15:00
Вівторок, 10 Липня 2018

Чому блокування сайтів бувають або неефективні, або тоталітарні

Як виглядає блокування сайтів з технічної точки зору та які наслідки має для кінцевого користувача?
Чому блокування сайтів бувають або неефективні, або тоталітарні
Чому блокування сайтів бувають або неефективні, або тоталітарні

«Детектор медіа» публікує статтю про технічний аспект блокування сайтів, підготовлену членами коаліції «За вільний Інтернет». Ця коаліція об’єднала низку громадських організацій та інтернет-активістів: «Платформа прав людини», «Лабораторія цифрової безпеки», Центр інформації про права людини, Кримська правозахисна група, Представництво Freedom House в Україні, Надія Бабинська, Микола Костинян. Усі вони не підтримують намірів держави почати регулювати інтернет і категорично виступають проти законопроекту № 6688, який робить можливою досудову процедуру блокування сайтів. Цей законопроект критикують більшість медійних і правозахисних громадських організацій, хоча щодо законодавчого регулювання інтернет-сфери не всі категорично проти. Зокрема, частина експертів і громадських організацій підтримують прозоре законодавче обмеження доступу до інтернет-ресурсів держави-агресора або фінансованих нею – наприклад, за рішенням суду. Також є пропозиція запровадити маркування пропагандистського контенту в інтернеті замість його блокування.

Україна впевнено крокує до запровадження системи блокування сайтів, як на законодавчому, так і на технічному рівнях. Вже два укази президента з вимогою блокувати сайти в рамках санкцій, непублічні листи від СБУ провайдерам з «рекомендаціями» блокувати певні сайти, драфт постанови Кабміну про зобов’язання провайдерам встановлювати «чорні коробочки СБУ», а тепер –  законопроект 6688, який все з переліченого пропонує узаконити.

Прихильники блокувань стверджують, що це допоможе протидіяти російській пропаганді в рамках інформаційної війни. Правозахисники наголошують, що блокування є незаконними та суперечать як українському законодавству, так і вимогам міжнародних правозахисних документів, а механізм, який для пропонують для блокувань – відкриває можливості для практично безконтрольної інтернет-цензури.

Теми протидії російській пропаганді та законності блокувань веб-сайтів є, поза всяким сумнівом, важливими. Однак в такому протистоянні обидві сторони ігнорують технічну складову, сприймаючи блокування веб-сайтів за аналогією до припинення ретрансляції російських телеканалів чи обмеження на ввезення певних товарів. Іншими словами – як заборону, яку можна достатньо просто та ефективно застосувати, якщо є політичне рішення.

Натомість саме технічний бік блокувань є найцікавішим для розгляду.

Як працюють ці ваші інтернети

За те, щоб ви могли відкрити сайт у своєму браузері, відповідають одразу кілька учасників процесу. З технічного боку будь-який сайт — це набір файлів та папок.

Хостер розміщує ці файли та папки на своєму сервері, налаштованому так, щоби користувачі інтернету мали змогу сайт відкрити, а власник сайту — вносити до нього потрібні зміни.

Реєстратор домена забезпечує, щоб користувачі інтернету могли потрапити на певний сайт, увівши в браузері зручну адресу на кшталт «google.com» замість довгого та важкого для запам’ятовування набору цифр.

Провайдер надає користувачам можливість підключатися до інтернету, зокрема щоб відвідувати певні сайти.

Тож якщо ви хочете заблокувати сайт, є кілька шляхів.

Можна зобов’язати хостера вимкнути сайт у себе на сервері. Це складніше зробити, якщо хостером є іноземна компанія, що працює за законодавством іншої держави. Крім того, оскільки сайт – це набір файлів і папок, власник може розміщувати копії сайту одразу на кількох різних серверах, (цей механізм називається «дзеркала сайтів»), а значить, треба блокувати їх усіх. Зрештою, навіть після цього власник може купити послуги хостингу в іншої компанії й швидко відновити сайт із збереженої копії. Втім, блокування на рівні хостера все одно вважається найбільш дієвим.

Можна зобов’язати доменного реєстратора скасувати реєстрацію домену — знову ж таки, якщо реєстратор є іноземною компанією, це може бути досить проблематичним. Також власник сайту може скористатись «доменними дзеркалами», коли одразу кілька доменів ведуть на той самий сайт.

