«Работа ведется ежедневно». «Роскомсвобода» — о том, как в России пытаются заблокировать протоколы VPN и как обезопасить себя
В конце января стало известно, что жители восточных регионов России не могут подключиться к некоторым VPN-сервисам. На это жаловались, в частности, пользователи из Алтайского края, Бийска, Новосибирска и Омска. Участники проекта «Роскомсвобода» предположили, что тогда Роскомнадзор тестировал блокировки протоколов VPN.
«Бумага» поговорила с техническим директором «Роскомсвободы» и основателем проекта Privacy Accelerator Станиславом Шакировым и узнала, зачем РКН нужно блокировать VPN-протоколы, можно ли заблокировать все VPN-сервисы в России и как защитить свой доступ в интернет в таком случае.
— В своей публикации вы не упомянули, какие именно VPN-протоколы блокировал Роскомнадзор в январе 2023 года. О каких блокировках известно?
— Блокировались популярные VPN-протоколы — OpenVPN и WireGuard. Не блокировался L2TP. Сообщали, что иногда IKEv2 пробивался также. Мы об этом не писали, чтобы не давать Роскомнадзору наши встречные наблюдения о том, какие протоколы используют те или иные VPN-сервисы.
Смысл [тестирования блокировок] популярных протоколов в том, что на старых протоколах работают VPN-сети банков, например банкоматы. Поэтому РКН достаточно сложно блокировать [их] не по белым спискам, не затронув какие-то базовые вещи для инфраструктуры страны.
— Корректно ли говорить, что РКН избрал новую тактику? Иначе почему сейчас блокируются именно протоколы VPN, а не сами сервисы?
— Нельзя сказать, что это новая тактика. Они начали и продолжили устанавливать ТСПУ, которые позволяют через DPI блокировать [сервисы], определяя замаскированные протоколы. Соответственно, блокируются и сами сервисы через реестры — с помощью URL- и IP-адресов.
Было понятно, что РКН будет тестировать блокировку протоколов, потому что все другие страны, кто регулирует интернет, в целом делают то же самое. Например, Китай, Туркменистан и Иран блокируют неопознанный VPN-трафик. То есть это очень предсказуемая тактика.
— Чего может добиваться РКН тестированием блокировки протоколов? Какая у него цель? Может ли РКН в теории заблокировать все популярные протоколы?
— В теории может. На примере Туркменистана мы видим, как это работает. Другое дело, что это достаточно сложная история в стране, в которой информатизация достигла такого развития, как в России. Здесь много сопутствующей инфраструктуры может полечь.
Тесты РКН могут уйти в сторону Китая, где достаточно эффективно блокируют опознаваемые VPN-протоколы. Но всегда остаются протоколы, которые мимикрируют под обычный интернет-трафик, который блокировать достаточно сложно.
В итоге заблокировать все популярные незамаскированные протоколы возможно, оставив по белому списку тот трафик, который разрешен: трафик банкоматов, банковские сети, производственные сети [но для этого нужны тесты].
— Вы сообщили, что в январе к VPN не могли подключиться жители восточных регионов России. Может ли Роскомнадзор тестировать подобные блокировки сразу по всей стране?
— РКН может тестировать блокировки по всей стране, но зачем это РКН? [У нас есть] тысячи ТСПУ, ты выбираешь необходимый тебе объем DPI-оборудования, чтобы он был репрезентативен на уровне всей страны. В данный момент они выбрали регион дальневосточных крупных городов и несколько регионов, не только в крупных городах. На этом сегменте оборудования и тестировали.
В теории регионы могут выбирать по принципу минимального побочного эффекта от неучтенных блокировок. Может быть, поэтому, кстати, Дальний Восток был выбран: концентрация подобных сервисов там меньше, чем в других регионах.
— Есть ли информация о том, насколько интенсивно РКН блокирует VPN-протоколы сейчас? Как думаете, почему это началось именно в 2023 году?
— Это началось не с 2023 года. Мы видели это в 2021 и 2022 годах, когда [сотрудники РКН] тоже проводили тестовые блокировки различных протоколов. Они точно так же проходили в каких-то регионах, какие-то протоколы резались, а потом включались обратно.
То есть у РКН стоит сеть ТСПУ по провайдерам страны, у них есть единая сеть управления этими штуками. Через ТСПУ они могут тестировать различные политики цензурирования на том или ином провайдере, регионе или на всей стране. Видно, что с того момента, как они поставили ТСПУ, стали появляться более хитрые блокировки, нежели стандартные [блокировки, которые шли] с 2012 года по IP- или URL-адресу.
— Прошлым летом РКН уже блокировал некоторые VPN, а в декабре была атака на Proton. Как вы оцениваете, насколько эти действия были эффективны?
— VPN-сервисы блокируются очень давно. Proton блокируется, по-моему, с 2020 года. [Недавно] Proton выпустил новый протокол Stealth, но архитектурно там были косяки, из-за чего его удалось снова заблокировать через IP-адреса и URL.
Вообще, надо понимать, что и в других странах [тоже] блокируется VPN. И здесь РКН с каждой новой тренировкой будет делать это более эффективно.
— Похожи ли нынешние блокировки VPN-протоколов на декабрьские атаки на Proton или на летние блокировки? Если да, то чем?
— Я бы этот процесс не стал делить на какие-то атаки и затишье. Это не то чтобы боевые действия. Скорее, это планомерный процесс внедрения инструментов цензуры. Работа ведется ежедневно. Вестись она может по двум направлениям:
- Выявление IP-адресов и URL, которые используются в работе VPN, и блокировка URL и IP через стандартные механизмы реестра, которые выгружаются провайдером.
