Российский закон о запрете анонимайзеров ждет судьба «пакета Яровой»

С ноября 2017 года в России начнется блокировка анонимайзеров, VPN и прочих сервисов, владельцы которых откажутся закрыть доступ к запрещенным в стране интернет-ресурсам. Сегодня законодатели говорят лишь о точечном реагировании на установленные факты использования подобных сервисов для доступа к экстремистским ресурсам. Как будет работать новый закон на деле, покажет время. Однако, если Россия все-таки решит пойти по пути тотального запрета анонимайзеров, это вряд ли удастся реализовать технически.

Законопроект о запрете обхода блокировок через VPN и анонимайзеры был внесен на рассмотрение в Государственную Думу РФ в конце июня 2017 года, и уже в конце июля его подписал президент страны. Немногим более месяца потребовалось на то, чтобы миновать все стадии принятия закона – скорость фантастическая.

Федеральный закон № 276-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» о запрете обхода блокировок через VPN и анонимайзеры:

• 25 июня 2017 года – прошел первое чтение в Госдуме,
• 21 июля 2017 года – принят Госдумой в третьем чтении,
• 25 июля 2017 года – одобрен Советом Федерации,
• 29 июля 2017 года – подписан президентом России,
• с 1 ноября 2017 года – вступает в силу.

Таким образом, в России вводится запрет на использование анонимайзеров, VPN и прочих сервисов, с помощью которых можно получить доступ к сайтам, заблокированным на территории страны. Выявлением таких сервисов в интернете будут заниматься ФСБ и МВД, а их блокировкой по требованию Роскомнадзора – операторы. В противном случае им грозит штраф до 700 тыс. руб.

В ходе обсуждения законопроекта в апреле 2017 года заместитель министра связи и массовых коммуникаций Алексей Волин высказывал мнение о том, что блокировка анонимайзеров приведет к росту спроса на VPN-сервисы и, соответственно, их предложения. И проконтролировать этот процесс фактически невозможно. С подобным заявлением выступал и интернет-омбудсмен Дмитрий Мариничев, который назвал закон фейковым, технически неисполнимым и направленным исключительно на устрашение населения. На скорейшем принятии соответствующих поправок в закон (запрете VPN) настаивал директор Федеральной службы безопасности (ФСБ) России Александр Бортников.

После одобрения закона Госдумой в третьем чтении в Москве состоялся марш «За свободный интернет», участники которого протестовали против вводимых ограничений. Атакой на онлайн-свободы назвали его и в Amnesty International. По мнению заместителя директора Amnesty International по Европе и Центральной Азии Дениса Кривошеева, принятие закона свидетельствует о нетерпимости власти к инакомыслию и стремлении помешать возможности сохранения конфиденциальности в сети.

Не первые и не последние

Родоначальником борьбы с анонимностью в сети на постсоветском пространстве является Казахстан – первые упоминания о запрете в этой стране подобных сервисов датируются 2012 годом. На сегодня, как пишет в своем интернет-блоге один из пользователей, «провайдеры блокируют все прокси – по умолчанию  любой сайт, где в метатегах прописано слово «прокси» или «анонимайзер», скорее всего не откроется в Казахстане». Тем не менее, по словам блогера, проблема решается при помощи Tor: «Если вы используете Tor, то вы, скорее всего, уже под подозрением, но отследить все ваши запросы провайдер не в состоянии. Потому можете искать там все, что угодно. Не повезло тем, кто не смог скачать Tor до того, как он стал блокироваться в Казахстане, – сейчас его тоже блокируют, но там есть функция обхода блокировок. Поэтому все тщетно – Tor жив».

В феврале 2015 года борьба с анонимайзерами началась в Беларуси. В декабре 2016 года в стране также был заблокирован Tor. Причина та же – анонимная сеть позволяет гражданам страны получать доступ к запрещенным ресурсам. При этом в Минсвязи республики особо подчеркнули, что отнюдь не собираются таким образом запрещать анонимный доступ в интернет. Блокировка Tor была реализована путем подстановки TCP RST-пакетов, которые заставляют сервер обрывать соединение при обращении к публичным шлюзам Tor. При этом доступ к серверам директорий Tor заблокирован не был. Пользователи достаточно быстро нашли простой и эффективный способ обхода такой блокировки, настроив игнорирование TCP-пакетов с флагом RST и используя не отмеченные в основном каталоге Tor скрытые шлюзы.