Також можна заборонити провайдерам надавати доступ своїм клієнтам до сайту. Саме цей спосіб пропонується в Указі Президента. Переваги такого підходу – провайдери є українськими компаніями, які працюють за українським законодавством, а значить повинні виконувати приписи. Нюанс у тому, що ані Указ президента, ані інші юридичні документи, що зобов’язують провайдерів заблокувати доступ до сайтів, не містять технічних деталей, яким саме чином це блокування здійснювати. Відтак провайдери змушені самі вирішувати, як реалізовувати блокування. Втім, в абсолютній більшості випадків користувачі можуть без особливих проблем та жодних витрат обійти ці блокування.

Перед тим, як розглянути, чому так легко можна обійти блокування, згадаємо про ще один спосіб блокування. Мова про запровадження відповідальності – аж до кримінальної – за відвідування «заборонених» сайтів і (або) використання засобів для обходу блокувань. Наприклад, зобов’язавши провайдерів повідомляти про таких «неблагонадійних» користувачів. Очевидно, що подібне рішення свідчило би про повне згортання демократичних свобод і нагадувало би гірші орвелівські сценарії. На подібний крок досі не зважились навіть Росія із її боротьбою з Telegram чи Білорусь, де намагаються перешкодити використовувати TOR.

Важливо розуміти, що всі чинні в Україні приписи щодо блокування сайтів жодним чином не стосуються поведінки користувачів. Переглядаючи сайти із «забороненого списку» та використовуючи засоби для обходу блокувань, користувачі не порушують жодних правових норм.

Нормальні герої завжди йдуть в обхід

Після запровадження блокувань російських соцмереж про технологію VPN почули навіть далекі від мережевих технологій українці, а навички обходу блокувань опанувала значна кількість користувачів.

Можна виділити кілька найпопулярніших технологій – цей список жодною мірою не є вичерпним. Їх об’єднує те, що вони безкоштовні для користувачів, порівняно прості у використанні та не створюють дискомфорту при звичному веб-серфінгу.

Змінити адреси DNS-cерверів

Сайти в інтернеті мають свою IP-адресу, наприклад, 172.217.16.174. Запам’ятовувати подібні набори цифр живим людям складно, тому вигадали систему доменних імен: замість IP-адреси ми користуємось куди простішими для запам’ятовування адресами сайтів, наприклад, google.com.

Коли ми вводимо в рядку браузері адресу сайту (наприклад, google.com), браузер спершу має перевірити, за якою IP-адресою  (наприклад, 172.217.16.174) знаходиться сайт, а тоді спробувати його відкрити. Щоб це зробити, браузер спершу з’єднується зі спеціальними сервером (DNS-сервером), де зберігається  перелік доменних імен та IP-адрес, що відповідають кожному з них.

DNS-серверів є багато, і, в принципі, можна використовувати будь-який із них. Але інтернет-провайдери мають власні DNS-сервери, адреси яких прописані в налаштуваннях вашого роутера. Тому частина провайдерів налаштувала свої DNS-сервери таким чином, щоб при спробі користувача зайти на сайт із «забороненого списку» їх браузер просто не отримував потрібної IP-адреси. Рішення просте й дешеве, однак обходиться дуже просто – користувач може зайти в налаштування роутера і поміняти там DNS-сервери провайдера на будь-які інші, наприклад, Google DNS чи Open DNS. Також можна змінити ці налаштування не на роутері, а на комп’ютері чи смартфоні.

Проксі-сервер

У випадку, якщо провайдери підійшли до питання серйозніше та заблокували доступ до IP-адрес «заборонених сайтів», спрацьовує використання проксі-сервера.

«Проксі» – це «проміжний» сервер, при використанні якого браузер (чи інша програма) не з’єднується напряму із сайтом, який користувач хоче відкрити, а спершу встановлює зв’язок із  проксі-сервером, який вже далі приєднується до потрібного сайту. Оскільки з точки зору провайдера користувач йде не за IP-адресою заблокованого сайту, а за IP-адресою «проміжного» сервера, таке з’єднання не блокується. Блокувати IP-адреси проксі-серверів для провайдера – задача непосильна, оскільки користувач завжди може скористатись іншим проксі-сервером замість заблокованого.

Тут варто відзначити, що блокування сайтів за IP в принципі може принести непередбачувані результати. Як мінімум тому, що кілька сайтів можуть використовувати «спільний» хостинг, а значить, при спробі заблокувати один сайт постраждають ще кілька. Як максимум – сучасні сайти можуть використовувати технологію розподіленої мережевої інфраструктури, яка охоплює багато серверів із різними IP. До чого може це призвести, добре демонструють спроби Росії заблокувати Telegram, в гонитві за яким заблокували адреси Google, Amazon тощо.

