ерверная Корея. Как Кремль будет закрывать интернет и почему VPN не помогут

Под предлогом войны Кремль начал закрывать в интернете доступ к независимым изданиям, в частности были закрыты «Дождь», «Эхо Москвы», перестал у многих открываться и сайт The Insider. Но это только старт финальной фазы борьбы со свободным интернетом, которая должна завершиться построением «суверенного рунета». Подготовка к его созданию началась еще в ноябре 2019 года, когда ГСУ МВД возбудило уголовное дело против одного из основателей российского интернета Алексея Солдатова и его бизнес-партнера Алексея Шкиттина — их обвиняли в том, что они передали администрирование порядка 470 000 IP-адресов компании, зарегистрированной в Чехии. Солдатов был арестован, Шкиттин объявлен в розыск (Германия отказалась его выдавать, признав дело политическим). Заявление по этому делу подавал лично Андрей Липов, тогда работавший начальником управления в АП, а теперь возглавивший Роскомнадзор. Именно битва за реестры IP-адресов позволит Кремлю реализовать свою мечту о полностью контролируемом «суверенном рунете», говорит Алексей Шкиттин. В разговоре с The Insider он объяснил, как именно будет выглядеть «суверенный рунет», почему обойти цензуру будет невозможно, что связывает Липова с ФСБ и Усмановым, а также почему интернет-гигантам, таким как Google и YouTube, видимо, придется уйти из России.

— Кто и как сегодня контролирует российский интернет?

— Главным источником госконтроля был выбран Роскомнадзор, к которому, по мере необходимости, подключаются разные ведомства, они либо поручают ему что-то, либо содействуют (например, ФАС, ГКРЦ, ГКРЧ и другие). От «Минцифры» практически ничего не зависит, и после падения замминистра Алексея Соколова (который де-факто был представителем ФСБ в ведомстве и пытался взять ситуацию с управлением интернетом под свой контроль) это теперь по сути «министерство ничего». Реальная (политическая) власть над интернетом сконцентрирована в руках главы Роскомнадзора Андрея Липова, являющегося автором проекта «суверенного интернета» и поставленного воплощать его в жизнь.

— А у Липова достаточно компетенции, чтобы этой властью распорядиться?

— Вполне. В отличие от его предшественника, Липов человек грамотный и понимающий устройство интернета. Но дело не только в Липове. Не менее значимым источником опасности для свободы «рунета» является ФСБ. Исторически ФСБ вместе с РКН отвечала за узлы связи и курировала размещение и работу СОРМ на этих узлах. По факту эти функции позволяют ФСБ контролировать весь трафик пользователей не только в текущем режиме, но и (благодаря закону Яровой) на несколько лет назад. То есть все «логи» ваших действий, в случае возбуждения против вас уголовного дела, могут быть доступны по запросу. В сочетании с контролем адресного и доменного пространства такая «прослушка» даёт превосходный результат контроля над пользователями сети.
Алексей Шкиттин

— Ползучая «суверенизация» рунета — это только вопрос контроля или еще вопрос денег? Есть у этого какие-то конкретные выгодоприобретатели?

— Как же без этого! Для понимания происходящего нужно обратить внимание на холдинг «Цитадель», который сконцентрировал и продолжает наращивать в своих руках коммерческую составляющую инструментария, необходимого для контроля за рунетом. За «Цитаделью» стоят родственники высокопоставленных «ФСБшников» и бывшие сотрудники ФСБ, но в итоге все нити ведут к структурам Усманова. На деле вся «госпрослушка» сейчас находится в его руках. По нашим сведениям, креатура Липова на должность главы РКН ещё во время его работы в АП (Администрация Президента) — также заслуга структур Усманова.

— Недавно Усманов продал «ВКонтакте» и Mail.ru (где, кстати, работали сын Липова и сын Кириенко) — значит ли это, что он теряет свои позиции в контроле над рунетом?

— Тут надо в целом понимать, что основной рычаг влияния на все IT компании в стране — это контроль безопасности (а это связка ФСБ — «Цитадель» — РКН), где Липов и Усманов действуют сообща с высшими офицерами ФСБ. Второй рычаг — национальные домены, которые также контролируют Липов с Усмановым. Поэтому теперь им можно больше не владеть контентными компаниями типа VK и Mail.RU, а контролировать всё снизу через безопасность и управление инфраструктурой.

— Насколько реалистично для государства получить полный и окончательный контроль над интернет- инфраструктурой в России?

