Роскомнадзор решил заблокировать Tor. Разве это возможно? Или будет как с телеграмом? К сожалению, за последние годы РКН многому научился
В начале декабря пользователи из России столкнулись с проблемами при подключении к Tor. Чуть позже выяснилось, что Роскомнадзор направил команде Tor Project письмо с требованием удалить «запрещенную информацию» (не пояснив, что именно имеется в виду). Сейчас в России заблокирован сайт проекта, сама сеть работает лишь частично. «Медуза» поговорила с техническим консультантом «Роскомсвободы» Леонидом Евдокимовым о том, как все это отразится на пользователях и насколько реально полностью заблокировать Tor в России.
— Зачем вообще нужен Tor?
— Изначально Tor создавался как средство анонимизации трафика. [Он нужен] когда получателю и отправителю информации важно оставаться анонимными.
Есть большое разнообразие причин этому, помимо тех, которые мы встречаем на заборах своих городов, — я имею в виду рекламу магазинов по продаже наркотических средств. Думаю, глупо отрицать, что кто-то использует Tor для подобной деятельности. Но также Tor, например, использует служба внешней разведки Российской Федерации. У них есть свой сайт в зоне .onion, где сотрудники принимают сведения от информаторов.
Есть и технологические причины использовать Tor. Например, не все провайдеры внедряют IPv6 и end-to-end.
— Как работает эта сеть?
— Список всех узлов сети [через которую идет подключение] изначально открытый. Клиент устанавливает соединение последовательно через несколько узлов. Маршрутизация устроена так, что первый узел знает сетевой адрес (IP) клиента, который пришел [в сеть], а последний знает, куда пошел [пользователь]: адрес, куда некто обращается. Промежуточный узел нужен, чтобы сохранять математические свойства и уменьшить вероятность корреляции между узлами, [что позволяет сохранить анонимность].
— В чем отличие Tor от глобального интернета?
— Отличие такое же, как мессенджера Signal от WhatsApp. И там и там есть неплохие гарантии конфиденциальности сообщения — оно в какой-то мере зашифровано. Но Signal сохраняет меньше метаинформации о пользователе и меньше выдает ее [на сервер].
Из-за того, что Tor работает «поверх» интернета, он затрудняет сбор информации [сервером и провайдером]. В интернете существует понятие автономных систем, а в Tor — семейства узлов, администрируемых одним пользователем. Использование интернета через Tor чуть более анонимно, но анонимность можно разрушить. Но все же конечные серверы и провайдер будут знать о пользователе чуть меньше, чем обычно. Провайдер, например, будет знать размер скачанного файла и время, но выводы [о том, какой файл скачивали] ему сделать сложнее. В глобальном же интернете провайдер будет знать, что вы [например] пошли на торрент-трекер, и размер скачанного там файла.
Но еще десять лет назад шифрование веб-трафика находилось на более низком уровне. Сейчас бо́льшая часть веб-трафика зашифрована: провайдер знает, что вы зашли в фейсбук, но не знает, на какую страницу. А в случае с Tor — не узнает и про фейсбук.
— Что изменится для обычных пользователей после начала блокировки Tor?
— Пользователю Tor придется заниматься получением списка мостов, которые нужны для доступа в эту сеть.
Если человек использовал Tor исключительно для обхода блокировок, он может поискать другие средства, их на рынке не так мало. Может быть, будет достаточно включить один из встроенных [в браузер Tor] мостов.
Для пользователей, которые не используют Tor, эта история может вылиться в то, что у них начнут глючить аудио- и видеозвонки в Zoom или Google Meet. В работе Tor используется технология маскировки трафика, она называется snowflake — «снежинка». Ее идея в том, что трафик, идущий к сети Tor, маскируется под протокол WebRTC, который используют сервисы типа Zoom, Google Meet, Slack и другие. Если РКН продолжит попытки блокировать мосты Tor, может прилететь и популярным сервисам [которые не имеют к нему отношения].
Еще Tor был полезен некоторым пользователям из Крыма: не все государства признают его российским и в связи с этим накладывают на него санкции. Поэтому некоторые интернет-сервисы там не работают. А через Tor как раз можно было заходить на недоступные сервисы.
