19 июня в Госдуме на расширенном заседании комитета ГД по информационной политике, информационным технологиям и связи субподрядчик The Tor Project Inc. Леонид Евдокимов раскратиковал рассматриваемый законопроект о сервисах, позволяющих пользователям получить доступ к тем сайтам в Интернете, которые были признаны не соответствующими законодательству РФ.

 

Напомним, проектом закона, который 8 июня поступил в Госдуму за подписью депутатов ГД Николая Рыжака (СР), Максима Кудрявцева (ЕР), Александра Ющенко (КПРФ) и Шамсаила Саралиева (ЕР), предлагается операторам поисковых систем не выдавать ссылки на запрещенные законодательством РФ сайты, а владельцам программного обеспечения – не осуществлять пропуск трафика на такие сайты. Как отметили авторы законопроекта, сложившаяся с 2012 года практика применения меры выявила недостаточную эффективность блокировок - полностью достичь целей не удается. Достижению эффективности применения соответствующих правовых норм, по их мнению, препятствуют:

возможность обнаружить ссылки на заблокированные ресурсы в результатах поисковых выдач поисковых систем;

возможность использовать технологии, позволяющие получить доступ к заблокированным информационным ресурсам.

На операторов поисковых систем не возложена обязанность прекращать выдачу ссылок на заблокированные сайты. С целью получения доступа к заблокированным информационным ресурсам используются технологии, которые направляют трафик российских Интернет-пользователей через зарубежные серверы, анонимные прокси- серверы, виртуальные частные сети и пр. Стоит отметить, что в настоящее время отсутствует законодательно установленный запрет использовать технологии, позволяющие получить доступ к заблокированным в России информационным ресурсам, однако доступ к некоторым сайтам, позволяющим «обходить блокировки», ограничен на основании решений российских судов. Технологии направления трафика российских Интернет-пользователей через зарубежные серверы, анонимные прокси-серверы, виртуальные частные сети легальны, существует широкий спектр возможностей их правомерного применения, однако данные технологии используются с целью получения доступа к информационным ресурсам, доступ к которым ограничен на законном основании.

 

1) установить запрет обеспечивать использование на территории Российской Федерации информационно-телекоммуникационных сетей, информационных систем и программ для ЭВМ для получения доступа к информационным ресурсам, в том числе сайтам и (или) страницам сайтов в сети «Интернет», доступ к которым на территории Российской Федерации ограничен;

2) с целью исполнения владельцами таких сетей, систем и программ для ЭВМ указанного запрета предоставлять им доступ к информационному ресурсу Роскомнадзора, содержащему сведения об информационных ресурсах, доступ к которым ограничен на территории России;

3) установить меры административного принуждения, обеспечивающие исполнение установленного запрета: за неисполнение требования Роскомнадзора исполнить запрет в течение 30 дней - ограничение доступа к информационным ресурсам, предоставляющим доступ к сетям, системам, программам для ЭВМ, используемым для «обхода блокировок».

 

 Присутствовавшему на заседании комитета Леониду Евдокимову, принявшего на себя ответственность представлять компанию The Tor Project Inc., к которой напрямую относятся многие положения данного  законопроекта, было предоставлено слово, чтобы высказать свою точку зрения на законодательную инициативу депутатов.

 

 

 

Леонид Евдокимов: - Этот проект, который называется «Открытая обсерватория сетевых помех». Аббревиатура - Open Observatory of Network Interference (OONI) - OONIprobe. Мы занимаемся тем, что изучаем как технически реализованы и внедрены с точки зрения пользователя блокировки в различных странах разнообразного контента.

 

Я разрабатываю некоторые программы для анализа данных, соответственно, имею некоторый опыт о том, как блокировки в разных странах работают и как они иногда дают сбой. Что интересно, другим моим контентом является разработка софта для родительского контроля. Нельзя сказать, что я полностью и всецело в «сером» интернете – это не совсем так.

 

Пришел я сюда, прежде всего, потому, что меня огорчает тот факт, что данный законопроект и комментарии к нему совершенно не рассматривают в себе то, что является, то что он несет новые риски для того, что можно было бы назвать критической инфраструктурой рунета.

 

Руслан Султанович (Руслан Султанович Ибрагимов – вице-президент по корпоративным и правовым вопросам ПАО «МТС» - ред.) уже начал эту дискуссию, возможно она была начата раньше, но я раньше никогда до этого о ней не слышал. Буквально пару недель назад мы наблюдали, как используя особенности реализации реестра информации, который бла-бла-бла, наблюдались некоторые сбои в рунете. У разных провайдеров были недоступны некоторые сайты, но это, действительно, не было широкой, наверное, проблемой, возможно было шума больше, чем проблема в реальности. По моим измерениям, я попытался сделать свои измерения из 500 точек, аномалии я наблюдал в 20% случаев. Это немало, но нельзя сказать, что это повсеместная проблема. Но, тем не менее, уже одно это небольшое хулиганство было заметно на московской точке обмена трафиком, которая потеряла порядка 7-10% трафика в один из выходных дней. Московская точка обмена трафиком, мне кажется, по праву может называться одним из элементов готической инфраструктуры рунета и отражать то, что проблема, действительно, есть.

 

Руслан Султанович поднял проблему о том, что у нас может расти число маршрутов и назвал цифру о том, что интернет сейчас - это 600 000 маршрутов.

