В середине апреля 2023 года в России начали блокировку VPN Mullvad — шведского провайдера с открытым исходным кодом. Сервис блокируется по IP. Таким же образом ранее стали ограничиваться TunnelBear, NordVPN, Proton VPN, Windsribe, Surfhsark VPN и др. Блокировка по IP — это традиционная, уже понятная для специалистов ограничительная технология, которую Роскомнадзор использует с 2012 года. Ее VPN обходят с помощью разных фич и хитростей, восстанавливая работоспособность своих сервисов.
Но уже больше года в России тестируются новые виды блокировки: блокировка по протоколам и сигнатурам (трафику от конкретных протоколов или приложений). Её Роскомнадзор осуществляет через ТСПУ (технические средства противодействия угрозам), которые должны быть установлены у каждого провайдера интернета в России. С их помощью Роскомнадзор может блокировать VPN-сервисы напрямую, без внесения в реестр запрещенной информации. Есть мнение, что такие методы могут быть более эффективными, чем блокировки по IP, а значит, более болезненными для VPN и их пользователей.
Как блокируются VPN сейчас и чего ожидать пользователям дальше? Смогут ли заблокировать сразу все сервисы и навсегда?
Роскомнадзор готовился заранее
Российские власти занялись блокировками VPN еще в 2021 году. Тогда Роскомнадзор пытался запретить несколько VPN-сервисов, постоянно появлялись устрашающие новости о том, что кого-то вот-вот заблокируют (хотя на деле всё продолжало отлично работать). Провайдеров VPN настойчиво призывали добавляться в «белые списки» и фильтровать трафик пользователей по единому реестру запрещенной информации — как бы добровольно выполняя волю государства. До сих пор так и не понятно, согласился ли на это кто-то, кроме «государственного» VPN от «Лаборатории Касперского». Но вряд ли для других VPN-сервисов это могло быть приемлемо — ведь они продают как раз доступ к тому, что блокируют власти.
В 2022 году в России вступила в силу фактически военная цензура, которая невероятно расширила список запрещённых сайтов, одномоментно добавив туда практически все независимые СМИ, популярные социальные платформы, да и вообще любые сайты — от магазинов, торгующих детскими автомобильными креслами или аквариумами, до сообществ любителей бега и музыки, если там было хоть какое-то критическое упоминание военного конфликта в Украине или даже просто антивоенный баннер.
Такой поворот событий стремительно сделал VPN средством первой необходимости, благодаря которому люди теперь получают независимые новости, постят фотки в запрещённых соцсетях и просто получают доступ к внешнему миру без цензуры. По разным оценкам, до четверти россиян сейчас пользуются средствами обхода блокировок, а рынок России стал восьмым по проникновению VPN. Первые три места про проникновению, то есть проценту населения, которое использует VPN, занимают ОАЭ, Катар и Сингапур. Крупнейшим рынком для сервисов в деньгах остается Северная Америка — 35% от общемирового объёма, но это немного другая история.
Ситуация, когда каждый четвертый житель страны может зайти на запрещенные сайты через VPN, не радует Роскомнадзор. Власти активно взялись за блокировку VPN-провайдеров. С начала 2023 года мы видим непрекращающиеся попытки (стоит признаться, всё более успешные) закрыть доступ к популярным массовым сервисам.
Что происходит в России с VPN сегодня
На протяжении всего 2022 года фиксировались сообщения о кратковременных трудностях у пользователей различных сервисов VPN, в основном в отдаленных регионах России. Тактика была такая: отключение конкретного сервиса на пару часов, чтобы, с одной стороны, провести необходимые тесты, с другой — чтобы это не сильно насторожило общественность и не вышло большим резонансом в СМИ. Так опробовались новые виды блокировок — по протоколам.
Протоколы — это наборы правил и процедур, которые определяют, как устройства и приложения должны взаимодействовать друг с другом в сети. Они бывают разных уровней: начиная с того, как декодировать электричество, идущее по проводам в биты информации, заканчивая верхнеуровневыми протоколами, по которым отправляется электронная почта. У VPN также есть свои протоколы. И чтобы заблокировать доступ к ним, провайдер может запретить использовать определенные протоколы, которые нужны для доступа к этим сервисам.
Регионы для тестов блокировок по протоколам в теории могли выбираться по принципу минимального побочного эффекта. Например, блокировки были замечены на Дальнем Востоке и в Сибири, где насыщенность инфраструктуры не такая большая, как в Москве или в центральных регионах. Точечные тесты блокировок нужны были, чтобы выработать схему, при которой при блокировании сервисов VPN не пострадает сопутствующая гражданская и бизнес-инфраструктура (а может быть, и военная). На старых системах работают VPN-сети банков — например, банкоматы. Поэтому Роскомнадзору приходится быть аккуратным.
С начала 2023 года все самые массовые VPN-сервисы сообщали о планомерных отключениях в разных городах, начиная с востока. Один за другим сбои в сети почувствовали Омск, Бийск, Новосибирск, Пермь, Орск, Новочебоксарск, Тольятти, Якутск, Казань, Елабуга, Уфа, Чебоксары, Нижний Новгород. Пользователи, которые не смогли подключиться к серверам популярных сервисов, подтверждали ограничения. Сообщения о том, что происходит фильтрация по протоколам, теперь приходят с территории всей страны.