— Почему РКН хочет заблокировать Tor?
— Я предлагаю обратиться [с этим вопросом] к пресс-службе РКН.
Мне больше интересно не почему, а почему именно сейчас? Почему четыре года решение не исполнялось?
— Роскомнадзор потребовал заблокировать Tor из-за наличия «запрещенного контента». Понятно ли, что это за контент?
— Tor — это анонимайзер, позволяющий получить доступ к информации, которую [российские власти] не хотят видеть на территории РФ. Поэтому он [по их мнению] должен фильтровать доступ для российских пользователей или быть заблокирован согласно закону об анонимайзерах.
— Может ли Tor удалять какой-то контент по требованию ведомства?
— Если я правильно понимаю логику, то блокируют Tor Project Inc. как анонимайзер. Эта компания не управляет основными узлами сети, они не имеют административного контроля.
— Какие возможности есть у РКН по блокировке интернет-ресурсов?
— С 2012–2013 года ведомство умеет блокировать сайты по IP, потом научилось блокировать по доменным именам. Позже [начали блокировать] не только по доменным именам, которые входят в систему DNS, но и шифрованный трафик https. Потом мы наблюдали блокировку протокола — первые такие попытки были во время битвы с Telegram. Сейчас уже [используется] такая блокировка по протоколу: если трафик похож на тот, что у Telegram, его можно блокировать или замедлить.
Это из того, что мы видели вживую. Список элементов блокировки трафика расширился почти до всего того, что возможно придумать.
— Есть ли у команды Tor шансы обойти все это?
— С Telegram [у Роскомнадзора] ничего не вышло, потому что ТСПУ [в то время] не было. Эта история привела к появлению или ускорению принятия пакета законов о суверенном Рунете, в том числе [внедрению] ТСПУ — оборудование планировали начать внедрять в 2019 году.
Количество возможностей у Tor [сейчас] сократилось — этих возможностей, вероятно, меньше, чем у Telegram. Но все они лежат в плоскости «подо что еще можно замаскироваться, что было бы непримиримо дорого блокировать [Роскомнадзору]».
— Разработчики Tor Project призвали пользователей создавать больше мостов. Это как-то повлияет на доступ пользователей к сети?
— Это такая же история, как с установкой Telegram-прокси. Она усложнит блокировку Tor, но на все ли 100%? Мы не знаем.
Гипотетически есть возможность полной блокировки Tor — если ведомство отключит [весь] интернет: это если мы доводим ситуацию до абсурда. Но если оставить доступ к глобальной сети, такая возможность [блокировки] все равно может быть — и, возможно, благодаря следующим релизам Tor эта задача усложнится с помощью обновлений.
— Как государство борется с мостами? Какие оно применяет технологии и какие контрмеры могут применить разработчики и пользователи?
— Мосты — это и есть контрмеры блокировки Tor, потому что сам по себе он блокируется тривиально, все узлы самого Tor публично доступны.
Бриджи (другое название мостов, — прим. «Медузы») работают на четырех основных технологиях: Tor Node — [кроме публичного списка узлов] она общается по обычному протоколу Tor. Такая технология будет успешно блокироваться на любом DPI-оборудовании.
Вторая технология — obfs4. [Эту технологию блокировали] еще в случае с Telegram. Скорость мессенджера [у части пользователей] была сильно снижена, и можно было сказать, что де-факто Telegram [был] заблокирован.
Третья технология — та, которая маскирует [трафик пользователя] под трафик Microsoft CDN. Из-за ее недавних блокировок сломались некоторые государственные сайты. Если выкатить такую [блокировку] на всех провайдеров, это может вызвать много жалоб. Тогда решение откатят и придумают что-то более интересное.
Четвертая технология — маскировка по WebRTC (протокол Snowflake) — когда трафик маскируется под видеосвязь или звонки. Ее заблокировать сейчас довольно просто. Возможно, что с блокировкой пострадает какое-то количество программного обеспечения [использующего протокол WebRTC], потому что там [в ПО с этим протоколом] используется программная библиотека с настройками. Если другой продукт тоже ее использует, он может пострадать. Заблокировать такую технологию можно, но какой ценой?
— За последние полгода власти активно ограничивают работу VPN-сервисов. Зачем это государству?
