Без права переписки: как борются с неугодными интернет-сервисами в Китае
История противоборства мессенджера Telegram в лице Павла Дурова и регулятора в лице Роскомнадзора привела к тому, что тучи сгущаются над всем Рунетом.
В мае глава Минкомсвязи Николай Никифоров уже не исключил, что проблемы с получением ключей шифрования, аналогичные тем, что возникли с у Telegram, могут коснуться и Viber — мессенджера с аудиторией в России в 9,4 млн пользователей. Операционный директор компании Viber Media S.a.r.I. Майкл Шмилов заявил, что Viber требование о предоставлении ключей безопасностей выполнить не может. И дело вновь в пресловутом end-to-end шифровании, при котором ключи хранятся на устройствах пользователей.
Впрочем, уже на следующей день после выступления Никифорова глава Роскомнадзора заявил, что предпосылок для блокировки пока нет, и в то же время начались разговоры о создании «белого списка» IP-адресов, чтобы изолировать IP-адреса запрещаемых ресурсов у себя на стороне, раз уж это отказались делать вендоры Google и Amazon.
Все это неволей заставляет задумываться об особом пути и для русского интернета, тем более в мировой практике уже есть примеры регулирования всемирной сети. Опыт Китая очень показателен для России в свете последних событий — как ограничения работают в Поднебесной?
Золото партии
Проект «Золотой щит» является одним из 12 ключевых проектов КНР в сфере электронного правительства, именуемых «золотыми». В числе других «золотых» такие проекты, как «Золотые мосты» (для общеэкономической информации), «Золотая таможня» (для иностранных торгов), «Золотая карта» (для электронных валют), Golden Finance (для управления финансами), «Золотое сельское хозяйство» (для сельскохозяйственной информации), «Золотое налогообложение» (для налогообложения), «Золотая вода» (для информации о водных ресурсах), «Золотое качество» (для контроля качества) и пр.
Неофициальное название — «Великий китайский файервол» — несколько приуменьшает масштаб самого крупного в мире комплекса подсистем по мониторингу, распознаванию и управлению трафиком с 15-летней историей. Золотым данный проект делает не только его название, но и объем ресурсов, вовлеченных в него, — по оценкам исследователей Open Society Institute, сегодня над проектом постоянно работает более 30 000 сотрудников, а его ориентировочная стоимость на момент запуска составляла более $800 млн.
«Золотой щит» прежде всего представляет собой систему серверов на канале между местными магистральными провайдерами и международными сетями. В каждом из этих шлюзов установлена система интернет-снифферов и прокси-серверов, которые используются, чтобы копировать пакеты данных, классифицируемых с помощью технологии DPI (технология проверки и фильтрации сетевых пакетов по их содержимому и на основании статистических данных). Скопированная информация анализируется серверами «Золотого щита» на основе сразу нескольких технологий: блокировки и фильтрации по IP-адресам, фильтрации DNS-запросов (они переводят запрос пользователя в виде домена в понятный серверам IP-адрес) и их переадресации, блокировки и фильтрации интернет-адресов (URL) на наличие ключевых слов, глубокой фильтрации пакетов информации (DPI), компрометации данных в системе DNS-запросов с последующим сбросом соединения с ресурсом при выявлении аномальной интенсивности интернет-трафика (connection probe) и алгоритмов машинного обучения для классификации трафика (SVM), после чего система принимает решение о возможном ограничении доступа к ресурсу.
Сила технологий
Если первые три технологии применяются успешно многими странами, в том числе и Россией, то последние (DPI, connection probe и SVM) как раз и представляют собой основную мощь «Великого файервола». Они позволяют блокировать любые соединения через VPN (его называют в Китае 翻墙 «фань цян», что дословно переводится как «перебраться через стену»), SSH-туннели и с помощью прочих методов, долгое время служивших верой и правдой местным жителям в их стремлении получать доступ к желанным и заблокированным западным мессенджерам и социальным сетям.
С помощью технологии DPI осуществляется низкоуровневая проверка и фильтрация сетевых пакетов по их содержимому в режиме реального времени, и с точки зрения внешнего наблюдателя никаких задержек или манипуляций с трафиком практически не заметно. Для этого используются огромные вычислительные мощности, а именно — дата-центр размером с небольшой город, который применяет роевой интеллект (Swarm Intelligence) для управления балансировкой и обработкой данных между его бесчисленными частями-узлами. И да, это та самая технология DPI, которая в «мирное время» используется провайдерами в связке с рекламщиками для анализа действий пользователей браузеров, чтобы впоследствии таргетировать рекламу: именно благодаря ей, если вы искали на сайте автосалона скидку на Bentley, подобная реклама будет вас преследовать в почте и скайпе.
Connection probe — технология, которая при попытке подключения к любому сервису за пределами национального сетевого шлюза «замораживает» подобный запрос и инициирует опережающее подключение по целевому адресу уже от своего имени, что позволяет практически однозначно идентифицировать тип внешнего сервиса, которым желает воспользоваться пользователь из Китая. Например, сеть анонимных ресурсов i2p, представляющая собой децентрализованную и динамическую сеть внутри сети, была успешно заблокирована с помощью вышеупомянутой технологии в Китае и Иране, как и более распространенная система анонимизации трафика Tor. (С помощью Tor вы пытаетесь не дать узнать себя, i2p скрывает от посторонних сайты и прочие сетевые ресурсы.)
