В России (ненадолго) упали мессенджеры, соцсети и банковские приложения. Роскомнадзор объяснил сбой DDoS-атакой. Это похоже на правду? Или власти снова пытаются заблокировать телеграм?
Днем 21 августа в России перестали работать многие сервисы, в том числе мессенджеры WhatsApp и Telegram, сайты банков, «Яндекс» и «ВКонтакте». Довольно быстро пресс-служба Роскомнадзора заявила, что причиной неполадок была DDoS-атака, которую специалисты ведомства якобы уже успешно отразили. Однако эксперты очень сомневаются в правдивости этой версии. Одновременно это уже по меньшей мере третий сбой в работе Telegram в России с начала месяца: пользователи жаловались на проблемы с работой мессенджера 12 и 19 августа. Тогда же эксперты предположили, что власти готовятся к блокировке Telegram. «Медуза» узнала у сотрудника «Роскомсвободы», с чем может быть связан последний сбой на самом деле.
Установите приложение «Медузы» на телефон: App Store (для айфонов) и Google Play (для андроида). Оно умеет обходить военную цензуру.
— На что похож сегодняшний сбой?
— На то, что происходило с Telegram в 2018 году: тогда [власти] попытались применить какой-то очень большой фильтр [для блокировки мессенджера]. На что сейчас [настроен] этот фильтр, непонятно.
Первый вариант — на конкретные IP-адреса. Например, если заблокировать диапазон IP-адресов какого-нибудь Amazon или Cloudflare, то картина будет выглядеть примерно так же.
Другой вариант — блокировка неопознанного трафика, как в Иране. В этом случае весь список IP-адресов поделен на три зоны: белую, серую и черную. В черной трафик блокируется сразу, в белой — всегда доступен, а в серой находится незнакомый [властям] трафик, который фильтруется. Похоже, в России начинает внедряться вот этот иранский сценарий. Может быть, они применили подобный фильтр на IP-адреса из серого списка и рубанули весь неопознанный трафик — а на нем, оказывается, сидит много кто еще.
Сравниваем политику России и Ирана в отношении интернета в подкасте «Медузы»
— Как получилось, что этот трафик оказался неопознанным?
— Он зашифрован. Если ты не можешь понять, какому протоколу принадлежит этот трафик, то он для тебя не опознан. Иногда по заголовкам пакетов можно понять, к чему принадлежит этот трафик: например, если это OpenVPN, в заголовке пакета видно, что этот трафик от OpenVPN. Если это WireGuard, то по нему тоже видно, что этот трафик от VPN-протокола WireGuard. А если, например, использовать протоколы типа AmneziaWG или Shadowsocks, то не особо понятно — это просто какой-то зашифрованный трафик.
Есть еще одна гипотеза. Мы видим, что Роскомнадзор включает фильтры последние, наверное, недели две. Периодически у них что-то падает, но они все равно упорно пытаются это делать. Так вот гипотеза заключается в том, что сейчас вообще пытаются помешать…
— Помешать россиянам обходить блокировки?
— Да, пытаются фильтровать весь неопознанный трафик. Но часть российских сервисов или приложений могли не до конца перенести свою инфраструктуру на отечественные платформы. То есть вы открываете, например, «Яндекс Лавку» — и приложение фоново подгружает информацию, какие-то библиотеки, которые оно хранит не на своем сайте, а в другом месте, потому что их поддерживает не сам «Яндекс», а какая-нибудь другая компания.
С момента принятия закона о суверенном Рунете [в 2019 году] всем крупным российским компаниям было предложено переносить все на отечественную инфраструктуру — чтобы мы не ходили в заграничный интернет и не подбирали все эти библиотеки, а чтобы все лежало внутри России. Объяснялось, что это нужно для защиты от внешних угроз, но по факту это была подготовка к национальному шатдауну, при котором все ключевые для России сервисы продолжили бы работать.
Собственно, почему одновременно с Telegram и WhatsApp [сейчас] могли лечь еще какие-то ресурсы? Потому что все они могли использовать вещи, которые находятся во внешнем интернете. Они не перенесли эти решения на отечественную инфраструктуру, поэтому, [когда] при блокировке одного сервиса или одного типа трафика применяется один паттерн блокировок, может лечь сразу много всего.
Но кроме этого, [сервисы и сайты] могут ложиться и из-за того, что блокируются IP-адреса Cloudflare, Amazon или Microsoft Azure. Есть облака, которые имеют диапазон IP-адресов, на нем может находиться и «Сбер», и Slack, и WhatsApp, и Telegram, и все что угодно. Просто потому, что IP-адресами Cloudflare пользуются с пол-интернета, а еще четверть — Amazonʼом. Собственно, по этой причине во время блокировки Telegram в прошлом блокировалась куча всего. Сейчас может быть такая же история: они либо рубанули IPʼшники, которые используют пол-Рунета, либо какой-то паттерн трафика, который тоже используют пол-Рунета.