— В первую очередь давайте определимся, что мы называем инфраструктурой интернета. В отличие от общепринятой точки зрения, это отнюдь не популярные интернет-приложения, такие как YouTube или VK. Основа интернета — логическая инфраструктура реестров IP адресов, системы доменных имён и таблиц маршрутизации. Всё остальное существует поверх неё (или, наоборот, ниже — как кабели или системы формирования и передачи пакетов информации).

— Что значит «инфраструктура реестров IP адресов»?

— Каждый узел в сети имеет адрес, между ними прокладывается маршрут, по которому, собственно, и распространяется информация. Ключевое значение имеют следующие механизмы: система IP-адресации и маршрутизации (IP адреса, автономные системы и BGP) и системы доменных имен DNS, а также кабельная инфраструктура, включающая все кабели, приходящие из-за рубежа. Вот именно это и планируется взять под контроль.

— «Планируется», то есть ещё всё-таки не контролируется?

— Ещё нет, но если взять под контроль эту инфраструктуру, то, используя систему блокировок с помощью устройств, стоящих на узлах сети, а также совершенствуя механизмы DPI (глубокое сканирование и распознавание трафика) и СОРМ, можно достичь тотального контроля над сетью.

— То есть государству осталось только установить контроль над доменными именами и системой IP-адресов?

— Половина этой задачи уже выполнена. По факту, структуры Липова (читай Усманова) взяли под контроль национальную систему доменных имен, устранив с помощью уголовного дела против меня и Алексея Солдатова — мы были последние, кто оказывал сопротивление и мог реально помешать суверенному Рунету состояться. Устранение Солдатова из учредителей КЦ (Координационного центра национального домена) полностью развязало Липову руки, и путём дополнительных, нехитрых манипуляций он получил полный контроль над этой инфраструктурой доменных имен.

- Война может ускорить планы по созданию суверенного рунета?

- Однозначно, вопрос даже стоит уже не в создании, а в развертывании заранее подготовленной схемы. Существует проект РАРН который по сути является полной копией европейского реестра IP адресов и который привязан к системе национальных доменных имен. Все операторы имеющие автономные системы должны быть зарегистрированы в личном кабинете этой системы и только там получать адресное пространство необходимое для работы узлов сети. 28 февраля Роскомнадзор выдал распоряжение о подготовке к переходу всех операторов на систему РАРН и потребовал привести всю имеющуюся информацию в актуальное состояние. Пока речь идет о маршрутах BGP, которые должны сохранится в актуальном состоянии даже в случае их отмены или подмены со стороны регулятора или других сил. На следующем этапе планируется полностью перейти на реестр адресов РАРН и строить маршрутизацию уже от них. По имеющимся данным на все выделен срок несколько недель.

— Это получается такая матрешка, интернет в интернете?

— Да, суверенный рунет — это будет изолированная система с собственной системой доменных имен и адресным пространством, то есть некая модель большого интернета, развёрнутая в отдельно взятой стране. Учитывая тотальный контроль над источниками зарубежного трафика (не зря они бросились кабели переписывать вдоль границы), а так же развёртывание системы глубокого сканирования, для обычного пользователя станет невозможным свободный выход в глобальный интернет или создание внутри страны какого-либо неугодного властям ресурса. Возможно сохранится связь с внешним миром у операторов имеющих прямое кабельное соединение, но они обязаны отчитаться в РКН о таких связях и скорее всего эти каналы также перейдут под контроль РКН.
По последним данным уже на первое марта РКН потребовал отчитаться всех операторов о имеющихся у них зарубежных кабельных сооружениях связи. Основная позиция РКН заключается в том что все кабели приходящие на территорию России должны полностью принадлежать российским компаниям. Думаю отключение коснется так же и операторов на физическом уровне. Так что существует большая вероятность, что в течении марта Рунет станет полностью закрытым изнутри. То есть люки будут задраены.
Очень вероятно, что в течении марта Рунет станет полностью закрытым изнутри

— Насколько сложно будет обходить блокировки в условиях «суверенного рунета»?

— Если какое-то время они будут держать связь с внешним миром, то будут и возможности обхода блокировок. В таком случае получат распространение сети с ячеистой топологией, где каждый пользователь станет узлом сети, пропуская трафик соседа через себя. Вариантов борьбы еще много. Но вот на спутниковый интернет надеяться особо не стоит, так как системы доступа очень легко контролировать и выявлять.