В июне 2016 года блокировкой анонимайзеров озаботились власти Таджикистана. На Украине же сегодня, наоборот, период расцвета сервисов обхода блокировок. Причина – запрет на территории страны популярных российских интернет-ресурсов «Яндекса», Mail.ru, а также соцсетей «ВКонтакте» и «Одноклассники». Армения, Азербайджан, Грузия, Кыргызстан, Молдова и Узбекистан в этой гонке не участвуют.

Как это работает

Анонимайзеры, сервисы VPN, прокси-серверы и т.п. позволяют обходить блокировку сайтов. Как пояснил DR Дмитрий Кузнецов, директор Positive Technologies по методологии и стандартизации, новая статья 15.8, дополнившая закон «Об информации….», обязывает владельцев подобных сервисов, в том числе зарубежных, обеспечивать фильтрацию трафика с учетом «черного списка» сайтов, запрещенных на территории РФ. При этом неисполнение этой обязанности само по себе не приводит к каким-либо санкциям в отношении подобного сервиса.

Вместо этого, как указано в части 2 новой статьи, если правоохранительным органам становится известно, что российский или зарубежный сервис на практике используется для получения доступа к запрещенным сайтам, Роскомнадзор уполномочен вести переговоры с владельцами сервиса о блокировании доступа к таким сайтам, как минимум, для российских пользователей. И только если владельцы сервиса отказываются выполнить подобное требование или уклоняются от переговоров, доступ к подобному сервису может быть заблокирован на территории РФ. Таким образом, по мнению Кузнецова, «речь идет не о запрете анонимайзеров, потенциально позволяющих обходить блокировку, а о точечном реагировании на установленные факты использования подобных сервисов для обхода блокировки. Учитывая, что источником информации о подобных фактах, в соответствии с законом, являются правоохранительные органы, под удар в первую очередь попадут сервисы, активно используемые для анонимного доступа к экстремистским сайтам и т.п. Фактически поправки в закон вводят на территории РФ Abuse Reporting Procedure (процедуру информирования о злоупотреблениях), принятую во многих странах мира».

Однако опыт применения подобных законов показывает, что они, как правило, не ограничиваются точечной блокировкой. Кроме того, блокировка противоречит самой идее создания таких ресурсов как Tor, чьи авторы выступают за полную свободу в интернет-пространстве. «Анонимайзер – это небольшой скрипт, который может скачать и установить любой желающий. Изменить его таким образом, чтобы он мог выявлять российских пользователей и блокировать их доступ к запрещенным в России ресурсам, число которых измеряется сотнями, – чрезвычайно трудоемкий процесс. Понятно, что никто не будет этим заниматься. Значительно проще написать новый скрипт в случае блокировки первого», – говорит Станислав Козловский, сопредседатель Ассоциации пользователей интернета. Кроме того, проверить, действительно ли перед блокировкой правоохранительные органы обращались к владельцам анонимайзера с письмом, удалось ли им найти их действующий электронный адрес, практически невозможно. Так что прописанная в законе процедура является, скорее, формальностью. И вероятность того, что через месяц после вступления закона в силу, то есть уже в декабре 2017 года, российские операторы связи начнут ограничивать доступ ко всем средствам, позволяющим спрятаться во всемирной паутине, весьма велика.

В этом случае схема блокировки анонимайзеров будет примерно такая же, как и других сайтов, включенных в реестр Роскомнадзора. Насколько она эффективна? Кирилл Коданев, менеджер по продукту компании «Код безопасности», предлагает вспомнить Рутрекер. После того, как он был заблокирован по просьбе правообладателя, владельцы ресурса устроили настоящее голосование: блокировать и размещать пиратский контент или согласиться на требования и удалить весь пиратский контент, но в результате Рутрекер останется доступным в России. По итогам пользователи сознательно пошли на ввод ограничений. Но зато на сайте появился раздел «обход блокировок», где были описаны различные методы и варианты – вплоть до возможности приобрести через интернет некий виртуальный сервер в Германии, Бельгии, Малайзии – где угодно. «Не только на этом ресурсе, но и в интернете есть куча инструкций, как это все настраивается. За $3 можно получить доступ к контенту даже без использования анонимайзеров», – говорит Коданев.

Например, сегодня в браузерах появляются различные дополнения, которые реализуют функцию прокси-серверов. «Механизмы становятся прозрачными для пользователя. Ты нажимаешь кнопку «Установить дополнения», и у тебя снова есть выход на твой любимый сайт, который только что был заблокирован. А действуют они либо по технологии прокси, когда у тебя сервер находится где-то за рубежом, либо по технологии VPN», – продолжает эксперт.

