Изоляция рунета aka 4eburnet
@Phoenix_Gruppe
Понятно, что ролевой моделью создания суверенного интернета для российских властей является Китай. Однако шансов повторить опыт Поднебесной у России крайне мало — и по экономическим, и по технологическим, и по демографическим причинам.
Крупнейшие глобальные интернет-компании и социальные сети готовы подчиняться требованиям китайских властей и не готовы делать то же самое в России прежде всего из-за гигантской разницы в масштабах рынков двух стран.
В Китае регулярно совершают покупки в Интернете почти 150 миллионов человек — больше, чем все население России. В России это делают почти впятеро меньше людей. Объем китайской интернет-торговли подбирается к 600 млрд долларов в год, в России едва дотягивает до 500 млрд рублей.
Кроме того, Китай, прежде чем начать вводить ограничения для иностранных интернет-сетей в рамках своего проекта «Золотой щит», запустил собственные аналоги крупнейших мировых интернет-сервисов. Теперь весь мир знает «китайский Аmazon» — АliExpress, китайский аналог WhatsApp — WeChat, «китайский Twitter» — Sina Weibo. У Китая есть свой Facebook — Renren, свой Google — Baidu и даже свой Youtube — Youku Tudou. Причем все эти проекты раскручивались частными компаниями при минимальных государственных инвестициях (хотя, разумеется, под госконтролем) и быстро получили обширную клиентскую базу. Просто китайцев достаточно много, чтобы масштабировать такой бизнес и сделать его рентабельным, а у России на это не хватит ни инвестиций, ни населения.
Какой он, китайский интернет?
Китайский интернет всегда стоял особняком. Он появился в Поднебесной в середине 90-х годов и практически сразу попал в поле зрения властей, которые не обрадовались возможности граждан смотреть и читать все, что им вздумается.
Разработка проекта «Золотой щит» началась в 1998 году. По своей сути, это очень продвинутая система обеспечения безопасности. Она тесно связана с Министерством общественной безопасности КНР, а потому «нарушителей порядка» можно не только засечь в сети и заблокировать им доступ к определенным ресурсам, но и найти в реальном мире для «более предметного» разбирательства.
Таким образом китайский сегмент интернета развивался отдельно от остального мира: там не работают Google, Facebook, Netflix и другие популярные сервисы. Все они были успешно заменены китайскими аналогами.
Как работает золотой щит
Великий китайский файрвол работает на трех технологиях:
-Deep Packet Inspection (DPI)
-Connection probe
-Support vector machines (SVM)
Наверняка вы слышали о DPI из заголовков сми, давайте разберем подробнее:
DPI — это технология низкоуровневой проверки и фильтрации сетевых пакетов по их содержимому. DPI можно представить как некую фильтрующую машину, которая находит данные по заранее заданным статическим правилам, которые также называют сигнатурами.
Как это работает? В качестве примера можно привести события на площади Тяньаньмэнь, которые произошли 4 июня 1989 года в Пекине. В Китае официально запрещено упоминать о годовщине протестов, в ходе которых несколько сотен студентов были в буквальном смысле раздавлены танками.
В данном случае сигнатурами будут выступать даты протеста в различных форматах: 1989年6月4日, 04.06.1989, 06/04/1989, June 4th, 1989 и т.д. DPI сканирует национальный интернет-трафик и блокирует все URL-адреса с упоминанием даты.
При этом все происходит в режиме реального времени, а для конечного пользователя задержки и манипуляции трафиком остаются практически незаметными.
Что такое Connection probe?
Это эволюция вышеупомянутого DPI, в рамках которой прокси-сервер и низкоуровневый фильтр действуют как единый механизм.
Что это значит? Когда вы хотите воспользоваться сайтом, расположенным за пределами КНР, ваш запрос на подключение подвергается заморозке, после чего связь устанавливается уже от имени DPI.
Таким образом «Золотой щит» с помощью DPI идентифицирует содержимое запроса, а при помощи connection probe — тип запрашиваемого сервиса из внешнего интернета.
Соответственно если сервис запрещен в Китае, пользователь не сможет им воспользоваться.
Что такое Support vector machines (SVM)?
Support vector machines (SVM) или метод опорных векторов — набор алгоритмов машинного обучения, использующихся для задач классификации и регрессионного анализа.
SVM позволяет сканировать интернет-потоки на основе статического анализа, но в отличие от DPI, уже без каких-либо сигнатур. Это предоставляет огромные возможности, поскольку «позволяет проводить анализ частоты определенных символов, длин пакетов, анализ подозрительной активности с заданных адресов, замечать различные диспропорции и сетевые аномалии, этим выявляя скрытые закономерности».
Как это применяется на практике? Вернемся к примеру с событиями на площади Тяньаньмэнь. После того как DPI начал блокировать сайты с упоминанием даты протеста, китайцы начали писать эту дату как 35 мая или 1989年5月35日 на китайском (а еще множеством других неочевидных и креативных вариантов), и анализ на основе сигнатур значительно усложнился.
Благодаря SVM, «Золотой щит» распознает контекст и обнаруживает такие «подозрительные» даты с минимальным участием человека или полностью автономно.
По своей сути, SVM и connection probe можно назвать «интеллектуальными» надстройками над базовым китайским DPI.
Можно ли выйти во внешний интернет?
Многие пользователи интернета хорошо знакомы с VPN, Tor и другими технологиями для обхода блокировок сайтов или приложений (например, блокировки Telegram).
Что же мешает китайцам использовать подобные сервисы для выхода во внешний интернет? Причина проста: они заблокированы.
Такие обходные средства малоэффективные и вовсе не такие живучие, каковыми их считают простые люди. Более того, заблокировать Tor или i2p можно десятком разных способов, самый простой из которых — блокировка bootstrap-процедуры в момент инициализации их клиентов.
Попытки запретить VPN напоминают бесконечную игру в кошки-мышки между властями Китая и разработчиками таких сервисов. Первые улучшают технологии блокировки, а вторые постоянно адаптируются. Поэтому использовать VPN в Китае возможно, но при этом желательно иметь подписки хотя бы на 2 сервиса: первый использовать как основной, а второй — в случае форс-мажоров. При этом крайне важно следить за выпуском альтернатив, поскольку рано или поздно любой сервис может быть полностью заблокирован.
Как в России собираются изолировать интернет
Российские власти уже некоторое время борются с отдельными сайтами и сервисами, ограничивая доступ к ним под разными предлогами. Однако эффективность этих мер сомнительна, поскольку инструментарий Роскомнадзора относительно примитивен.
Так, все действия Роскомнадзора сводятся к требованию от интернет-операторов ограничивать доступ к конкретным IP-адресам. Этот метод не демонстрирует положительных результатов по следующим причинам: всегда можно сменить IP-адрес или обойти блокировку через VPN-сервис. Кроме того, в ходе борьбы с одним сайтом могут пострадать и многие другие: такое случалось при блокировке Telegram, когда операторы ограничивали доступ к сайтам целыми пачками.
Новый законопроект предполагает, что для блокировки ресурсов власти РФ будут использовать уже знакомую нам технологию DPI. По информации издания BBC, провайдеров обяжут установить оборудование для ограничения доступа к отдельным ресурсам при помощи DPI. При этом государство покроет издержки из денег налогоплательщиков.
Пока никаких подробностей о механике процесса власти не раскрыли, однако известно, что в августе 2018 года проводилось тестирование различных DPI-систем, в котором приняли участие продукты компаний РДП.РУ (RDP.RU), АДМ Системы, НТЦ Протей, DDoS-Guard, Napa Labs, Vas Experts и Концерн Автоматика. В конечном итоге, победителем стала компания RDP.RU, 15% которой контролирует Ростелеком.
Кроме этого, в законопроекте говорится об учениях, центре мониторинга, Управлении сетью связи общего пользования (контролирующий орган) и особой системе связи для передачи указаний.
Власти оценили реализацию проекта в 30 млрд рублей ($467 млн), однако пока неясно, достаточно ли этого для столь масштабной инициативы.
Вывод
Китай не смог до конца заблокировать внешний интернет, он просто сделал его использование максимально некомфортным. Самым действенным способом оказалась самоцензура населения.
Стоит отметить, что Китай взял интернет под контроль еще в 90-х и вложил в «Золотой щит» миллиарды. С того времени китайская сеть развивалась самостоятельно и в ней присутствуют аналоги всех западных сервисов, чего нельзя сказать о России, где в случае изоляции отсутствуют конкурентоспособные альтернативы.
Технологический подход КНР прошел долгий путь развития. Роскомнадзор в свою очередь до сих пор просто блокирует IP-адреса, при этом задевая и другие ресурсы. Вероятно, недостатки в технической реализации будут компенсироваться за счет громких заявлений и чрезмерной законодательной активности, однако вряд ли это приведет к выработке самоцензуры у россиян.
Таким образом Россия не готова к изолированному интернету ни технологически, ни морально.