— Предположим, что речь все-таки идет о блокировке Telegram. Какие аргументы есть в пользу этой версии?
— Мы же давно ожидаем наступления на Рунет. Роскомнадзор уже, во-первых, пытается заблокировать способы обхода блокировок, а во-вторых — площадки, которые распространяют контент и неподконтрольны ему. Блокируют Signal, блокируют YouTube, блокируют VPN-протоколы. Блокировка Telegram тоже ожидаемая история. И делают они это в августе, когда многие в отпусках и поэтому не сильно следят за новостями. Все это ложится в общую картину блокировок сервисов, которые нельзя заставить самоцензурироваться. Ничего неожиданного, ничего нового.
— В случае с Telegram блокировка все-таки может показаться неожиданной. Мы помним историю с попыткой блокировки в 2018 году, но тогда конфликт был улажен. В последние же годы к самому Telegram можно было предъявить претензии за то, что он блокировал боты или каналы, связанные, например, с ФБК и Навальным, а каналы, связанные с российской властью, продолжают работать. Зачем в таких условиях его блокировать?
— Мне сложно с этим согласиться. Я обратил внимание на то, что Telegram блокировал [каналы], когда происходили волнения в Уфе или когда после начала конфликта в Израиле [местные жители] в Дагестане бегали и искали евреев. Тогда [внутри самого Telegram] каждый раз срабатывали автоматические фильтры: когда много человек жалуются на что-то, это блокируется. Но через несколько дней все паблики, которые вели протестующие, были восстановлены.
Можно ли сказать, что это злой умысел Telegram, что Дурову звонят фээсбэшники и просят: «Заблокируй нам на три дня вот эту группу»? Нет, это скорее похоже на то, как работает поддержка Telegram: обычно они отвечают рандомно, через несколько дней после того, как пишешь, а могут и вообще не ответить. А других историй о том, как Дуров мог начать сотрудничать с ФСБ, я особо не вижу. Да, они убирают [каналы], которые определяют как содержащие терроризм, экстремизм или детскую порнографию, но этим они занимаются во всех странах. Мне не верится, что с ними договорились. Telegram — компания с миллиардом пользователей, и договоренность с Россией очень жестко подмочит ей репутацию.
— Вы можете выделить одну из озвученных вами версий того, из-за чего случились сбои, как приоритетную? Или они равнозначно вероятны?
— Я склоняюсь к тому, что это некие новые паттерны блокировки неопознанного трафика на IP-адреса какого-то типа. А какой сервис пытались блокировать, WhatsApp или Telegram, — мне не хватает информации, чтобы ответить на вопрос. Скорее Telegram, потому что он перестал открываться ровно в полночь [по Москве 19 августа]. Это наводит на мысли, что сейчас происходят учения, как заблокировать Telegram. Но не факт, что так и есть, — это просто догадки.
— Что вы думаете о версии, которую озвучил сам Роскомнадзор, — о том, что сбои в работе сервисов связаны с DDoS-атакой на российских операторов связи?
— Понятно, что они просто как-то оправдываются. Они и с YouTube оправдывались — мол это Google виноват в том, что YouTube медленно работает. Конечно, нет: DDoS-атаки — это когда у тебя отказывает один сервис. А когда в России перестают ходить пакеты определенных сервисов, а у других ходить продолжают — это другое. Плюс с VPN все продолжало работать.
— То есть если бы это была DDoS-атака на что бы то ни было, ресурсы не работали бы вообще нигде, вне зависимости от местоположения и вне зависимости от того, какая страна выбрана в VPN-сервисе?
— Да. Ну и что вообще можно дидосить? Можно дидосить веб-сайты — тогда один веб-сайт не будет работать. Если кто-то знает, где находится панель управления ТСПУ, можно попробовать задидосить ее. ТСПУ — это «техническое средство противодействия угрозам». Это то, что в результате закона о суверенном Рунете поставили всем операторам связи и через что Роскомнадзор проводит свои блокировки. То есть у каждого оператора связи есть кабель, в его середину втыкается коробка, через которую приходит весь трафик. У Роскомнадзора есть единый центр управления этими коробками по всей России — и из этого единого центра они могут применить какие-то фильтры на трафик в конкретном регионе или сразу во всех.
Можно сделать атаку на ТСПУ, но тогда работать перестанет либо все, либо само ТСПУ. В этом случае не будет избирательных блокировок, когда Telegram лежит, WhatsApp лежит, а Viber не лежит. Так не бывает.
Фото на обложке: Michele Ursi / Shutterstock.com
«Медуза» — это вы! Уже три года мы работаем благодаря вам, и только для вас. Помогите нам прожить вместе с вами 2025 год!
Если вы находитесь не в России, оформите ежемесячный донат — а мы сделаем все, чтобы миллионы людей получали наши новости. Мы верим, что независимая информация помогает принимать правильные решения даже в самых сложных жизненных обстоятельствах. Берегите себя!