«Суверенная Матрешка». Как власть планирует лишить россиян выхода в свободный интернет
Липовый РунетПоследние несколько лет Роскомнадзор при поддержке спецслужб целенаправленно строил в России «Суверенный Чебурнет»: автономное сетевое пространство, изолированное от остального мира. Хотя в последние недели разговоры о введении тотальной цензуры в рунете или даже полном отключении интернета в России поутихли, прекращать беспокоиться на этот счет явно рано. С высокой вероятностью у властей технически уже все готово к тому, чтобы дернуть этот «рубильник».
Далее мы разберем, в чем уникальность «Суверенного Чебурнета» в мировом масштабе, почему его нельзя уподоблять методам контроля за интернетом, принятым в Северной Корее и Китае, и наконец, какую роль в его строительстве сыграла «национализация» IP-адресов.
Опыт Китая и Северной Кореи
Китайское правительство начало блокировать сайты еще в далеком 1996 году, когда в сеть выходили всего 150 000 китайцев, а за разработку «Великого китайского файрвола» (также известного как проект «Золотой щит») взялось в 1998-ом. Китайская система контроля за трафиком выстраивалась и модифицировалась десятилетиями по мере распространения интернета в стране, и создать нечто подобное за несколько лет у российских властей при всем желании бы не получилось.
На первом этапе китайский файрвол умел лишь блокировать доменные имена и IP-адреса. Этот метод прост в реализации, однако «черные списки» приходится регулярно обновлять, а если какой-то ресурс поставит перед собой задачу обойти файрвол, он может просто сменить IP-адрес.
В конце нулевых под запрет в КНР попали крупные западные соцсети: Facebook, Twitter, Youtube. Примерно тогда же файрвол научился анализировать контент сайтов на предмет наличия запрещенных слов. Граждан КНР традиционно ограждают от информации, связанной с порнографией, насилием, азартными играми, правами человека, протестами и религией, а с недавних пор – и от обвинений китайских властей в распространении коронавируса.
Третий этап развития файрвола (2011-12 годы) был сосредоточен на борьбе со средствами для обхода блокировок, и постепенно «Золотой щит» научился сбрасывать VPN-соединения.
В 2017 году китайское правительство решило полностью искоренить сетевую анонимность. Западные соцсети в стране давно запрещены, а чтобы зарегистрироваться в их местных аналогах, необходимо указать свои паспортные данные, номер телефона и место работы. Владельцам интернет-кафе запрещено предоставлять посетителям доступ к сети без предъявления паспорта. Магазины мобильных приложений обязаны удалять из них неавторизованные VPN-сервисы, если не хотят потерять китайский рынок. Использовать можно разве что специальные VPN с ограниченным функционалом, которые одобрило государство: они защищают канал связи, но не позволяют обходить блокировки.
Так или иначе, хотя «Золотой щит» более или менее успешно блокирует внутри страны запрещенный трафик, китайский интернет остается частью мирового сетевого пространства. Невзирая на все запреты и уголовное наказание за организацию обхода блокировок, китайцы по-прежнему прорываются в свободный интернет при помощи VPN.
В Иране обход блокировок представляет собой ещё меньше трудностей. В стране чрезвычай но популярно приложение для обхода цензуры Psiphon, и почти 11% жителей Ирана используют Twitter и около 18% — Facebook, официально заблокированные аж в 2009 году. Запрещенными социальными сетями (как и в России) активно пользуются даже правительственные чиновники.
В Северной Корее национальный интернет («Кванмён») устроен предельно примитивно и напоминает большую локальную сеть. Внутри нее находятся сайты доменной зоны .kp, доступ к которым из других государств закрыт. Почти весь северокорейский интернет-трафик проходит через Китай либо российскую компанию «ТрансТелеКом».
В сети «Кванмён» есть сайты государственных, культурных и образовательных учреждений. Некоторые ресурсы технического и справочного характера выгружаются из внешнего интернета, проходят цензурную проверку, очищаются от «вредной» информации и заново размещаются в «Кванмён».
