Коснётся ли цензура нас

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.


Один из пользователей нашего VDS-хостинга спросил, коснутся ли нас ограничения по VPN, которые буквально недавно вызвали очередную волну волнений. Думаю, на этот вопрос нужно ответить подробно, хотя ответ и отдаёт ликбезом.

Что случилось: 17 июня Роскомнадзор ограничил VPN-сервис Opera и VyprVPN. По сообщению самого РКН, «Данные VPN-сервисы отнесены к угрозам в соответствии с постановлением Правительства РФ от 12 февраля № 127». На деле ещё раньше, 14 мая, РКН предложил добавить корпоративные VPN в белый список: «В соответствии с требованиями регламента реагирования об информировании о планируемом введении централизованного управления в отношении средств обхода ограничения». Логика данного действия в том, что Роскомнадзор блокирует гражданам России доступ к каким-то сайтам, ради чего мы заплатили целую гору налогов и поставили новое железо по блокировке оператором. А граждане России в результате этой PR-компании научились пользоваться VPN и спокойно обходят блокировки. Самым наглым видом VPN была кнопка в Опере, которая могла просто нажиматься в ответ на экран «Доступ к сайту заблокирован». Потому что пользователю даже не надо было знать, что такое VPN, и не надо было ничего никому платить.

▍ Что сделала в ответ Опера?


Opera в ответ перестала предоставлять VPN-сервис российским пользователям со словами: «Этот предупредительный шаг позволит нам и впредь оставаться приверженными конфиденциальности и безопасности наших пользователей и предоставлять им лучшие продукты». Из чего в теории можно сделать вывод, что РКН хотел как-то нарушить конфиденциальность и безопасность этих пользователей. Тут же вышла инструкция по тому, что делать, если у вас неправильно определяется локаль:

— В \AppData\Roaming\Opera Software\Opera Stable есть файл Secure Preferences.
— В строке «vpn»:{«blacklisted_locations»:[«cn»,«ru»],«last_established_location»:«RU»}}.
меняем «vpn»:{«blacklisted_locations»:[«cn»],«last_established_location»:«CN»}}.
— Ставим Secure Preferences атрибут r/o.


Учитывая, что в предыдущей серии 27 марта 2019 года «Роскомсвобода» сообщила, что РКН направил требования на подключение к ФГИС (то есть чёрным спискам) 10 VPN-сервисам в течение 30 дней. Через 30 дней стало понятно, что 9 из 10 сервисов требования проигнорировали, а десятый от «Лаборатории Касперского» подключился к ФГИС: так вот, можно сказать что Опере предложили примерно то же самое. И они не согласились.

▍ Что происходит?


С ноября 2017 года, момента, когда у нас начал работать (насколько это вообще возможно) проапдейченный Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», с этого момента VPN-сервисы и анонимайзеры должны ограничивать доступ российским пользователям к запрещённым в России сайтам. Напомню, что есть два механизма блокировки: РКН может добавить адрес сайта в чёрный список, по которому работают все провайдеры и блокируют доступ на своём уровне, либо же по решению суда можно обязать хостера заблокировать сайт на стороне хостинга.

Интересные нюансы возникают на пересечении юрисдикций. Например, у нас есть услуги предоставления VDS-серверов в Амстердаме, которые пользуются популярностью, поскольку онлайн-казино, порнография, варез и пиратские стримы не являются в этой юрисдикции чем-то таким, с чем в Нидерландах активно борются. Никаких блокировок, никаких изъятий, максимум можете получить дело по экономической статье по поводу казино, но я про такое почти не слышал. В итоге обязать хостера заблокировать сайт с пиратским софтом или фильмами в этой юрисдикции крайне сложно, и практически такой инструмент не используется. Остаётся только блокировка на уровне каналов связи, которую в том или ином виде используют все развитые страны. Наиболее развитый в этом направлении Китай всерьёз озабочен тем, как бы пользователи не получили лишней информации, и использует куда более широкий технический арсенал средств, чем мы в России.

Если РКН в России считает, что голландский сайт надо заблокировать, то воздействовать на Нидерланды практически нет шансов. Но можно разослать адрес сайта по железкам у провайдеров и получить желанную блокировку для граждан России, находящихся в России.

В этой логике VPN-сервисы позволяют менять геолокацию гражданина и заодно «заворачивать» трафик в нечто нечитаемое для любимого провайдера, то есть, по сути, предоставляют среди прочего варианты обхода блокировок, которые можно применить на границе юрисдикций.

Соответственно для меня это выглядит так, что РКН предложил VPN-сервисам следующую альтернативу: либо они поддерживают блокировки по списку РКН, либо РКН блокирует и их в России тоже. Как мы знаем из примера 27 марта 2019 года, 9 из 10 сервисов на это не согласились, некоторые — в особо циничной форме.

Дальше РКН блокирует VPN Оперы, Опера, чтобы не подставлять браузер, отключает VPN для России с очень прозрачным путём обхода этого ограничения, а ещё дальше 30 июня РКН решает заблокировать ещё шесть VPN-сервисов.

▍ Как вообще можно заблокировать VPN-сервис?


Есть три базовых пути блокировки:

  1. Блокировка каналов распространения — сайтов, откуда можно установить VPN. Это самый очевидный и эффективный способ.
  2. Блокировка серверов, через которые используется сам VPN по IP: не каждый сервис может позволить себе постоянно менять структуру, это тоже достаточно действенный вариант. Правда, с Телеграмом этот вариант показал себя как не лишённый некоторых системных недостатков.
  3. Радикальный — DPI: влезать в каждый пакет, анализировать шаблоны трафика, выявлять протоколы по статистическому анализу пакетов, фильтровать домены по ключевым словам, искать ненужную пользователю информацию в самих пакетах и так далее.

