Раньше власти боялись, что Россию отключат от интернета, как это произошло с Сирией в 2012 году.
Теперь боятся, что не отключат: хакерские атаки на ключевые интернет-сервисы в случае гипотетической кибервойны могут быть опаснее, чем тотальный блэкаут. поэтому государство устанавливает «рубильник» на своей стороне.
Разработчики закона о «суверенном интернете» сами проводят аналогию с атомной бомбой, утверждая, что отключение страны от остального мира так же маловероятно, как применение ядерного оружия.
Тем не менее учения по изоляции рунета проводятся уже сегодня: связисты на живых сетях отрабатывают защиту от угроз, перечисленных в законе и подзаконных актах.
«Цифровой океан» разобрался, что это за угрозы. И не опасна ли «бомба» для нас самих.
УГРОЗА 1. НАРУШЕНИЕ СВЯЗНОСТИ СЕТИ
В ЧЕМ ОПАСНОСТЬ?
При отсоединении от внешних сегментов сети интернет — неважно, по чьей воле, — связь между пользователями внутри страны может нарушиться.
- Отключить часть сетей от заграницы можно как физически, перерезав кабель, так и воспользовавшись особенностями работы протокола маршрутизации BGP.
При этом без связи останутся клиенты тех провайдеров, которые не имели пиринговых соединений с другими российскими операторами, а полагались на зарубежные точки обмена трафиком (см. материал «Кто в сети хозяин», с. 64).
Таких провайдеров в России довольно много. К ним, например, относится RETN, подключающий клиентов по всей стране от Брянска до Хабаровска.
ЧТО ПРЕДПОЛАГАЕТСЯ ДЕЛАТЬ?
В законе «о суверенном интернете» фигурируют технические средства противодействия угрозам (ТСПУ). Это черные ящики (они буквально черного цвета), которые государство за свой счет устанавливает у каждого провайдера.
- В законодательстве прописаны нормы установки ТСПУ: оно ставится вразрез с вышестоящим соединением или перед граничным маршрутизатором.
Такое подключение дает возможность Минкомсвязи отключать вышестоящие соединения, чтобы проверить, сможет ли сеть работать через точки обмена трафиком (IX) и прямые соединения между провайдерами (пиринги) внутри страны.
Во время учений выявляются узкие места: проверяются настройки маршрутизации у провайдеров, пропускная способность у пиринговых операторов — не каждый пиринг технически готов пропускать через себя «лишние» гигабиты трафика.
КАКОЙ ЦЕНОЙ?
Распространено мнение, что государственное вмешательство в архитектуру сетей сделает интернет медленнее и дороже. Скорее всего, будет немного не так: интернет станет быстрее и дороже, причем независимо от действий госорганов.
- Во всем мире, прежде всего в США и Европе, удорожание связано с массовой заменой сетевого оборудования для перехода на новое поколение: смотреть Netflix всем одновременно недешево.
Расходы на «суверенизацию» архитектуры сети в этих затратах могут оказаться едва заметны. При этом хорошая связность между провайдерами внутри страны сделает качество интернета для пользователей лучше: связь через пиринг быстрее, чем через зарубежные точки обмена трафиком.
УГРОЗА 2. НЕДОСТУПНОСТЬ ДОМЕННЫХ ИМЕН
В ЧЕМ ОПАСНОСТЬ?
Когда пользователь набирает в браузере имя сайта, его компьютер должен узнать IP-адрес сервера, на котором этот сайт находится. Теоретически часть DNS-запросов может проходить через зарубежные серверы.
В этом случае даже при физически связной сети внутри страны российский пользователь не сможет найти российский же сайт. Однако на практике вероятность безответных DNS-запросов в РФ крайне низка, так как в стране уже более чем достаточно DNS-серверов.
- Настоящая угроза, к борьбе с которой готовятся разработчики «национальной системы доменных имен» (так ее называют в законе), — шифрование DNS-трафика.
Новейшую технологию DoH (DNS over HTTPS) продвигают Google и Mozilla Foundation, заставляя волноваться госорганы разных стран. Ведь именно на «подглядывании» за DNS-запросами пользователей основаны средства блокировки запрещенных сайтов, от детской порнографии до идеологической пропаганды.
Анализ DNS позволяет отслеживать активность пользователей в Сети. Наконец, создатели DoH не спешат разъяснять, как именно будет маршрутизироваться и обрабатываться зашифрованный DNS-трафик. Возможно, в случае изоляции рунета DoH сделает обработку запросов невозможной.
ЧТО ПРЕДПОЛАГАЕТСЯ СДЕЛАТЬ?
Технически запретить российским провайдерам обрабатывать зашифрованный DNS-трафик как минимум сложно: пострадает значительная часть доступа к web.
- Поэтому, скорее всего, власти постараются поставить эту технологию «вне закона» для производителей ПО.
