Блокируют все, что могут (но могут не все). Краткое объяснение проблем с доступом к VPN‑сервисам в России
Сергей Голубев
Блокируют все, что могут (но могут не все). Краткое объяснение проблем с доступом к VPN‑сервисам в России
6 июня 2022, 17:11
Данное издание существует на пожертвования читателей — только благодаря вам мы можем продолжать свою работу. Из-за вторжения в Украину и(или) санкций их стало гораздо меньше, поэтому мы пишем капслоком: если можете, поддержите «МЕДИАЗОНУ». Нет войне.
Оформите регулярное пожертвование Медиазоне!Поддержать

Фото: Олег Харсеев / Коммерсант

В первых числах июня у пользователей из России возникли проблемы с доступом к сервисам ProtonVPN, Lantern и Outline. Вскоре Роскомнадзор подтвердил, что средства для обхода блокировок также блокируются, потому что «признаются угрозой». Поначалу выдвигались предположения, что цензурное ведомство научилось блокировать сам VPN-протокол WireGuard, а не отдельные сервисы. Все оказалось проще, но работа по повышению эффективности блокировок продолжается. Об этом «Медиазона» поговорила со Станиславом Шакировым, техническим директором «Роскомсвободы» и основателем проекта Privacy Accelerator.

— Что сейчас происходит: блокировка отдельного хоста, отдельного сервиса или нечто более масштабное?

— Сейчас происходят блокировки по IP-адресам и по доменам некоторых VPN-cервисов, и происходит тестирование блокировок более хитрыми методами, но это происходит на ТСПУ отдельных регионов. А собственно блокировка по IP-адресам и по доменам происходит на всех ТСПУ.

Блокируются вспомогательные домены, например, у ProtonVPN блокируется домен, который раздает клиентам IP-адреса серверов. Это то, что мы сейчас наблюдаем. Информации о блокировке частных непубличных серверов нет, блокируются только публичные сервера, и происходит тестирование блокирования по протоколам. Блокировка частных непубличных серверов может и быть по протоколам, но это тесты на отдельных ТСПУ, и мы не знаем результаты этих тестов. То есть вполне возможно, что мы увидим блокировки по протоколам уже в ближайшие дни, но вполне возможно, что мы их не увидим никогда или не увидим в ближайшие месяцы.

Все зависит от результата тестов: если в результате тестов полегла какая-то инфраструктура, сопутствующие государственные сети связи, какие-то банковские каналы, то в этом случае они будут пытаться по-другому блокировать VPN-протоколы. Если у них получилось блокировать только определенные протоколы, не затрагивая какую-то важную инфраструктуру, мы эти блокировки можем увидеть достаточно скоро.

— Как именно блокируют VPN-сервисы? ТСПУ во всех регионах получили список хостов на блокировку и отработали?

— Да, именно так. ТСПУ управляются Роскомнадзором из единого центра управления, и они на всех ТСПУ по России блокируют IP-адреса и узлы известных VPN-провайдеров.

— Легко ли обойти такую блокировку на стороне разработчика и будут ли обходить?

— Блокировка IP-адреса сервера значит, что просто нужно менять IP-адреса на незаблокированные. Обычно вычисляются клиенты, которые стоят у цензора, и им передаются неправильные адреса: разным клиентам раздают разный набор IP-адресов, ты смотришь, какие заблокированы, и таким образом можешь определить клиент, который, соответственно, «сливает» IP-адреса на блокировку.

Второй момент. VPN-протоколы бывают разные, бывают хитрые — с обфусцированием, с маскировкой трафика. Такие протоколы сложно достаточно заблокировать. Будут ли обходить сервисы такие блокировки? Те сервисы, с которыми мы общаемся, например тот же Proton, у них желание обходить блокировки есть, потому что, во-первых, это бизнес, и Россия в принципе достаточно большой рынок, несколько десятков миллионов пользователей, как следствие, наверное, несколько сотен миллионов долларов в год. Я думаю, что крупным сервисам вполне целесообразно прибегать к разблокировке своих сервисов в России. Пройдет какое-то время, дни, может быть, неделя, и все сервисы снова потихонечку начнут работать. Не все, но большинство. Посмотрим, будет ли это так.

На китайских примерах обычно это так происходит. Китай — рынок большой, важный. И когда китайцы применяют новые фильтры для фильтрации VPN, обычно большинство сервисов ложится, остаются работать буквально три-четыре штучки, но потом в течение недели-месяца количество работающих VPN увеличивается. То есть сервисы учатся на том, как цензоры их блокируют, и предлагают такие протоколы, такие решения, которые не подвергаются блокировке. Поэтому я думаю, что скоро это все дело наладится.

— Почему блокировка идет не по протоколам с помощью DPI, а блокируется отдельный хост?

— Видимо, потому, что пока не особо умеют. Потому что достаточно сложно резать трафик аккуратно, чтобы это не задевало какие-то корпоративные VPN, например, на которых работают банкоматы или платежные терминалы в магазинах. Они тоже находятся внутри сетей, которые работают по одним и тем же протоколам. И надо научиться блокировать какие-то одни протоколы, не блокировать какие-то другие протоколы или составлять белые списки IP-адресов и протоколов, которые мы не блокируем. Это не очень легкая работа: она осуществима в целом, потому что мы видим, что в том же Китае или в Туркмении (скорее, в Китае) происходят именно такие блокировки по протоколам, но, видимо, пока наши не готовы это сделать. Но они учатся, это видно по тестам.

— Можно ли обходить блокировку по протоколам?

— Да, можно. Есть некоторые протоколы, которые разрабатываются энтузиастами, в основном китайскими, специально для репрессивных режимов. И в рамках этих протоколов просто трафик маскируется под какой-то валидный трафик, например под видеоконференции. Есть много протоколов, которые написаны таким образом, что они притворяются WebRTC-трафиком, который используется для видеоконференций типа Zoom. Не зная IP-адресов серверов, блокировать [его нельзя], есть риск того, что заблокируются все видеоконференции или видеоконференции каких-то конкретных приложений. Ну, и дальше власти решают, блокируем эти конкретные приложения или не блокируем.

Или же VPN-трафик маскируется под валидный https-трафик, под веб-серфинг, но с подменой внутри домена, как будто пакет идет в Google, а на самом деле он идет туда, куда надо. Не то чтобы какой-то хитрый, неуловимый протокол, просто он написан таким образом, что он внешне выглядит как протокол для чего-то другого, но внутри находится VPN-трафик, если простыми словами это объяснить.

Оформите регулярное пожертвование Медиазоне!

Мы работаем благодаря вашей поддержке

Ещё 25 статей