Метод опорных векторов (SVM) — один из алгоритмов машинного обучения, который помогает анализаторам DPI автоматически классифицировать большие массивы разнородных данных. Алгоритм позволяет выявлять скрытые закономерности в интернет-трафике, путем анализа частоты определенных символов, длин пакетов и прочих аномалий. Например, в Китае табуирована тема беспорядков на площади Тяньаньмэнь в Пекине 4 июня 1989 года, печально известная как «бойня на площади Тяньаньмэнь». «Золотой щит» с помощью DPI, динамически сканируя национальный трафик, блокирует любые веб-адреса с упоминаниями указанной даты. После того как китайцы приноровились обозначать эту дату как 35-го мая (и множеством других остроумных способов), обычный анализ значительно усложнился и на помощь пришел алгоритм SVM, который способен обнаруживать замаскированные человеком объекты цензуры.
С помощью описанных механизмов происходит классификация трафика с последующей блокировкой выявленных запрещенных ресурсов и сетей. Весь неклассифицированный трафик, а под эту категорию попадают любые средства шифрования (пресловутый кейс Telegram, например), будь то SSH-, XOR- или VPN-трафик, отделяется от HTTPS-трафика, а затем подвергается искусственной буферизации. Для пользователя это выглядит как замедление работы любого «несертифицированного» программного обеспечения, если оно вообще работает. В результате пользователи выбирают местные аналоги — поисковик Baidu, мессенджер weChat, «твиттер» — Weibo, «ютюб» — Youku, интернет-энциклопедию Sogou Baike или модифицированную версию VPN для корпоративных целей, которую может расшифровать правительство.
Стоит отметить, что свою борьбу с VPN Китай начал также с запрета VPN-сервисов, который можно было наблюдать в России. Но подобные сервисы растут как грибы после дождя, и на месте заблокированного появляется сразу несколько, поэтому особая гордость «Золотого щита» именно в блокировке использования самой технологии VPN и ей подобных.
Иностранные поисковые машины, работающие в Китае, включая Yahoo и Bing, аналогичным образом фильтруют результаты поиска. Таким образом, он сочетает в себе практически все возможные на сегодняшний день технические методы фильтрации, используя их выборочно по отношению к тем или иным ресурсам. Одни могут блокироваться полностью, а другие лишь частично.
Десятки тысяч невидимых цензоров
Цензура — давний и естественный элемент китайской культуры — еще во времена династии Цинь в III веке до нашей эры, император Шихуанди по совету философа-легиста Ли Сы приказал закопать заживо 460 конфуцианских ученых и сжечь всю конфуцианскую литературу, чтобы они не попали в широкие массы. Традиции придерживаются и спустя две с лишним тысячи лет, во времена правления коммунистической партии, пишут авторы научной работы, опубликованной в журнале Science. Если с фильтрацией трафика, направленного на нежелательные ресурсы и приложения, борется автоматическая часть «Золотого щита», то с нежелательным контентом в социальных сетях с сотнями миллионов пользователей — вполне реальная армия цензоров. Исследователи из Гарвардского университета оценили их количество в беспрецедентные десятки тысяч участников, включая правительственных блогеров и так называемую интернет-полицию, занимающуюся различного рода фильтрацией контента интернет-ресурсов.
Примечательно, что имея огромную армию «интернет-карателей», Китай в то же время прикладывает серьезные усилия, чтобы сам факт цензуры, контроля и слежки никак внешне не ощущался обычными гражданами страны. Любые попытки открыто обсуждать именно эту проблематику, указывать на факты контроля пресекаются порой даже более жестко, чем критика руководства и политики коммунистической партии.
Повторит ли Россия китайский путь
Путь к свободному от западного влияния новостей о религиозной организации «Фалуньгун» и обсуждения борьбы за национальную независимость в Тибете и Синьцзяне интернету Китай прошел довольно долгий и сложный. Хоть «Золотой щит» и был введен в эксплуатацию в 2003 году, первое боевое крещение состоялось через 6 лет, в 2009-м, когда первыми под прицел коммунистической партии попал YouTube, принадлежащий корпорации Google, а затем и сам Google, почтовый сервис Gmail, Twitter, Flickr и Hotmail. Следом через пару месяцев был заблокирован и Facebook, не помог даже приезд его главы Марка Цукерберга, который выступил на мандаринском перед студентами университета Цинхуа в Пекине. Затем последовали блокировки Pinterest, WhatsApp, Snapchat и Instagram — это далеко не весь список.
Говоря о России, можно сказать, что мы находимся только в его начале. И дело даже не столько в том, что отечественные проекты с реализацией DPI оцениваются в $40-50 млн, в то время как китайская национальная система «Золотого щита» явно перевалила за миллиард, а в то, что российский DPI чисто технически не в состоянии осуществлять действительно глубокий анализ проходящих пакетов, а значит, его заградительные барьеры потенциально будут обходиться квалифицированными пользователями.
Пока мы видим, что отсутствие реальных технических возможностей компенсируется «грубой силой» и веерными блокировками. Объединяют нас с Китаем лишь первопричины этих событий, а именно — нежелание западных интернет-гигантов и веб-сервисов выполнять местное законодательство и уважать законы суверенных государств.