С тех пор, как в России установили ТСПУ, стали появляться более сложные блокировки, чем те, которые наблюдались с 2012 года. Через ТСПУ появилась возможность тестировать различные политики цензурирования, выделяя их на том или ином провайдере, регионе или запуская в масштабе всей страны. Причина такой эффективности в том, что к настоящему моменту ТСПУ установлены уже у каждого оператора, и Роскомнадзор может управлять каждым конкретным устройством. То есть сейчас ведомство имеет доступ ко всему трафику, который проходит через эти устройства, и может, например, отключать работу электронной почты у провайдера А из региона Б.
В это же время крупные VPN-сервисы уже рутинно блокируются по IP и URL-адресу. Для таких блокировок, вероятнее всего, сотрудники Роскомнадзора просто вручную скачивают приложения VPN, смотрят, куда оно подключается. Затем вносят в реестр блокировок URL, который используется внутри клиента для получения конфигурации, и IP-адреса предлагаемых клиенту VPN-серверов.
Так, сейчас с разной степенью эффективности пытаются блокировать все популярные VPN-сервисы, в том числе казавшиеся ранее довольно устойчивыми Psiphon и Lantern. Они, в свою очередь, стараются реагировать и активно внедрять новые фичи, которые помогают восстанавливать работоспособность. У ProtonVPN есть разработка Stealth — протокол, который должен маскировать VPN-соединение, чтобы его не мог вычислить цензор, но Роскомнадзор научился его распознавать и блокировать всего за две недели.
Есть сообщения, что даже Outline блокируется у некоторых операторов, что в целом предсказуемо. Outline использует протокол ShadowSocks, который изначально был разработан для обхода блокировок в Китае. Но там уже научились его распознавать и блокировать, и российские власти заимствуют этот опыт.
Сейчас российские госорганы уже активно тренируются отключать популярные VPN по протоколам OpenVPN, WireGuard, IKEv2, Shadowsocks. Два других протокола — PPTP, L2TP (не очень популярны, потому что устарели и имеют свои проблемы с безопасностью) — пока не фильтруются, но и их заблокировать не составит особого трудам. С блокировкой IKEv2 могут возникнуть проблемы, так как их используют российские банки, и без составления «белых списков» разрешенных IKEv2-сетей, вероятно, обойтись не получится. Однако, например, в Китае такие «белые списки» уже есть, так что, вполне возможно, будут и в России. А в целом проблема в том, что VPN-сервисы используют примерно одни и те же протоколы, а значит, и блокировки по протоколам становятся очень эффективными.
Что будет с VPN дальше
Обычно для ответа на этот вопрос все хотят какого-то сравнения с Китаем: будут ли настолько же жёстко блокироваться все возможные протоколы VPN, останутся ли рабочие варианты, насколько сложно ими будет пользоваться.
Глядя на то, что происходит сегодня, с сожалением можно констатировать — да, Россия движется в направлении китайской модели. Там технологии борьбы с VPN (а значит, и с доступом людей к неподцензурной информации) уже хорошо обкатаны. А российские органы с охотой перенимают опыт: проводить регулярные встречи с коллегами из Киберадминистрации Китая начали как минимум с 2017 года. Так что, возможно, те самые мемные «китайские специалисты», новость о которых вирусилась по всем телеграм-каналам, прибыли в Москву не отключать YouTube, а научить своих российских коллег окончательно блокировать массовые VPN. Для этого осталось перенести блокировки со стороны провайдеров на DPI-системы ТСПУ и начать полноценную блокировку VPN по протоколам. На это могут потребоваться считанные месяцы или дни.
Конечно, в плане цензуры Россия ориентируется на Китай с его не то чтоб очень успешным Великим китайским файерволом — там до сих пор не удалось заблокировать абсолютно всё, что желало бы китайское государство. Игра в кошки-мышки идет постоянно: на каждую новую запретительную технологию появляется новая технология обхода. Плюс власти делают послабления для бизнеса, которому нужно быть представленным в глобальной сети, а оттуда доступы растекаются к частным пользователям.
Но помимо Китая есть еще Иран и Туркменистан, у которых свой путь цензуры. В Туркменистане заблокировано уже три четверти IP-адресов, существует «белый список» доступных сайтов. Чтобы пробиться в глобальную сеть, пользователям приходится использовать сложную комбинацию из разных сервисов VPN, специальных роутеров и вообще сильно заморачиваться. Однако точно так же, как там, в России, скорее всего не будет. Россия всё же не очень похожа на Туркменистан с его небольшим населением, одним оператором связи и гораздо меньшим по масштабу внешнеэкономических взаимодействий. По масштабам Россия, скорее, как раз где-то между Ираном и Китаем.
В условиях блокировок в разных странах зарекомендовали себя нестандартные решения. Например, тот же Lantern, имеющий большой опыт успешной работы как раз в Китае. Сервис заточен именно на обход блокировок, и, как только его блокируют, инженеры сразу пытаются решить проблему — и обычно у них это получается. А ещё возрастает популярность так называемых Self hosted VPN, когда пользователь может сделать себе собственный приватный VPN-сервер. Новое поколение таких решений «из коробки», то есть рассчитанных уже не на сисадминов, а на рядовых пользователей, — сервисы вроде опенсорсных Outline и Amnezia. Они практически единственные стабильно работают сейчас в Иране.
По прогнозам экспертов Роскомсвободы, в России самыми устойчивыми окажутся сервисы, которые работают, используя обфускацию (маскировку) трафика под рутинный web-трафик. Популярные инструменты обфускации — Cloak, v2ray, Xray WStunnel, которые как раз и позволяют замаскировать VPN-канал под обычный трафик. Такой подход позволяет защитить VPN от возможных блокировок по сигнатурам и требует намного более сложных технических решений для определения.