Почему в России блокируют VPN?
Если вы пользуетесь инстаграмом, вы скорее всего знаете, что такое VPN. Но вряд ли вы знаете, как в России блокируют VPN-сервисы и анонимайзеры. А кто-то сомневается, законно ли их вообще использовать.
Меня зовут Екатерина Абашина, я адвокат, давно специализируюсь на делах, связанных с интернетом, представляла в суде VPN-сервисы, поэтому историю развития регулирования технологий аля-VPN в России наблюдала в режиме реального времени.
Всё начиналось с отсутствия каких-либо ограничений, но в 2012 году в России стали появляться законы об интернет-блокировках, и в итоге теперь один и тот же VPN-сервис могут заблокировать сразу по нескольким основаниям, 3 разных органа власти:
- решение о блокировке VPN-сервиса может принять суд по иску прокурора (глава 27.1 КАС РФ + ст. 15.1 закона об информации)
- заблокировать VPN может потребовать Генеральный прокурор или его заместитель (ст. 15.3 закона об информации)
- решение о блокировке может принять Роскомнадзор по обращению органов безопасности (ст. 15.8 закона об информации)
Такие блокировки можно увидеть в специальном открытом реестре Роскомнадзора, но с 2019 года это потеряло какой-либо смысл.
Потому что в 2019 году в России приняли закон, получивший название “закон о суверенном интернете”. Он наделил Роскомнадзор полномочиями самостоятельно, без решения суда или другого органа, фильтровать интернет-трафик в России. То, что надо фильтровать, собирательно назвали в законе “угрозы устойчивости функционирования на территории Российской Федерации сети Интернет”.
Есть специальное постановление Правительства РФ, в котором указано, что считается такой угрозой. В нём есть и “угроза предоставления доступа к информации, доступ к которой подлежит ограничению”. VPN как раз позволяет получить доступ к тому, что заблокировано, например к инстаграму. Поэтому VPN-сервисы автоматом подпадают под программу суверенной фильтрации интернет-трафика.
Теперь вы знаете, почему ваш VPN иногда отваливается и не работает.
Минцифры раскрыло принцип блокировки VPN-сервисов в России
В России будут блокировать определенные сервисы VPN, признанные угрозой безопасности функционирования интернета. Об этом в воскресенье, 12 ноября, сообщили в Минцифры в ответ на обращение фракции «Новые люди». «На основании решения экспертной комиссии <…>может осуществляться фильтрация конкретных VPN-сервисов и VPN-протоколов на мобильной сети связи для зарубежного трафика, которые определены как угроза», — говорится в документе, который есть в распоряжении «РИА Новости». Отмечается, что ограничения к информации в Сети, доступ к которой запрещен законом, определяется как угроза безопасности.
Отдать передачу: эксперты предупредили о риске утечек данных при использовании VPN-сервисов
Злоумышленники могут использовать похищенную информацию для кибератак
Ранее, 10 ноября, заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов заявил, что Роскомнадзор на регулярной основе выявляет VPN-сервисы и блокирует абсолютно все, за исключением тех, «которые работают для специализированных юридических лиц». К ним относятся банки и нужды связи, добавил он. 3 октября в Роскомнадзоре заявили, что планируют разработать критерии оценки материалов, помогающих обходить блокировки в интернете. Ведомство будет самостоятельно принимать решение о внесении интернет-страниц с информацией о способах обхода блокировок в единый реестр запрещенной информации. В Роскомнадзоре напомнили, что, согласно закону «Об информации, информационных технологиях и о защите информации», на территории России запрещено распространение сведений о методах обхода блокировок противоправного контента.
Блокировки VPN в мире: как это происходит
Во второй части просветительского материала о технологии VPN технические специалисты «РосКомСвободы» рассказывают о способах борьбы властей разных стран с обходом блокировок, о применяемых для этого технических средствах, а также об уровне их эффективности.
