Блокировка сайтов в Украине: является ли она эффективной и как устроена технически
Почти два года не прекращаются ожесточенные споры о том нужно ли блокировать сайты в Сети, насколько допустимы блокировки, являются ли они эффективными, и как устроены технически. В мае 2017 указом Президента 133/2017 было утверждено решение СНБО, которое (помимо не работающих экономическим санкций) содержит предписание провайдерам блокировать определённые сайты. Тогда же это решение попытались узаконить однотипными законопроектами 6676 и 6688, но они были отклонены парламентом. Через год “санкционные” списки (я потом объясню использование кавычек) были расширены указом Президента 126/2018 и попытка протащить законопроект 6688 повторилась, но на дыбы уже встала общественность и законопроект был провален снова. Причины по которым государство настойчиво желает “контролировать” Интернет разнятся от наказания педофилов до защиты информационного пространства Украины от российской агрессии.
Начнём с самого простого, с технической реализации. У каждого ресурса в сети будь то вебсайт или пользователь есть IP-адрес, который отнюдь не является уникальным, на одном IP может находиться множество сайтов или пользователей. Важную роль для Сети играет система доменных имён (DNS), древовидная, публичная база данных, сопоставляющая IP-адреса и привычные всем имена, такие как www.google.com. Чтобы узнать на каком адресе живёт сайт поисковика ваш компьютер обращается к одному из корневых серверов DNS и узнаёи у него где находится домен COM, тот в свою очередь отвечает где расположен DNS-сервер Google, а тот уже отвечает, что сайт использует IP-адрес 64.233.162.104. Чтобы не перегружать пользователя лишней работой всё это за вас делает провайдерский сервер DNS, чей адрес вы получаете автоматически при подключении. Провайдер может прописать у себя в настройках, что google находится на другом IP, и это самый простой способ блокировки. Рекомендованный провайдерам киберполицией.
Для того чтобы обойти подобную блокировку достаточно изменить в настройках сервера DNS с провайдерских на независимые. Подобный сервис предоставляет Google (8.8.8.8 8.8.4.4), CloudFlare (1.1.1.1), Quad9 (9.9.9.9), OpenDNS (208.67.222.222 208.67.220.220). Так как DNS запросы идут в незащищённом виде, то провайдер в состоянии провести атаку типа MiTM (man-in-the-middle, человек-в-середине) и подменить ответы независимых DNS-серверов. Подмена DNS трафика — вмешательство в тайну переписки (запрещённое Конституцией), и разрушает доверие к системе DNS как таковой, для того чтобы сохранить доверительные отношения в последнее время принимаются новые защищённые стандарты DNS-over-TLS и DNS-over-HTTPS, а так же DNSSec. Данные протоколы гарантируют что никто не сможет вмешаться в ваш “разговор” с DNS сервером. И мы переходим к следующему шагу запретительной мысли. Блокировки по IP.
Провайдер так же может запретить обращаться к определённым адресам. Казалось бы чего уж проще? Сайт rusvesna.su сейчас находится на IP 104.20.92.220. Запретим его и дело с концом! И тут нас ждёт весьма неожиданный сюрприз. Этот IP-адрес принадлежит крупнейшей сети доставки контента (CDN) CloudFlare. На том же самом адресе могут находится десятки и сотни ни в чем не повинных сайтов! Блокировки по IP деляют недоступными законные сайты. Так придумайте что-нибудь, говорит нам СБУ, и действительно в некоторых случаях можно заблокировать и отдельную страницу. Для того чтобы страницу получить, нужно сказать серверу её адрес (URL) , например “http://rusvesna.su/economy/1541757178”, и найти его и обрубить сессию может оборудование DPI (Deep Packet Inspection – глубокое исследование пакетов). И использование DPI – это опять-таки MiTM. Вы же не хотите, чтобы кто-то подслушивал ваши разговоры в чате или перехватывал вашу сессию с банком? Чтобы защитить коммуникации от прослушки был придумана безопасная версия HTTP – HTTPS.
Но лазейка для цензуры по-прежнему сохранилась. Так как на одном IP может находиться несколько сайтов, то сервер должен знать к кому именно вы обращаетесь, чтобы выбрать криптографический сертификат соответствующего сайта. Поэтому поле SNI (Server Name Identification) идёт в открытом, незашифрованном виде. До недавних пор проблему игнорировали, но с недавнего времени появилось расширение eSNI (encrypted SNI), которое закрывает и эту дырку. Крупные компании понимают что весь их многомиллиардный бизнес держится исключительно на доверии пользователей. Поэтому либо они обеспечат безопасные коммуникации для всех, включая педофилов и террористов, либо ни для кого. Террористов в лучшем случае один на миллион, поэтому выбор очевиден. Необходимо защищать пользователей, что бы они ни делали. Даже если оборудование DPI будет установленно, то очень скоро оно просто перестанет работать.
