8.

Как видно из схемы, пресловутые siloviki здесь ничего поделать (пока) не могут. Но как меня учили на физмате, реальная суть физических процессов наблюдаемых в природе — это непрерывная динамика, а не абстрактная статика здесь-и-сейчас. А динамика процессов, бурлящих в siloviki_land сейчас, такова — далее по пунктам.
Делаем раз: средства анонимизации вне закона
Пару недель назад общественный совет при ФСБ России, конечно, по чисто случайному совпадению, продекларировал, что он:
считает необходимым совершенствование правового регулирования деятельности юридических и физических лиц, распространяющих информацию в интернете. В связи с этим советом были сформированы предложения к законодателям о необходимости запретить использование анонимайзеров — программ, маскирующих информационные данные и IP-адрес пользователей».
Инициатива силовиков подразумевает запрет программного обеспечения или браузеров со встроенным анонимайзером (таких как браузер Tor). Кроме того, к маскирующим инструментам относятся и прокси в виде веб-сервисов — «автономные сайты, при помощи которых пользователи могут без установления специальных программ переходить с измененным IP-адресом на блокируемый сайт».
Как говорят эти же источники, подобные поправки будут скоро внесены в федеральный закон РФ «Об информации, информационных технологиях и о защите информации».
Одновременно директор ФСБ РФ Александр Бортников заявил прессе:
Необходимо переходить от тактики выявления, фиксирования и блокирования работы сайтов, используемых экстремистами в своей деятельности, к активной информационной работе в киберпространстве».
Подготовка чего-то подобного «активного» упоминалась и раньше.
Например, опять же, чисто случайно, пару месяцев назад на письмо лидера движения «Охотники за головами» Сергея Жука в ФСБ, в котором он просил блокировать сеть Tor на территории РФ «из-за большого количества детской порнографии», ему дали успокоительный ответ, дословно:В России на законодательном уровне рассматривается вопрос о блокировке интернет-доступа к Tor и другим анонимным серверам».
Между тем в США, где VPN, хотя и не запрещен, давно является средством деанонимизации: АНБ сохраняет всю метаинформацию на все зафиксированные сессии граждан с использованием криптографических инструментов. Иначе говоря, хотя и содержимое ваших PGP-писем или VPN-туннелей просмотреть спецслужбам легко не получится (гипотетическое утверждение), но факт того, что именно вы пользуетесь подобными инструментами, будет навсегда зафиксирован в соответствующих базах данных.
Отныне ваша сетевая активность будет превентивно отслеживаться уже в профилактических целях.
Делаем два: углубляем область контроля трафика через DPI
Но за этой юридической инициативой возникают чисто технические проблемы — для проведения соответствующих мероприятий по обнаружению и блокировке VPN-подобной активности в большинстве случаев требуется Deep Packet Inspection (DPI).
Прежде чем следовать дальше, очень кратко поясню суть DPI для людей «не в теме» — это настоящая шайтан-машина, которая умеет делать с «большим транзитным трафиком» то, что всяким файрволам, маршрутизаторам и СОРМ’ам сейчас не под силу, вот как кратко комментирует эти возможности эксперт от Cisco:
В отличие от стандартных механизмов классификации трафика, встроенных в распространенные маршрутизаторы и основанных на данных, содержащихся в заголовках 3–4 уровней OSI модели (IP,TCP/UDP), системы DPI обладают возможностями распознавать в потоке отдельные сетевые приложения (например, YouTube, P2P, Instant Messaging, Browsing и т.д.), а также извлекать, блокировать и анализировать любые инкапсулируемые на таком «пользовательском уровне» данные в режиме on-the-fly. Кроме того, система позволяет ограничивать скорость доступа к интернету отдельным пользователям, блокировать отдельные протоколы, изменять их приоритетность и параметры работы в режиме реального времени«.
Таким образом, DPI — это чудовищно производительный «сетевой микроскоп», который позволяет каждый пакет, проходящий через пограничный шлюз, распаковывать и тщательно досматривать на предмет «таможня дает добро». С недавних пор DPI стал чрезвычайно актуален после введения в России понятия «информация, запрещенная к распространению» (партия руководящие товарищи долго ждали наступления XXI века и «информационной эпохи» и вот, наконец, решились на это).Поэтому пограничный досмотр теперь требует особенно тщательного обшаривания естественных ниш и отверстий всех проходящих информационных пакетов на предмет сокрытия там диковинного заморского инакомыслия и запретных для духовных скреп государства знаний.
Возвращаясь к нашей истории — вы будете смеяться, но, как это водится, чисто случайно Ростелеком в последние месяцы развил просто бешеную активность по созданию своего собственного DPI. На данный момент вроде бы они уже определились, что будет внедрена именно китайская система фильтрации интернет-трафика на базе оборудования Huawei, «которая уже хорошо зарекомендовала себя у наших китайских товарищей».
Делаем три: монополизируем интерконнект во внешний мир
Да, дорогая это вещь — DPI (стоимость от 10 миллионов долларов и выше), только очень крупные провайдеры могут позволить себе это. Да и опять же, как контролировать такое количество сетей... никаких людей-роботов-DPI не напасешься, все штрафуешь их, штрафуешь... сопротивляются почему-то операторы цензуре, несознательные они какие-то, гады.
На сегодняшний день нужно признать — множество мелких региональных операторов пока и вовсе в гробу видели игнорируют Роскомнадзор и его реестры. Как в классике: «суровость российских законов компенсируется необязательностью их исполнения».Но решение есть — в российской прессе это уже обозвали как «белорусский вариант». Речь идет о централизации операторов, которые получат эксклюзивное право на работу с иностранным интернет-трафиком. И вот опять же, чисто случайно, так совпало, что правительством РФ уже в ближайшее время планируется разделить всех операторов связи на две группы: на федеральных операторов связи (ФОС) и на обычных операторов связи (ОС). При этом ФОСы получал эксклюзивное право на работу с иностранным интернет-трафиком, а вот обычным операторам — теперь нужно подключаться к федеральным ФОСам в качестве даунлинка.
Суть новой реформы: чтобы получить статус «федеральный», провайдер должен иметь трансграничные переходы на западе и на востоке России, собственные каналы связи, доходящие до всех регионов РФ, а также точки присоединения во всех городах с населением свыше 100 тысяч человек. По мнению независимых экспертов, условия получения статуса ФОСа подогнано под... государственного монополиста Ростелекома — чисто случайно того самого, который сейчас развернул просто лихорадочное по своей спешке внедрение DPI.
Если не последует укрупнений и слияний, на данный момент в РФ нет ни одного другого телекома, который удовлетворял бы сразу всем заявленным условиям для получения статуса ФОС, кроме упомянутого РСТ.
В общем виде схема этой реформы будет выглядеть примерно так: