16 августа 2018, четверг, 22:41
Рубрики

Создать виртуальный прокси-сервер может каждый

2

Идет третий день войны между Роскомнадзором и Telegram.

Идет третий день бестолковой игры в кошки-мышки между российским Роскомнадзором и мессенджером Telegram: пользователи, даже те, кто не подключил прокси-сервер и поленился выяснять, что такое VPN, не испытывают с приложением особых затруднений. Многие потеряли доступ к Телеграму в первые часы после начала блокировок во вторник, но к обеду того же дня подключение вернулось практически у всех. Как оказалось, команда Павла Дурова хорошо подготовилась к сражению и нашла способ переводить сервис на все новые ip-адреса, провоцируя ведомство Александра Жарова на все более масштабные действия, которые пока вредят лишь другим, пока разрешенным сервисам – от научно-популярных сайтов и курьерских служб до игровых серверов и онлайн-платформ покупки билетов.

К обеду четверга Роскомнадзор заблокировал в общей сложности около 18 миллионов ip-адресов, в основном принадлежащих облачным хранилищам Amazon, Google (накануне была начата блокировка еще одной крупной площадки – DigitalOcean), но Телеграм доступен, а число невинно пострадавших растет: за юридической помощью уже обратились представители более чем 100 компаний. По данным газеты "Коммерсант", 18 апреля в Роскомнадзоре состоялась встреча при участии крупнейших операторов связи, на ней обсуждались способы блокировки Телеграма, но никаких конкретных решений принято не было.

По словам независимого специалиста по интернет-технологиям Алексея Семеняки, технические возможности Роскомнадзора по блокировке не безграничны, но принципиальная позиция ведомства делает исход борьбы непредсказуемым. Семеняка объяснил Радио Свобода, как на самом деле устроена битва за доступ к Телеграму, как далеко она может зайти, насколько жесткими могут оказаться альтернативные методы блокировки и возможен ли в России “великий китайский файрвол”.

– Сейчас много говорят, что, стараясь заблокировать доступ к Telegram, Роскомнадзор блокирует адреса облачных хостингов – в первую очередь Amazon и Google. Что это за адреса, как они связаны с мессенджером?

– Облачный хостинг позволяет создавать виртуальные серверы, которые не обязательно соответствуют физическим, то есть на одном физическом сервере может быть несколько виртуальных. Для потребителя это нормальный сервер, на котором можно размещать ресурсы точно так же, как если он пойдет в какую-нибудь компьютерную компанию, купит "железный" сервер, вставит его в стойку, подключит к интернету и там будет что-то делать. Но у облачных хостингов есть много преимуществ. Например, пользователь получает ровно те мощности, которые ему нужны, их можно эффективно перераспределять, причем на ходу. Создать новый виртуальный сервер при необходимости можно мгновенно и без участия человека. И этим новым серверам хостинг автоматически назначает новые ip-адреса из огромного пула тех, что у него изначально есть. Этим, собственно, и пользуется Телеграм.

– Для Телеграма это каждый раз один новый адрес или много?

– У Телеграма много серверов, проект большой, соответственно, они могут старые сервера виртуальные выключать, возвращать ресурсы и создавать новые виртуальные сервера. Каждый новый создаваемый виртуальный сервер получает более-менее случайным образом новый ip-адрес, то есть это такой динамически непрерывно меняющийся набор адресов. Но их, конечно, не миллионы, а намного меньше.

– А как Телеграм понимает, что старые адреса заблокированы и пора переходить на новые?

– Думаю, это делается автоматически: система постоянно анализирует нагрузку серверов. Например, если она видит, что у виртуального сервера нагрузка стала слишком низкой, то понятное дело, что он "попал под раздачу", соответственно, его можно выключать и заводить новый. Это совершенно алгоритмизуемая задача, и все это происходит почти мгновенно.

– В свою очередь Роскомнадзор старается эти новые адреса вычислить – если не точно, то хотя бы с точностью до сегмента, который нужно заблокировать. Как они это делают? Провайдеры им сообщают, что их Телеграм через них стал обращаться вот к таким-то новым адресам?

– Любой сетевой инженер умеет запустить простую программу, которая смотрит, на какие адреса уходит Телеграм, вот с компьютера самого этого конкретного инженера, например. Это не значит, что провайдеры не помогают, но это и не обязательно, достаточно посадить нескольких инженеров смотреть на поведение программы на их собственных устройствах, в принципе, частично это можно и автоматизировать.

– Но если РКН может вычислить конкретные адреса, на которые переходит Телеграм, почему не блокировать точечно именно их? Тогда бы и скандала не было, и сторонние приложения бы не пострадали.