Ограничения на использование VPN можно рассматривать как часть феномена интернет-цензуры, так как рядовыми пользователями данная технология используется в основном для сохранения анонимности в сети, предотвращения сбора персональных данных интернет-провайдером и администраторами посещаемых сайтов, а также для получения доступа к запрещенному контенту.
Блокировка доступа к контенту на основе адресов ресурсов и узлов сети (IP-адрес, доменное имя) реализуется проще, чем блокировка на уровне передаваемых по сети пакетов. Но такого рода блокировки можно обойти при помощи VPN — путём маршрутизации трафика так, чтобы он «выходил» в другом месте, часто в другой стране. Поэтому, после внедрения блокировок по адресам, следующим этапом могут быть блокировки на уровне пакетов, что позволяет, например, блокировать VPN-трафик, относящийся к конкретным протоколам, независимо от того, какому серверу он адресован. На текущий же момент, известно из поступивших от интернет-пользователей и интернет-активистов сообщений о блокировках доступа к VPN «по адресу» (блокируется трафик до «точек входа» — серверов, принимающих соединения от пользователей). Также были сообщения и о блокировке трафика «по портам», но этот метод блокировок довольно легко обойти, «переключив» трафик на другой порт (это будет намного «дешевле» и по трудозатратам, и по материальным, нежели смена протокола, и даже дешевле смены IP-адреса).
Для блокировки на уровне пакетов провайдеру (или иному посреднику в передаче трафика, например, ТСПУ) необходимо их анализировать. Для этого используется технология DPI (Deep Packet Inspection). Это позволяет, к примеру, блокировать только те пакеты, которые относятся к VPN-трафику или те, которые связаны с обращением напрямую к запрещенным ресурсам. Таким образом, если содержимое пакета не зашифровано, то никаких дополнительных инструментов и ухищрений для анализа не нужно, и, в зависимости от содержимого передаваемого пакета (или группы), уже можно принимать решение о блокировке.
Для анализа же шифрованных данных в сети провайдера или в ином месте на пути следования трафика может использоваться промежуточное звено, которое имеет возможность расшифровать трафик, так как от клиента до него трафик шифруется самоподписанными сертификатами провайдера — по сути это является широко известной «атакой посредника» (man-in-the-middle или — MITM), только «атакующим» здесь выступает не «случайный взломщик», а непосредственно провайдер. Однако, такой подход требует добровольной установки пользователями самоподписанных сертификатов таких вот фальшивых «удостоверяющих центров», и по этой причине не имеет широкого распространения в мире (известно о единичных случаях в Казахстане и Китае).
Вариацией данного метода (MITM-атаки) без необходимости добровольного участия со стороны пользователей является создание государством «настоящих» (т.е. находящихся в списках «доверенных» в браузерах и ОС и сертифицированных) удостоверяющих центров, находящихся в подконтрольной таковому государству стране. В случае, если о таких ситуациях становится известно, такие удостоверяющие центры удаляются из списков доверенных.
Данная ситуация возможна из-за особенностей технологии подписания сертификатов доверенными удостоверяющими центрами: как правило, не проверяется ни факт повторной подписи, ни факт подписи другого сертификата, выпущенного на тот же домен/ip-адрес. Причём делается это намеренно, так как иначе это будет создавать проблемы при «обычном» использовании.
Впрочем, даже не имея возможности расшифровать зашифрованные пакеты, можно анализировать и фильтровать их, основываясь не на основном содержимом, а на метаданных (служебной информации о пакете). Довольно часто, опираясь только на метаданные, можно с довольно высокой точностью определять принадлежность трафика к тому или иному протоколу. Что, собственно, и позволяет блокировать такие пакеты.
Протоколы VPN (как, впрочем, и большинства мессенджеров) сами по себе, без дополнительных технологий обфускации, уязвимы к таким блокировкам из-за того, что изначально не были рассчитаны на использование в условиях активного противодействия со стороны сетевой инфраструктуры.