В Северной Корее выпускаются смартфоны собственного производства и разработана национальная операционная система «Красная звезда» на базе Fedora Linux. Она поставляется с рядом предустановленных «шпионских» приложений для слежки за пользователями. Файлы, которые открывает система, должны быть либо созданы на самом компьютере, либо помечены специальной электронной подписью: так северокорейское правительство борется с распространением зарубежных фильмов и музыки. О попытке их просмотра может стать известно властям, что чревато уголовным наказанием.
В 2014 году количество интернет-пользователей в Северной Корее оценивалось всего в несколько тысяч. Даже если с тех пор эта цифра существенно возросла, едва ли можно говорить о том, что интернет-технологии охватили существенный процент от 25-миллионного населения страны.
Такая ситуация отнюдь не похожа на реалии современной России, где работают тысячи провайдеров, и канал связи с внешним миром жизненно необходим хотя бы для международной торговли и нормального функционирования банков.
«Суверенный Чебурнет» скорее будет напоминать один из национальных символов – матрешку: изолированную систему внутри мирового интернета, выход из которой наружу, то есть, в глобальную сеть окажется невозможен для обычного пользователя.
“Модель большого интернета в отдельно взятой стране”
Чтобы в полной мере осознать угрозу, которую создали для всех пользователей Рунета планы Роскомнадзора, необходимо хотя бы в общих чертах представлять себе как устроено мировое интернет-пространство. Каждое устройство, выходящее в сеть, обладает собственным IP-адресом. В соответствии с действующей на сегодняшний день четвертой версией протокола (IPv4) этот адрес записывается четырьмя десятичными числами от 0 до 255, разделенными точками. Таким образом можно записать 232 миллиарда адресов. С учетом повсеместного распространения смартфонов эта цифра оказалась далеко не столь велика, как может показаться, и в связи с исчерпанием IPv4-адресов в мире грядет постепенный переход на стандарт IPv6.
IP-сети объединяются в автономные системы, каждая из которых имеет собственную маршрутную карту для подключенных к ней устройств и, как правило, управляется одним провайдером. По состоянию на 2019 год в России было зарегистрировано около 63 000 автономных систем. У каждой автономной системы есть уникальный 32-значный номер, и чтобы получить его, провайдер должен пройти процедуру регистрации и одобрения.
Связь между автономными системами осуществляется при помощи BGP-маршрутизации (Border Gateway Protocol, протокол граничного шлюза). Образно говоря, если каждая автономную систему представить себе в качестве города, то BGP будут соединяющими эти города магистрали.
Управлением адресным пространством интернета занимается международная некоммерческая организация ICANN. Она распределила все существующие IPv4-адреса между пятью региональными интернет-регистраторами (РИР), каждый из которых отвечает за целый континент. Интернет-регистратор, ответственный за маршрутизацию интернета в Европе, на Ближнем Востоке и в Центральной Азии, называется RIPE NCC.
РИРы, в свою очередь, выделяют номера автономных систем и блоки IPv4-адресов локальным интернет-регистраторам (ЛИРам). Стать ЛИРом при желании может любая организации при наличии необходимых документов.
Важную роль в функционированни интернета также играет система доменных имён (англ. DNS - Domain Name System). Благодаря ней пользователям не нужно запоминать IP-адреса сайта, на который они хотят попасть. Вместо этого они вводят его буквенный адрес, а система преобразовывает его в IP.
В мае 2019 года был принят закон о «суверенном интернете», после чего Роскомнадзор при поддержке других правительственных ведомств занялся созданием в России автономной интернет-инфраструктуры. Вскоре после вступления этого закона в силу было возбуждено уголовное дело против учредителей Фонда развития Интернет Алексея Солдатова и Алексея Шкиттина. Мы уже рассказывали, как репрессии против Фонда развития Интернет помогли Кремлю в установлении контроля над рунетом, а пока просто напомним, что благодаря этим действиям государство вернуло права на советский домен .su и около 470 000 IP-адресов, администрирование которых Солдатов и Шкиттин собирались передать зарегистрированной в Чехии компании. Солдатов в результате был отправлен под домашний арест, а Шкиттин получил убежище в Германии, поскольку немецкие власти сочли его преследование политически мотивированным.
