А теперь — для протокола
Роскомнадзор расширяет блокировку обхода блокировок
В обновленный перечень блокировки VPN-сервисов Роскомнадзора впервые вошел протокол Shadowsocks, созданный в Китае для обхода блокировок. Ведомство намерено блокировать его с помощью технических средств противодействия угрозам (ТСПУ) на трансграничных соединениях. Протокол чаще всего используют граждане для частных VPN и белые хакеры в сфере кибербезопасности. Причем он маскирует свой трафик под другие ресурсы, и блокировка может нарушить работу значительного числа легальных сервисов.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
“Ъ” ознакомился с письмом Минтранса в адрес 381 организации транспортной отрасли от 10 ноября. Из него следует, что Роскомнадзор может блокировать VPN-сервисы через централизованное управление сетью общего пользования (с помощью ТСПУ, которые установлены на сетях операторов связи по закону «о суверенном рунете»), и для обеспечения работы информсистем, которые могут использовать VPN для защищенных соединений и удаленного доступа, нужно предоставить до 15 ноября информацию об используемых сервисах и протоколах. Первым на документ обратил внимание Telegram-канал «ЗаТелеком». В Роскомнадзоре отказались от комментариев. В Минтрансе не ответили “Ъ”.
Как следует из документа, блокировать планируется 49 наименований сервисов и протоколов. Среди них, в частности, Shadowsocks (протокол шифрования передачи данных с открытым исходным кодом, созданный в Китае для обхода систем блокировок местных интернет-провайдеров). Его предполагается блокировать на трансграничных узлах связи. Также в перечне ItHelper российского разработчика «Софт Программ» — сервис для ускорения работы устройств со встроенным VPN. Подписка на него продается в «М.Видео-Эльдорадо». В «М.Видео-Эльдорадо» и «Софт Программ» не предоставили комментарии.
VPN — технология, позволяющая объединять удаленные друг от друга устройства в одну частную сеть. Публичные VPN-сервисы позиционируются как способ обхода блокировок. Но организации настраивают VPN для соединения компьютеров, телефонов, банкоматов и т. п., находящихся в разных местах или регионах. Госструктуры, операторы персональных данных и финансовые учреждения должны использовать сертифицированные VPN с шифрованием по ГОСТу.
Чтобы избежать проблем с блокировками корпоративных сетей, использующих VPN, Роскомнадзор запрашивает у разных отраслей информацию о том, какими сервисами они пользуются, «создаются так называемые белые списки», объясняет собеседник “Ъ” на рынке. Массовые проблемы с работой VPN-сервисов в РФ начались в конце мая и начале июня 2022 года. Тогда Роскомнадзор стал экспериментировать с блокировкой конкретных протоколов (см. “Ъ” от 2 июня 2022 года). В августе пользователи также сообщали о проблемах в работе VPN-сервисов, работающих по протоколам OpenVPN и WireGuard и Terona (см. “Ъ” от 7 августа). В ведомстве это не комментировали.
Сначала Роскомнадзор блокировал VPN по IP-адресам, однако они могут меняться, и приходится регулярно пополнять реестр, говорит собеседник “Ъ”.
Поэтому теперь ведомство блокирует сами протоколы, на основе которых разрабатываются различные VPN-сервисы.
«OpenVPN и WireGuard — достаточно распространенные протоколы, их в том числе часто используют для построения защищенных соединений компании, от Shadowsocks они отличаются тем, что не маскируют трафик при соединении (технология обфускации — маскировки трафика VPN под трафик популярных сайтов или приложений, затрудняющей обнаружение и блокировку), поскольку исходно они не создавались для обхода цензуры и блокировок»,— поясняет источник “Ъ”. Поэтому, уточняет он, их, в отличие от Shadowsocks, заблокировать с использованием средств ТСПУ проще.
По словам собеседника “Ъ”, Shadowsocks чаще всего используют частные лица для обхода блокировок. Также его применяют в кибербезопасности пентестеры (белые хакеры, проверяющие сети компаний на защищенность), поясняет он. Но есть и более широкие риски. «Блокировка Shadowsocks через анализ трафика будет очень непростой из-за обсфускации — высоки риски затронуть другие, вполне легальные сервисы»,— уточняет другой источник “Ъ”. Именно поэтому, полагает он, Роскомнадзор только тестирует такой тип блокировок.
По мнению главы Ассоциации малых операторов связи (объединяет 100 провайдеров) Дмитрия Галушко, массовая блокировка VPN, использующих функцию обфускации, «неизбежно грозит рисками недоступности ряда легальных сервисов, а также может создавать нагрузку на сети операторов». Кроме того, добавляет адвокат «ДБА и партнеры» Екатерина Абашина, блокировки через ТСПУ «публично не фиксируются и уведомлений для владельцев онлайн-сервисов не предусматривают».