— Не стоит забывать, что VPN имеет много назначений: связь банков с банкоматами, сотрудника с зарубежным офисом, что особо важно во время пандемии; входы на заблокированный сайт. Перед РКН стоит сложная задача: ведомство не имеет оснований блокировать все VPN-сервисы. [Они могут блокировать] только те, которые своей основной целью ставят предоставление услуг по обходу блокировок.
— Стоит ли пользователям ожидать, что все сервисы обхода блокировок рано или поздно будут закрыты? Или ведомство не может заблокировать их все?
— Конечно, совсем интернет не отключат, хотя и были прецеденты. Возможно, РКН будет к этому стремиться.
Как противодействие блокировке массовых сервисов пока что можно использовать небольшие VPN-провайдеры. Или вместо VPN-провайдеров [позже] появится отдельная экосистема, которая позволит уверенному пользователю ПК настроить свой VPN-сервис.
— В каких странах с Tor борются эффективнее всего?
— Насколько я знаю, Tor в Китае работает не очень хорошо, но везде ли — не могу сказать. У ребят из команды [браузера] были планы что-то сделать с этим. Но мы сейчас не можем даже ответить односложно, заблокирован ли Tor в России.
— Проект SpaceX Илона Маска под названием Starlink собирается обеспечить широкополосным доступом к сети всю планету. Если технология будет работать в наших широтах, она станет альтернативой для тех, кто не хочет, чтобы их данные передавались государству?
— В отличие от Tor, Starlink — это коммерческая компания. Соответственно, за [использование] Starlink нужно будет платить. Я бы ожидал, что [из России] будут затруднены платежи в его сторону. Этого будет достаточно, чтобы у компании не было инициативы развивать сеть на просторах нашей страны.
Беседовал Андрей Серафимов
IPv6
Для идентификации в сети необходим уникальный адрес. Эту функцию выполняет IP каждого компьютера, подключенного к сети. Изначально для идентификации использовался протокол IPv4, где IP-адрес записывается цифрами и длиной в 32 бита. В какой-то момент количество подключенных устройств выросло настолько, что «места» для идентификации перестало хватать. Поэтому был разработан протокол IPv6 — его длина составляет 128 бит, а к IP-адресу добавляются буквы от A до F.
Конечное шифрование
Конечное шифрование — это система, при которой сообщения хранятся на устройствах пользователей. Например, в мессенджере WhatsApp сообщения хранятся только на смартфонах участников переписки, минуя сервер. В Telegram, например, шифрование end-to-end реализовано только во время «секретных чатов».
Метаинформация
Это информация, содержащая в себе какие-то дополнительные параметры о пользователе. Например, в случае с WhatsApp приложение хранит информацию о ваших звонках и сообщениях.
Автономные системы
Это системы маршрутизации устройства в сети с использованием оператора. То есть пользователь попадает в глобальный интернет через провайдер. А в сеть Tor — через узлы этой сети.
Что такое «мост»?
Это специальный узел для входа в сеть Tor, адреса которого нет в публичном доступе. Если все узлы сети сделать публичными, провайдер сможет их все заблокировать — но непубличные адреса можно выдавать индивидуально. Зная непубличный адрес, пользователь может обойти такую блокировку.
WebRTC
Протокол передает видео- и аудиоданные без установки дополнительного ПО. Например, Google Meet осуществляет звонки в браузере именно с использованием WebRTC.
Какими сервисами не могут пользоваться жители Крыма?
На территории полуострова официально не работают Zoom, Netflix. Платформа по дистрибуции видеоигр Steam отключила возможность покупок для пользователей Крыма.
ТСПУ
С ноября 2019 года, когда вступил в силу закон об изоляции Рунета, на сетях операторов связи начали установку специальных «технических средств противодействия угрозам» (ТСПУ). Позднее выяснилось, что под аббревиатурой ТСПУ скрывались системы Deep Packet Inspection (DPI). Это оборудование для глубокого исследования сетевых пакетов, которое, в частности, позволяет фильтровать («отбрасывать») сетевые пакеты по определенному признаку и в итоге блокировать доступ к определенным ресурсам либо замедлять к ним доступ. Управляет всеми установленными DPI специальное подразделение Роскомнадзора.
