В России (ненадолго) упали мессенджеры, соцсети и банковские приложения. Роскомнадзор объяснил сбой DDoS-атакой. Это похоже на правду? Или власти снова пытаются заблокировать телеграм?

Днем 21 августа в России перестали работать многие сервисы, в том числе мессенджеры WhatsApp и Telegram, сайты банков, «Яндекс» и «ВКонтакте». Довольно быстро пресс-служба Роскомнадзора заявила, что причиной неполадок была DDoS-атака, которую специалисты ведомства якобы уже успешно отразили. Однако эксперты очень сомневаются в правдивости этой версии. Одновременно это уже по меньшей мере третий сбой в работе Telegram в России с начала месяца: пользователи жаловались на проблемы с работой мессенджера 12 и 19 августа. Тогда же эксперты предположили, что власти готовятся к блокировке Telegram. «Медуза» узнала у сотрудника «Роскомсвободы», с чем может быть связан последний сбой на самом деле.

Установите приложение «Медузы» на телефон: App Store (для айфонов) и Google Play (для андроида). Оно умеет обходить военную цензуру.

— На что похож сегодняшний сбой?

— На то, что происходило с Telegram в 2018 году: тогда [власти] попытались применить какой-то очень большой фильтр [для блокировки мессенджера]. На что сейчас [настроен] этот фильтр, непонятно. 

Первый вариант — на конкретные IP-адреса. Например, если заблокировать диапазон IP-адресов какого-нибудь Amazon или Cloudflare, то картина будет выглядеть примерно так же. 

Другой вариант — блокировка неопознанного трафика, как в Иране. В этом случае весь список IP-адресов поделен на три зоны: белую, серую и черную. В черной трафик блокируется сразу, в белой — всегда доступен, а в серой находится незнакомый [властям] трафик, который фильтруется. Похоже, в России начинает внедряться вот этот иранский сценарий. Может быть, они применили подобный фильтр на IP-адреса из серого списка и рубанули весь неопознанный трафик — а на нем, оказывается, сидит много кто еще.

Сравниваем политику России и Ирана в отношении интернета в подкасте «Медузы»

— Как получилось, что этот трафик оказался неопознанным? 

— Он зашифрован. Если ты не можешь понять, какому протоколу принадлежит этот трафик, то он для тебя не опознан. Иногда по заголовкам пакетов можно понять, к чему принадлежит этот трафик: например, если это OpenVPN, в заголовке пакета видно, что этот трафик от OpenVPN. Если это WireGuard, то по нему тоже видно, что этот трафик от VPN-протокола WireGuard. А если, например, использовать протоколы типа AmneziaWG или Shadowsocks, то не особо понятно — это просто какой-то зашифрованный трафик. 

Есть еще одна гипотеза. Мы видим, что Роскомнадзор включает фильтры последние, наверное, недели две. Периодически у них что-то падает, но они все равно упорно пытаются это делать. Так вот гипотеза заключается в том, что сейчас вообще пытаются помешать…

— Помешать россиянам обходить блокировки?

— Да, пытаются фильтровать весь неопознанный трафик. Но часть российских сервисов или приложений могли не до конца перенести свою инфраструктуру на отечественные платформы. То есть вы открываете, например, «Яндекс Лавку» — и приложение фоново подгружает информацию, какие-то библиотеки, которые оно хранит не на своем сайте, а в другом месте, потому что их поддерживает не сам «Яндекс», а какая-нибудь другая компания. 

С момента принятия закона о суверенном Рунете [в 2019 году] всем крупным российским компаниям было предложено переносить все на отечественную инфраструктуру — чтобы мы не ходили в заграничный интернет и не подбирали все эти библиотеки, а чтобы все лежало внутри России. Объяснялось, что это нужно для защиты от внешних угроз, но по факту это была подготовка к национальному шатдауну, при котором все ключевые для России сервисы продолжили бы работать. 

Собственно, почему одновременно с Telegram и WhatsApp [сейчас] могли лечь еще какие-то ресурсы? Потому что все они могли использовать вещи, которые находятся во внешнем интернете. Они не перенесли эти решения на отечественную инфраструктуру, поэтому, [когда] при блокировке одного сервиса или одного типа трафика применяется один паттерн блокировок, может лечь сразу много всего.

Но кроме этого, [сервисы и сайты] могут ложиться и из-за того, что блокируются IP-адреса Cloudflare, Amazon или Microsoft Azure. Есть облака, которые имеют диапазон IP-адресов, на нем может находиться и «Сбер», и Slack, и WhatsApp, и Telegram, и все что угодно. Просто потому, что IP-адресами Cloudflare пользуются с пол-интернета, а еще четверть — Amazonʼом. Собственно, по этой причине во время блокировки Telegram в прошлом блокировалась куча всего. Сейчас может быть такая же история: они либо рубанули IPʼшники, которые используют пол-Рунета, либо какой-то паттерн трафика, который тоже используют пол-Рунета.