VPN (Virtual Private Network)

З точки зору обходу блокувань доступу по IP технологію VPN можна вважати «просунутою версією» проксі-серверів. Різниця в тому, що при використанні VPN зв’язок із «проміжним» сервером встановлюється за допомогою зашифрованого каналу, а значить ані провайдер, ані будь-хто інший, хто спробує перехопити інформацію про з’єднання користувача, не зможе побачити, яку саме інформацію він передає чи отримує.

Важливо усвідомлювати, що використання проксі-серверів та VPN може бути небезпечним для користувачів. Адже в цьому випадку весь трафік з комп’ютера користувача проходить через сервер, який контролює третя сторона. Фактично, власник проксі або VPN має такі ж можливості, як і ваш інтернер-провайдер: бачити, на які сайти ходить користувач, читати усю інформацію, якщо вона передається в незашифрованому вигляді, а також, за бажання, вносити зміни в трафік, аж до спроб заразити комп’ютер шкідливим програмним забезпеченням. Однак якщо із інтернет-провайдером користувач укладає угоду, і як мінімум розуміє, що ця юридична особа працює за законодавством України, то про власників проксі та VPN ми можемо не знати нічого.

У цьому був негативний ефект від блокувань російських соцмереж. Для обходу блокувань користувачі почали широко використовувати російські ж VPN-сервіси, в результаті російська сторона отримували доступ не лише даних користувача із соцмереж чи пошти, але й весь інтернет-трафік.

TOR

Технологія TOR та її популярна реалізація – TOR-браузер – є, мабуть, найбільш «надмірним способом» для обходу блокувань. Основне призначення цієї технології – забезпечити максимальну анонімність користувача онлайн. При використанні TOR з'єднання проходить не через одну, а мінімум через три проміжні точки, із додатковим шифруванням на кожному етапі. В результаті користувач зберігає свою анонімність, але за рахунок суттєво повільнішого та менш стабільного з’єднання, яке важко порівняти із звичним комфортним для користувача веб-серфінгом.

Мрія КДБ

Навіть із усіма непередбачуваними наслідками масового блокування сайтів за IP, за небезпечністю ця практика й близько не стояла із глибоким аналізом пакетів (Deep packet inspection, DPI). Саме таке блокування хочуть запровадити лобісти законопроекту 6688.

За звичайних умов провайдер має змогу переглянути трафік кожного користувача, визначити, на які сайти він ходить, а також яку інформацію отримує та надсилає, якщо вона передається не по зашифрованому каналу. Однак для цього слід спеціально досліджувати трафік окремого користувача.

Система глибокого аналізу пакетів робить це в автоматичному режимі, маючи змогу визначити, якими програмами користується користувач для з’єднання, фільтрувати за пошуковими словами в перехопленому трафіку і багато іншого.

Про подібні системи слід розуміти два речі.

Перша – одночасно із глибоким аналізом, вони мають змогу застосовуватись для складного фільтрування з’єднань та цензурування. Саме для цього ця технологія розроблялась: не лише для моніторингу, але передусім для складної фільтрації, обмеження та цензурування контенту (інформації, яку користувач отримує з інтернету).

Друга – такі системи є дорогими, а отже використовуються переважно в державах диктаторського типу, що готові інвестувати значні кошти в масове стеження за громадянами та інтернет-цензуру. Цим шляхом, зокрема, пішли Росія та Китай.

В Росії подібна технологія реалізована у вигляді СОРМ-3 (абревіатура від Система оперативно-разыскных мероприятий). Технічні засоби, розміщені в провайдерів, не лише дають змогу фільтрувати та блокувати трафік, але й надають доступ до трафіку користувачів Федеральній службі безпеки та іншим силовим структурам. Важливо розуміти, що для подібного стеження російські силовики не мають отримувати публічного дозволу суду, а стеження за користувачами відбувається без відома провайдера, оскільки силові структури мають власний дистанційний доступ до СОРМів, розташованих у провайдерів.

В сумі виходить загальнонаціональна система для загального невибіркового стеження за користувачами та цензурування, до якої силовики мають неконтрольований автономний доступ. Не має потреби пояснювати, якими є спокуси для зловживання подібним інструментом.

Український шлях… чи російський?

Є обгрунтовані підозри побоюватись, що Україна зараз пробує скопіювати російську систему СОРМів.

Так, 20 лютого 2018 року Нацкомісія з регулювання сфери зв'язку та інформатизації (НКРЗІ) погодила підготовлений Адміністрацією Державної служби спеціального зв’язку та захисту інформації (ДСЗІ) проект постанови Кабміну «Про реалізацію і моніторинг ефективності персональних спеціальних економічних та інших обмежувальних заходів (санкцій)». У проекті, зокрема, пропонувалося «забезпечити придбання технічних засобів... для моніторингу стану припинення надання послуг з доступу до інформаційних ресурсів…» і Держслужбі спецзв’язку спільно з СБУ «встановити технічні засоби на телекомунікаційних мережах».

