Роскомнадзор утвердил дату блокировки 92% VPN-сервисов

В Роскомнадзоре приняли план по контролю и фильтрации интернет-трафика в России до 2030 года. Согласно ему, доля контролируемого трафика должна достигнуть 98%, а эффективность блокировки VPN-сервисов — 92%.

Субсидии на блокировку VPN

Главный радиочастотный центр (ГРЧЦ) получит субсидии для достижения целевых показателей плана РКН. Эта структура занимается мониторингом интернета, блокировками, технической инфраструктурой контроля. Выделенные средства, размер которых не указан, будут инвестированы в совершенствование работы Автоматизированной системы обеспечения безопасности российского сегмента сети «Интернет» (АСБИ), которая анализирует интернет-трафик, фильтрует его, блокирует запрещённые ресурсы, отслеживает угрозы, борется с обходами блокировок VPN и других сервисов.

К концу декабря 2030 года РКН должен контролировать 98% интернет-трафика при рекордной скорости в 831 100 Гбит/с.

Насколько реализуем план РКН?

Конечная цель плана РКН — защита от кибератак, создание надёжной безопасности инфраструктуры и стабильная работа интернета, сказано в документе.

Некоторые эксперты по кибербезопасности считают иначе: это документ о финансировании системы полного технического контроля Интернета. VPN будет работать хуже, Сеть станет более «регулируемой», путей обхода будет становиться всё меньше и меньше.

Однако полностью заблокировать VPN у РКН не получится, уверен эксперт по кибербезопасности Сергей Вакулин.

«Постоянно появляются новые методы обхода ограничений: новые протоколы, новые VPN-сервисы, новые способы маскировки трафика. Кроме того, из самого документа не до конца понятно, как именно будет считаться эффективность. Речь идёт о доле заблокированных VPN-приложений, о доле пользователей, о доле соединений или о каких-то других критериях. Без методики расчёта эта цифра выглядит скорее целевым ориентиром, чем гарантированным техническим результатом».

Получается, за формулировкой «блокировка 92% VPN», скорее всего, скрывается повышение эффективности системы выявления VPN-трафика по техническим признакам, по которым оборудование может предположить, что перед ним не обычный браузерный трафик, а VPN-протокол.

Такая система может анализировать заголовки пакетов, их размеры, особенности OpenVPN, энтропию данных и так называемые TLS-отпечатки — это методы распознавания клиента по особенностям защищённого соединения, уточнил Вакулин.

Даже если содержимое трафика зашифровано, набор параметров при установке TLS-сессии может отличаться у браузеров, приложений, ботов или VPN-клиентов.

Отдельно эксперт упомянул ТСПУ — программно-аппаратные комплексы на сетях операторов связи, которые используются для фильтрации, анализа и ограничения трафика.

Именно модернизация таких систем, по словам Вакулина, и должна стать основой заявленного показателя блокировки VPN в 92%. К слову, по сигнатурам уже анализируют VPN-трафик. Однако граждане продолжают заходить на запрещённые ресурсы, так как маскировать VPN не так сложно, отметил эксперт по кибербезопасности Александр Алексеев.

А раз так, то разговоры о новом этапе борьбы с VPN «выглядят громко только на бумаге», считает наш собеседник. На практике, уверен он, речь идёт не о революционном технологическом решении, а о развитии существующих механизмов фильтрации.

Слабые места в плане РКН

Алексеев ещё раз напомнил, что сигнатура в сетевой безопасности — это набор характерных признаков, по которым система пытается распознать определённый тип трафика, протокол или поведение. В случае с DPI, то есть глубокой инспекцией пакетов, анализ может идти не только по адресам и портам, но и по содержимому, метаданным, отпечаткам соединений и поведенческим шаблонам.

Но именно здесь, считает Алексеев, и находится слабое место всей идеи. Если РКН усиливает распознавание VPN, разработчики сервисов усиливают маскировку. Один протокол перестаёт работать — появляется обновление, переключатель в настройках или новый способ обхода.