Domain Name System
Это система, связывающая домен сервера и IP сервера.
Блокировка протокола
Блокировка по протоколу осуществляется через распознавание данных, которые передает пользователь. https — это разновидность, расширение протокола http.
Блокировка Telegram в России
В апреле 2018 года РКН начал блокировать доступ из России к мессенджеру Telegram. Причиной стало неисполнение Telegram требований закона 2014 года, согласно которому подобные сервисы должны были зарегистрироваться в РКН. Это налагало бы на них обязательства, принятые позже в законе Яровой, который вступил в силу 1 июля 2017 года. По нему операторы должны хранить записи телефонных сообщений и интернет-трафик клиентов на протяжении полугода, хранить ключи для расшифровки переписки пользователей и предоставлять их ФСБ по запросу. В июне 2020 года РКН объявил о снятии ограничений.
CDN
Сеть доставки контента — система серверов, которые находятся в разных точках мира и хранят кэшированную информацию. То есть контент доставляется пользователю с ближайшего к нему сервера, чтобы уменьшить время загрузки информации. CDN особенно важны для доставки «тяжелого» контента, такого как видео.
Telegram-прокси
После блокировки Telegram в России разработчики мессенджера выпустили специальный прокси-сервер и протокол для обхода блокировки.
Что это за прецеденты?
Власти России уже несколько раз точечно отключали интернет. Например, это происходило во время протестов в Ингушетии в 2018 году.
Tor Node
Технология основана на создании посреднических узлов. У Tor есть собственные публичные мосты, с 8 декабря они заблокированы.
Starlink
Проект глобального спутникового интернета, в рамках которого SpaceX намеревается обеспечить широкополосным доступом в сеть весь мир. На орбиту в общей сложности планируют отправить до 42 тысяч спутников.
vpn
О чем речь?
В марте 2021 года Роскомнадзор объявил, что начал замедлять скорость работы твиттера в России. Через несколько часов у пользователей перестали открываться сайты Кремля, правительства, Госдумы и Совета Федерации, Минэкономразвития, Минпромторга, Следственного комитета, а также самого Роскомнадзора. Министерство цифрового развития утверждает, что все дело в неполадках в работе оборудования компании «Ростелеком», предоставляющей государственным сайтам услуги хостинга. Такое же объяснение дали в Роскомнадзоре.
«Роскомсвобода»
Правозащитный проект, который добивается отмены блокировок сайтов, смягчения законопроектов и снятия уголовных обвинений с пользователей.
Блокировка протокола
Блокировка по протоколу осуществляется через распознавание данных, которые передает пользователь. https — это разновидность, расширение протокола http.
Deep packet inspection
DPI — это технология сетевого мониторинга, которая позволяет оператору связи анализировать трафик в режиме реального времени и принимать автоматизированные решения о дальнейших действиях.
Домен .onion
Этот домен не участвует в глобальном интернете и используется только для доступа к адресам в сети Tor.
Что это значит?
Из-за особенности блокировки протокола https на этом протоколе на оборудовании провайдера нет возможности заблокировать отдельную страницу, только весь ресурс целиком.
Что это значит?
Пользователи могут запросить список мостов через сам клиент Tor в специальной вкладке.
Что говорят в РКН
Как сообщили «Интерфаксу» в Роскомнадзоре, Tor блокируют на основании судебного решения, вынесенного из-за размещения там «информации о средствах доступа к запрещенному контенту».
Что за решение?
В 2017 году Саратовский районный суд признал «запрещенной информацией» ссылку на скачивание анонимного браузера Tor. Причиной стало то, что с помощью Tor пользователи могут «получить доступ к скачиванию программы браузера-анонимайзера для последующего посещения сайтов, на которых размещены материалы, включенные в Федеральный список экстремистских материалов».
Это что?
Браузер, который позволяет обходить блокировки сайтов, устанавливать анонимное сетевое соединение и посещать не индексируемую обычным ПО часть интернета. Принцип его работы — максимально «запутать» интернет-след пользователя через множество подключений. Пользователь, открыв Tor, попадает в сеть не напрямую, а через другие подключения — узлы. Такой механизм и позволяет сохранить анонимность.