Как «закон о Рунете» повлияет на пользователей

В минувший вторник Госдума в третьем, окончательном, чтении приняла закон «об изоляции Рунета», как его окрестили в СМИ. Его действие частично стартует с 1 ноября этого года, а ещё задолго до принятия он подвергся критике со стороны операторов, правозащитников, технических специалистов и даже членов правительства. Однако его уже приняли — осталось провести закон через Совет Федерации и положить на подпись президенту. Но куда интереснее, чем он может обернуться для обычных пользователей.

Ковровые блокировки и тотальный контроль

Главным нововведением закона станет то, что Роскомнадзор получит эксклюзивные права по контролю Рунета. Это позволит ему блокировать сайты, фильтровать трафик и отслеживать активность пользователей.

Это будет осуществляться с помощью технологии DPI (технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому Deep Packet Inspection), хотя недавние события в «Яндексе» показали её неэффективность.

Интернет-компания «Яндекс» и ряд других холдингов подверглись мощной сетевой атаке. При этом воздействие осуществлялось через систему блокировки сайтов, которую использует Роскомнадзор. Как сообщает РБК, были проведены DNS-атаки путём подмены записи в Domain Name System (система доменных имён).

«У нас пару недель назад невольно произошли некие «учения», когда по причинам, связанным с блокировками Роскомнадзора, трафик [до ресурсов «Яндекса»] пошел через существующие сейчас у операторов системы DPI. После этого большинство сервисов обвалилось, пользователи испытывали дикие трудности, и, соответственно, что это такое — пропускать трафик через DPI — мы на своей шкуре уже испытали», — рассказал Соколов в ходе выступления на конференции «Обеспечение доверия и безопасности при использовании ИКТ».

«Из контекста закона [о суверенном Рунете] понятно, что вот эти средства борьбы с внешними угрозами представляют из себя не более чем системы DPI, через которые планируется пропускать весь трафик. Соответственно, при текущих объемах трафика таких DPI, в мире не существует, и даже не разрабатывается, которые могли бы поддерживать такой режим без значительных потерь для сервисов», — заявил Алексей Соколов.

Иначе говоря, при использовании DPI скорость доступа будет неизбежно падать, а сервисы недополучат прибыли от рекламы. При этом сама технология вполне удобна, поскольку позволяет находить и блокировать вирусы, фильтровать данные и так далее. Но использование её для блокировок неэффективно, поскольку системы очень дорого стоят, а также увеличивают задержки сигнала.

«Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок. Пострадать от подобных действий могут любая компания и любой сайт, не только «Яндекс», — заявил представитель пресс-службы «Яндекса».

Суть атаки в том, что если злоумышленник владеет доменом, включённым в реестр запрещенных сайтов, то он может связать его с IP-адресом любого другого сайта, что приведёт к блокировке последнего. В результате атаки пострадали некоторые сервисы «Яндекса», доступ к которым был закрыт мелкими провайдерами. А крупные операторы вынуждены были пропускать весь трафик до сервисов «Яндекса» через системы глубокой фильтрации трафика (Deep Packet Inspection, DPI), что негативно сказалось на скорости доступа.

В компании заявили, что специалисты боролись с атакой на протяжении нескольких дней.

«Блокировки сайтов удалось избежать, но атака не прошла незамеченной: активные пользователи сервисов компании заметили снижение скорости доступа к ним», — рассказал источник РБК в «Яндексе».

Для чего применяется DPI?

С использованием DPI у оператора появляется возможность распределить канал между различными приложениями. К примеру, в ночные часы разрешить трафику Bittorrent забирать себе больше полосы, чем днём, в часы-пик, когда в сети ходит большое количество другого веб-трафика. Другая популярная мера у многих мобильных операторов — блокировка Skype-трафика, а также любых видов SIP-телефонии. Вместо полной блокировки оператор может разрешать работу данных протоколов, но на очень низкой скорости с соответствующей деградацией качества предоставления сервиса у конкретного приложения, чтобы вынудить пользователя платить за услуги традиционной телефонии, либо за специальный пакет услуг, разрешающий доступ к VoIP-сервисам.

То есть можно настроить систему таким образом, что подписчик Вася, который за неделю накачал торрентов на 100 гигабайт, до конца месяца будет ограничен по скорости скачивания этих же торрентов на уровне 70 % от купленного им тарифа. А у подписчика Пети, который купил дополнительную услугу под названием «Skype без проблем», трафик приложения Skype не будет блокироваться ни при каких условиях, но любой другой — легко. Можно сделать привязку к User-Agent и разрешить браузинг только при помощи рекомендуемых браузеров, можно делать хитрые редиректы в зависимости от типа браузера или ОС. Иными словами, гибкость тарифных планов и опций ограничена лишь здравым смыслом.

Что даст DPI пользователям ?

Deep Packet InspectionКонституции РФ («… право на неприкосновенность частной жизни, личную и семейную тайну …» и «… право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений …»), а также правилам конфиденциальности. Также Deep Packet Inspection по своей сути нарушает сетевой нейтралитет.

12 мая 2017 года в Азербайджане после блокировок независимых оппозиционных новостных сайтов — были заблокированы целиком (либо максимально ограничены, в плане скорости доступа к сервисам) любые звонки через Интернет, включая такие мессенджеры как Skype, WhatsApp. При этом, никаких официальных заявлений со стороны правительства республики сделано не было, что вызывает у народа серьезное чувство обеспокоенности и подозрения в сговоре среди высших эшелонов власти с целью получения выгоды.