- Каков статус VPN-сервисов в России
- Как технически блокируются VPN-соединения
- Можно ли обойти блокировку
- Возможна ли полная «зачистка» VPN в Рунете
- Чем грозит недоступность VPN для бизнеса
- Как меняется роль VPN в жизни россиян
Каков статус VPN-сервисов в России
VPN (Virtual Private Network – виртуальная частная сеть) – метод шифрования интернет-соединений, позволяющий скрыть от постороннего контроля данные, которыми обмениваются пользователи. Для этого VPN-клиенты создают туннель, пропуская трафик через сервера, расположенные в разных регионах планеты. Благодаря виртуальному «переезду» пользователь может зайти на сайты, заблокированные провайдерами в его стране.
В России VPN совершенно легален. Им пользуются в том числе госструктуры. По подсчетам телеграм-канала «Можем объяснить», проанализировавшего данные портала госзакупок, только за три месяца спецоперации на Украине они потратили на приобретение VPN-сервисов 1 млрд рублей. Пользуется VPN, по собственному признанию, и пресс-секретарь президента РФ Дмитрий Песков. «Ну а почему нет? Это не запрещено», – пояснил он в апреле. Свои VPN-сервисы предоставляют и российские компании, в частности «Лаборатория Касперского» и «Ростелеком».
При этом в 2017 году был принят закон, по которому VPN-клиенты также обязаны перекрыть россиянам доступ к контенту, запрещенному на территории РФ. Роскомнадзор, назначенный исполнителем закона, направляет их владельцам соответствующие требования, но те крайне редко идут на сотрудничество (в основном речь идет о сервисах, созданных за рубежом). Магазины приложений Google и Apple тоже игнорируют предписания ведомства удалить такие программы.
Остается один путь – блокировать. Осенью прошлого года Роскомнадзор провел первую серьезную атаку, нарушив работу в России более десятка известных VPN-сервисов (в том числе OperaVPN, Cloudflare WARP, NordVPN). А недавно состоялась вторая атака.
Как технически блокируются VPN-соединения
Условия для блокировок появились благодаря принятию в 2019 году закона «об устойчивом Рунете». В Роскомнадзоре создан Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), контролирующий работу технических средств противодействия угрозам (ТСПУ). Обзавестись ими должны все российские операторы связи.
Есть два основных метода блокировки. Первый – вычислить IP-адреса серверов, с которыми работает VPN-клиент, и занести их в черный список. Таким образом блокируется не сам VPN-трафик, а доступ к определенным интернет-узлам.
Второй – анализ трафика с помощью технологии DPI (Deep Packet Inspection – «глубокое исследование пакетов»). Хотя содержимое пакетов данных, передаваемых пользователю по VPN, зашифровано, даже без дешифровки провайдер может по косвенным признакам (объему пакетов, частоте передачи, местоположению сервера-отправителя) «догадаться», что имеет дело с VPN. После чего замедлить или вовсе остановить такой трафик. Это более сложный способ: если блокировка по IP-адресам может успешно применяться на любых российских ТСПУ, то DPI-оборудование, как считают эксперты, еще тестируется и пока недоступно на всей территории страны.
Можно ли обойти блокировку
Известно несколько способов. Самый простой – покопаться в настройках VPN-клиента, изменив местоположение сервера или протокол соединения. Подсказать, как это сделать, могут в техподдержке сервиса.
«Хороший коммерческий VPN-клиент имеет несколько протоколов и множество серверов, а еще может шифровать сигнатуру таким образом, чтобы провайдер не узнал IP-адрес сервера, – рассказывает «Профилю» ведущий аналитик Mobile Research Group Эльдар Муртазин. – Есть клиенты, работающие в полуавтоматическом режиме: если вчерашние сервера оказались заблокированы, программа сама подыскивает работающий вариант, облегчая пользователю процесс подключения».
По сути, все зависит от политики сервисов. Некоторые из них не считают российский рынок важным и расстаются с ним, не противодействуя блокировкам. Другие способны эффективно восстанавливать работу. К примеру, NordVPN после блокировки прошлой осенью выпустил специальную безотказную версию для россиян. То же самое сделал сервис Lantern в Казахстане после блокировки в январе этого года.
