Главное о беспрецедентных мерах ведомства, обернувшихся случайными «жертвами» — от сайта RT до Steam.
5177 просмотров
10 марта Роскомнадзор начал замедлять скорость работы твиттера в России из-за того, что соцсеть не стала удалять запрещённый контент. Но в итоге на фоне ограничений перестали работать правительственные сайты, замедлились крупные ресурсы вроде Microsoft и Steam, а у Ростелекома случился сбой.
К вечеру Роскомнадзор пригрозил Twitter полной блокировкой в случае отказа и дальше удалять запрещённый контент. В компании отметили, что «глубоко обеспокоены» попытками «ограничить общение в интернете».
TJ рассказывает, что известно о первом дне замедления — как это оказалось возможным, что думают эксперты в индустрии и чем это крайне опасно для рунета.
Почему замедлили твиттер
Обычно Роскомнадзор блокирует сайты, которые не подчиняются требованиям ведомства. Однако в случае с твиттером впервые применили новый способ ограничения доступа к ресурсу — регулятор заявил, что замедлит сервис на 100% на мобильных устройствах и на 50% на десктопах.
Ведомство назвало причиной то, что Twitter не удалил часть запрещённого с 2017 года контента. В том числе «склоняющего несовершеннолетних к совершению самоубийств, содержащего детскую порнографию, а также информацию об использовании наркотических средств». В Роскомнадзоре утверждают, что направили более 28 тысяч жалоб, но 3168 публикаций соцсеть так и не убрала.
Обычно Twitter соблюдает требования Роскомнадзора. Согласно отчёту компании о взаимодействии с госорганами разных стран, только в первом полугодии 2020 года сервис ограничил доступ к 1400 сообщениям по заявкам российских властей. Для сравнения: это вдвое больше, чем в Великобритании (699 публикаций) и в Индии (377). Уровень исполнения требований при этом составил 26% и оказался близок к среднемировым значениям (31,7%).
Решение Роскомнадзора основывается на федеральном законе 149 «об информации, информационных технологиях и защите информации». Ведомство использовало статью 15.1, которую ввели ещё в 2012 году, но с тех пор постоянно расширяли. Её суть сводится к тому, что Роскомнадзор может обязать провайдеров ограничивать доступ к сайтам, если те нарушают законы и не удаляют запрещённую информацию.
При этом в статье 15.1 не говорится о замедлении сайтов — там упоминается лишь «ограничение доступа» провайдерами, под которое формально попадает и замедление скорости. Из правила есть лишь одно исключение, когда доступ ограничивают с помощью «средств противодействия угрозам в порядке централизованного управления сетью связи». Как отметил в разговоре с TJ юрист Роскомсвободы Саркис Дарбинян, таким образом Роскомнадзор «вольно трактует закон».
Как работает замедление сайтов
По данным источников РБК среди интернет-провайдеров, Роскомнадзор самостоятельно ограничил скорость к твиттеру, воспользовавшись лазейкой в законе. Один из крупнейших провайдеров «ЭР-Телеком» (бренд «Дом.ru») также подтвердил изданию, что власти могут ограничивать скорости к сайтам независимо от операторов связи.
Ведомство применило технологию «глубокого анализа пакетов» (DPI): она работает через специальное оборудование ТСПУ (технические средства противодействия угрозам). Его обязали устанавливать на сетях провайдеров после принятия закона «об автономном рунете», и оно способно фильтровать трафик между оператором и интернетом. Это дорогое оборудование, которое пока установили только самые крупные операторы и «большая четвёрка».
Устройства ТСПУ позволяют выявлять трафик конкретного ресурса или приложения, например, соцсетей. Затем они могут либо полностью его заблокировать, либо пропустить, либо замедлить — это называется «шейпингом». Такая техника управления сетью задумана для оптимизации сетей и увеличения пропускной способности одних типов пакетов за счёт задержки других.
Как считают сетевые специалисты, в случае с твиттером Роскомнадзор ограничивает скорость по именам доменов — вероятно, из-за того, что сервис хранит изображения и видео на отдельных поддоменах. Таким образом замедляют не только twitter.com, но и video.twimg.com, и даже CDN-серверы Akamai eip-ntt.video.twimg.com.akahost.net, video.twimg.com.eip.akadns.nen.
Когда DPI находит домен для ограничения скорости, он либо начинает сам замедлять соединение и пропускать только определённое количество пакетов в секунду, либо передаёт отметку маршрутизаторам провайдеров, чтобы замедление происходило на сетевом оборудовании. Скорость в среднем ограничивают до 128 кбит в секунду, а при обращении напрямую по IP скорость не замедляется.
Роскомнадзор обещает, что замедление в основном коснётся только фото- и видеоконтента, а передачу текста не ограничат. Вероятно, это связано с тем, что текст слишком небольшой по размеру: на скорость его публикации можно повлиять лишь незначительно.
Как обойти замедление
В отличие от телеграма, который долгое время работал, обходя блокировку, замедление твиттера сразу оказалось заметным для многих. Хотя часть пользователей десктопной версии даже не почувствовала ограничений скорости, поскольку дорогое DPI-оборудование установлено далеко не у всех провайдеров.
Как и в случае с блокировками, ограничения властей пока можно обойти так же просто, как и раньше — с помощью установки VPN. В этом случае трафик твиттера будет зашифрован внутри потока данных, передаваемых по VPN, и его не выявят на стороне провайдеров.
Ограничение скорости по DPI также можно обойти, используя технологию ESNI, но для этого изменения в инфраструктуру придётся внедрить самому твиттеру. Достаточно настроить DNS over HTTPS (DOH) одновременно на сервере, то есть у твиттера, и на стороне пользователей. В этом случае во всех браузерах с поддержкой ESNI не будет заметно замедления скорости.
Третий вариант требует смелости от провайдеров. В подзаконных актах к закону «об автономном рунете» указано, что они могут в одностороннем порядке отключить замедление скорости. Для этого достаточно, чтобы ТСПУ «начали влиять на качество оказания услуг». Имеется в виду ситуации, при которой пользователи сталкиваются с ограничениями других ресурсов, а не только твиттера. Вряд ли провайдеры решатся пойти против Роскомнадзора, да и неясно, надолго ли этот метод сработает.
Роскомнадзор замедлил не только твиттер, но и все сайты с t.co, а сайты правительства перестали работать
Вскоре после начала замедления твиттера у части пользователей перестали работать государственные ресурсы, включая сайт Кремля, правительства, премьер-министра, Госдумы, а также самого Роскомнадзора. В ведомстве попросили не связывать это с ограничением доступа к соцсети и назвали причиной сбой «Ростелекома», который произошёл из-за пожара в европейском дата-центре OVH в Страсбурге.
Как выяснили исследователи сетевых блокировок, вместе с твиттером Роскомнадзор случайно начал замедлять все сайты, в домене которых присутствует «t.co» — сокращённый адрес соцсети.
Энтузиасты узнали об этом случайно, проведя серию тестов со многими адресами. У всех сайтов с t.co наблюдалась одна и та же проблема с ограничением скорости: под удар попали Reddit, Microsoft, Steam, RT, поддомен GitHub и многие другие востребованные ресурсы.
Причиной ограничения скорости к сайтам стала сама механика работы Роскомнадзора с DPI. В ведомстве замедляют скорость по доменным именам. При обращении к сервису система проверяет адрес в том числе на наличие строки «t.co», но та присутствует не только у твиттера, но и у многих других сайтов.
Судя по всему, ограничение скорости к ресурсам вроде Microsoft или Steam нанесло больший ущерб, чем замедление твиттера. Например, пользователи не могли загрузить образ Windows 10 с официального сайта Microsoft, загрузить игры в Steam или воспользоваться сервисами Xbox.
