OpenVPN против DPI: учим новые слова в ожидании цензуры в украинском интернете

4 комментировать
В стремлении контролировать интернет и «противодействовать террористической угрозе» шаги украинского правительства напоминают российский сценарий
Фото: pixabay.com

В стремлении контролировать интернет и «противодействовать террористической угрозе» шаги украинского правительства напоминают российский сценарий

В конце февраля – начале марта, когда НКРСИ одобрила проект постановления Кабинета министров о блокировании запрещенных интернет-сайтов, в медиа и среди общественных организаций прокатилась волна возмущения. НВ рассказывает, как подобная инициатива скажется на пользователях, если закон примут.

 

 

В стремлении контролировать интернет и «противодействовать террористической угрозе» шаги украинского правительства напоминают российский сценарий. Закон, если его примут, может убить мелких и средних провайдеров, приведет к росту цен на услугу и снижению ее качества. Кроме того, он грозит пользователям тотальной слежкой и цензурой в интернете, а также вмешательством госорганов в частную жизнь по своему усмотрению. Мировой опыт показывает, что любой могучий файервол можно обойти при помощи VPN и других ухищрений, но использование специального оборудования для анализа содержимого и фильтрации трафика сделает это намного сложнее.

В чем суть

Когда в мае 2017 года президент подписал указ о блокировании российских ресурсов, для провайдеров остался открытым вопрос – как именно его выполнять.

В начале 2018 года государство определилось (в виде законопроекта пока еще) с инструментами блокировки и выбрало самый дорогостоящий и чреватый последствиями вариант – посредством DPI. Платить за него провайдеры должны будут из своего кармана. Государство со своей стороны максимум готово кредитовать представителей индустрии.

Deep Packet Inspection (или DPI) – это метод анализа и управления трафиком, который позволяет полностью анализировать пересылаемые данные на разных уровнях, а также перенаправлять и блокировать пакеты с конкретными данными. Это могут быть как вирусы или DDoS-атаки, так и неприемлемый для государства контент. Фильтрация происходит на разных уровнях модели OSI (Open System Interconnection).

Провайдеры могут использовать оборудование, которое анализирует трафик на нескольких уровнях модели OSI (чтобы быстро понимать, где произошла поломка, например, или чтобы управлять скоростью доступа к различным ресурсам, например, с «тяжелым» видеоконтентом).

Государство интересует все вплоть до седьмого, на котором есть доступ даже к содержимому отправленных сообщений, не говоря уже о посещаемых ресурсах. В первом случае стоимость оборудования исчисляется десятками тысяч долларов, во втором, когда требуется гораздо большая мощность, цена возрастает на порядок, то есть речь может идти о сотнях тысяч долларов.

В России государство также занимается блокированием неугодных ресурсов, но пока и там на законодательном уровне не указана технология. Роскомнадзор блокирует неугодный трафик по IP-адресам, из-за чего в стране регулярно возникают конфузы и реальные финансовые потери для бизнеса из-за того, что было заблокировано лишнее (например, десятки миллионов IP-адресов Amazon и Google). Идеи о внедрении DPI там бродят (на уровне законопроектов), но конкретные действия пока не предпринимались ввиду дороговизны.

Сама по себе технология не плоха и не хороша (кроме того, что это очень дорого по меркам такой бедной страны, как Украина). Как обычно, имеет значение то, в каких целях она используется. НВ в отдельном материале останавливалось на негативных моментах этого решения. Напомним их вкратце.

Рост цен. Речь идет о дорогостоящем оборудовании, на которое у небольших и средних провайдеров может не быть средств. В России подобный законопроект был зарегистрирован в прошлом году. Как передают «Ведомости», местный институт исследований интернета оценивает разработку и внедрение технологии на массовом уровне обойдется в $5 млрд, а ежегодная поддержка системы – еще в миллиард. В Российской ассоциации электронных коммуникаций, как пишет издание, говорят, что это приведет к уходу с рынка мелких и средних игроков и его монополизации. Украине подобное решение может вылиться в $1 млрд. С учетом того, что наши пользователи также получают интернет дешевле себестоимости, для средних и мелких провайдеров закон может оказаться фатальным.

Снижение скорости и ухудшение качества предоставления услуги. Жители городов в Украине избалованы быстрым интернетом, но установка следящего оборудования скажется на скорости доступа к ресурсам. В Китае, например, доступ ко всем внешним ресурсам происходит крайне медленно, а большое количество популярных глобальных сервисов попросту недоступны без VPN.