Наиболее показателен в этом отношении опыт Китая, где реализован специальный «щит» – система серверов на интернет-канале между провайдерами и международными сетями передачи информации, которая фильтрует информацию. Тем не менее, граждане этой страны все равно умудряются «пробивать» его, используя различные техники обхода.

По мнению Дениса Давыдова, директора Лиги безопасного интернета, Россия отнюдь не пытается идти по пути Китая. «В КНР особенности построения сети таковы, что есть китайский сегмент интернета, который закрыт от внешнего мира виртуальной «китайской стеной». VPN, которые используют китайцы, нужны им как раз для того, чтобы проникать за пределы этой «китайской стены». В России любой пользователь может посещать любые интернет-страницы, кроме страниц с запрещенной информацией, – продолжает он. – И те меры, которые были приняты Госдумой и одобрены президентом, совсем о другом. Коммерческие сервисы, которые предоставляют возможность анонимизироваться, или коммерческие операторы VPN не должны будут предоставлять возможность россиянам посещать страницы из реестра запрещенных сайтов. Если они будут выполнять требования регуляторов, никто их запрещать не будет. Если они не будут соблюдать закон, то, конечно, будут заблокированы на территории России».

«В законе речь идет прежде всего о коммерческих службах, предоставляющих услуги VPN для сокрытия реального адреса. Дело в том, что семейство технологий, которые обозначаются общим названием VPN, часто используется для того чтобы обеспечить безопасное соединение в тех отраслях, где это жизненно необходимо, – при передаче финансовой и персональной информации, при дистанционном управлении промышленными объектами, – рассказывает Андрей Воробьев, директор Координационного центра доменов .RU/.РФ. – В том случае, если какие-то службы будут заблокированы, достаточно подкованные пользователи действительно смогут организовать свой, частный VPN и продолжать получать доступ в том числе к ресурсам, находящемся в «черном списке». Однако это требует определенных знаний, технических навыков и денежных ресурсов. Поэтому можно предположить, что для более чем 90% российских граждан средства анонимизации действительно станут недоступны, и таким образом закон свою функцию выполнит».

Таким образом, принимаемые государством меры позволяют ограничить доступ к запрещенному контенту недостаточно грамотной и информированной с точки зрения компьютерных технологий части населения. «Те, кому действительно есть что скрывать, обычно строят цепочку из нескольких технологий, позволяющих запутать следы. Это могут быть tor-узлы, это может быть VPN нескольких взломанных серверов. Что обычно показывают расследования? Там обнаруживается целая цепочка взломов, отследить которую достаточно сложно», – говорит Коданев.

Ответственность оператора

Основная ответственность за блокировку анонимайзеров возложена на оператора. Как рассказал DR Кирилл Коданев, для того, чтобы выполнить указания Роскомнадзора «на все сто», он должен заблокировать весь трафик, который идет в другую страну, то есть все зарубежные сайты. Кроме того, надо заблокировать все сайты, которые работают по протоколу SSL, и оставить незаблокированными лишь те, которые используют протокол HTTP, чтобы провайдер мог видеть весь пользовательский трафик. Также надо заблокировать все остальные приложения, которые работают по нестандартным протоколам. Таким образом интернет становится «безопасным».

Однако статистика 2015-2016 годов говорит о том, что 80% установленных у пользователей приложений работают по зашифрованному трафику, очень похожему на интернет. «Чтобы заблокировать все предусмотренное законом со 100-процентной гарантией, оператор должен либо заблокировать все, оставив только незашифрованный трафик, который можно видеть, либо использовать средства аналитики и поведенческого анализа, которые будут понимать, что такие-то пакеты такого-то размера с такими-то характеристиками, возможно, принадлежат трафику, который идет на какой-то анонимайзер либо VPN-шлюз, и что его надо заблокировать, – рассказывает Коданев. – Но до использования таких продуктов с функциями искусственного интеллекта еще далеко. Нет пока ни подобных решений, ни лишних денег у оператора на то, чтобы их приобрести». Таким образом, новую инициативу скорее всего ждет та же судьба, что и «пакет Яровой» – его можно принять, но невозможно реализовать технически.

В случае, если все-таки речь не пойдет о тотальном выявлении и блокировании средств анонимизации доступа, реализация закона не приведет к каким-то существенным затратам, уверен Дмитрий Кузнецов. Добросовестным владельцам сервисов анонимизации, в первую очередь российским или ориентированным на российский рынок, придется внести некоторые изменения, включив геолокацию пользователей и фильтрацию трафика с учетом «черного списка» Роскомнадзора. «Однако для подавляющего большинства подобных сервисов российский рынок неинтересен», – уточняет эксперт.