Следует также отметить, что технологии DPI, основанные на вероятностном анализе проходящих пакетов, не определяют VPN-трафик со 100% надежностью, однако блокировка даже некоторой части пакетов может сильно снизить качество соединения через VPN. Также обратной стороной такого способа блокировок является и тот факт, что у основанных на DPI фильтров имеются и ложно положительные срабатывания, когда блокируются пакеты обычных пользователей, которые для анализатора по тем или иным причинам выглядят как VPN-трафик.
Таким образом, чтобы с одной стороны выполнять требования государства (в лице контролирующих органов), с другой — минимизировать недовольство пользователей, к фильтрам на основе DPI применяются всё более и более жёсткие правила относительно качества анализа. В то же время, всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации трафика. Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика (Shadowsocks, obfs4 и другие описанные в предыдущей части).
Что касается того, как VPN блокируются в различных странах, имеющиеся данные достаточно фрагментарны:
- Правительства и провайдеры этих стран не всегда публично заявляют о таких блокировках, и также не предоставляют технической информации об их реализации.
- Мониторинг блокировок на мировом уровне не ведётся (здесь стоит отметить российский проект Global Check, направленный на восполнение этой лакуны).
- Блокировки VPN обычно учитываются в рамках общего уровня интернет-цензуры, а не отдельно.
Касательно блокировок конкретно VPN-трафика, с учетом сказанного ранее, блокировки с помощью DPI предпринимаются, как правило, уже после того, как выработана система блокировок по адресам. Связано это с тем, что VPN пользуется относительное меньшинство пользователей, а система фильтрации на основе DPI требует установки довольно дорогого оборудования. В связи с этим, особенно активно VPN блокируются лишь в небольшом числе авторитарных стран. Согласно данным исследования Comparitech от 2021 года, ограничивается (намерение или частичное ограничение) или блокируется (фактическое и массивное ограничение) использование VPN в следующих странах:
| Страна | Ограничение VPN | Блокировка VPN |
| Бахрейн | Да | Нет |
| Беларусь | Да | Да |
| Китай | Да | Да |
| Куба | Да | Нет |
| Египет | Да | Нет |
| Иран | Да | Да |
| Ирак | Да | Да |
| Казахстан | Да | Нет |
| Северная Корея | Да | Да |
| Оман | Да | Нет |
| Катар | Да | Нет |
| Россия | Да | Нет |
| Саудовская Аравия | Да | Нет |
| Сирия | Да | Нет |
| Таджикистан | Да | Нет |
| Таиланд | Да | Нет |
| Турция | Да | Нет |
| Туркменистан | Да | Нет |
| Объединённые Арабские Эмираты | Да | Нет |
Следует также отметить, что в большинстве стран, где ограничиваются или блокируются VPN, это происходит на уровне борьбы с технологиями или поставщиками услуг, не всегда юридически. В тоже время в Белоруссии, Северной Корее, Туркменистане, Турции, Ираке, Иране использование VPN запрещено на законодательном уровне (однако это не означает автоматически, что закон регулярно применяется по факту и к рядовым пользователям). Частичные законодательные ограничения на использование VPN есть также в России, Омане, ОАЭ, Китае.
Среди перечисленных стран наиболее развитая система интернет-цензуры в Китае (при том, что, в отличие от Северной Кореи, Китай не изолирован от остального мира). Эта система образно называется «Великим китайским файрволом» (Great Firewall). Помимо фильтрации внутрикитайского трафика, она также контролирует весь трафик, пересекающий границы Китая, который проходит через несколько точек, хотя механизмы фильтрации чаще всего расположены не на самой границе (в зависимости от провайдера либо в пограничных сетях (AS, autonomous system), либо в провинциальных).