Подмена трафика. DPI делает возможным подмену трафика. Речь может идти как о банальных рекламных заглушках, так и о вещах посерьезнее. Так, 3 марта этого года междисциплинарный центр Университета Торонто, Citizen Lab, сообщил о том, что власти Египта используют DPI-устройства для майнинга криптовалюты Monero при помощи приложения Coinhive и демонстрации рекламы интернет-пользователям страны.

Недавно также появилась информация о том, что турецкие власти подменяют ссылки на загрузку официальных версий программ на взломанные, которые шпионят за пользователем полностью. Таким образом власти страны смогли получить доступ к каждому устройству, зараженному шпионским ПО.

Блокировка неугодных ресурсов и интернет-цензура. Чаще всего, когда говорят об интернет-цензуре, в пример приводят Китай. Власти страны так рьяно «защищают» граждан от неугодной информации, что недавно под запрет властей попала даже буква N, которую граждане использовали для недовольства тем, что текущий глава государства может оставаться у власти сколько угодно сроков. Впрочем, любое давление встречает сопротивление. Как пишет TJournal, китайские пользователи для критики правящей партии используют «марсианский» язык – кодовые фразы и картинки для определенных понятий. Местный файервол не слишком справляется с отслеживанием и фильтрацией такого контента.

Власти Ирана используют DPI, чтобы следить за поведением пользователей в интернете и в случае необходимости использовать это против них.

Использование данных в личных целях. DPI набирает популярность не только в странах, которые склоняются к тоталитаризму и ущемлению прав и свобод человека. Технология внедрена  и в государствах, которые ассоциируются с демократией. Например, в США, Канаде, Японии и т.д. Но Украина и правовые государства – это две разные истории. В стране, где несанкционированные обыски случаются чаще, чем солнечные дни, вероятность того, что силовики получат доступ ко всем данным пользователей, пугает похлеще чумы. Так как гарантии, что они не будут использоваться с частным злым умыслом, а если и будут, то суд сможет восстановить справедливость, нет. 

Против лома есть приемы

От любых инициатив государства в сфере блокирования интернет-ресурсов украинцы (да и наши северные соседи) привыкли защищаться при помощи VPN.

Государство со своей стороны может запрещать анонимайзеры и VPN-сервисы (как это сделано в России, Белоруссии, Китае и других продвинутых в вопросах цензуры странах), хотя это не самый действенный метод. Гораздо больше усложняет процесс использование DPI-оборудования. Так, китайский «золотой щит» определяет VPN-трафик и Tor и блокирует канал связи, а исключение есть только для тех, у кого есть лицензия на использование VPN от Министерства промышленности и информатизации. В стране регулярно появляются новые лазейки для использования VPN, которые государство также регулярно блокирует.

Правительство Сирии блокирует VPN-протоколы OpenVPN, L2TP и PPTP.

В большинстве случаев граждане, которым «очень надо», находят способы обхода запретов и инструкции на родном языке появляются сразу после волны публикаций об очередном запрете. Так, одним из распространенных советов по обходу DPI является рекомендация использовать OpenVPN, который маскирует VPN-трафик под HTTPS и так же, как и последний, использует SSL-шифрование.

Некоторое DPI-оборудование способно отличать OpenVPN-трафик от HTTPS. В таком случае рекомендуется использовать вместе с OpenVPN утилиту obfsproxy. Утилита оборачивает трафик в новый слой, и оборудование его не замечает и не блокирует. В более сложных случаях рекомендуют пропускать OpenVPN-трафик через SSL-туннель.

С одной стороны, все это требует от пользователей более глубоких технических знаний. С другой – в интернете большое количество подробных инструкций для каждого из методов. С их помощью с блокировкой трафика справится даже обычный пользователь. Вопрос только в мотивации и понимания, что это сделать возможно. 

У тех, кому действительно надо (да, и для террористических атак тоже) такая мотивация есть. У простых пользователей зачастую она заканчивается гораздо раньше. Но в сухом остатке мы получаем огромные расходы на внедрение, интернет-цензуру на ранних стадиях для покладистых или не самых продвинутых пользователей и те же открытые возможности для тех, кто не планировал следовать букве закона.

Журнал Новое Время №38

Тема номера — Спецназ Кремля. Российское ГРУ превратилось в монстра с многомиллиардным бюджетом, который смешит мир нелепым поведением своих «шпионов».

Читать журнал онлайн
Ukraine-2020

Читайте срочные новости и самые интересные истории в Viber и Telegram Нового Времени.

Комментарии

1000

Правила комментирования
Показать больше комментариев

Последние новости

ТОП-3 блога

Фото

ВИДЕО

Читайте на НВ style

IT-индустрия ТОП-10

опрос

Погода
Погода в Киеве

влажность:

давление:

ветер: