Интернет-фильтрация в России: еще и слежкаАндрей Солдатов, Ирина БороганВ России начал действовать единый реестр запрещенных сайтов, доступ к которым должны блокировать интернет-провайдеры и операторы связи. Технологии, которые используются для создания русского firewall, облегчат слежку за гражданами в cетиПод предлогом борьбы с порнографией и торговлей наркотиками, Кремль впервые получил в свое распоряжение систему, позволяющую блокировать доступ к интернет-ресурсам в национальном масштабе. Реестр запрещенных сайтов появился благодаря поправкам сразу к нескольким законам, которые беспрепятственно прошли все думские чтения и были одобрены президентом в июле. Большая часть поправок действительно касается порнографии и наркотиков, но проблема в том, что в новое законодательство позволяет вносить в единый реестр и блокировать все интернет-ресурсы, запрещенные судом, а это, как показывает практика, очень часто сайты оппозиционных партий.С цензурой в сети мы сталкивались и раньше: больше пяти лет прокуратуры в регионах требуют от провайдеров ограничения доступа к сайтам, запрещенным судами. Но до сих пор это явление носило несистемный характер, и сайт, заблокированный в Тверской области, оставался вполне доступным во Владимирской. Реестр эту проблему устранит.За образец была взята система блокирования банковских счетов террористов Росфинмониторингом, который объединял данные от Генпрокуратуры, Минюста, Следственного комитета и МИД и составлял перечень организаций, причастных к терроризму. Затем перечень выкладывали на специальном сайте, доступ к которому под паролем получали все банки. Счет клиента, попавшего в черный список, блокировался.Роскомнадзор, ответственный за реестр, вносит интернет-ресурсы в список запрещенных сайтов на основании судебных решений, а также данных, полученных от МВД, ФСКН и Федеральной службы по надзору в сфере защиты прав потребителей. Реестр, размещенный по адресу zapret-info.gov.ru, будет регулярно пополняться, а провайдеры и операторы связи обязаны регулярно знакомиться с его содержанием и блокировать доступ к попавшему в черный список сайту или странице. За халатное отношение к блокировке провайдер может лишиться лицензии.Самое опасное в новой всероссийской системе блокировки интернет-ресурсов то, что для ее воплощения операторам придется закупить и установить технологию DPI (глубокого чтения пакетов). Дело в том, что реестр требует ограничения доступа к ресурсам не только по доменным именам и сетевым адресам, но и по указателям отдельных страниц (URL), для блокировки которых наиболее эффективна эта технология. И хотя DPI не упоминается в новом законодательстве, Министерство связи и массовых коммуникаций и представители крупнейших интернет-корпораций решили, что именно эта технология лучше всего походит для интернет-фильтеринга.«В конце августа под председательством Никифорова (министр связи. — прим. авторов) прошла рабочая группа, в которой участвовали и представители Google, и представители СУПа, и представители всех остальных, которые обсуждали, как сделать механизм — ровно на примере YouTube они обсуждали, — чтобы, если появился ролик, был заблокирован конкретный ролик, а не YouTube. И они договорились об этом механизме. Который всех устроил», — рассказывает депутат Илья Пономарев, сторонник поправок и реестра. Речь идет о DPI, подтвердил депутат.Большая часть технологий, анализирующих интернет-трафик, способна видеть только заголовки передаваемой через сеть информации, а также точку отправки данных и их конечный пункт назначения. Технолoгия DPI позволяет провайдеру заглянуть внутрь пакетов информации. «Вы можете не только посмотреть адрес на конверте, но и открыть его и прочитать письмо» — так описал нам действие DPI один из инженеров, работающий с этой технологией. Она позволяет провайдерам не только мониторить трафик, но и фильтровать его, зажимая определенный сервис или блокируя контент. Неправительственные организации, занимающиеся проблемами privacy, считают, что с помощью этой технологии власти могут вторгаться в личную жизнь граждан.«Ни одна западная демократия пока не пришла к установке черных ящиков DPI из-за того разрушительного эффекта, который это окажет на свободу слова и тайну частной жизни», — утверждает Эрик Кинг, глава исследовательского направления в Privacy International. «DPI позволяет государству влезть в интернет-трафик каждого и читать, копировать и даже модифицировать его письма и просмотренные страницы: мы знаем сейчас, что такие технологии использовались в Тунисе до революции. Это также может свести на нет применение тех технологий, которые позволяют гражданам обходить авторитарные системы контроля доступа в интернет в таких государствах, как Иран и Китай».
