Створити віртуальний проксі-сервер може кожен

Йде третій день війни між Роскомнадзором і Telegram.

До обіду четверга Роскомнадзор заблокував в цілому близько 18 мільйонів ip-адрес, в основному належать хмарним сховищ Amazon, Google (напередодні була розпочата блокування ще однієї великої площадки - DigitalOcean), але телеграм доступний, а число невинно постраждалих зростає: за юридичною допомогою вже звернулися представники більш ніж 100 компаній. За даними газети "Комерсант", 18 квітня в Роскомнадзоре відбулася зустріч за участю найбільших операторів зв'язку, на ній обговорювалися способи блокування Телеграма, але ніяких конкретних рішень прийнято не було.

За словами незалежного фахівця з інтернет-технологій Олексія Семеняки, технічні можливості Роскомнадзора по блокуванню не безмежні, але принципова позиція відомства робить результат боротьби непередбачуваним. Семеняка пояснив радіо Свобода , Як насправді влаштована битва за доступ до Телеграма, як далеко вона може зайти, наскільки жорсткими можуть виявитися альтернативні методи блокування і чи можливий в Росії "великий китайський файрвол".

- Зараз багато говорять, що, намагаючись заблокувати доступ до Telegram, Роскомнадзор блокує адреси хмарних хостингів - в першу чергу Amazon і Google. Що це за адреси, як вони пов'язані з месенджером?

- Хмарний хостинг дозволяє створювати віртуальні сервери, які не обов'язково відповідають фізичним, тобто на одному фізичному сервері може бути кілька віртуальних. Для споживача це нормальний сервер, на якому можна розміщувати ресурси точно так же, як якщо він піде в якусь комп'ютерну компанію, купить "залізний" сервер, вставить його в стійку, підключить до інтернету і там буде щось робити. Але у хмарних хостингів є багато переваг. Наприклад, користувач отримує рівно ті потужності, які йому потрібні, їх можна ефективно перерозподіляти, причому на ходу. Створити новий віртуальний сервер при необхідності можна миттєво і без участі людини. І цим новим серверів хостинг автоматично призначає нові ip-адреси з величезного пулу тих, що у нього з самого початку є. Цим, власне, і користується телеграм.

- Для Телеграма це кожен раз один новий адресу чи багато?

- У Телеграма багато серверів, проект великий, відповідно, вони можуть старі сервера віртуальні вимикати, повертати ресурси і створювати нові віртуальні сервера. Кожен новий створюваний віртуальний сервер отримує більш-менш випадковим чином новий ip-адреса, тобто це такий динамічно безупинно мінливий набір адрес. Але їх, звичайно, не мільйони, а набагато менше.

- А як телеграм розуміє, що старі адреси заблоковані і пора переходити на нові?

- Думаю, це робиться автоматично: система постійно аналізує навантаження серверів. Наприклад, якщо вона бачить, що у віртуального сервера навантаження стала занадто низькою, то ясна річ, що він "потрапив під роздачу", відповідно, його можна вимикати і заводити новий. Це абсолютно алгоритмізуються, і все це відбувається майже миттєво.

- У свою чергу Роскомнадзор намагається ці нові адреси вирахувати - якщо не точно, то хоча б з точністю до сегмента, який потрібно заблокувати. Як вони це роблять? Провайдери їм повідомляють, що їх телеграм через них став звертатися ось до таких-то новими адресами?

- Будь-який мережевий інженер вміє запустити просту програму, яка дивиться, на які адреси йде телеграм, ось з комп'ютера самого цього конкретного інженера, наприклад. Це не означає, що провайдери не допомагають, але це і не обов'язково, досить посадити кількох інженерів дивитися на поведінку програми на їх власних пристроях, в принципі, частково це можна й автоматизувати.

- Але якщо РКН може обчислити конкретні адреси, на які переходить телеграм, чому не блокувати точково саме їх? Тоді б і скандалу не було, і сторонні додатки б не постраждали.

- Проблема в тому, що новий віртуальний сервер створюється за частки секунди, і цей IP, який треба обчислити, в общем-то, вручну (повністю автоматизувати процес все-таки неможливо) і заблокувати, через долі секунди може виявитися вже не дійсним. Тобто трудовитрати абсолютно нерозумні. Друга причина - якщо кількість записів окремих адрес заблокованих ресурсів стає занадто великим, то перестає справлятися обладнання, і то, яке здійснює блокування, і то, яке блокування контролює з боку РКН, так звана система "Ревізор".

- Тобто і людям простіше користуватися "килимовій бомбардуванням", і устаткуванню легше оперувати списком з пари десятків великих блоків, ніж списком з тисяч окремих адрес?