- Попытка определять протоколы через систему DPI и блокировка этих протоколов через систему DPI. В данном случае также получается, что может пострадать гражданская инфраструктура.
Скорее всего, сейчас они [власти] составляют белые списки каких-то государственных сеток, которые используют протоколы, и будут пытаться блокировать всё остальное. То есть это планомерный процесс, который идет и, скорее всего, будет идти более или менее бесконечно с той или иной степенью эффективности.
Рано или поздно мы получим не тестовые, а постоянные блокировки [протоколов VPN]. Люди начнут потихонечку переходить на механизмы маскирующихся протоколов. И будет примерно то же самое, что происходит в Китае.
Как блокируют VPN в Китае и Туркменистане? ↓
В Китае и Туркменистане практика блокировок VPN происходит по белому списку. Власти собирают те VPN, которые разрешены государством, их IP-адреса и протоколы вносятся в список, ключи шифрования сдаются властям. Остальные VPN-сервисы блокируются как неопознанный трафик.
[Всё] зависит от того, насколько инженеры РКН мотивированы и квалифицированы делать эти блокировки. Понятно, что в Китае фаервол образовался в начале-середине 1990-х. Там можно найти много квалифицированных специалистов, которые готовы заниматься цензурой. В России в ближайшие несколько лет будет дефицит таких специалистов, но будут вырастать новые поколения.
Вероятно, [блокировками займется] кто-то из умных, но идеологизированных ребят, которые готовы работать на РКН. Следовательно, компетентность [сотрудников РКН] вырастет, будет расти число блокировок. Но всегда будет находиться способ обхода этих блокировок, как, например, в Китае или Туркменистане.
Какие способы обхода блокировок используют в Туркменистане и Китае? ↓
Пользователи там используют трафик, который определяется не как VPN, а как веб-трафик, похожий, например, на трафик видеоконференции. Соответственно, он не блокируется.
В Туркменистане так работает сервис Amenzia, который использует OpenVPN и Cloak. В Китае много подобных сервисов из-за большего объема рынка.
— Ранее РКН использовал ТСПУ, чтобы блокировать сервисы и протоколы VPN. Использует ли ведомство ТСПУ для тестирования блокировок сейчас?
— Да, [РКН тестирует блокировки] на том же оборудовании. Другого механизма нет: либо блокировка через провайдеров, либо всё что угодно через ТСПУ.
— Насколько успешно ТСПУ может блокировать протоколы VPN? Стоит ли ждать блокировок IP-адресов сервисов?
— [Роскомнадзор] может блокировать OpenVPN, WireGuard, Shadowsocks очень успешно. Какие-то надстройки типа V2Ray или Cloak не может.
— Какие подводные камни есть у этого тестирования? Может ли оно, например, обвалить корпоративный сегмент или запустить волну блокировок других сайтов, как было в случае с блокировкой Telegram?
— Эти тестирования происходят, чтобы, когда эту практику распространят на другие регионы, не полетели какие-то базовые сервисы. Но в теории могут полететь банкоматы, внутренние сетки банков, каких-то предприятий, энерго- и другие сегменты.
Стоит понимать, что, если в какой-то момент сопутствующие потери окажутся менее значимыми, чем блокировка VPN, то [на них пойдут]: в случае массовых протестов можно пожертвовать [некоторыми базовыми сервисами]. А в мирное время и без шатдаунов можно что-то блокировать. Такая логика у РКН тоже может быть.
— Вы говорили, что для безопасной настройки VPN нужны знания в сетевых технологиях. Как россияне, которые не разбираются в IT, могут обезопасить себя от блокировки протоколов? Что им делать, если протоколы их VPN заблокировали?
— Первое — если используются коммерческие VPN, то нужно писать в техподдержку этого сервиса, чтобы вам выдали непубличные сервера и сказали, как их добавить. РКН, скорее всего, не будет знать об этих серверах. К тому же у некоторых сервисов бывают настройки для репрессивных режимов для маскировки трафика: то есть, если VPN не работает, надо в настройках искать такую галочку и ставить ее.
Второе — лучше держать на компьютере [бразуер] Tor, [VPN-сервисы] Psiphon и Lantern. Не нужно использовать их ежедневно, но они могут пригодиться на случай, если у вас заблокировали VPN, и вы могли бы экстренно подключиться к интернету. Через эти браузеры и сервисы можно поискать информацию о том, что еще сейчас работает. Я думаю, что многие паблики, в том числе и наш, будут освещать, какие сервисы и протоколы работают.
Третий способ — использовать сервис AmneziaVPN, который позволяет настроить на своем собственном сервере собственный VPN и по дефолту использовать настройку маскировки трафика, который будет работать, когда протоколы будут блокировать. На текущий момент на десктопных и Android-версиях там работает OpenVPN и Cloak. Это позволяет обходить блокировку протоколов, потому что РКН никогда не узнает о вашем персональном VPN.
Что еще почитать:
- «Теперь за доступ к информации надо бороться». «Роскомсвобода» объясняет, что происходит с интернетом в 2022-м и как обходить ограничения.
- Зачем реально нужен VPN и чего боятся те, кто им не пользуется? Результаты исследования «Бумаги» и «7×7».
- Как наказывают за протест в России-2022? Объясняем, что вам грозит за пост, общение в чате, пикет или стрит-арт.
- Почему мы уже не воспринимаем остро новости о смертях, как война дегуманизирует общество и к чему это приведет? Рассказывает культуролог.