С начала 2021 года для всех операторов связи и компаний, имеющих технологические сети и номера автономных систем, стало обязательным подключение к национальной системе доменных имен (НСДИ). Все запросы к ней проходят через подведомственное Роскомнадзору ФГУП «Государственный радиочастотный центр» (мы подробно разбирали, как устроена эта контора). Подключившиеся к НСДИ операторы обязаны предоставлять полную информацию о своих пользователях, в том числе их логины и IP-адреса. По мнению экспертов, это позволяет ГРЧЦ и Роскомнадзору собирать данные о переходах пользователей на конкретные сайты.
Параллельно этому создавался привязанный к НСДИ изолированный Реестр адресно-номерных ресурсов (РАНР), представляющий собой аналог базы данных RIPE. В феврале этого года Роскомнадзор издал распоряжение о переходе на систему РАНР всем операторам связи, имеющим в собственности автономные системы.
Чтобы сделать российский интернет полностью «суверенным» и независимым от европейской инфраструктуры, Роскомнадзору осталось проложить между образующими Рунет автономными системами собственные BGP-маршруты.
Как объяснял Алексей Шкиттин изданию Insider, “суверенный рунет” будет представлять собой “изолированную систему с собственной системой доменных имен и адресным пространством, то есть, некую модель большого интернета, развёрнутую в отдельно взятой стране”.
- Учитывая тотальный контроль над источниками зарубежного трафика (не зря они бросились кабели переписывать вдоль границы), а так же развёртывание системы глубокого сканирования, для обычного пользователя станет невозможным свободный выход в глобальный интернет или создание внутри страны какого-либо неугодного властям ресурса, - утверждает Шкиттин.
Связь с внешним миром может сохраниться у операторов, имеющих с ним прямое кабельное соединение, однако все они уже к 1 марта были обязаны отчитаться РКН о своей инфраструктуре. Таким образом все источники трафика из-за границы будут поставлены на строгий учет.
«Все равно, что убрать Россию с карты»
Пока нельзя сказать, что все новости относительно будущего рунета – плохие. Так, до сих пор незаметно никаких предпосылок к тому, что интернет могут серьезно ограничить в России не изнутри, а снаружи.
Ещё в марте правительство Украины обращалось в ICANN с просьбой навсегда или временно отстранить Россию от реестра доменов в интернете, лишить ее прав на домены первого уровня .ru, .рф и .su и отключить российские корневые сервера DNS. Представители организации, однако, объяснили, что эти шаги ударят не столько по путинскому режиму и его возможности проводить военные операции, сколько по простым россиянам, ищущим достоверную информацию в интернете.
- Просить ICANN удалить домен верхнего уровня .ru или принять меры против российского интернет-трафика — все равно что просить убрать Россию с карты. Этически это может быть оправдано, но на практике абсурдно и контрпродуктивно. ICANN не в состоянии повлиять на российское правительство, но ее действия могут причинить и причинят вред невиновным российским гражданам по одной лишь причине использования ими домена .ru или их нахождения в России, - высказал изданию VICE свою точку зрения юрист по кибербезопасности Фредерик Дженнингс.
Переход к Суверенному Рунету, которого некоторые эксперты ждали ещё в марте, не состоялся до сих пор и российские власти решительно отрицают наличие у них таких планов. Однако, если положение на фронте сильно ухудшится, и в стране все-таки будет объявлено военное положение, ситуация может измениться очень быстро.
В таком случае, поскольку властям какое-то время все-таки еще будут требоваться каналы связи с внешним миром, продолжат работать mesh-сети, в которых пользователи становятся провайдерами друг для друга, и проект Yggdrasil: глобальная mesh-сеть, действующая поверх обычного интернета или параллельно с ним. О приложениях, которые важно установить уже сейчас на случай тотальных блокировок, мы рассказывали в нашем недавнем тексте.
Нельзя исключать и вариант полномасштабного интернет-шатдауна, когда в целых регионах страны сеть не будет работать в принципе (мы разбирали, как это было организовано и к каким последствиям привело во время протестов в Камеруне и индийском штате Кашмире), однако из-за катастрофических последствий для экономики последний едва ли продлится долго.
Так или иначе, надеяться на лучшее и готовиться к худшему – это все, что нам остается делать прямо сейчас.