– Проблема в том, что новый виртуальный сервер создается за доли секунды, и этот IP, который надо вычислить, в общем-то, вручную (полностью автоматизировать процесс все-таки невозможно) и заблокировать, через доли секунды может оказаться уже не валидным. То есть трудозатраты совершенно неразумные. Вторая причина – если количество записей отдельных адресов заблокированных ресурсов становится слишком большим, то перестает справляться оборудование, и то, которое осуществляет блокировку, и то, которое блокировку контролирует со стороны РКН, так называемая система “Ревизор”.

– То есть и людям проще пользоваться "ковровой бомбардировкой", и оборудованию легче оперировать списком из пары десятков больших блоков, чем списком из тысяч отдельных адресов?

– Да. Все сетевые технологии построены на использовании диапазонов адресов, без особой нужды отдельными ip-адресами никогда не оперируют. Обычно все распределения адресов, все передачи ip-адресов, все операции с этими адресами выполняются блоками.

– Насколько вся эта история болезненна для Google и Amazon?

– Недавно была похожая история с приложением-рацией Zello, которое тоже блокировал Роскомнадзор, его в итоге удалось выдавить с Амазона. Какая коммерческая история за этим кроется – мы не знаем, то ли Амазону просто надоела вся эта борьба, то ли еще чего-то, но выдавили. Но у Телеграма есть принципиальное отличие. Телеграм достаточно давно, еще несколько месяцев тому назад, когда только начала обсуждаться возможность блокировки, завел очень простой для пользователя функционал – работа через прокси. Прокси-сервер – это некий промежуточный узел, который разворачивается где-то в интернете, например, и даже чаще всего в том же самом облачном хранилище Амазона, он самый популярный и раскрученный. Вы присоединяетесь не к заблокированным серверам самого Телеграм, а к этому прокси-серверу, а уже он соединяется с сервером приложения, эту связь Роскомнадзор заблокировать бессилен. Все это настроить достаточно просто, есть очень много инструкций, с помощью которых человек даже без особой квалификации может такой виртуальный прокси-сервер создать сам. А когда прокси есть, достаточно буквально просто два нажатия мышкой, чтобы его использовать, чтобы настройки применить у себя, раздать друзьям. Это очень-очень просто. Так что если даже Амазон прогонит Телеграм как Zello, прокси-сервера никуда от этого не денутся. Амазон при все желании не сможет в своем хранилище все эти частные прокси-сервера обнаружить, закрыть, запретить. То есть многие пользователи все равно будут ходить в Телеграм через адреса Амазона, даже против его желания. Соответственно, если Амазон прогонят Телеграм, Телеграм уходит к Skaleway, например, или к Digital Ocean, или к другому облачному провайдеру, но прокси остаются на Амазоне, и с большой вероятностью РКН продолжает блокировать Амазон. Спрашивается: зачем в таком случае Амазону нести репутационные потери? История становится громкой, уже, собственно, было заявление представителя ООН по поводу непропорциональных блокировок в интернете, и зачем им так подставляться, если есть шанс, что их все равно заблокируют?

– А эти прокси-сервера на Амазоне бесплатны?

– Там можно создать бесплатную виртуальную машину, но она достаточно ограничена по возможностям, хотя для многих потребителей этого достаточно. А нормальный функционал – это 3 доллара в месяц. Думаю, 3 доллара могут себе позволить там, где достаточно большая плотность компьютерно грамотных людей.

– Но все-таки мы сейчас с вами говорим о том, что, приложив некоторое старание, пользователь, скорее всего, сможет пользоваться Телеграмом, несмотря на все действия Роскомнадзора. Однако пользователи в массе своей ленивы, они не только не будут создавать прокси-сервера, но даже чужие прокси подключать не будут и VPN ставить не будут. Есть ли шанс у команды Телеграма победить Роскомнадзор своими силами – вот этой постоянной сменой адресов?

– Да, из-за лени пользователей теоретически риск уменьшения базы есть, хотя пока я не слышал, чтобы это в действительности наблюдалось. Но и сам Телеграм пока вполне справляется. Они подготовили себе возможность переходить на новые виртуальные сервера, о которой мы говорили выше, и обновлять соответствующие настройки у пользователей с помощью пуш-уведомлений. Причем уведомления приходят не от Телеграма, а от той платформы, которой пользуется человек, – Apple, Google или Windows, то есть их не заблокировать. А создавать новые сервера можно еще очень долго, и не только в Амазоне и Гугле, есть и другие большие хостеры. Вот вчера в реестр были добавлены 130 тысяч адресов облачного хранилища Digital Ocean, возможно, это тоже из-за Телеграма. Словом, война идет по нескольким направлениям. Телеграм, как выяснилось, не полагается на один механизм, а использует несколько, это и пользовательские прокси, и свои механизмы. Не исключено, что кроме перечисленных, он будет придумывать и добавлять и новые методы обхода блокировок.