Ответ Кремля на политическую активность в Сети В сентябре в России вспыхнул скандал вокруг фильма «Невинность мусульман», который многие посчитали оскорбительным для верующих. Власть быстро отреагировала и прокуратуры многих регионов потребовали от провайдеров заблокировать доступ к фильму. 27 сентября три крупнейших оператора связи — МТС, «Вымпелком» и «Мегафон» ограничили доступ к опальному видео. При этом «Вымпелком» заблокировал доступ к YouTube, где размещался фильм «Невинность мусульман», на территории Чечни, Дагестана, Карачаево-Черкессии, Северной Осетии и в Ставропольского края, что вызвало большое возмущение. МТС и «Мегафон» проявили большую гибкость и заблокировали только доступ к самому фильму. Казалось, таким образом российские власти прощупывают почву перед введением продвинутых технологий интернет-цензуры, которыми Кремль был одержим предыдущие два года. Революции в арабских странах заставили задуматься о том, как власть может противостоять «подрывной активности» в Сети. Эта проблема обсуждалась на уровне ОДКБ, генеральных прокуроров стран СНГ и руководства спецслужб. Рост политической активности в России лишь усилил паранойю в отношении интернета и социальных сетей. Российские спецслужбы начали продумывать стратегии работы в блогосфере и соцсетях еще с 2010 года, но не смогли придумать ничего эффективного до декабрьских протестов. ФСБ привыкла иметь дело с более традиционными угрозами и растерялась, столкнувшись с протестами, которые организовывались через соцсети и не имели центральной структуры. Как утверждают наши источники в спецслужбах, особенно бессильны спецслужбы оказались перед Facebook и Twitter. «Что мы сможем сделать, если «Кавказ-центр» откроет страницу в Facebook?» — так звучал самый отчаянный вопрос, ответа на который у российских спецслужб в тот момент не было. Неудивительно, что единственное, что УФСБ по Санкт-Петербургу и Ленинградской области смогло придумать накануне самого мощного протестного митинга на Болотной площади в Москве 10 декабря, — это отправить факс создателю социальной сети «ВКонтакте» Павлу Дурову с требованием закрыть все протестные группы. Дуров отказался, и на следующий день его вызвали в местную прокуратуру для дачи объяснений. Дуров не пришел, история вызвала широкий резонанс и на этом закончилась. 27 марта 2012 года этот провал косвенно признал и первый заместитель директора ФСБ Сергей Смирнов. Выступая на заседании Региональной антитеррористической структуры ШОС в Ташкенте, Смирнов заявил, ссылаясь на пример «арабской весны»: «Это новые технологии, которые используют западные спецслужбы для создания и поддержания постоянного напряжения в обществах. И цели серьезные — вплоть до свержения политического режима, который существует или существовал в этих странах… Наши выборы, особенно выборы президента и предвыборная ситуация, показали, какие возможности здесь открываются с точки зрения блогосферы». Смирнов заявил, что необходимо разработать меры, которые позволили бы адекватно реагировать на применение таких технологий, прямо признав, что «они еще не выработаны». Решение было найдено летом, когда Госдума одобрила поправки, внедряющие новую систему интернет-фильтеринга с использованием технологии DPI. И поскольку на протяжении многих лет российские власти заявляли, что Россия никогда не пойдет по китайскому пути и не будет вводить цензуру в интернете, такое решение застало врасплох СМИ, экспертное сообщество и оппозицию. Между тем почва для такого решения готовилась с середины 2000-х, когда DPI стал использоваться в России, правда, исключительно в коммерческих целях. Хроника DPI в России «Первый клиент у нас появился в 2004 году — это был «Транстелеком», но это было для службы безопасности. Для внутренней сети», — говорит с легким израильским акцентом Роман Ферстер, энергичный глава RGRCom, дистрибутора израильского производителя DPI компании Allot в России. Роман Ферстер основал RGRCom в 2003 году для продаж телекоммуникационного оборудования израильских фирм. Allot, специализирующаяся на производстве устройств DPI, прекрасно подходила для его бизнес-модели. Его небольшая команда из 20 человек — эксклюзивный партнер Allot в России. За эти годы они поставили устройства Allot в Татарстан, на Дальний Восток, в сеть интернет-доступа «Вымпелкома» в Москве и на Урал. Компания Ферстера, как оказалось, также предлагает в России технологию, которая может решить техническую проблему блокирования одного клипа на YouTube, а не всего сервиса. Она продает продукцию мировых лидеров в этой области, двух израильских компаний PeerApp и OverSi. Первоначально Allot фокусировался на корпоративных сетях и региональных интернет-провайдерах, но вскоре расширил линейку продуктов до операторов дальней связи и больших провайдеров. Однако по-настоящему DPI появился в России только в конце 2000-х, и сегодня здесь работают уже все крупнейшие производители DPI в мире: канадский Sandvine, израильский Allot, американские Cisco и Procera, китайский Huawei. К лету 2012 года все три национальных оператора сотовой связи уже поставили DPI на своих сетях: Procera стоит в «Вымпелкоме», Huawei используется в «Мегафоне», а МТС закупил DPI от Cisco. «Первый звонок прозвенел в России, когда мы получили торренты. Потому что они занимали всю свободную полосу (трафика. — Forbes)», — вспоминает Василий Науменко, главный инженер компании Ферстера. — Когда все началось, операторы стали думать, как это решить. И выяснилось, что кроме DPI, никакое другое железо, никакой коммутатор, никакой маршрутизатор, даже Cisco, не может решить эту проблему. Это уровень приложений, в любом случае надо открывать пакеты и смотреть, что внутри». «Мобильщиков это стало за горло брать, когда они стали подключать кроме телефонов компьютеры, когда они стали раздавать USB-модемы», — подтвердил Борис Поддубный, директор по развитию бизнеса IBM East Europe/Asia. Поддубный рассказывает о перспективах DPI в «Старбаксе» в Москва-Сити, что через дорогу от башни, где расположен офис IBM. Это совсем непохоже на офис RGRCom – несколько комнат на седьмом этаже скромного бизнес-центра «Румянцево» сразу за МКАД. «Заказчики стали интересоваться технологией DPI два года назад. А появилась она в коммерческом использовании у операторов где-то три года назад по одной простой причине — peer-to-peer-протоколы. Если проанализировать весь трафик, то с появлением файлообменных сетей, Skype и т. п. эта часть — их называют паразитным трафиком — эта часть очень увеличилась. То есть люди очень много качают. Качают аудио, видео, файлы. По разным исследованиям, это превышает 80% трафика». Похоже, что единственное решение, которое нашли мобильные операторы, — это траффик-шейпинг. Этот эвфемизм означает, что с помощью DPI мобильные операторы получили возможность подавлять определенные сервисы — прежде всего, торренты, peer-to-peer протоколы или Skype, который конкурирует с VoIP-решениями, которые предлагают сами операторы. Интернет-провайдеры, как оказалось, не очень охотно бросились внедрять DPI. Все инженеры, работающие с DPI, с которыми мы говорили, утверждали, что большинство провайдеров не понимают, зачем им это нужно. «Разница подходов, наверное, в линейках тарифов, которые есть. У мобильных операторов по-прежнему все считается на деньги, а у операторов широкополосного доступа очень странная позиция, не очень понятно, как они предполагают зарабатывать деньги, потому что они просто превратились в трубу», — говорит Александр Шкаликов, инженер Inline Telecom Solutions. Этот системный интегратор с 2007 года продает и устанавливает оборудование DPI производства Sandvine и является главным российским партнером канадского производителя. Только что Inline Telecom установил DPI в сети «Ростелекома» на Дальнем Востоке, и, как говорит Шкаликов, «в результате каждый регион от Камчатки до Якутии получил свой DPI». Появление закона, требующего устанавливать DPI, пока никак не изменило позицию интернет-провайдеров, говорит Шкаликов: «Пока операторы хотят свалить задачу управления трафиком на кого-нибудь, чтобы ничего не делать. Покупать сами DPI они не хотят, поскольку оборудование стоит от $100 тысяч, соответственно, маленькие операторы это не потянут». Похоже, что некрупные интернет-провайдеры уже нашли дешевое решение. Шкаликов поясняет: «Я слышал, есть большой рынок бэушной Cisco, тех же SCE DPI, их можно купить за совсем смешные деньги. Что-то около $2000 (это в Америке — в России ребята называли реальную цифру в $7000, учитывая, что новая стоит от $100 тысяч). А софт можно украсть. Правда, у Cisco