OpenVPN проти DPI: вчимо нові слова в очікуванні цензури в українському інтернеті

7 травня 2018, 20:02
Вы также можете прочесть этот материал на русском языке

В кінці лютого – на початку березня, коли НКРЗІ схвалила проект постанови Кабінету міністрів про блокування заборонених інтернет-сайтів, в медіа та серед громадських організацій прокотилася хвиля обурення. НВ розповідає, як подібна ініціатива позначиться на користувачах, якщо закон приймуть.

 

 

У прагненні контролювати інтернет і «протидіяти терористичній загрозі» кроки українського уряду нагадують російський сценарій. Закон, якщо його приймуть, може вбити дрібних і середніх провайдерів, призведе до зростання цін на послугу і зниження її якості. Крім того, він загрожує користувачам тотальним стеженням і цензурою в інтернеті, а також втручанням держорганів у приватне життя на свій розсуд. Світовий досвід показує, що будь-який могутній фаєрвол можна обійти за допомогою VPN та інших хитрощів, але використання спеціального обладнання для аналізу вмісту та фільтрації трафіку зробить це набагато складніше.

Відео дня

В чому суть

Коли в травні 2017 року президент підписав указ про блокування російських ресурсів, для провайдерів залишилося відкритим питання – як саме його виконувати.

На початку 2018 року держава визначилася (у вигляді законопроекту поки ще) з інструментами блокування і вибрала найдорожчий і обтяжений наслідками варіант Ц за допомогою DPI. Платити за нього провайдери матиуть зі своєї кишені. Держава зі свого боку максимум готова кредитувати представників індустрії.

Deep Packet Inspection (або DPI) – це метод аналізу та управління трафіком, який дозволяє повністю аналізувати дані, що пересилаються на різних рівнях, а також перенаправляти і блокувати пакети з конкретними даними. Це можуть бути як віруси або DDoS-атаки, так і неприйнятний для держави контент. Фільтрація відбувається на різних рівнях моделі OSI (Open System Interconnection).

Провайдери можуть використовувати обладнання, яке аналізує трафік на декількох рівнях моделі OSI (щоб швидко розуміти, де сталася поломка, наприклад, або щоб управляти швидкістю доступу до різних ресурсів, наприклад, з «важким» відеоконтентом).

Державу цікавить все аж до сьомого, на якому є доступ навіть до вмісту відправлених повідомлень, не кажучи вже про відвідувані ресурси. У першому випадку вартість устаткування обчислюється десятками тисяч доларів, у другому, коли потрібна набагато більша потужність, ціна зростає на порядок, тобто мова може йти про сотні тисяч доларів.

У Росії держава також займається блокуванням неугодних ресурсів, але поки що і там на законодавчому рівні не вказана технологія. Роскомнадзор блокує неугодний трафік за IP-адресами, через що в країні регулярно виникають конфузи і реальні фінансові втрати для бізнесу через те, що було заблоковано зайве (наприклад, десятки мільйонів IP-адрес Amazon і Google ). Ідеї ​​про впровадження DPI там бродять (на рівні законопроектів), але конкретні дії поки не робилися через дорожнечу.

Сама собою технологія не погана і не хороша (крім того, що це дуже дорого за мірками такої бідної країни, як Україна). Як завжди, має значення те, з якою метою вона використовується. НВ в окремому матеріалі зупинялося на негативних моментах цього рішення. Нагадаємо їх коротко.

Зростання цін. Йдеться про дороге обладнання, на яке у невеликих і середніх провайдерів може не бути коштів. У Росії подібний законопроект був зареєстрований в минулому році. Як передають «Ведомости», місцевий інститут досліджень інтернету оцінює розроблення і впровадження технології на масовому рівні обійдеться в $5 млрд, а щорічна підтримка системи – ще в мільярд. У Російській асоціації електронних комунікацій, як пише видання, кажуть, що це призведе до виходу з ринку дрібних і середніх гравців і його монополізації. Україні подібне рішення може вилитися в $1 млрд. З урахуванням того, що наші користувачі також отримують інтернет дешевше собівартості, для середніх і дрібних провайдерів закон може виявитися фатальним.

Зниження швидкості і погіршення якості надання послуги. Жителі міст в Україні розпещені швидким інтернетом, але встановлення обладнання стеження позначиться на швидкості доступу до ресурсів. У Китаї, наприклад, доступ до всіх зовнішніх ресурсів відбувається вкрай повільно, а велика кількість популярних глобальних сервісів просто недоступні без VPN.