— Чем российская система будет отличаться от, скажем, великого китайского файервола?

— Они устроены совсем по-разному, потому что китайский интернет на самой ранней стадии (когда там было чуть больше 100 тысяч пользователей) был закрыт мощным файерволом, который рос вместе с сетью и был полностью в неё интегрирован. Китайская система контроля трафика — это программно-аппаратное решение, которое строилось 30 лет, и повторить такое за пару лет нереально ни при каких затратах.

— Да и затраты там многомиллиардные.

— И затраты огромные, и число специалистов, занимающихся этим. Смысл китайской системы базируется на использовании аналогичной логики адресации и маршрутизации, что и весь мировой интернет, просто китайцы отгородились от него оборудованием, позволяющим осуществлять глубокое сканирование трафика, способное не пускать запрещённый контент. Фильтрация внутри, скорее всего, работает по схожему принципу. Кроме изоляции способствует такой момент, что Китай является NIR, то есть национальной интернет регистратурой, а это дает возможность государству заставлять всех операторов использовать только выделенные им IP адреса внутри страны.

— А Россия так не может?

— Нет, так как Россия находится в зоне действия интернет-регистратора RIPE, который занимается распределением IP-адресов в Европе, Центральной Азии и на Ближнем Востоке. В RIPE любой оператор может использовать свою автономку и IP где угодно, даже в другом регионе.

— А чем «суверенный интернет» будет отличаться от северокорейского «интранета»?

— В Северной Корее ситуация вообще довольно примитивная. Там товарищи, недолго думая, просто построили «локалку», которая сводится под одну автономную систему с двумя «аплинками» (т. е. два канала связи): из Китая и из России. Всё что внутри — просто внутренняя локальная сеть, где правила и права определяют системные администраторы. Но в Северной Корее интернетом пользуется немного людей, а в России работает более 2000 провайдеров, и необходимость международного общения очевидна, хотя бы для банковской сферы и внешней торговли.

— Но разве «суверенный рунет» не просто увеличенная до огромных масштабов «северокорейская» модель?

— Не совсем. В АП и с приходом Липова в РКН начали развивать идею создания собственного аналога интернета для всей страны, чтобы он технически не отличался от оригинала, но не совпадал с ним на логическом уровне. То есть берётся международная система распределения IP, копируется и создаётся своя по аналогичному принципу. Адреса принудительно распределяются среди российских провайдеров через систему РАРН, которые после этого должны перестать анонсировать международные адреса через свои автономные системы и начать анонсировать внутрироссийские, плюс все каналы связи должны быть российские. Тогда интернет как бы замкнётся внутри себя и будет работать правильно, но без контакта с внешним миром.

— И фильтровать трафик становится намного проще.

— Конечно! Не нужно глобальной международной фильтрации, внешнего трафика просто не будет по умолчанию, кроме как через шлюзы под полным контролем Ростелекома и Ко. А внутренний трафик будет дешифрироваться DPI (глубокая фильтрация) и блокироваться по необходимости. Построить туннель VPN будет невозможно, как и использовать встроенные в браузеры системы обхода блокировок. Так что планируемый суверенный интернет по сути закрытая на логическом уровне управления сетью система, или суверенный сегмент международной сети, которая работает по модели мирового интернета, но полностью от него отделена.
Построить туннель VPN будет невозможно, как и использовать встроенные в браузеры системы обхода блокировок

— Если говорить проще, то у Кремля появляется рубильник, который в любой момент может выключить внешние каналы.

— Именно. Ведь сейчас все две тысячи российских провайдеров работают с мировым интернетом и блокируют сайты по требованию РКН только на основании страха перед штрафами или наказанием, но технически они могут это нарушить и включить доступ на полную — например, в случае революции или как сейчас, во время войны. Новая система принципиально исключает такой поворот, поскольку можно будет заблокировать работу прямо из центра управления РКН на уровне автономной системы, банально удалив неугодную маршрутизацию.
Аналогичным образом берётся под контроль система доменных имён, которая была названа Липовым «системой национальных доменов», реестр так же переносится в РФ и перестаёт синхронизироваться с мировым, работает только внутри страны в сочетании с национальной системой IP адресации и маршрутизации, которая так же не связана с мировыми реестрами. Если они возьмут под контроль все внешние кабели, а именно этим они и занимаются, шанс полного закрытия возрастает до 100%.

— Но, чтобы это заработало, надо, чтобы интернет-гиганты согласились перейти на IP «суверенного рунета». А если они откажутся?

— Начнем с того, что Google и Facebook согласно закону должны иметь сервера в России и уже давно начали их переносить в российские дата-центры, где они, разумеется, подключаются только к российским провайдерам, потому что других нет и наверное не будет. Сейчас почти все, даже иностранные провайдеры имеют российские юрлица (а тех, кто не имеет, думаю, обяжут, так как уже вышел закон о том, что владеть сетями, пересекающими границу России, иностранцы не могут). Так что по определению придётся сервера подключать к российским «аплинкам».
Понятно, что сейчас все пока работают как всегда, используя международную нумерацию и маршрутизацию, все российские провайдеры используют IP, выделенные им RIPE, но по мере суверенизации все операторы перейдут на нумерацию РАРН и другая использоваться в России не будет. Так что никакого выбора для Google и Facebook предоставлено не будет, потому что международная нумерация просто перестанет работать и их IP станут бесполезными, российский интернет просто не будет их видеть.
Зарубежный трафик пойдёт через шлюз, например, Ростелекома, в котором адреса из внутренних будут конвертироваться во внешние и наоборот (что-то вроде туннеля), все, конечно, под полным контролем РКН, с расшифровкой всего трафика и его анализом. По команде «задраивания люков», шлюз перестаёт работать, после чего российские сервисы Facebook и Google должны будут как-то работать автономно, но умеют ли они это, мы пока не знаем.

— А международные регуляторы могут сказать, что им не нравится идея РАРН и что они не буду с ней взаимодействовать? Может ли вообще мировое сообщество что-то сделать, чтобы помешать РКН создать суверенный рунет?

— Нет, если создаётся свой реестр адресов для внутрироссийского использования, не связанный с внешним, то мировые регуляторы на это никак не повлияют. На пограничных бордерах, допустим, Ростелекома, трафик с внутренней адресации ходит во внешнюю и обратно, но что может сделать тут регулятор? Запретить ходить этому трафику? Удалить международные IP Ростелекома? Это обрежет работу всех международных сервисов в России, но работоспособность внутреннего интернета при этом сохранится.

— Но если говорить о корпорациях типа Google и Facebook, то, получается, они будут сами принимать для себя решение — работать ли с Россией через шлюз или нет. Какова вероятность, что они с таким форматом работы не согласятся?

— Конечно, они будут сами решать. Полагаю, что будут приспосабливаться до последнего. И только если ситуация будет такой, что им придётся иметь какой-то изолированный сегмент на территории России, тут уже, скорее всего, они на такую странную схему работы не согласятся, потому как их системы — это всё-таки цельный механизм и его нельзя использовать автономно. Технически они могут так работать, но вообще, выглядеть для них это будет крайне коряво. Думаю, они могут в конце концов свалить, в том числе потому, что затраты на их приземление в России в рамках суверенного рунета будут слишком высоки. Ну и вопросы конфиденциальности пользователей никто не отменял.

— Сложно себе представить, как, скажем, YouTube мог бы работать автономно в России, даже если бы захотел.

— Тут надо понимать, как работает структура кеширования данных, СDN и прочее. Думаю, им придется создавать сначала сбалансированный механизм распределения и управления данными, чтобы потом протискиваться через бутылочное горлышко суверенного рунета, но это не то, что нужно Google и прочим. Как я и говорил, они, скорее всего, просто откажутся работать в таких условиях, так как их системы не предусматривают автономии из-за технологии кеширования.

— Но если интернет-гиганты уйдут, как вообще российский бизнес будет выживать, если нормальных аналогов нет? Не получится ли, что попытка создать собственную инфраструктуру интернета на самом деле приведет к тому, что они просто поломают интернет окончательно и разорят экономику?

— Конечно поломают, а идея поставить всем «Эльбрусы» и «Байкалы», с горем пополам работающие процессоры, она разве не разрушает всё, что только можно? Но ведь делают. (Вернее, уже не делают, потому что даже они зависели от тайванского вендора, который наложил санкции). Последствия их не очень волнуют, они решают сиюминутные задачи — взять сеть под полный контроль. Если все будут работать через Mail.ru и подконтрольную корпоративную почту (теперь и ведомственные сети обязаны хранить данные и предоставлять их), их это вполне устроит. Совсем, конечно, не поломают, но выглядит это будет крайне убого. Экономика при этом вряд ли будет на подъёме, хотя, наверное, «Госуслуги» и сайт налоговой работать будут.
Оригинал