Чем замедление сайтов опасно для рунета
Впервые о массовой установке DPI заговорили в 2018 году на фоне безуспешной блокировки Telegram: тогда Роскомнадзор, Минцифразвития и ФСБ проводили испытания систем в подмосковном Реутове. В конце года «Би-би-си» сообщал, что уже с 2019 года власти начнут блокировать сайты с помощью DPI и готовы потратить на это 20 миллиардов рублей, но о замедлении скоростей речи не шло.
По задумке чиновников, DPI решила бы проблему с методом обхода блокировок, которым пользовались разработчики Telegram, постоянно менявшие IP-адреса серверов. Это также позволило бы избежать ущерба в виде блокировок случайных ресурсов, оказавшихся на одном IP.
Применение DPI при ограничении доступа к Telegram уже тогда вызывало сомнения, ведь мессенджер мог, например, маскировать трафик под HTTPS или использовать инкапсуляцию. К тому же стало бы неясно, что именно и когда блокируется.
Непрозрачность замедления скорости — один из самых пугающих аспектов нового механизма ограничений рунета. Если о блокировке тех или иных ресурсов всегда можно было узнать благодаря специальному реестру запрещённых сайтов, то об ограничении скорости можно узнать лишь от самого Роскомнадзора — если он захочет об этом сообщить.
Суть проблемы очевидна на примере замедления скорости сайтов GitHub, Microsoft и Steam, которые случайно попали под ограничения. Если бы информация была открытой, вероятно, ошибку с «t.co» могли бы заметить раньше. Теперь, когда тот или иной сайт не загрузится как обычно, нельзя быть уверенным, что скорость доступа к нему ограничил не Роскомнадзор — намеренно или случайно. Проверить это наверняка можно только вручную, используя служебную программу curl.
Качество интернета в России в целом рискует ухудшиться из-за замедления твиттера, отметил в разговоре с It’s My Media Михаил Климарев из «Общества защиты интернета». По его словам, глобальная проверка всех пакетов в итоге замедлит весь рунет.
Такое же мнение выразил IT-эксперт Владислав Здольников. По его словам, сбой Ростелекома напрямую связан с попыткой замедлить твиттер, а не с чем-то ещё. Здольников обратил внимание, что через оборудование Роскомнадзора проходит весь трафик всех пользователей, даже если он не ограничивается — устройства производит компания «РДП.РУ», они называются ЭкоDPI.
«Шейпинг» трафика действительно не предназначен для массового ограничения скорости доступа к отдельным сайтам. Любая реализация «шейперов» имеет конечный буфер и по-разному справляется с его переполнением. Самый популярный способ — «отброс хвоста», когда весь приходящий трафик отбрасывается до тех пор, пока буфер заполнен до конца. В более сложных вариациях могут использоваться алгоритмы «случайного раннего обнаружения», которые тоже будут игнорировать часть трафика.
Хотя операторов давно обязали установить государственные DPI-устройства, процесс до сих пор идёт медленно. Поэтому Роскомнадзор использовал в своих целях DPI-оборудование, которое уже стояло у многих провайдеров, рассказал «Медиазоне» Артём Козлюк из «Роскомсвободы». Он отметил, что подобные устройства не могут справляться с по-настоящему большой нагрузкой долгое время. По его мнению, в конечном итоге это ударит по карману операторов, и, соответственно, абонентов.
Создатель сервиса статистики заблокированных IP-адресов Usher2.club Филипп Кулин считает, что замедление будет не повсеместным, а техника наиболее отработана на мобильных операторах. По его мнению, даже если Роскомнадзор не сможет глобально затормозить твиттер, пользователи рискуют столкнуться с проблемами при авторизациях через соцсеть на сторонних сайтах.
Медиаменеджеру Александру Амзину замедление твиттера напомнило «турецкий сценарий», когда власти страны оказали экономическое давление на соцсети. Тогда в стране начали замедлять ресурсы и требовать подчиняться местным законам, а также открывать местное представительство.