Роскомнадзор пришел за VPN

В последнее время все больше сайтов в России попадают под блокировку Роскомнадзора. В частности, жертвами санкций становятся VPN-сервисы, которые открывают доступ к запрещенным порталам в стране. Могут ли в России полностью запретить средства обхода блокировок и что делать в случае ухода крупных VPN-провайдеров с рынка, в колонке для журнала «Компания» рассказал IT-предприниматель и основатель Privacy Accelerator Станислав Шакиров.

Роскомнадзор грозит блокировками VPN, которые предоставляют доступ к сайтам, запрещенным в России. На отдельные сервисы, отказавшиеся входить в белый список, ведомство уже накладывало некие санкции. Например, они коснулись Opera VPN и VyprVPN, правда, никто из пользователей никаких затруднений или сбоев в их работе не заметил. Тем не менее появляются сведения, что грядут новые ограничения для целого списка других VPN.  

Основной конфликт между Роскомнадзором и провайдерами VPN в том, что ведомство хочет заставить последних блокировать все сайты, доступ к которым по российскому законодательству должен быть ограничен. По сути, это подключение к Единому реестру запрещенной информации, по которому уже блокируют сайты операторы связи. VPN же в большинстве своем (кроме некоторых российских) ничего не блокируют и не будут блокировать, поскольку это противоречит их бизнес-модели.

Складывается впечатление, что полный запрет неподконтрольных VPN-сервисов в России не за горами. И первые кирпичики заложены: 1 ноября 2019 года в силу вступил Закон о «суверенном Рунете». Согласно ему, российский сегмент интернета должен «централизованно управляться Роскомнадзором», а у каждого провайдера появятся ТСПУ (технические средства противодействия угрозам). Сейчас они активно внедряются, пример их работы можно было наблюдать во время шейпинга Twitter или блокировок сайтов команды Навального в конце июля.

Подобный механизм потенциально может негативно повлиять на работу VPN-сервисов, но даже в Китае с его более чем 20-летней традицией блокировать неугодную информацию, а также средства ее получения не удалось полностью решить этот вопрос.

VPN (Virtual Private Network) — это технология для создания защищенной Сети поверх интернета. Ее используют при разработке корпоративных сетей, а также для персонального выхода в интернет. Во втором случае строится зашифрованный туннель до какого-то компьютера в интернете, обычно располагающегося в другой стране (VPN-сервер), после чего использование Сети происходит уже с него.

Роскомнадзор взялся за сервисы обхода блокировок в начале лета. Именно тогда в черный список попали VyprVPN и Opera VPN. На прошлой неделе ведомство заблокировало еще шесть VPN-сервисов. Жертвами санкций стали Hola! VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN и IPVanish VPN.

прочитать весь текст

Великий китайский файервол 

В Китае с 2000-х годов действует многоуровневая система блокировок нежелательной для государства информации как вне страны, так и внутри нее. Замиксовав разные технологии ограничений — от простой блокировки по IP-адресу до контекстной фильтрации запросов, китайцы выстроили самую совершенную в мире систему фильтрации интернета — Великий китайский файервол (или проект «Золотой щит»). Пользователи, которым нужно «перелезть через стену», спасаются VPN-технологиями. Они предлагались ранее в большом разнообразии: от бесплатных до премиумных, дорогих версий.

Однако с 2017 года все VPN, которые официально не одобрены государством, находятся вне закона. Компании, предоставляющие услуги анонимизации, теперь должны купить лицензию и сотрудничать с госорганами. Гражданам нельзя в частном порядке пользоваться VPN — нарушение запрета грозит серьезными штрафами, а в некоторых случаях даже тюрьмой.

Право использовать VPN есть только у коммерческих структур, но и там нужно пройти специальную регистрацию. Сайты VPN-сервисов и сайты с информацией об этих сервисах, даже ссылки на них блокируются в Китае, их удаляют из App Store. При этом примерно 30% жителей страны используют VPN для доступа к привычным западным сайтам и сервисам, таким как Instagram, Facebook, WhatsАpp.

Как правило, пользователи нелегального VPN в Китае — это молодые образованные горожане и экспаты. Для среднестатистического пользователя из провинции достаточно того объема интернета, который уже есть внутри «щита»: серфить под страхом уголовного преследования он точно не будет. Правда, риск получить штраф или срок за использование VPN для простого юзера крайне мал. Обычно это демонстративное наказание случайных пользователей или способ давления на кого-то персонально. 

