Буквально вчера в Республике Беларусь запретили Tor и все анонимайзеры, примерно то же самое, но на куда более глобальном и осмысленном уровне происходит сейчас в Китае, с подобной инициативой выступали даже у нас — свободного интернета на наших глазах становится меньше. При этом большинство пользователей уверены, что Tor и VPN ограничить никак нельзя. Мы спросили по этому поводу совета у Михаила Лисняка, создателя медитативного сервиса по отслеживанию котировок валют и цен на нефть Zenrus и преподавателя Moscow Coding School, на чей курс сегодня стартовала запись.

 

Почему запретить в стране Tor всё-таки можно и как это будет работать. Изображение № 1.

 

VPN — если в двух словах — это создание виртуальной сети поверх другой сети, например нашего интернета. То есть между пользователем и VPN-сервером создаётся шифрованный канал, по которому пользователь подключается к другой сети, и оказывается, что человек из Москвы выходит в интернет, как будто он из, например, Амстердама. Мы сейчас рассматриваем один из вариантов VPN, который относится к инфоповоду, вообще различных типов и применений намного больше, но принципы работы у них абсолютно те же.

Tor — система маршрутизации на основе шифрования и распределённой сети узлов-посредников (ими могут быть и обычные пользователи Tor). При подключении к Tor клиент собирает список доступных узлов-посредников, выбирает несколько из них и по очереди шифрует каждый посылаемый пакет ключами выбранных узлов. Далее этот зашифрованный несколькими ключами пакет посылается на первый (входной) узел-посредник. Тот расшифровывает свой ключ и отправляет пакет дальше, второй узел расшифровывает свой и так далее. В конце последний узел расшифровывает последний «слой» и отправляет пакет наружу, в интернет. Можно представить это себе как луковицу, с которой каждый последующий узел снимает слой. Собственно, так Tor и расшифровывается — The Onion Routing, то есть «луковая маршрутизация». Так как почти на всём пути пакета он зашифрован и никто, кроме входного узла, не знает отправителя пакета, система обеспечивает анонимность и защищённость трафика.

Но заблокировать работу Tor можно. Во-первых, Tor-клиент должен каким-то образом получить список входных узлов. Для этого клиент подключается к корневому реестру этих узлов. Если заблокировать доступ к этому корневому серверу, клиент не сможет получить список входных узлов сети и не сможет, естественно, подключиться к сети. Есть ручной способ получения узлов (например, через почту), но это, во-первых, не очень удобно, а во-вторых, при обнаружении органами надзора адресов этих узлов они всё равно сразу могут быть заблокированы.

Кроме того, существует такая система, как DPI — система анализа и фильтрации пакетов. Сейчас постепенно эта система внедряется в России у провайдеров. Она довольно дорогостоящая, поэтому не все провайдеры её используют. Но это пока. Думаю, в ближайшем будущем все магистральные провайдеры её установят. Эта система может анализировать трафик на низком уровне, определять тип этого трафика (даже зашифрованного, но не получая самого содержимого), фильтровать его и, если нужно, отдавать на блокировку. Сейчас эти системы уже умеют определять Tor-трафик по определённым признакам. Tor в ответ придумал систему маскировки трафика (obfsproxy), но постепенно и его учатся определять. А пользоваться всем этим становится всё сложнее и сложнее обычному пользователю.

 

 

   

 

Если власти захотят, то заблокируют всё для подавляющей массы пользователей. Особо упёртые гики смогут найти лазейки, но для обычного пользователя это не вариант

 

   

 

 

То есть запретить в целой стране Tor можно с помощью всё того же DPI. Когда введут уголовную ответственность за использование подобного софта, быстро проведут несколько показательных процессов, и на этом в основной массе всё закончится. Никаких вменяемых замен Tor пока нет. Тот же i2p банится точно так же. Сейчас блокировать Tor непросто, дорого, но вполне реализуемо, если государство этого сильно захочет.

В общем, всё уже придумано и используется, например, в славном Китае. Известные узлы блокируются, трафик анализируется DPI, и определившиеся пакеты блокируются (а информация об отправителе доносится куда следует). Плюс есть система «опережающего подключения», когда подозрительный пакет к какому-нибудь серверу на Великом файерволе «подвешивается», а файервол сам делает такой же запрос к этому серверу и анализирует ответ. А дальше по различным критериям определяется, можно или нельзя. 

Если власти захотят, то заблокируют всё для подавляющей массы пользователей. Конечно, особо упёртые гики смогут найти лазейки, их будут прикрывать, будут находиться новые лазейки — это же вечный процесс, как это происходит с вирусами и антивирусами. Но для обычного пользователя это не вариант. Кроме того, всегда остаётся возможность ввести белые списки либо просто закрыть весь внешний интернет полностью. Но надеюсь, до этого не дойдёт.