КАКОЙ ЦЕНОЙ?
Российские пользователи не смогут рассчитывать на ту анонимность, которую обещает технология DoH. Провайдер, а вместе с ним и госорганы, по-прежнему будет видеть, какие сайты человек посещал в интернете.
Роскомнадзор по-прежнему будет блокировать нежелательные сайты, скрывая от пользователей их IP-адреса. Небольшим утешением может послужить тот факт, что россияне не одиноки: в частности Mozilla пообещала не включать шифрование DNS-трафика на территории Великобритании по договоренности с властями страны.
____________________________________________________________________________________
ВОЗМОЖНО ЛИ ОТКЛЮЧИТЬ ОТ ИНТЕРНЕТА ЦЕЛУЮ СТРАНУ? КТО УПРАВЛЯЕТ ВСЕМИРНОЙ СЕТЬЮ
____________________________________________________________________________________
УГРОЗА 3. НАРУШЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ЧЕМ ОПАСНОСТЬ?
Под казенной формулировкой из нормативного акта подразумевается стремление государства контролировать трафик. Чтобы блокировать неугодные сайты. Чтобы противодействовать пиратству. Чтобы следить за пользователями, которые чем-то заинтересовали спецслужбы.
ЧТО ПРЕДПОЛАГАЕТСЯ СДЕЛАТЬ?
Дополнительно оснастить сети оборудованием глубокой фильтрации трафика DPI (Deep Packet Inspection). Если простейшие технологии блокировки препятствуют прохождению пакетов по неугодным адресам, то DPI-оборудование заглядывает внутрь пакета и ищет в нем запрещенные сочетания символов.
- К таким сочетаниям могут относиться как фразы на русском, английском и любом другом языке, так и фрагменты вредоносных программных кодов.
Производитель устройства не раскрывается, хотя, проанализировав рынок, можно предположить, что это устройство глубокой фильтрации трафика от компании RDP.RU.
КАКОЙ ЦЕНОЙ?
На перетряхивание пакетов требуется время. Именно с DPI связаны небезосновательные опасения, что закон о «суверенизации» сделает интернет в России медленным. В пример приводят китайский «Золотой щит», более известный как «Великий китайский файрвол».
Действительно, интернет в Поднебесной, мягко говоря, небыстрый. Но есть разница: принцип китайской системы — запрещено все, что не разрешено.
- Принцип российской — разрешено все, что не запрещено.
Нагрузки на DPI соответствующие. Стоит иметь в виду, что операторы связи давно используют технологию DPI, чтобы определять, какими приложениями пользуются пользователи. Парадоксально, но с помощью DPI провайдеры делают свои сети быстрее, а не медленнее.
К примеру, в дневное время они ограничивают скорость для скачивания торрентов, оставляя более широкий канал для сайтов, видео и телефонии. Пожалуй, наиболее заметный для большинства пользователей недостаток DPI-фильтрации лежит в финансовой плоскости: провайдеры обязаны устанавливать DPI-оборудование за свой счет, то есть в конечном итоге на средства клиентов.
УГРОЗА 4. НОВЫЕ РИСКИ ДЛЯ БИЗНЕСА
В ЧЕМ ОПАСНОСТЬ?
Закон о «суверенном интернете» не рассматривает подобные риски. Отчасти он их даже создает. С одной стороны, «суверенитет» строится преимущественно для противодействия угрозам военного характера, и отключение России от мирового интернета пока что выглядит крайне маловероятным.
- В то же время закон является логичным продолжением государственных инициатив, направленных на поддержку хранения и обработки данных внутри страны.
Сайты и сервисы, размещенные на российских серверах, в будущем будут лучше защищены от любых угроз, внутренних и внешних.
ЧТО ДЕЛАТЬ И КАКОЙ ЦЕНОЙ?
Бизнесам предстоит провести технический аудит, чтобы понять, насколько сильно они зависят от зарубежных сервисов. Маленький пример. Множество сайтов используют бесплатную функцию от Google для защиты от ботов — reCAPTCHA.
Размещается она на серверах Google. И если пропадет связь с международной сетью, то даже размещенный в России сайт станет бесполезными.
Мир как «большая деревня» заканчивается. Большинство пользователей в ближайшее время вряд ли почувствуют изменения. Но бизнесу стоит проработать план Б и удостовериться в работоспособности своих онлайн-систем при любом развитии ситуации.
___________________________
Наш онлайн-портал ➡️ digitalocean.ru
СОЦСЕТИ:
▪️ Instagram: instagram.com/digital.oc
▪️ Facebook: facebook.com/digitalocean.magazine
▪️ Twitter: twitter.com/digitalocean_ru
▪️ Вконтакте: vk.com/digitalocean_ru
▪️ Яндекс.Дзен: bit.ly/digitalocean_magazine