Особенности российского выбора 

В России в том же 2017 году были сделаны поправки в Федеральный закон «Об информации, информационных технологиях и защите информации». Они накладывают запрет на существование сервисов обхода блокировок сайтов: сюда подпадают прокси-серверы, анонимайзеры, VPN-сервисы и оверлейные анонимизирующие сети типа Tor. Теперь любой сайт, на котором есть информация о способах обхода блокировок, потенциально может быть включен в реестр запрещенных, и доступ к нему будет ограничен. Тем не менее пока ресурсов с данными об анонимайзерах в Рунете море, но, возможно, это вопрос времени.

Пользоваться сервисами VPN в России по факту не запрещено. Роскомнадзор рассылает VPN-щикам письма с требованием включиться в белый список, грозит санкциями, пытается запугать возможной блокировкой. Зарубежные VPN-компании или просто игнорируют, или публично отвечают отказом и переносят свои серверы из России в другие юрисдикции. Российские провайдеры VPN тоже стараются молча переехать в страну с более благоприятным законодательством, чтобы в случае чего не оказаться здесь вне закона.

При этом популярность VPN в России только растет. Своими показательными выступлениями с блокировкой RuTracker и Telegram, а также шейпингом Twitter Роскомнадзор создал больше шумихи вокруг способов обхода. У некоторых крупных западных провайдеров VPN случился ажиотаж, в периоды ярких отечественных блокировок подписки вырастали до 1000% в месяц. Сейчас Россия входит в топ-10 стран по использованию продуктов VPN и анонимайзеров.

Глядя на пример Китая, на который Россия, безусловно, ориентируется в области регулирования Сети, можно сказать, что победителя в противостоянии между Великим китайским файерволом и механизмами обхода блокировок, скорее всего, не будет: все время появляются новые протоколы, которые становится сложно детектировать интеллектуальным системам анализа трафика. С другой стороны, такие интеллектуальные системы все лучше и лучше обучаются детекции. Это бесконечная игра в кошки-мышки.

Важным становится то, что для государства, что российского, что китайского, на данный момент важнее вовремя притормозить и не заблокировать лишнего, чем что-то недоблокировать. Все помнят, как в результате неудачных блокировок Telegram не работала четверть Рунета, в том числе сервисы Сбербанка (от «Сбербанк Онлайн» и до физических терминалов оплаты в магазинах). В Китае же, оказывается, сейчас важнее дать своему бизнесу возможность необходимого доступа в международную Сеть, чем гарантированно отрезать собственных граждан от Facebook и Instagram. 

Как пользоваться VPN безопасно 

Обычно подобные статьи завершают советом: не надо выбирать бесплатные VPN, купите платный, вот вам список. И этот тезис абсолютно правильный, ведь на рынке VPN бесплатного сыра практически нет. Можно говорить о бесплатных плагинах для обхода блокировок, а вот о полноценных VPN нет: инфраструктуру и серверные ресурсы владельцу VPN необходимо оплачивать, и, если он не берет с вас деньги напрямую, то обязательно будет получать их как-то еще: вставкой рекламы, воровством логинов-паролей, продажей ваших персональных данных.

Опасность может таиться даже в, казалось бы, проверенном платном сервисе. Регулярно всплывают сообщения о том, что от неких провайдеров утекла база пользователей, где-то были утеряны приватные ключи (чего вообще не должно храниться на серверах VPN-провайдера), а у кого-то не оказалось полнодискового шифрования на части инфраструктуры, и сервера были физически изъяты органами. Конечно, все еще есть платные VPN-сервисы, которые никак не запятнали свою репутацию, но от осознания, что такой сервис потенциально может видеть весь ваш трафик, многим становится некомфортно.

Появляются новые форматы: простые сервисы для создания личного VPN на собственном или арендованном сервере — Outline, Amnezia, Algo, Streisand и др. Они помогают получать доступ к нецензурированной Сети, не раскрывая конфиденциальность даже владельцам сервиса. При этом обычно они включают в себя протоколы, маскирующие трафик, и тогда интернет-провайдер или ТСПУ не понимает, что пользователь находится под VPN.

Все они являются опенсорсными приложениями, которые публикуют в свободном доступе исходные коды. Так, любой желающий может проверить, что в сервисе нет закладок, какую информацию он собирает и как может следить за пользователями. Для части решений необходимы продвинутые навыки владения компьютером, а некоторые решения, такие как Amnezia или Outline, имеют более понятный интерфейс и инструкции. Хотя Outline как сервис, разработанный подразделением Google, видимо, собирает для него некоторую статистику.

Если реальные блокировки VPN в России случатся, то начнутся они с крупных хорошо разрекламированных сервисов. И вряд ли крупные сервисы договорятся с властями об обмене данными — скорее всего, часть сервисов, для которых это будет оправдано в рамках бизнес-модели, останутся, обходя запреты, а часть просто уйдет с российского рынка. В таком случае сервисы, позволяющие сделать свою собственную персональную сеть VPN, смогут стать наиболее надежным и безопасным решением.