Чим небезпечна нова хвиля блокувань Telegram - Сноб
У вівторок стало відомо, що Роскомнадзор витратить 20 мільярдів рублів , Щоб знову спробувати заблокувати Telegram - в черговий раз з 16 квітня. Ця сума буде потрібно відомству, щоб освоїти нову технологію блокування інтернет-ресурсів DPI в рамках законопроекту про автономність Рунета . «Сноб» поговорив з декількома IT-експертами, щоб дізнатися, що таке технології DPI, на що саме підуть гроші росіян і чи не призведе це не тільки до блокування месенджера, але і до ізоляції Рунета від світової мережі
Фото: Benjamin Sow
DPI (від англійського deep packet inspection - «глибокий аналіз пакетів») - програмно-апаратний комплекс, який встановлюється у провайдера, аналізує весь проходить трафік і виділяє особливості, властиві конкретним сайтам або додатків. Він може відсікати небажаний трафік.
Олександр Літреев, засновник і керівник компанії Vee Security , Що спеціалізується на кібербезпеки:
Технологія DPI може бути використана для аналізу і фільтрації трафіку, причому вона не найефективніша. Способи обходу DPI вже існують: той же елементарний VPN. Наприклад, ми в Vee Security надаємо VPN за протоколом OpenConnect, який автоматично шифрує весь трафік користувача і маскує його по HTTPS. Зрозуміти, на які сайти заходить користувач і що він передає, неможливо. Про мережеву нейтральність твердження теж сумнівне: в Китаї намагаються блокувати і цензурувати мережу, але це успішно обходиться через той же VPN і Shadowsocks.
Зараз DPI працює по незашифрованому частинам трафіку, а також по паттернам - закономірностям в шифруванні того чи іншого ПО. Але це все також втрачає актуальність у міру вдосконалення сучасної криптографії.
Природно, системи DPI уповільнюють проходження трафіку. Чи буде це відчутно для кінцевого користувача - питання якості реалізації. Загадувати тут поки марно. Я б набагато більше побоювався більш суттєвих наслідків - помилкових блокувань, з якими РКН поки не може впоратися, використовуючи навіть такі примітивні види блокувань, як блокування по IP-адресами. Страшно уявити, що вони наворотів з DPI.
Анна Просвєтова, разработчіца і автор телеграм-каналу « Мене змусили створити канал »:
За допомогою DPI Роскомнадзор зможе впливати на інтернет-ринок і в цілому на «мережеву нейтральність». Можна блокувати конкретний трафік, можна занижувати швидкість, можна вимагати окрему плату за доступ до якихось категорій контенту. Якщо подивіться, це все вже працює у мобільних операторів: вони пропонують безлімітні пакети інтернету для соцмереж, наприклад.
З огляду на, що багато сайтів і оператори працюють з шифруванням, можна сказати, що тут завжди буде війна. Провайдери вдосконалюють DPI і додають нові патерни для визначення трафіку. Сервіси, які бажають сховатися, вдосконалюють свої протоколи і роблять свій трафік менш виділяється. Уже зараз зв'язка таких чарівних абревіатур, як HTTPS + ESNI + DNSSEC, не дозволить жодним чином визначити, на який сайт заходить користувач, і у регулятора залишиться можливість тільки заблокувати весь IP. Однак на одному IP можуть одночасно розміщуватися тисячі сайтів, серед яких «шкідливим» буде тільки один. І саме з цими технологіями вже ніякої DPI не впорається. Telegram зараз використовує MTPROTO-проксі для обходу блокування, і деякі провайдери вміють за допомогою DPI виділяти цей трафік і блокувати. Команда Telegram може зробити крок вперед, і DPI знову втратить можливість визначати месенджер. У цій війні завжди переможе інтернет, а не регулятор. І допоможуть Роскомнадзор тільки білі списки і залізна завіса.
Щодо уповільнення роботи інтернету: DPI-обладнання обробляє величезний трафік, але його можна розмістити і конфігурувати так, щоб це не позначилося на швидкості. Тільки коштувати це буде дуже великих грошей, і якщо ця фінансове навантаження ляже на провайдера, як у нас зазвичай буває, то це обов'язково позначиться на тарифах для кінцевого користувача.
Філіп Кулин, керівник проекту про моніторинг блокувань РКН usher2.club:
В законопроекті про автономному режимі Рунета не вказано прямим текстом нічого про DPI. Йдеться про універсальний пристрій, що включає функції моніторингу, управління маршрутами і фільтр. Але ми думаємо, що мається на увазі DPI, тому що це слово - улюблена іграшка Роскомнадзора, з якої він носиться вже пару років. «Мережевий нейтральності» у нас і не було. Але так, по законопроекту виходить, що Роскомнадзор повністю контролює і управляє трафіком через спеціальну апаратуру, яку ставлять провайдерам для контролю. Оскільки це DPI, то можна буде заблокувати розумним способом що завгодно, особливо ні перед ким не звітуючи. І перевірити буде не можна.
DPI вміють «дізнаватися милого по ході». Шифрування, звичайно, сильно ускладнює фільтрацію. Але якщо ресурс не починає спеціальних кроків, заблокувати його буде легко. І «Телеграма» доведеться вжити додаткових заходів. У них з'являться труднощі. Інше питання, наскільки взагалі теоретично ефективно робити базу «запрещенкі».
Якщо ми говоримо тільки про систему фільтрації, то так, все стане гірше і повільніше. Реальна можливість роботи такої складної техніки в бойових умовах на «товстих» каналах мені бачиться шапкозакидальним твердженням. Більш того, така складна техніка вразлива, і цим скористаються. Якщо ми говоримо і про маршрутизацію, то знову ж таки буде гірше. Зараз провайдери вибирають маршрути на основі своїх бізнес-міркувань. Коли це буде робити Роскомнадзор, бізнес-складова відійде на другий план і вибір маршрутів стане неочевидний.
підготували: Маргарита Тишецкая , Аріна Крючкова