Офіційно потреба у встановленні таких «чорних коробочок СБУ» обґрунтовувалася необхідністю моніторингу виконання указу про санкції. Утім, потенційні загрози приватності та свободі слова, а також широкі можливості для зловживань у разі ухвалення даної постанови викликали вкрай негативну реакцію у представників галузевих та громадських організацій.

У законопроекті 6688 також є пункт про те, що «оператори, провайдери телекомунікацій... зобов’язані за власні кошти закуповувати та встановлювати технічні засоби, які відповідають технічним вимогам, визначеним Адміністрацією Державної служби спеціального зв’язку та захисту інформації України за погодженням зі Службою безпеки України, необхідні для блокування доступу до інформаційних ресурсів (сервісів), а також обмеження або припинення надання телекомунікаційних послуг і використання телекомунікаційних мереж загального користування».

Правозахисники та громадські активісти, зокрема, нагадували урядовцям, що встановлення засобів загального спостереження та / або перехоплення інформації в інтернеті прямо суперечить Рекомендаціям CM/Rec(2014)6 Комітету міністрів Ради Європи, відповідно до яких «на вас не повинні поширюватися заходи загального спостереження чи перехоплення інформації» (п. 4) та «сам факт існування законодавства, яке дозволяє здійснювати спостереження за телекомунікаціями, може вважатися втручанням у право на приватне життя» (п. 82).

Те, що пропонується цим документом, нагадує наявні російські практики з цензурування інтернету, зокрема сумнозвісну систему «Ревізор».

Лабораторія цифрової безпеки з’ясувала, що переліку характеристик до «технічних засобів моніторингу» на момент підтримки проекту постанови НКРЗІ не існувало. Самі ж ці «чорні коробочки» від СБУ та ДСЗІ з будь-якою начинкою легко можуть бути використані для несанкціонованого стеження за діями громадян в інтернеті, маніпуляцій із доступом до інформації в інтернеті (обмеження, блокування чи внесення змін у змістовну частину) та інших порушень прав людини.

Вирішувати проблеми, а не заплющувати очі

Блокування веб-сайтів є не способом вирішити проблему, а імітацією таких рішень. Якщо мова про протиправний контент (як-то дитяча порнографія, порушення авторського права), то блокування сайтів нагадує спроби заплющити очі й зробити вигляд, що проблема зникла. Подібний контент варто не блокувати, а видаляти – через власників сайтів та хостерів, за потреби залучаючи представників правоохоронних органів країни, де хоститься сайт.

Що стосується боротьби з російською пропагандою – російські армії тролів та ботів активно діють у всіх соцмережах, в тому числі у Facebook та Twitter. Непопулярність «Вконтакте» чи «Однокласників» серед користувачів в США не завадили їм впливати на волевиявлення американських виборців. Наївно очікувати, що блокування доступу до російських соцмереж чи, тим більше, кількох інформаційних сайтів будуть ефективною протидією.

Використання російських соцмереж, поштових та інших сервісів дійсно становило небезпеку для держслужбовців, оскільки російські спецслужби могли отримувати доступ до інформації з цих сервісів. Однак це варто було вирішувати управлінським рішенням, за прикладом США, які заборонили використання продуктів «Лабораторії Касперського» в держустановах.

Що стосується кібервійни, то блокування сайтів до цієї теми не має жодного стосунку. Як показала кампанія #FuckResponsibleDisclosure Українського кіберальянсу, величезна кількість сайтів українських державних органів мають численні вразливості, які зокрема дозволяють зловмисникам отримати доступ до чутливої інформації. Цифрова безпека у держорганах України є реальною проблемою, яка наразі майже ніяк не вирішується.

Спроби під приводом боротьби з протиправним контентом, російською пропагандою та кібервійною систему для безконтрольного масового автоматичного стеження та блокування – маніпуляція, яке не вирішить згадані проблеми, натомість створить нові.

Фото: Gary Williams, Flickr

Читайте також

Всі матеріали розділу / жанру:
* Знайшовши помилку, виділіть її та натисніть Ctrl+Enter.
1342
Переглядів
Коментарі
Код:
Им'я:
Текст:
Коментувати
Коментувати
Нові тексти на ДМ
2016 — 2018 Dev.
Andrey U. Chulkov
Develop