Первый способ очень дёшев, но практически не даёт гарантий, потому что сайты в современном мире успевают размножаться быстрее, чем обновляются чёрные списки. Второй способ с блокировкой самих сервисов — он скорее про то, у кого быстрее кончится терпение, потому что в конечном итоге придётся блокировать Амазон, систему пушей Apple и Google, их магазины и так далее либо как-то договариваться с ними, чтобы они убрали от себя приложение, открывающее доступ к блокируемому ресурсу.

Оба способа не гарантируют блокировку: стоить пользователю хоть раз разобраться и урвать себе VPN, как все эти меры станут бесполезными. Зато эти способы относительно дёшевы (если сравнивать их с анализом самого трафика) и покрывают большинство пользователей. Граница проходит, скорее всего, как раз по умению или неумению отредактировать конфигурационный файл Оперы: если пользователь это способен, вряд ли он относится к большинству.

Достаточные гарантии блокировок даёт третий способ, причём, судя по Китаю, он крайне эффективен. Проблема в том, что его применение очень дорого, в частности, это требует дополнительного оборудования на всех узлах инфраструктуры. Чем сложнее анализ трафика, тем лучше срабатывает метод, но и тем дороже всё получается. Эффективность зависит и от того, насколько владельцы закрытых каналов хотят обходить ограничения: например, есть протоколы, которые маскируются под что-то другое, совершенно невинное. Тем не менее прямо сейчас в Китае практически все хоть сколько-нибудь массовые сервисы легко вычисляются как минимум по шаблонам трафика.

В общем, РКН блокирует VPN-сервисы первыми двумя методами. И именно тут я могу начать отвечать на вопрос, как это отразится на пользователях нашего хостинга.

▍ Как это отразится на пользователях нашего хостинга


Мы предоставляем хостинг в разных юрисдикциях. Далее всё перечисленное относится к российским дата-центрам. В иностранных дата-центрах российское юрлицо нанимает иностранное юрлицо для исполнения услуг, то есть, например, всё происходящее на хостинге в Лондоне остаётся в Лондоне и его юрисдикции.

Мы не являемся VPN-провайдером. Мы предоставляем инфраструктуру.

Что именно находится на наших серверах, нас не волнует в принципе, и мы этого не знаем. Мы не оператор связи, мы не можем контролировать трафик. О том, что на сервере развёрнуто что-то незаконное, мы узнаём либо по жалобе от какой-то международной организации, либо по запросу МВД или других внутренних органов. Вот пост про то, как это происходит.

Если РКН в конечном итоге реализует блокировки по третьему сценарию с сигнатурным анализом и доменами, то их ощутят на себе все клиенты российских ЦОДов. И такой сценарий вероятен по нескольким причинам:

  1. РКН уже создал белый список для корпоративных VPN.
  2. Россия в целом довольно активно развивает ИТ-сотрудничество с Китаем и перенимает многие практики и решения.
  3. Конкретно по блокировкам вопросы «суверенного Рунета» уже рассматривались, и я не верю, что это просто шум, а не как минимум тестирование общественного мнения.

При этом маловероятно, что при исполнении первых двух вариантов блокировок это как-то сильно коснётся приватных VPN в нашем хостинге. Опять же вопрос не в том, что РКН должен как-то договариваться со всеми хостерами: сейчас никто не мешает любому пользователю купить сервер на Digital Ocean и ходить на него по тому же RDP, а уже с него ходить куда угодно. Хотя уже есть пример братского Туркменистана, закрывшего доступ к мировому Интернету. Кстати, пользователи оттуда как-то умудряются покупать у нас виртуалки, но часто не могут на них зайти.

Весь вопрос — в удобстве, то есть массовости решения: логично бить по узлам распространения VPN и известным IP серверов. Все крупные VPN-провайдеры типа Оперы имеют на российском рынке другие продукты, которыми вряд ли захотят рисковать: скорее всего, они отключат свои VPN-сервисы, чтобы вы, не дай бог, не смогли достучаться до LinkedIn. Задача-то не в том, чтобы устроить Чебурнет, а в том, чтобы пресечь массовые нарушения. Я считаю, что 99 % людей не будет арендовать виртуалку ради Твиттера или Линкеда, они просто не будут пользоваться VPN. А виртуалка понадобится, потому что крупные VPN-сервисы или будут поддерживать чёрный список, или не будут предоставляться в РФ, или их сервера будут заблокированы на уровне провайдера.

Так что отвечая на вопрос, что делать пользователям хостинга в связи с действиями РКН, расслабьтесь и постарайтесь получить удовольствие.

В общем, если вы в курсе происходящего, то, скорее всего, вряд ли нашли много нового в посте. Но я как владелец VDS-хостинга хотел бы иметь возможность комментировать важные для нашей индустрии вещи и отвечать на вопросы пользователей развёрнуто.

Источник: https://habr.com/ru/company/ruvds/blog/570104/

Интересные статьи

Интересные статьи

Есть несколько способов добавить водяной знак в Битрикс. Рассмотрим два способа.
VUE.JS - это javascript фрэймворк, с версии 18.5 его добавили в ядро битрикса, поэтому можно его использовать из коробки.
Среди советов по улучшению юзабилити интернет-магазина, которые можно встретить в инете, один из явных лидеров — совет «сообщайте посетителю стоимость доставки как можно раньше».
Как широко известно, с 1 января 2017 года наступает три важных события в жизни интернет-магазинов.
Согласно многочисленным исследованиям поведения пользователей на сайте, порядка 25% посетителей покидают ресурс, если страница грузится более 4 секунд.