Блокировка VPN в Китае осуществляется при помощи комбинации ряда методов:
- Блокировка доступа к сайтам поставщиков VPN-услуг
- Блокировка известных китайским властям точек входа в VPN по IP
- Блокировка трафика на портах, используемых VPN-протоколами (например порта 1194, который используется OpenVPN по умолчанию)
- Анализ и блокирование трафика при помощи DPI
Известно о блокировке следующих VPN-протоколов в Китае:
- OpenVPN — блокируется на этапе установки соединения (handshake). Если же используется опция tls-crypt, защищающая от таких блокировок, то трафик туннеля замедляется до 56 Кбит/сек.
- IPSec (в связке с другими протоколами) — блокируется на этапе установки соединения или также замедляется.
- TLS (не протокол VPN, но используется для установки соединения) — анализируется, чтобы отделить HTTP over TLS (HTTPS) от других вариантов, которые блокируются.
В результате лишь некоторые крупные VPN-сервисы обеспечивают относительной надежное VPN-соединение из Китая.
Для российского читателя будет также интересным узнать, что как минимум с 2016 года Роскомнадзор сотрудничает со своим китайским аналогом для изучения и перенятия их практик (см., например https://www.eurozine.com/china-the-architect-of-putins-firewall/).
В качестве сравнения, можно рассмотреть систему блокировок VPN в Туркменистане, который также серьезно ограничивает доступ своих граждан к Интернету, но не имеет для этого технических ресурсов, доступных Китаю.
В Туркменистане действует только один Интернет-провайдер — государственный Туркментелеком, а также отсутствует государственный орган, регулирующий Интернет-коммуникации (аналог Роскомнадзора). Сообщается, что в сентябре 2019 было создано некое государственное агентство по кибербезопасности, после того, как 6 сентября президент страны подписал соответствующий закон.
В стране распространены адресные блокировки (по доменам и IP-адресам), и попытки посещения заблокированных ресурсов пользователями чреваты вызовами в органы власти, то есть запросы пользователей отслеживаются. Касательно блокировок VPN в этой стране, мы имеем лишь фрагментарную информацию из-за закрытого характера общества.
В октябре 2019 пользователи VPN из Туркменистана стали жаловаться на блокировки. В начале 2019 года также фиксировались ограничения на использование VPN, тогда это было реализовано в виде блокировок VPN-приложений в Play Store для Андроида, а также блокировок SIM-карт абонентов, использовавших эти приложения. В дополнение к этому известно, что с 2017 года власти интересуются теми, кто меняет свои SIM-карты с целью обойти блокировки.
Сообщается, что услуги по нелегальной установке VPN широко распространены в столице, Ашхабаде. Ранее такие услуги предлагались прямо в магазинах мобильных телефонов и сервисных центрах, но позже такая практика прекратилась, после введения штрафов за такие услуги. На официальном уровне наличие блокировок не признается властями Туркменистана.
Также следует отметить, что использование VPN в Туркменистане было и ранее запрещено на законодательном уровне. А в августе 2021 года появилась новость о том, что при подключении к Интернету в стране от пользователя требуется клятва на Коране о том, что он не будет использовать VPN-сервисы.
Что касается технических механизмов блокировок, то об этом известно мало, но можно отметить, что блокировка коснулась только тех VPN, которые не маскируют свой трафик под HTTPS. Существует информация, что ПО для блокировок поставляется немецкой компанией Rohde & Schwarz (https://www.rohde-schwarz.com, также сотрудничает с властями Белоруссии через местного партнера). Исходя из этого можно предположить, что используется DPI, но без возможности анализа зашифрованного трафика.
Источники
https://www.comparitech.com/blog/vpn-privacy/internet-censorship-map/
https://several.com/vpn/vpn-laws
https://en.wikipedia.org/wiki/Deep_packet_inspection
https://proprivacy.com/vpn/guides/how-to-bypass-vpn-blocks
https://en.wikipedia.org/wiki/Great_Firewall
https://www.vpnranks.com/blog/how-does-china-block-vpn/
https://www.thousandeyes.com/blog/deconstructing-great-firewall-china/
https://www.technadu.com/turkmenistan-starts-blocking-vpn-apps/82489/
https://www.technadu.com/turkmenistan-blocks-vpn-applications-google-play-store-restrictions/55482/
https://tech.onliner.by/2021/03/25/kontrol-interneta-v-turkmenistane
«Самые темные цифровые времена». В России собираются блокировать все независимые VPN-сервисы. Как обойти запреты и оставаться на связи?