– Писали, что, увлекшись борьбой с Телеграмом, РКН перестал блокировать некоторые ранее запрещенные сайты. Такое вообще технически возможно?

– Со стороны Роскомнадзора – нет, они ведь просто формируют список запрещенных адресов. А реализация блокировки отдана на откуп операторам. И вот на уровне провайдеров уже что-то может не сработать. Месяц назад была интересная история с одним крупным провайдером. В реестр запрещенных сайтов были включены некие онлайн-казино – домены (а не адреса, это важно) со звездочками, то есть все поддомены тоже по умолчанию входили в реестр. Владельцы перестали их оплачивать, через некоторое время они перешли в свободный доступ и их снова зарегистрировал кто-то другой. И новый владелец завел в каждый из доменов по тысяче поддоменов, а на каждый из поддоменов повесил что-то вроде полутора тысяч ip-адресов. И эта вся история стала автоматически загружаться в оборудование провайдера, и в какой-то момент оборудование сказало “хватит”, и у оператора случилась авария в масштабах страны. Так и сейчас: возможно, у каких-то операторов стоит защита от подобной истории, и когда число блокируемых адресов становится слишком большим, другие отбрасываются как не помещающиеся. Я не знаю наверняка, что такие системы защиты есть, но теоретически легко себе могу их представить.

– Так чем же закончится эта битва между Роскомнадзором и Телеграмом? Роскомнадзор проиграет?

– Это совершенно непонятно, потому что Роскомнадзор пошел на принцип, это политическое решение. Они наплевали уже на всю технику и целесообразность, громят все подряд. РКН делает демонстративные заявления, все крайне эмоционально.

– Но что они могут сделать в теории? Полностью заблокировать все облачные платформы, на которых Телеграм может развернуть сервера?

– Во всяком случае, они могут попытаться это сделать.

Александр Жаров

– Но это затронет множество других сервисов, которые Жаров обещал не трогать. Уже сейчас больше сотни, мне кажется, сайтов и приложений испытали проблемы с доступом из-за войны РКН против Телеграма.

– Да, и в этом смысле заявление РКН в "Известиях", что “в 99,9% случаев ничего, выражаясь техническим языком, не легло, помимо, как раз, Telegram”, прозвучало очень интересно. В блокировке почти 20 миллионов адресов, а на одном адресе может существовать несколько сервисов, потому что на одном IP-адресе может быть много сервисов на разных портах, и вот все эти порты всех адресов нужно было проверить фактически руками, что там не висит ничего нормального. Это просто физически невозможно. А они заявляют, что 99,9% не пострадало. Понятно, что это просто демонстративная позиция Роскомнадзора, они не будут отступать даже на шаг, признавать, что погорячились. Я уж не говорю о том, что об излишних блокировках они сами писали подзаконный акт. Как они собираются выходить из этой коллизии, я не знаю.

– Но ведь государственные сервисы это не затронет, а остальные им не жалко.

– Не факт, что не затронет. Потому что на облачных платформах иногда расположены всяческие запасные вещи, например, какой-нибудь скрипт, и без его загрузки что-то на страничке работать не будет

– Как, вполне возможно, получилось у музеев Кремля, которые на днях не могли продавать онлайн-билеты несколько часов.

– Да, например. Инфраструктурная часть сайта, в том числе и государственного, может жить на Амазоне – не потому, что кто-то специально захотел его использовать, а потому что, например, использовался какой-то opensource-продукт. Это достаточно типичная история, на самом деле.

– Есть опасность, что Роскомнадзор сейчас намучается с Телеграмом и поймет, что блокировка по ip-адресам толком не работает. А ведь это все может быть пробным камнем, глава этого ведомства Жаров уже сказал, что в этом году РКН будет проверять на благонадежность Фейсбук. Если они на примере Телеграма поймут, что блокировать не получается, придется искать какой-то более действенный и грубый способ. Что это может быть?

– На самом деле некоторое время назад они уже такой метод обсуждали – требование к операторам внедрять так называемые платформы DPI (Deep Packet Inspection), предназначенные для глубокого исследования трафика. DPI позволяет для web-трафика идентифицировать, например, обращение к конкретной странице сайта, и заблокировать именно ее. И еще важно, что возможности у оборудования DPI большие, но не бесконечные – например, расшифровывать всю ту часть трафика, которая идет в зашифрованном виде, оно не может, это слишком дорогая с вычислительной точки зрения задача. При наличии некой секретной информации (для Телеграма – это пресловутые "ключи") частичная расшифровка возможна, но 1) эту секретную информацию по каждому зашифрованному потоку надо иметь, 2) это еще сильнее удорожает стоимость платформы анализа трафика. Проблема именно в том, что платформы DPI очень дорогие. Для операторов национального масштаба проведение полного, а не частичного анализа трафика – это сотни миллионов долларов, не очень подъемная история в существующей экономической ситуации.