И конечно самый простой способ обхода любых ограничений – использование посредника (прокси). Им может быть кеш гугла, прокси-сервер, сеть анонимизации TOR, VPN-сервер или зашифрованный туннель, который переносит вашу точку выхода в сеть совсем в другое место, и в другую юрисдикцию. Даже Великий Китайский Фаервол, на который было потрачено до миллиарда долларов не в состоянии обеспечить совершенную цензуру. Любое ограничение можно обойти.
Но вернёмся ещё раз к столь полюбившимся нашей полиции блокировкам по IP. Не только на одном IP могут жить сразу несколько сайтов, но и эти адреса меняются со временем. Сегодня сайт арендует услуги хостинга у одного провайдера, завтра у другого. Списки IP-адресов необходимо постоянно обновлять, что с необходимостью влечёт за собой создание реестра запрещённых сайтов. Чтобы блокировки по IP работали нужно создать новое ведомство, которое постоянно будет проверять IP-адреса сайтов и вносить их в список. И обязать провайдеров их блокировать. Теперь представим, что злоумышленники изменили IP адрес заблокированного сайта на адрес сайта Президента Украины. Так как в подобных реестрах (как показывает российская практика) накапливаются тысячи адресов, то никто не в состоянии проверять их вручную, а значит сайт Президента будет заблокирован вместо сатйта нарушителя и пройдёт много часов прежде, чем соответствующий орган отменит блокировку. Реестр запрещённых сайтов можно использовать для того, чтобы повалить любой сайт в Сети.
Что и происходило в России, в таких масштабах и с настолько колоссальными убытками, что Роскомнадзор был вынужден опубликовать “белые списки” сайтов, которые нельзя блокировать. Что тоже неэффективно, потому что невозможно учесть в них все возможные сценарии. Недавно хакеры взломали криптобиржу, взломав сайт со счётчиком посетителей (это разновидность supply chain атаки). Интернет – не мирный пригород с белым штакетником, а джунгли, сложно переплетённая экосистема, и разрушение отдельных связей влечёт за собой абсолютно непредсказуемые последствия, которые затронут всех, в том числе критическую инфраструктуру.
И перейдём к вопросам политическим, экономическим и социальным. Раз мы договорились, что “блокировки по IP” крайне неэффективный метод, который приносит ущерб сам по себе, а eSNI ещё не вошел в обиход, то нужно ставить оборудование DPI. И первый вопрос, который возникает – за чей счёт банкет? Оборудование DPI стоит очень дорого, Китай потратил на свою систему цензурирования Интернета сотни миллионов долларов, и всё равно она не работает так как было задумано. В Украине около десяти тысяч фирм и предпринимателей, которые предоставляют услуги доступа к Сети. Многие из них не могут позволить себе приобретение подобного оборудования. Даже если государство обяжет крупных операторов установить подобное оборудование, то это приведёт к дискриминации, огромным потерям отрасли, которые индустрия переложит на конечного потребителя и монополизации рынка. Более того, так подобное оборудование должно быть сертифицировано, то это создаёт огромные коррупционные риски. Huawei и Allot уже заслали своих “лоббистов” в соответствующие структуры, то есть, попросту, предлагают откаты, за выбор соответствующего оборудования.
Не так давно крупный поставщик бытовой техники наехал на небольшой украинский интернет-магазин за нарушение авторских прав. Использование торговой марки. Суд оказался не в состоянии найти ответчика, да, кажется, и не пытался; не пытался суд изъять или разделегировать доменное имя магазина (которое собственно и нарушало авторские права), и вместо этого принял решение о том, что украинский сайт должен быть заблокирован на территории Украины. То есть интернет-провайдеры (причём не все, а только некоторые, даже суд понял что разослать судебное постановление 10 тысячам операторов нереально) должны тратить время и деньги за нарушение, к которому они не имеют ни малейшего отношения! Что подрывает самые основы правосудия и открывает огромное пространство для злоупотреблений. В один прекрасный момент вы обнаруживаете, что все ваши IT-системы не работают только потому, что где-то принято решение районным судом усть-пиздюйского района. А внесудедебные блокировки – просто катастрофа, потому что не придётся соблюдать даже малейшие формальности, достаточно подкупить прокурора или опера в каком-нибудь далёком селе. Пусть его даже уволят после этого, но бизнес будет разрушен, потому что судебные тяжбы могут тянуться месяцами, а то и годами. Блокировки – инструмент нечестной конкуренции.
В Украине быстрый и дешевый Интернет, и он такой благодаря тому что государство не вмешивалось со своими регуляциями в новую отрасль. Но “почему-то” в Украине очень слабая индустрия хостинга. Все предпочитают размещать сайты в Германии, Франции, Нидерландах, и многие знают крупных хостеров по именам – Hetzner, OVH. Знаете почему? Ответ прост – маски-шоу. Всё началось с охоты на порнографию в далёком 2009 году. Не смотря на победные реляции МВД, сайт pornolab возобновил свою работу буквально через два дня после обысков и недавно отметил своё десятилетие. Но услуги он как вы понимаете больше в Украине не заказывает. Премьер Гройсман любит поговорить о “маски-шоу стоп” и о том, как с минуты на минуту в нашу страну придёт богатый западный инвестор, и я всегда вспоминаю про убитую силовиками отрасль хостинга. Нет, ребята, любой вменяемый человек дважды подумает прежде чем заходить в страну с такими рисками, когда вся ваша IT-инфраструктура может быть разрушена одним постановлением. Блокировки снижают инвестиционную привлекательность нашей страны. При чем именно в той области где Украина могла бы быть (и когда-то была) конкурентоспособной на мировом уровне.