Підміна трафіку. DPI уможливлює підміну трафіку. Може йтися як про банальні рекламні заглушки, так і про речі серйозніші. Так, 3 березня цього року міждисциплінарний центр Університету Торонто, Citizen Lab, повідомив про те, що влада Єгипту використовує DPI-пристрої для майнінгу криптовалюти Monero за допомогою застосунку Coinhive і демонстрації реклами інтернет-користувачам країни.

Нещодавно також з'явилася інформація про те, що турецька влада підміняє посилання на завантаження офіційних версій програм на зламані, які шпигують за користувачем повністю. Таким чином влада країни змогла отримати доступ до кожного пристрою, зараженого шпигунським ПО.

Блокування неугодних ресурсів і інтернет-цензура. Найчастіше, коли говорять про інтернет-цензуру, як приклад наводять Китай. Влада країни так завзято «захищає» громадян від неугодної інформації, що недавно під заборону влади потрапила навіть буква N, яку громадяни використовували для невдоволення тим, що поточний глава держави може залишатися при владі безліч термінів. Втім, будь-який тиск зустрічає опір. Як пише TJournal, китайські користувачі для критики правлячої партії використовують «марсіанську» мову – кодові фрази і картинки для певних понять. Місцевий фаєрвол не дуже справляється з відстеженням і фільтрацією такого контенту.

Влада Ірану використовує DPI, щоб стежити за поведінкою користувачів в інтернеті і в разі необхідності використовувати це проти них.

Використання даних в особистих цілях. DPI набирає популярність не тільки в країнах, які схиляються до тоталітаризму і утискання прав і свобод людини. Технологія впроваджена і в державах, які асоціюються з демократією. Наприклад, у США, Канаді, Японії і т.д. Але Україна і правові держави – це дві різні історії. У країні, де несанкціоновані обшуки трапляються частіше, ніж сонячні дні, ймовірність того, що силовики отримають доступ до всіх даних користувачів, лякає більше за чуму. Оскільки нема гарантії, що вони не будуть використовуватися з приватним злим умислом, а якщо і будуть, то суд зможе відновити справедливість, немає.

Проти лома є прийоми

Від будь-яких ініціатив держави в сфері блокування інтернет-ресурсів українці (та й наші північні сусіди) звикли захищатися за допомогою VPN.

Держава зі свого боку може забороняти анонімайзери і VPN-сервіси (як це зроблено в Росії, Білорусі, Китаї та інших просунутих в питаннях цензури країнах), хоча це не найдієвіший метод. Набагато більше ускладнює процес використання DPI-обладнання. Так, китайський «золотий щит» визначає VPN-трафік і Tor і блокує канал зв'язку, а винятки є тільки для тих, у кого є ліцензія на використання VPN від Міністерства промисловості і інформатизації. У країні регулярно з'являються нові лазівки для використання VPN, які держава також регулярно блокує.

Уряд Сирії блокує VPN-протоколи OpenVPN, L2TP і PPTP.

У більшості випадків громадяни, яким «дуже треба», знаходять способи обходу заборон і інструкції рідною мовою з'являються відразу після хвилі публікацій про чергову заборону. Так, однією з поширених порад з обходу DPI є рекомендація використовувати OpenVPN, який маскує VPN-трафік під HTTPS і так само, як і останній, використовує SSL-шифрування.

Деяке DPI-обладнання здатне відрізняти OpenVPN-трафік від HTTPS. У такому випадку рекомендується використовувати разом з OpenVPN утиліту obfsproxy. Утиліта обертає трафік в новий шар, і обладнання його не помічає і не блокує. У більш складних випадках рекомендують пропускати OpenVPN-трафік через SSL-тунель.

З одного боку, все це вимагає від користувачів більш глибоких технічних знань. З іншого – в інтернеті велика кількість детальних інструкцій для кожного з методів. З їх допомогою з блокуванням трафіку впорається навіть звичайний користувач. Питання тільки в мотивації і розумінні, що це зробити можливо.

У тих, кому дійсно треба (так, і для терористичних атак теж) така мотивація є. У простих користувачів часто вона закінчується набагато раніше. Але в сухому залишку ми отримуємо величезні витрати на впровадження, інтернет-цензуру на ранніх стадіях для поступливих або не найпросунутіших користувачів і ті ж відкриті можливості для тих, хто не планував слідувати букві закону.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X