– А китайский вариант?

– Есть китайский вариант. Но понимаете, есть хорошее техническое правило, что не надо решать организационные проблемы чисто техническими методами. Если у тебя организационная проблема, тебе нужно сочетание оргметодов и технических методов, иначе не работает, иначе это будет очень и очень дорого. Например, если организация не хочет, чтобы ее сотрудники ходили в Фейсбук, она может купить кучу оборудования, которое будет использовать разные способы анализа трафика для выявления всяческих VPN, прокси, заходы в Фейсбук через поисковую страницу Гугл, через Гугл-переводчик. А можно ввести самые простые технические методы, но при этом ввести правило, что сотрудник, который будет пойман сидящим в Фейсбуке, на год лишается премии. И это будет работать надежнее! Всегда самым эффективным будет комплекс технических и организационных мер. В Китае, собственно, так и сделано. Там не просто запретили что-то, там созданы качественные внутренние альтернативы. У Китая есть своя очень мощная социальная сеть, у них есть свой мессенджер, WeChat, с которым Телеграм пока что рядом не стоял, потому что он для всего – для записи в поликлинику, для любых денежных переводов... Нищие на улице берут милостыню через WeChat. Были созданы альтернативы, которые не хуже, чем западные, а некоторые и существенно лучше. Те технические меры блокировки, которые там есть, любой продвинутый китаец знает, как обойти. Человек приезжает в Китай, жалуется, что не работает Фейсбук, ему местные говорят – сделай то-то и то-то, и у тебя все заработает, и действительно – работает. Так что обойти блокировки можно, но абсолютному большинству это не нужно, потому что все и так удобно, да еще и настучать могут. Хотя и система фильтрации мощная, она создавалась много лет, “большой китайский файрвол” – это не миф, это серьезная разработка, но кроме кнута есть большой пряник.

Но для России это вряд ли возможно в ближайшее время, следующий шаг здесь – работа по "белым" спискам, то есть когда каждый адрес в интернете, куда разрешено ходить, проверен государством и имеет штамп благонадежности. Но это очень сложная и громоздкая система, которую нужно развернуть и обслуживать, я не очень представляю, как они будут это делать.

Участники флешмоба в поддержку мессенджера Telegram у здания Роскомнадзора

– Понятно, что пока государство контролирует соединение с глобальным интернетом, то есть в любой момент может поставить “большой файрвол”, у него будут возможности для ограничения распространения информации. Но нам разные компании обещают запустить много-много небольших спутников, которые будут раздавать интернет над всей поверхностью Земли – это даст полную информационную свободу?

– Если честно, я не очень понимаю, как это будет работать, хотя я сразу должен сказать, что я не специалист в этих технологиях. Есть вопрос регулирования радиочастот, распределение спектров происходит глобально, этим занимается организация при ООН, и там без участия госорганов не обходится. Открытые частоты со спутниками, мне кажется, не будут работать, а там, где потребуется согласование частот, российские власти его никогда не дадут. Следующий вопрос – за этот спутниковый интернет пользователю придется платить куда-то за рубеж, через обычный интернет, который под контролем государства. Другая проблема – исходящий трафик, он все равно пойдет через какие-то наземные излучатели, такие излучатели еще с советских времен у нас хорошо умеют искать. Словом, я бы не стал надеяться, что сейчас придет Илон Маск, или Фейсбук, или кто-то еще с таким спутниковым проектом, и мы получим абсолютно нефильтрованный интернет. В то же время даже в случае сильно зафильтрованного интернета, например, введения "белых" списков, какие-то лазейки останутся. Прогнозировать развитие событий очень сложно, очевидно, что сейчас идет война амбиций, роль играют скорее эмоции, а не логика, и все это происходит на фоне возможных предстоящих перестановок в правительстве.

– При повсеместном введении протокола ipv6 блокировать станет еще сложнее – ведь число адресов вырастет несоизмеримо?

– Да, адресов станет несоизмеримо больше. Помните легенду о человеке, который попросил у падишаха за обучение игре в шахматы “скромную награду” – одно зерно на первой клетке, два на второй, четыре на третьей и так далее? И оказалось, что столько зерна нет во всем свете. Так вот ровно столько возможных адресов будет только в одном сегменте ipv6, а всего их будет столько еще в 64-й степени. В этом протоколе потребуются совершенно новые практики фильтрации трафика, все придется создавать заново. Но в России пока достаточно мало узлов, использующих ipv6. До массового внедрения этого протокола, во всяком случае у нас, еще довольно далеко.