Поэтому VPN нельзя сводить только к «инструменту обхода блокировок». В техническом смысле VPN — это виртуальная частная сеть, защищённый туннель поверх публичной сети. Такие решения используют не только обычные пользователи, но и компании, банки, удалённые сотрудники, а также государственные структуры. Поэтому полный запрет VPN как класса технологий был бы проблемой не только для граждан, но и для инфраструктуры, считает Алексеев.

Именно поэтому объявить VPN полностью незаконным крайне сложно. Можно ограничивать отдельные сервисы, блокировать конкретные протоколы, давить на публичные приложения, но сама технология останется. Более того, трафик может маскироваться под разрешённые сервисы, корпоративные подключения или обычные сетевые соединения.

«Единственный по-настоящему рабочий способ борьбы — это заблокировать весь зарубежный трафик или сделать его адски дорогим. Но это уже невменяемо и практически нереализуемо: даже самый «православный» отечественный сервис при обновлении через Google Play всё равно получает данные из зарубежной инфраструктуры, а значит, пользователь должен будет за него платить. Это абсурд», — объясняет ситуацию Алексеев.

Почему ставят такие цели?

Алексеев считает, что появлению плана РКН может быть несколько причин. С одной стороны, это может быть банальным стремлением усложнить доступ к зарубежным сайтам, мессенджерам и соцсетям. Чем выше порог входа, тем меньше случайной аудитории остаётся у ресурса, и в итоге им пользуются только те, кому он действительно необходим.

С другой — это может быть попыткой управлять информационной средой через давление на отдельные платформы, особенно если речь идёт о зарубежных сервисах. В качестве примера наш собеседник привёл продукты Meta (признана в РФ экстремистской): значительная часть пользователей ушла с них не из-за технических блокировок, а по идеологическим причинам.

В то же время сервисы, к которым люди привыкли и которые воспринимаются как «свои», удерживают аудиторию. И если пользователей выдавливают оттуда, народ сильно раздражается.

Поэтому Алексеев не исключает, что в принятии решений могут быть как некомпетентность, так и сознательные действия, направленные на раскачивание ситуации — когда ограничения вводятся, несмотря на понимание их технической неэффективности. В этом смысле запреты становятся не столько инструментом решения проблемы, сколько фактором влияния на поведение общества и уровень напряжения, считает наш собеседник.

Что делать пользователям?

На фоне обсуждения плана РКН возник ещё один вопрос: что делать рядовым пользователям? Осваивать IT-грамотность, использовать нейросети для создания собственного VPN?

Как оказалось, это сделать несложно. Вакулин через ГигаЧат Сбера получил подробную инструкцию по тому, как с учётом блокировок в России на Ubuntu (ОС Linux. – Прим.) для Telegram установить MTProto Proxy: этот клиент подключается к прокси-серверу, а тот уже взаимодействует с инфраструктурой мессенджера.

Своим примером Вакулин фактически показывает: даже если блокируются готовые приложения и публичные сервисы, базовые технические инструкции остаются доступными. А раз так, часть пользователей сможет собирать индивидуальные решения.

Впрочем, это не означает, что каждый второй россиянин к концу 2030 года станет администратором прокси или VPN. Между возможностью получить инструкцию и способностью обеспечить стабильную работу сервера в условиях блокировок есть большая техническая дистанция.

Поэтому Вакулин и Алексеев не советуют пользователям прямо сейчас принимать скоропалительных технологических решений. Они уверены, что VPN-трафик сохранится: полностью выключить международные соединения без серьёзного ущерба для экономики, бизнеса и госинфраструктуры невозможно.

Добиться такого результата можно только одним способом — ударив «топором по проводам». Всё остальное будет не финальной точкой, а дорогой, нервной и бесконечной гонкой между технологиями блокировки и их обхода.

Роберт Вочовский