Предположим на минуту, что всё работает “как надо и бесплатно”, враждебные пропагандистские сайты заблокированы, враг не пройдёт и всё такое. Но сами сайты никуда не делись! И это значит, что во-первых, государству нечего противопоставить вражеской пропаганде, а во-вторых, государство не считает своих граждан способными самостоятельно сделать осознанный выбор. Блокировки – страусиная позиция, унижающая человеческое достоинство. Тем более, если есть молоток, то любая проблема становится похожа на гвоздь. Сегодня блокируются пропагандистские сайты, завтра сайты с порнографией, с предложениями наркотиков, мессенджеры, игровые сайты. Скоро в Украине должны пройти очередные выборы и цензура вне всяких сомнений будет использована для того, чтобы повлиять на их результаты. Цензура разрушает как личные права граждан, на свободу информации и тайну частной переписки, так и подрывает демократические институты в нашей стране и без того не очень сильные. Цензура разрушает Интернет, и как социальный институт, и технологически. Пойдя по скользкой дорожке мы рано или поздно окажемся в тоталитарной “Чебурашке”.
Более того, после того как провайдеры установят у себя черные ящики утверждённые МВД и СБУ, подобные железки позволят не только блокировать сайты, но и вести массовую слежку за пользователями. В том числе за политическими конкурентами, диссидентами, конкурентами по бизнесу и значит, что следить будут все кому не лень в самых разных интересах. Я хотел бы обратиться к чиновникам, вы думаете что это вас не касается? Интернет у нас один. Если вы можете нарушить приватность преступников, то значит преступники смогут нарушить вашу. Или безопасный Интернет для всех, или ослабленный Интернет для всех. Причем вас будут мониторить и прослушивать в первую очередь.
А теперь альтернатива. Как противодействовать российской пропаганде и ловить преступников. Уже сейчас технологические системы, и провайдеры и операторы связи накапливают огромное количество данных. Ваш мобильный телефон зарегистрировался на базовой станции у оператора — есть ваша история перемещений с точностью до нескольких сот метров, все ваши входящие и исходящие звонки (кто, кому, когда, сколько), те же самые данные накапливают провайдеры. И этого вполне достаточно для проведения расследований. Более того, даже если бы мета-данные не были доступны у правоохранителей есть масса других способов раскрывать преступления. Преступники (за исключением самых глупых) всё равно не будут покупать SIM-карты на своё имя и гонять детскую порнографию в незащищённых чатах. И опыт других стран это подтверждает.
Если государство хочет бороться с вражеской пропагандой, то не нужно запрещать определённые книги, передачи и пытаться контролировать издательства, телеканалы и интернет-провайдеров. Один из самых эффективных методов – ударить по распространителям пропаганды рублём, то есть ввести экономические санкции. Российское издательство выпустило книгу антиукраинского содержания? Под санкции его. Теперь эти книги нельзя импортировать в Украину для продажи. Любые, независимо от содержания. Не нужно гоняться за каждым отдельным экземпляром, вы всё равно не в состоянии это сделать. Телеканал пустил пропагандисткую программу в эфир? Под санкции производителя контента. Больше никто у него ничего в Украине не купит. Любая транзакция должна быть остановлена банком. Любой посредник должен украсить собой санкционный список. С санкционной компанией нельзя заключить договор. Любой местный нарушитель санкционного режима должен заплатить штраф. А то и под статью пойти за контрабанду и нарушение авторских прав. Любое взаимодействие с физическими лицами из санкционного списка должно рассматриваться как сознательное действие направленное против Украины. Не нужна никакая психо-лингвистическая экспертиза, достаточно доказанной связи с врагом.
И вот такие санкции введены не были. Просто потому, что за составление и расширение санкционных списков в нашей стране никто не отвечает. За их нарушение не предусмотрена отвественность. Вместо этого цензурные комиссии ищут чего бы ещё запретить, а правоохранители спят и видят как бы поглубже залезть в частную жизнь граждан. Так что ответом на российскую агрессию должна стать законная, последовательная и прозрачная санкционная политика. И контрпропаганда, нам есть что сказать агрессору. И свободный Интернет не только не помешает нам, но и поможет добиться и этой цели, и победы в войне с Российской Федерацией.
P.S. Прямые запреты допустимы в государственном секторе (но это тема для отдельного разговора).
Источник: facebook.com
Еще никто не комментировал данный материал.
Написать комментарий