги VPN, операторы поисковых систем — ограничивать выдачу ссылок на запрещенные ресурсы. В противном случае VPN и другие подобные сервисы будут заблокированы, а на их владельцев наложат штраф.

Накануне Роскомнадзор потребовал от сервисов NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited подключиться к ФГИС.

Это лишь десяток VPN-сервисов, но на данный момент их существуют сотни, если не тысячи, и каким образом Роскомнадзор планирует следить за их работой, пока что непонятно. Но уже ясно, что смысл в сервисах, подключенных к ФГИС, пропадет почти для всех пользователей.

«Лаборатория Касперского» уже заявила, что защитные решения компании соответствуют и будут соответствовать требованиям российского законодательства. А вот VyprVPN отказался фильтровать контент для пользователей из России, решение подтвердило руководство швейцарской компании Golden Frog, которая стоит за разработкой VyprVPN. Больше того: представитель компании отметил, что сервис уже сталкивался с подобными требованиями властей в Китае, на территории которого граждане по сей день используют VyprVPN. «Наша главная миссия — сохранять интернет открытым и свободным», — заявил представитель компании.

Трудности исполнения

Требование Роскомнадзора вызывает много вопросов. Во-первых, непонятно, почему в список включили всего 10 сервисов. В Google Play и AppStore представлены десятки VPN-приложений, доступных к скачиванию. Будет ли РКН добиваться их удаления из цифровых витрин? Что делать с сервисами, которые можно скачать на официальном сайте производителя или на других сайтах? Безусловно, РКН может заставить «Яндекс» и Google ограничить выдачу ссылок на сайты с VPN-сервисов. Но вы можете воспользоваться другими сервисами: поисковой системой с открытым исходным кодом DuckDuckGo, серверы которой находятся в США, или YaCy, объединяющей автономные узлы, исключающие цензуру, и не имеющей компании-владельца, благодаря чему результаты полностью независимы от чьих-либо предпочтений (особенно — рекламодателей), или, наконец, not Evil — поисковой системой по анонимной сети Tor.

Можно предположить, что трудности возникнут у рядовых пользователей, но не у технически подкованных специалистов.

DPI-потрошитель

РКН по-прежнему надеется найти способ эффективной блокировки Telegram. По итогам длительных изматывающих консультаций рабочая группа ведомства признала самым эффективным решением внедрение DPI (Deep Packet Inspection), о чем сотрудники ТСС говорили еще два года назад. Ведомство предлагает операторам связи протестировать разработку компании «РДП.ру», 15% которой принадлежит «Ростелекому». Ожидается, что устройства установят в сетях операторов после того, как закон об автономной работе Рунета вступит в силу (собственно, внедрение DPI является ключевым положением законопроекта).

Но тут же возникают вопросы: кто оплатит банкет? В соответствии с законопроектом, Роскомнадзор предоставит технические средства DPI на безвозмездной основе, а собственники или владельцы технологических сетей связи обязаны будут их установить. В то же время в пояснительной записке указано, что бюджетных средств на реализацию проекта не потребуется. Налицо — взаимоисключающие параграфы.

Дальше — больше: внедрение DPI приведет к снижению качества и скорости сигнала. Мелкие провайдеры могут закрыться, потому что подключение новой техники стоит денег. Также провайдеры могут столкнуться с оттоком пользователей в пользу более производительных операторов. Чтобы компенсировать издержки, придется внедрять новые высокоскоростные маршрутизаторы, и это обернется удорожанием услуг.

Наконец, возникает вопрос, насколько эффективно будет работать сама система DPI? Для этого придется разобраться в работе самой технологии. DPI — технология низкоуровневой фильтрации сетевых пакетов по их содержимому в режиме реального времени, проще говоря — фильтрующая машина, вычленяющая некие данные (точные адреса, имена) в потоке трафика согласно статическим правилам или сигнатурам. DPI не просто анализирует заголовки пакетов, а потрошит содержимое трафика.

Китайский путь России не поможет

В Китае при развертывании «великого китайского файрвола» помимо DPI используют еще две технологии: Connection probe и Support vector machines (SVM). Connection probe агрегирует функции прокси-сервера и низкоуровневого фильтрующего механизма. При попытке подключиться к удаленному сервису за пределами национального сетевого шлюза вначале происходит «заморозка» запроса, система самостоятельно подключается к целевому адресу и определяет тип внешнего сервиса, решая — давать доступ или нет.

Другой элемент «Китайского файрвола» — Support vector machines (SVM, метод опорных векторов) — это интеллектуализированный вариант DPI, использующий алгоритмы машинного обучения. Эта технология автоматически классифицирует большие массивы разнородных данных, сканируя трафик не по жестким наборам правил, а с применением эвристических приемов (он может определить сами символы, длину пакетов и зафиксировать подозрительную активность с заданных адресов).

Возникает вопрос: почему в КНР DPI работает эффективно и скорость трафика не снижается? Всё дело в объемах: в Китае используются колоссальные вычислительные мощности — огромные дата-центры и технологии роевого интеллекта для балансировки и обработки данных между узлами. Совокупная стоимость системы DPI в Китае превышает 1 млрд долларов, российской — вряд ли больше 50 млн долларов. По всей видимости, второй и третий элементы «китайского файрвола» внедряться в России не будут — просто потому, что технически это трудоемко.

Наконец, потребность в DPI в его нынешнем виде отпадет сама собой просто потому, что сайты повсеместно внедряют шифрование трафика с помощью сертификатов протокола SSL (цифровая подпись сайта, которая необходима для защищенной передачи данных в сети). А для того, чтобы прочитать трафик, придется подменять сертификаты SSL.

Прощай, 5G!

Но если в России в обязательном порядке повсеместно введут DPI-системы, о развертывании высокоскоростного интернета в стране можно будет забыть. Впрочем, трудности возникают уже сейчас: Минобороны РФ выступило против передачи операторам мобильной связи частот в диапазоне 3,4-3,8 ГГц для связи пятого поколения. Если оборонному ведомству удастся отстоять это решение, то России грозит технологическое отставание не только от европейских, но и от азиатских стран: беспилотники, интернет вещей, промышленный интернет завязаны на технологии 5G, и их эффективная и производительная работа без нового поколения мобильной сети попросту невозможна.

Авторы: Илья Шарапов, технический директор ООО «ТСС»; Евгений Медведев, консультант ООО «ТСС»

Лого Телеграма Читайте лучшие тексты проекта «Сноб» в Телеграме Мы отобрали для вас самое интересное. Присоединяйтесь!
0 комментариев

Хотите это обсудить?

Войти Зарегистрироваться

Читайте также

Вирус BadRabbit атаковал российские интернет-СМИ и банки: пострадали серверы «Сноба», сайты «Фонтанки» и «Интерфакса». Руководитель аналитического подразделения по информационной безопасности ООО «ТСС» Илья Шарапов уверен: дальше будет хуже
Руководитель аналитического подразделения по информационной безопасности компании «ТСС» Илья Шарапов объясняет, сколько дней потребуется Роскомнадзору для блокировки Telegram и почему заблокировать его полностью не получится

Новости партнеров

Специалист по информационной безопасности, технический писатель компании «ТСС» Алексей Буренков — о том, как «умные» вещи могут стать вашей головной болью и к чему могут привести уязвимости в прошивке бытовых приборов