В России собираются блокировать все независимые VPN-сервисы. Как обойти запреты и оставаться на связи?
«Самые темные цифровые времена». В России собираются блокировать все независимые VPN-сервисы. Как обойти запреты и оставаться на связи?
В России обещают заблокировать VPN. Роскомнадзор планирует выпустить приказ, согласно которому с первого марта 2024 года VPN-сервисы будут блокировать, в том числе в Play Market и AppStore. Об этом заявил зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. По словам сенатора, речь идет о сервисах, которые дают доступ к заблокированным в России сайтам. К ним среди прочего относятся Instagram, Facebook и, например, сайт Настоящего Времени.
VPN – это способ обхода блокировок. Хотя его используют не только для этого. Такие сервисы помогают зашифровать данные и создают «обходные пути»: данные с вашего компьютера попадают сначала на удаленные серверы, а потом уже передаются третьим лицам. Таким образом, если кто-то захочет получить доступ к вашим данным, скажем, геолокации, то благодаря VPN этот «кто-то» получит не ваш адрес, а адрес сервера, через который «прошли» ваши данные. После нападения на Украину и принятия законов по ограничению интернета Россия вошла в тройку мировых лидеров по скачиванию VPN-сервисов. Сможет ли Роскомнадзор реализовать свои планы, Настоящее Время спросило у юриста «Роскомсвободы» Саркиса Дарбиняна.
– Скажите, возможно ли заблокировать VPN? Потому что они же все время появляются новые?
– Заблокировать все, конечно, невозможно, но можно создать много сложностей, что Роскомнадзор уже делает сегодня. Это заявление сенатора абсолютно популистское. Роскомнадзор это делает уже давно, и просто он становится все лучше и лучше в этом. Что произошло в этом году, кроме блокировки по доменам и IP-адресам? Научились блокировать по протоколам, то есть через эти коробочки, которые были установлены в рамках закона о суверенном интернете. Теперь Роскомнадзор сам может блокировать по определенным протоколам, что он делает уже сейчас, и по каким-то сигнатурам трафика определять, что это VPN, и в дальнейшем, наверное, блокировать так, что он видит подозрительно похожее на VPN, он это блокирует.
Это, конечно, очень жесткий сценарий, потому что отваливаться будет много, и при этом работать VPN все равно будут. Так, например, работает наш Amnezia VPN, который занимается обфускацией трафика: он обманывает трафик, притворяется другим трафиком, видеоконтентом или голосовой телефонией. И тем самым он, конечно, может обходить любые ограничения Роскомнадзора. И учитывая, что сервис уже был испытан в Туркменистане, мы можем точно говорить, что он будет работать и в России при самых худших сценариях.
– Давайте предположим, что сегодня тот самый день, первое марта 2024 года, и, действительно, по какой-то причине.
– Каким-то образом они смогли это сделать: не работает ни один VPN. Что произойдет? Как это отразится на ежедневной жизни россиян?
– Если такой VPN-апокалипсис произойдет и окажется, что Роскомнадзор к нему на самом деле не так сильно готов, как он об этом говорит. А все-таки надо понимать, что VPN – это технология, которую используют и банки, и коммерческие компании, и в таком случае может рухнуть очень много бизнеса и много бизнес-процессов в российской экономике. Для тех же, кто все равно желает получать доступ к тому, что Роскомнадзор не хочет, конечно, он все равно найдет пути, он установит из Apple, из Google Play приложения. Опять же мы не представляем ситуацию, как Россия заблокирует полностью Apple и Google Play и превратит все трубки россиян в кирпичи. Это маловероятный сценарий, а вот контролировать в этом RuStore, который они сейчас пытаются предустанавливать на китайские гаджеты, конечно, это возможно, и там никаких VPN, приложений Настоящего Времени, «Новой газеты» и «Медузы» вы не найдете.