- Так. Всі мережеві технології побудовані на використанні діапазонів адрес, без особливої ​​потреби окремими ip-адресами ніколи не оперують. Зазвичай все розподілу адрес, все передачі ip-адрес, всі операції з цими адресами виконуються блоками.

- Наскільки вся ця історія болюча для Google і Amazon?

- Нещодавно була схожа історія з додатком-рацією Zello, яке теж блокував Роскомнадзор, його в підсумку вдалося видавити з Амазону. Яка комерційна історія за цим криється - ми не знаємо, чи то Амазонії просто набридла вся ця боротьба, то чи ще чогось, але видавили. Але у Телеграма є принципова відмінність. Телеграм досить давно, ще кілька місяців тому, коли тільки почала обговорюватися можливість блокування, завів дуже простий для користувача функціонал - робота через проксі. Проксі-сервер - це якийсь проміжний вузол, який розгортається десь в інтернеті, наприклад, і навіть найчастіше в тому ж самому хмарному сховище Амазону, він найпопулярніший і розкручений. Ви приєднуєтеся ні до заблокованим серверів самого телеграм, а до цього проксі-сервера, а вже він з'єднується з сервером додатка, цей зв'язок Роскомнадзор заблокувати безсилий. Все це налаштувати досить просто, є дуже багато інструкцій, за допомогою яких людина навіть без особливої ​​кваліфікації може такий віртуальний проксі-сервер створити сам. А коли проксі є, достатньо буквально просто два натискання мишкою, щоб його використовувати, щоб настройки застосувати у себе, роздати друзям. Це дуже-дуже просто. Так що якщо навіть Амазон прожене телеграм як Zello, проксі-сервера нікуди від цього не дінуться. Амазон при все бажанні не зможе в своєму сховищі всі ці приватні проксі-сервера виявити, закрити, заборонити. Тобто багато користувачів все одно ходитимуть в телеграм через адреси Амазону, навіть всупереч його бажанню. Відповідно, якщо Амазон проженуть телеграм, телеграм йде до Skaleway, наприклад, або до Digital Ocean, або до іншого хмарного провайдера, але проксі залишаються на Амазон, і з великою ймовірністю РКН продовжує блокувати Амазон. Питається: навіщо в такому разі Амазонії нести репутаційні втрати? Історія стає гучною, вже, власне, була заява представника ООН з приводу непропорційних блокувань в інтернеті, і навіщо їм так підставлятися, якщо є шанс, що їх все одно заблокують?

- А ці проксі-сервера на Амазон безкоштовні?

- Там можна створити безкоштовну віртуальну машину, але вона досить обмежена за можливостями, хоча для багатьох споживачів цього достатньо. А нормальний функціонал - це 3 долари на місяць. Думаю, 3 долари можуть собі дозволити там, де досить велика щільність комп'ютерно грамотних людей.

- Але все-таки ми зараз з вами говоримо про те, що, доклавши деяке старання, користувач, швидше за все, зможе користуватися Телеграма, незважаючи на всі дії Роскомнадзора. Однак користувачі в масі своїй ліниві, вони не тільки не будуть створювати проксі-сервера, але навіть чужі проксі підключати не будуть і VPN ставити не будуть. Чи є шанс у команди Телеграма перемогти Роскомнадзор своїми силами - ось цієї постійною зміною адрес?

- Так, через лінь користувачів теоретично ризик зменшення бази є, хоча поки я не чув, щоб це насправді спостерігалося. Але і сам телеграм поки цілком справляється. Вони підготували собі можливість переходити на нові віртуальні сервера, про яку ми говорили вище, і оновлювати відповідні налаштування у користувачів за допомогою пуш-повідомлень. Причому повідомлення приходять не від Телеграма, а від тієї платформи, якою користується людина, - Apple, Google або Windows, тобто їх не заблокувати. А створювати нові сервера можна ще дуже довго, і не тільки в Амазон і Гуглі, є й інші великі хостери. Ось вчора в реєстр були додані 130 тисяч адрес хмарного сховища Digital Ocean, можливо, це теж через Телеграма. Словом, війна йде по декількох напрямках. Телеграм, як з'ясувалося, не покладається на один механізм, а використовує кілька, це і призначені для користувача проксі, і свої механізми. Не виключено, що крім перерахованих, він буде придумувати і додавати і нові методи обходу блокувань.

- Писали, що, захопившись боротьбою з Телеграма, РКН перестав блокувати деякі раніше заборонені сайти. Таке взагалі технічно можливо?