меньший функционал, там нельзя многих вещей сделать, которые Sandvine позволяет. Нельзя тот же трафик на СОРМ отводить». Правительства многих стран с авторитарными режимами уже распознали, как можно использовать коммерческие преимущества DPI для подавления деятельности активистов в сети. Спецслужбы Узбекистана, например, заставляют местных провайдеров использовать DPI для изменения адресов страниц дискуссионных групп в социальных сетях. Но есть еще одна сторона в технологии DPI, которая может быть очень полезна таким режимам. «Есть два применения (у DPI) — фильтровать и функции СОРМ. Как говорят, на аплинках ставят такие устройства, которые сливают трафик, а DPI его просто раскладывает. По различным пользователям, по протоколам, и будет полный лог — кто что скачивал, кто что смотрел», — говорит Борис Поддубный из IBM. Как подтверждает Александр Шкаликов из Inline Telecom, DPI позволяет эффективно идентифицировать пользователей: «Мы советуем своим заказчикам настраивать возможность работы с логинами. Потому что логины записаны в биллинге, там же не IP-адреса записаны. Соответственно, можно статистику вести по абоненту, и операторы ведут такую статистику: какие абоненты потребляют больше трафика, кто спам рассылает. Такую штуку тоже можно с помощью DPI сделать». А в сентябре 2012 года стало ясно, что возможности DPI по идентификации могут быть очень легко совмещены с системой СОРМ, национальной системой прослушки, создаваемой еще с советских времен. Национальная фильтрация и идентификация? Впервые внедрить СОРМ попытались еще в СССР в середине 1980-х, когда в одном из НИИ КГБ разработали ее тактико-техническое обоснование. Однако реализацию проекта отложили до начала 1990-х, когда СОРМ начали внедрять первоначально на аналоговых телефонных линиях. Первый документ о СОРМ Министерство связи одобрило в 1992 году. Он обязал операторов обеспечить спецслужбам возможность прослушивать телефонные переговоры и перехватывать почту. В 2000-е годы оборудование СОРМ было установлено у всех интернет-провайдеров и операторов сотовой и фиксированной связи. В середине 2000-х были приняты новые правила деятельности СОРМ, согласно которым перехват должен осуществляться дистанционно, без ведома провайдеров. Тем не менее, в использовании СОРМ и DPI есть одна принципиальная разница. Устройства СОРМ — это территория сотрудников спецслужб, в то время как оборудование DPI находится в распоряжении интернет-провайдеров и операторов связи. Однако эти два потока могут пересечься в ближайшее время, что, по всей видимости, полностью устраивает и Минсвязи, и телекоммуникационные компании. 27 сентября на крупнейшей конференции по информационной безопасности в Москве InfoSecurity прошла дискуссия «СОРМ в условиях конвергенции». В таких мероприятиях обычно принимают участие только профессионалы, и комната в выставочном центре «Крокус-экспо» была заполнена начальниками отделов СОРМ операторов связи и представителями компаний-производителей спецтехники. Самым важным выступающим был, без сомнения, Александр Першов, заместитель директора департамента государственной политики в области связи Минсвязи. DPI быстро превратился в одну из главных тем дискуссии. Многие были уверены, что это единственный способ обеспечения функций СОРМ в новых «условиях конвергенции» — в эпоху облачных вычислений и многообразия телекоммуникационных сервисов. Идея совмещения СОРМ с находящимся в распоряжении операторов оборудованием DPI, казалось, никого не смутила. Александр Першов, ветеран Минсвязи, обозначил новое направление, принятое в министерстве: «Надо закладывать в требования при построении сетей связи требования СОРМ, чтобы потом не переделывать», добавив, что при этом надо советоваться с ФСБ. Технически совмещение СОРМ и DPI не представляет никаких проблем, сказали нам инженеры, имеющие дело с DPI. «DPI может не только перенаправлять трафик, а просто копировать», — говорит Александр Шкаликов. — Это очень удобно, потому что DPI позволяет копировать не весь трафик, а только определенный протокол, только трафик определенных абонентов, в принципе можно сделать что-то типа прослушки СОРМ». Совместное расследование Agentura.Ru, CitizenLab и Privacy International. Опубликовано в Wired, на русском языке опубликовано в Forbes. |
НОВОСТИ
|