— Предположим, что речь все-таки идет о блокировке Telegram. Какие аргументы есть в пользу этой версии?

— Мы же давно ожидаем наступления на Рунет. Роскомнадзор уже, во-первых, пытается заблокировать способы обхода блокировок, а во-вторых — площадки, которые распространяют контент и неподконтрольны ему. Блокируют Signal, блокируют YouTube, блокируют VPN-протоколы. Блокировка Telegram тоже ожидаемая история. И делают они это в августе, когда многие в отпусках и поэтому не сильно следят за новостями. Все это ложится в общую картину блокировок сервисов, которые нельзя заставить самоцензурироваться. Ничего неожиданного, ничего нового.

— В случае с Telegram блокировка все-таки может показаться неожиданной. Мы помним историю с попыткой блокировки в 2018 году, но тогда конфликт был улажен. В последние же годы к самому Telegram можно было предъявить претензии за то, что он блокировал боты или каналы, связанные, например, с ФБК и Навальным, а каналы, связанные с российской властью, продолжают работать. Зачем в таких условиях его блокировать?

— Мне сложно с этим согласиться. Я обратил внимание на то, что Telegram блокировал [каналы], когда происходили волнения в Уфе или когда после начала конфликта в Израиле [местные жители] в Дагестане бегали и искали евреев. Тогда [внутри самого Telegram] каждый раз срабатывали автоматические фильтры: когда много человек жалуются на что-то, это блокируется. Но через несколько дней все паблики, которые вели протестующие, были восстановлены. 

Можно ли сказать, что это злой умысел Telegram, что Дурову звонят фээсбэшники и просят: «Заблокируй нам на три дня вот эту группу»? Нет, это скорее похоже на то, как работает поддержка Telegram: обычно они отвечают рандомно, через несколько дней после того, как пишешь, а могут и вообще не ответить. А других историй о том, как Дуров мог начать сотрудничать с ФСБ, я особо не вижу. Да, они убирают [каналы], которые определяют как содержащие терроризм, экстремизм или детскую порнографию, но этим они занимаются во всех странах. Мне не верится, что с ними договорились. Telegram — компания с миллиардом пользователей, и договоренность с Россией очень жестко подмочит ей репутацию.

— Вы можете выделить одну из озвученных вами версий того, из-за чего случились сбои, как приоритетную? Или они равнозначно вероятны? 

— Я склоняюсь к тому, что это некие новые паттерны блокировки неопознанного трафика на IP-адреса какого-то типа. А какой сервис пытались блокировать, WhatsApp или Telegram, — мне не хватает информации, чтобы ответить на вопрос. Скорее Telegram, потому что он перестал открываться ровно в полночь [по Москве 19 августа]. Это наводит на мысли, что сейчас происходят учения, как заблокировать Telegram. Но не факт, что так и есть, — это просто догадки.

— Что вы думаете о версии, которую озвучил сам Роскомнадзор, — о том, что сбои в работе сервисов связаны с DDoS-атакой на российских операторов связи?

— Понятно, что они просто как-то оправдываются. Они и с YouTube оправдывались — мол это Google виноват в том, что YouTube медленно работает. Конечно, нет: DDoS-атаки — это когда у тебя отказывает один сервис. А когда в России перестают ходить пакеты определенных сервисов, а у других ходить продолжают — это другое. Плюс с VPN все продолжало работать. 

— То есть если бы это была DDoS-атака на что бы то ни было, ресурсы не работали бы вообще нигде, вне зависимости от местоположения и вне зависимости от того, какая страна выбрана в VPN-сервисе?

— Да. Ну и что вообще можно дидосить? Можно дидосить веб-сайты — тогда один веб-сайт не будет работать. Если кто-то знает, где находится панель управления ТСПУ, можно попробовать задидосить ее. ТСПУ — это «техническое средство противодействия угрозам». Это то, что в результате закона о суверенном Рунете поставили всем операторам связи и через что Роскомнадзор проводит свои блокировки. То есть у каждого оператора связи есть кабель, в его середину втыкается коробка, через которую приходит весь трафик. У Роскомнадзора есть единый центр управления этими коробками по всей России — и из этого единого центра они могут применить какие-то фильтры на трафик в конкретном регионе или сразу во всех.

Можно сделать атаку на ТСПУ, но тогда работать перестанет либо все, либо само ТСПУ. В этом случае не будет избирательных блокировок, когда Telegram лежит, WhatsApp лежит, а Viber не лежит. Так не бывает.