- З боку Роскомнадзора - немає, вони ж просто формують список заборонених адрес. А реалізація блокування віддана на відкуп операторам. І ось на рівні провайдерів вже щось може не спрацювати. Місяць тому була цікава історія з одним великим провайдером. До реєстру заборонених сайтів були включені якісь онлайн-казино - домени (а не адреси, це важливо) із зірочками, тобто все піддомени теж за замовчуванням входили до реєстру. Власники перестали їх оплачувати, через деякий час вони перейшли у вільний доступ і їх знову зареєстрував хтось інший. І новий власник завів в кожен з доменів по тисячі піддоменів, а на кожен з піддоменів повісив щось на зразок півтори тисячі ip-адрес. І ця вся історія стала автоматично завантажуватися в обладнання провайдера, і в якийсь момент обладнання сказало "вистачить", і у оператора трапилася аварія в масштабах країни. Так і зараз: можливо, у якихось операторів коштує захист від подібної історії, і коли число заблокованих адрес стає занадто великим, інші відкидаються як не поміщаються. Я не знаю напевно, що такі системи захисту є, але теоретично легко собі можу їх представити.

- Так чим же закінчиться ця битва між Роскомнадзором і Телеграма? Роскомнадзор програє?

- Це абсолютно незрозуміло, тому що Роскомнадзор пішов на принцип, це політичне рішення. Вони наплювали вже на всю техніку і доцільність, громлять все підряд. РКН робить демонстративні заяви, все вкрай емоційно.

- Але що вони можуть зробити в теорії? Повністю заблокувати всі хмарні платформи, на яких телеграм може розгорнути сервера?

- У всякому разі, вони можуть спробувати це зробити.

- Але це торкнеться безліч інших сервісів, які Жаров обіцяв не чіпати. Вже зараз більше сотні, мені здається, сайтів і додатків відчули проблеми з доступом через війну РКН проти Телеграма.

- Так, і в цьому сенсі заява РКН в "Известиях", що "в 99,9% випадків нічого, виражаючись технічною мовою, не лягло, крім, як раз, Telegram", прозвучало дуже цікаво. У блокуванні майже 20 мільйонів адрес, а на одній адресі може існувати кілька сервісів, тому що на одному IP-адресу може бути багато сервісів на різних портах, і ось всі ці порти всіх адрес потрібно було перевірити фактично руками, що там не варто нічого нормального . Це просто фізично неможливо. А вони заявляють, що 99,9% не постраждало. Зрозуміло, що це просто демонстративна позиція Роскомнадзора, вони не будуть відступати навіть на крок, визнавати, що погарячкували. Я вже не кажу про те, що про зайвих блокування вони самі писали підзаконний акт. Як вони збираються виходити з цієї колізії, я не знаю.

- Але ж державні сервіси це не торкнеться, а решта їм не шкода.

- Не факт, що не зачепить. Тому що на хмарних платформах іноді розташовані всілякі запасні речі, наприклад, який-небудь скрипт, і без його завантаження щось на сторінці працювати не буде

- Як, цілком можливо, вийшло у музеїв Кремля, які днями не могли продавати онлайн-квитки кілька годин.

- Так, наприклад. Інфраструктурна частина сайту, в тому числі і державного, може жити на Амазон - не тому, що хтось спеціально захотів його використовувати, а тому що, наприклад, використовувався якийсь opensource-продукт. Це досить типова історія, насправді.

- Є небезпека, що Роскомнадзор зараз намучиться з Телеграма та зрозуміє, що блокування по ip-адресами толком не працює. А адже це все може бути пробним каменем, глава цього відомства Жаров вже сказав, що в цьому році РКН перевірятиме на благонадійність Фейсбук. Якщо вони на прикладі Телеграма зрозуміють, що блокувати не виходить, доведеться шукати якийсь більш дієвий і грубий спосіб. Що це може бути?

- Насправді деякий час назад вони вже такий метод обговорювали - вимога до операторів впроваджувати так звані платформи DPI (Deep Packet Inspection), призначені для глибокого дослідження трафіку. DPI дозволяє для web-трафіку ідентифікувати, наприклад, звернення до конкретної сторінці сайту, і заблокувати саме її. І ще важливо, що можливості у обладнання DPI великі, але не безкінечні - наприклад, розшифровувати всю ту частину трафіку, яка йде в зашифрованому вигляді, воно не може, це занадто дорога з обчислювальної точки зору завдання. При наявності якоїсь секретної інформації (для Телеграма - це горезвісні "ключі") часткова розшифровка можлива, але 1) цю секретну інформацію по кожному зашифрованого потоку треба мати, 2) це ще сильніше здорожує вартість платформи аналізу трафіку. Проблема саме в тому, що платформи DPI дуже дорогі. Для операторів національного масштабу проведення повного, а не часткового аналізу трафіку - це сотні мільйонів доларів, не дуже підйомна історія в існуючій економічній ситуації.