 

Я хотел бы добавить к этому еще одну цифру – о том, что Грани.ру, со своими доменами в реестре, как показывал мой эксперимент, сейчас могут добавить в таблицу маршрутизации еще 2 -2,5 миллиона маршрутов. Это, на мой взгляд, может повести к последствиям, которые я не берусь предсказать. Когда в 2013-м году была проблема с тем, что количество маршрутов в интернете превысило 512 000 – проблемы с интернетом, по крайней мере, в США, наблюдались довольно обширные. Оборудование, конечно, было обновлено. Для справки, 512000 – это было одно из ограничений маршрутов, которые могут обрабатывать достаточно популярные маршрутизаторы в то время. То, что один ресурс, одна некоторая юридическая сущность может, условно говоря, принести нам в таблицу 4 интернета – мне это кажется неправильным, мне это кажется большими рисками. Одним из вариантов избегания этой проблемы является перенаправление всего трафика на оборудование DPI.

 

Я встречался с представителями провайдеров, и мне назывались цифры, что сейчас фильтруется примерно от 0,5 % до 1% всего трафика. То есть, если мы хотим перенаправить весть трафик на DPI, то это увеличить количество вычислительных необходимых примерно в сотню раз. Там, где был один сервер – появляется несколько стоек, там, где была стойка – там должен появиться новый машинный зал. Это железо, это электричество, это люди – это очень большие деньги. Как человек, изучающий реализацию блокировок, я сам, непосредственно, на своем домашнем подключении наблюдал о том, что бывают моменты, когда оборудование Ростелекома то ли не справляется с нагрузкой, то ли еще что, но я наблюдал моменты, когда то, что я наблюдал может быть истолковано, что оно работает на пределе нагрузки. Не знаю, насколько это верно, но это говорит о том, что мои опасения о том, что запаса в 100 раз на данном оборудовании нет, они небезосновательны.

 

Еще у меня есть третья история, о которой никто не говорит, а мне хотелось бы сказать. Был в прошлом году случай в Египте, когда примерно в августе пытались магистральные провайдеры Египта взять под контроль шифрованный траффик. Мы разбирались с тем, действительно ли это так, что там происходит, что мы можем измерить с точки зрения пользователя, и там наблюдались проблемы с работой https-сайтов, ssh-тоннелей, которые используются для управления непосредственно сетевым оборудованием. Но это, на мой взгляд, не самая интересная проблема.

 

Самая интересная проблема, что, как минимум, один из топ-50 популярных в Египте сайтов при заходе на него с Египта с вероятностью порядка 10% клиент получал перенаправление на вредоносный код, на вредоносную рекламу.

 

Мы пытались разобраться, в чем причина. Насколько мы смогли с уверенность сказать – это не было проблемой тех точек измерения, из которых мы измерения делали. Это не был, условно говоря, компьютер затрояненный, это не был зараженный роутер пользователя. Также, насколько мы могли судить по нашим измерениям, это не был тот сайт, на который пользователь заходил. По нашим измерениям, мы сделали предположения, что это было DPI- оборудование. Мы связались с ребятами из разнообразных, занимающихся безопасностью египетских фирм, они связались с египетским центром и во что это все вылилось – на одной из конференций был примерно следующий диалог: представители рассказывали представителю компании безопасности, что «да, действительно проблема была, то оборудование наше, которое выполняет фильтрацию, взломали злоумышленники». Соответственно, один из топ-50 сайтов в Египте примерно каждому 10-му посетителю давал ссылку на вредоносный код.

 

Смешных позиций в этом месте две – первое, что никто не отрицал историю с тем, что, «да, мы пытаемся взять шифрованный траффик под свое управление». И второе – что безопасность оборудования, которые предназначено для того, чтобы инспектировать контент и которое предназначено для того, чтобы выдавать разнообразные перенаправления на страницы-заглушки и тому подобное – не была обеспечена должным образом. Это третий существенный риск, который, на мой взгляд, вносит подобная система фильтрации.

 

Еще я бы хотел сказать пару слов про выполнимость данного проекта. О том, что проблема определения того, что пользователь из РФ – она очень непростая, мы не можем ее сделать со 100% точностью.

 

Если пользователь пойдет на VPN-сервис и через этот VPN-сервис подключится к другому VPN-сервису, то второй VPN-сервис не сможет должным образом определять, что этот пользователь из России, поэтому не сможет включать для него списки блокировок.

 

То есть, даже, если все VPN-сервисы данной цепочки будут действительно желать сотрудничать, получать выгрузки и так далее – они не будут иметь достойной технической возможности, чтобы эти блокировки реализовывать.

 

Также на сети Tor, от лица которой я сегодня говорю, нет возможности такой же технической и ее не может быть, потому что сеть Тоr сделана для того, чтобы обеспечивать анонимность пользователя. А если мы говорим о том, что мы можем протащить через сеть какую-то метку, что это пользователь из России – анонимность пользователя страдает.

 

Соответственно, к сети Tor, к сети … будут применены меры административного принуждения, и это лишь ухудшает ситуацию с критическим маршрутом, с критическим количеством маршрутов, о котором я говорил в начале, а также говорил Руслан Султанович, потому что, если раньше это были грани.ру – люди, которых мы условно знаем, если раньше это были какие-то порносайты, которым неинтересно обрушить весь сегмент рунета, то теперь это какие-то … это какие-то интернет-анархисты, что ли, и, возможно, они будут считать это достойным пранком. Я не знаю, будет это так или нет, но я буду считать это существенным риском.