– Выборы президента России в 2024 году пройдут 17 марта. Роскомнадзор обещает заблокировать VPN первого марта. Вы думаете, это как-то связано?
– Я думаю, это связано. У нас есть небольшой депрессивный прогноз для начала президентских выборов: не только VPN будут заблокированы, вероятно, туда попадет и огромное количество ресурсов, так или иначе создающих проблемы Кремлю. Это и YouTube, и Telegram, и другие площадки, на которых до сих пор держится огромная аудитория россиян и до сих пор работают все те иноагенты и нежелательные, экстремисты и все прочие, которых российское государство запрещает. Поэтому этот вероятный сценарий – блокировка и видеохостинг-сервисов, и мессенджеров, и это, возможно, будет такой частичный шатдаун, то есть отключение сервисов, не полностью интернета, как это происходило, например, в Казахстане во время январских событий прошлого года, но отключение прямо блоками определенных сервисов, определенных протоколов. И это, конечно, совершенно новый уровень цензуры.
– Историю с YouTube мы уже давно обсуждаем. Действительно ли они могут пойти на это?
– Я думаю, могут. И в моем прогнозе они-то готовят медленно и к президентским выборам могут уже это запустить. Параллельно они, конечно же, понимают, что аудиторию надо держать. Поэтому сейчас тратится огромное количество денег на VK Play, туда привлекают аудиторию, стендаперов, рэперов, комиков, кого угодно. И скоро там включат монетизацию. Я думаю, этот процесс совпадет с блокировкой YouTube. Многие пользователи и блогеры с радостью туда уйдут. Потому что мы с вами прекрасно знаем, что YouTube уже кончился как площадка для российских производителей контента, а вот VK получит все, включая, конечно, и офицера ФСБ, и чиновника Роскомнадзора в коробке.
«Российские власти рассматривают такой сценарий». Глава правозащитного проекта «Первый отдел» – о возможном отключении интернета
– Некоторые российские блогеры все еще публикуют свои видео на YouTube и набирают миллионные просмотры, у них огромная аудитория. Вы немножко упомянули этот вопрос, но хочу на нем остановиться. Совсем недавно мы рассказывали о том, что в России блокируют те самые VPN-протоколы, но для бизнесов, для крупных российских госкомпаний или для частного бизнеса делали исключение. Думаете, после первого марта будет такое продолжаться?
– Да, они прошлись по крупным банкам, торговым предприятиям, переписали те VPN-сервисы, адреса, которые добавляют в белые листы, и они не блокируются, и дальше будет продолжаться блокировка по протоколам.
– Они уже это сделали, вы имеете в виду? То есть они уже внесли какие-то списки?
– Да, эти списки уже есть. Блокируется протокол Wireguard, один из популярных протоколов для VPN, я думаю, следующим шагом будут блокировать протокол Shadowsocks, это протокол, который создавался специально для Китая. Они уже пытаются это делать, и уже есть белые списки, они этим занимались на протяжении года-двух, обязывая крупные компании, госкомпании, банки предоставлять все те VPN-ресурсы, которые они используют в своих частных коммерческих целях.
– Что делать обычному рядовому гражданину России сейчас, который мало понимает в технологиях, в VPN-сервисах и прочем? Как ему действовать, как оставаться на связи в будущем?
– Заряжайтесь по полной разными инструментами, скачивайте Tor, идите на наш маркетплейс VPNlove.me, лучше скачайте сразу несколько VPN-сервисов, мы также рекомендуем наш Amnezia VPN, он устойчив к любым блокировкам, но хорошо, когда есть пул. И если у вас один не работает, вы можете включить другой. Есть и бесплатные, и платные инструменты. И конечно, надо быть к этому готовым. Однако эти бронебойные технологии позволят вам оставаться онлайн даже в самые темные цифровые времена.