- А китайський варіант?

- Є китайський варіант. Але розумієте, є хороше технічне правило, що не треба вирішувати організаційні проблеми чисто технічними методами. Якщо у тебе організаційна проблема, тобі потрібно поєднання оргметодов і технічних методів, інакше не працює, інакше це буде дуже і дуже дорого. Наприклад, якщо організація не хоче, щоб її співробітники ходили в Фейсбук, вона може купити купу обладнання, яке буде використовувати різні способи аналізу трафіку для виявлення всіляких VPN, проксі, заходи в Фейсбук через пошукову сторінку Гугл, через Гугл-перекладач. А можна ввести найпростіші технічні методи, але при цьому ввести правило, що співробітник, який буде спійманий сидить в Фейсбуці, на рік позбавляється премії. І це буде працювати надійніше! Завжди найефективнішим буде комплекс технічних і організаційних заходів. У Китаї, власне, так і зроблено. Там не просто заборонили щось, там створені якісні внутрішні альтернативи. У Китаю є своя дуже потужна соціальна мережа, у них є свій месенджер, WeChat, з яким телеграм поки що поруч не стояв, тому що він для всього - для запису в поліклініку, для будь-яких грошових переказів ... Жебраки на вулиці беруть милостиню через WeChat. Були створені альтернативи, які не гірше, ніж західні, а деякі і істотно краще. Ті технічні заходи блокування, які там є, будь-який просунутий китаєць знає, як обійти. Людина приїжджає в Китай, скаржиться, що не працює Фейсбук, йому місцеві кажуть - зроби те-то і те-то, і у тебе все запрацює, і дійсно - працює. Так що обійти блокування можна, але абсолютній більшості це не потрібно, тому що все і так зручно, та ще й настукати можуть. Хоча і система фільтрації потужна, вона створювалася багато років, "великий китайський файрвол" - це не міф, це серйозна розробка, але крім батога є великий пряник.

Альо для России це навряд чи можливо найближче годиною, Наступний крок тут - робота з "Білим" списками, тобто коли Кожна адреси в інтернеті, куди дозволено ходити, перевіреній державою и має штамп благонадійності. Але це дуже складна і громіздка система, яку потрібно розгорнути і обслуговувати, я не дуже уявляю, як вони будуть це робити.

- Зрозуміло, що поки держава контролює з'єднання з глобальним інтернетом, тобто в будь-який момент може поставити "великий файрвол", у нього будуть можливості для обмеження поширення інформації. Але нам різні компанії обіцяють запустити багато-багато невеликих супутників, які будуть роздавати інтернет над всією поверхнею Землі - це дасть повну інформаційну свободу?

- Якщо чесно, я не дуже розумію, як це буде працювати, хоча я відразу повинен сказати, що я не фахівець в цих технологіях. Є питання регулювання радіочастот, розподіл спектрів відбувається глобально, цим займається організація при ООН, і там без участі державних органів не обходиться. Відкриті частоти з супутниками, мені здається, не працюватимуть, а там, де потрібно узгодження частот, російська влада його ніколи не дадуть. Наступне питання - за цей супутниковий інтернет користувачеві доведеться платити кудись за кордон, через звичайний інтернет, який під контролем держави. Інша проблема - вихідний трафік, він все одно піде через якісь наземні випромінювачі, такі випромінювачі ще з радянських часів у нас добре вміють шукати. Словом, я б не став сподіватися, що зараз прийде Ілон Маск, або Фейсбук, або хтось ще з таким супутниковим проектом, і ми отримаємо абсолютно нефільтрований інтернет. У той же час навіть в разі сильно зафільтрованних інтернету, наприклад, введення "білих" списків, якісь лазівки залишаться. Прогнозувати розвиток подій дуже складно, очевидно, що зараз йде війна амбіцій, роль грають скоріше емоції, а не логіка, і все це відбувається на тлі можливих майбутніх перестановок в уряді.

- При повсюдне введення протоколу ipv6 блокувати стане ще складніше - адже число адрес виросте незрівнянно?

- Так, адрес стане незрівнянно більше. Пам'ятаєте легенду про людину, який попросив у падишаха за навчання грі в шахи "скромну винагороду" - одне зерно на першій клітці, два на другий, чотири на третій і так далі? І виявилося, що стільки зерна немає у всьому світі. Так ось рівно стільки можливих адрес буде тільки в одному сегменті ipv6, а всього їх буде стільки ще в 64-го ступеня. У цьому протоколі будуть потрібні зовсім нові практики фільтрації трафіку, все доведеться створювати заново. Але в Росії поки досить мало вузлів, що використовують ipv6. До масового впровадження цього протоколу, в усякому разі у нас, ще досить далеко.