Почему российские власти за целый год не смогли заблокировать Telegram
«Платные VPN-сервисы могут заводить новые и новые IP-адреса, становясь фактически недосягаемыми для регулятора, – говорит в беседе с «Профилем» эксперт по ИТ-рынку Александр Баулин. – Это вопрос желания и финансовых возможностей. Можно вспомнить борьбу Роскомнадзора с мессенджером Telegram, который уходил от блокировок путем обращения к новым IP-адресам. В конце концов Россия чуть ли не на правительственном уровне попросила компанию Amazon не предоставлять их мессенджеру».
Если некоторые VPN-клиенты откажутся участвовать в этой гонке, российский пользователь легко переживет их утрату, сообщил «Профилю» ИТ-директор компании HFLabs Александр Беслик. «Сейчас точечно блокируются именно популярные сервисы, – уточняет он. – Но существуют тысячи малоизвестных, которые продолжают работать. При желании человек всегда сможет найти подходящий сервис и даже создать собственный. Для этого требуется подключение к виртуальному серверу и инструкция из нескольких шагов, которую можно найти в интернете. Вряд ли это станет массовой историей, но технически это не так сложно».
«Если стоит задача создать свой VPN, дешевле всего вопрос решается арендой соответствующей услуги у хостеров вне РФ, – делится с «Профилем» Виталий Янко, основатель бюро по выводу российских ИТ-проектов на мировой рынок SoftwareLead. – Через соединение в продукте OpenVPN можно настроить такой относительно «вечный» доступ. Базовые протоколы, которые поддерживает OpenVPN, кажется, не будут жестко блокироваться Роскомнадзором».
Так или иначе, арсенал технологий для обхода блокировок постоянно пополняется. Взять, к примеру, перечень VPN-протоколов. Как сообщалось в начале июня, Роскомнадзор блокирует протоколы L2TP и IPsec. Однако это относительно старые протоколы, и сегодня сервисы отдают предпочтение другим, обеспечивающим более стабильное соединение и быструю передачу данных (IKEv2, WireGuard, Lightway, SoftEther и другие). В том числе набирают популярность DPI-resistant протоколы, умеющие фусцировать (маскировать) трафик и тем самым обходить DPI-фильтры. Например, выдавать VPN-пакеты за WebRTC-трафик, генерируемый в видеоконференциях и не вызывающий подозрений у регулятора.
Еще одна новая технология на рынке интернет-шифрования – децентрализованные сервисы (DVPN). Вместо «промышленных» VPN-серверов они используют для туннелирования IP-адреса рядовых пользователей. Подключаясь к этой системе, вы предоставляете свое устройство в качестве узла для VPN-соединений, а взамен получаете доступ к узлам других участников. По той же схеме работают биткоин, торренты и другие peer-to-peer соединения, практически не поддающиеся блокировке: отследить трафик и вычислить все адреса становится попросту нереальным.
Возможна ли полная «зачистка» VPN в Рунете
В марте председатель комитета Госдумы по информационной политике Александр Хинштейн говорил, что в России прекращена работа около 20 сервисов VPN. Насколько эта цифра увеличилась в начале июня, неизвестно: общего реестра заблокированных VPN не существует. Неофициально доступность VPN в России замеряют эксперты проекта Global Check и другие ИТ-энтузиасты. Их усилиями составлен примерный список клиентов, недавно попавших под раздачу: OutlineVPN, ProtonVPN, ExpressVPN, Surfshark, Private Internet Access, CyberGhost, Windscribe, Lantern, Psiphon, 1.1.1.1 WARP, Hotspot Shield, IPVanish, StrongVPN, Mullvad, TunnelBear, IVPN, PureVPN.
При этом фактическая доступность VPN может различаться в зависимости от региона, провайдера или типа соединения (в домашней или мобильной сети). Начиная примерно с 7 июня пользователи в соцсетях сообщали, что часть «упавших» сервисов вновь в строю.
«DPI-оборудование ресурсоемкое, постоянно использовать его накладно, – комментирует Александр Баулин. – Сейчас идет очередной раунд борьбы, но есть надежда, что эта волна схлынет, потому что сложно и дорого держать под контролем всю Сеть. Возможно, что ваш VPN-сервис сейчас «лежит», и вы на него махнули рукой, но вскоре он снова заработает, так как оператор связи решит сэкономить и отключит DPI».
По мнению Эльдара Муртазина, регулятор скорее изображает борьбу с VPN-сервисами. «Блокируется незначительная доля рынка, ресурсов для того, чтобы ударить по всем VPN-клиентам, у чиновников нет. Борьба, которую они ведут, обречена. Сервисы восстановят работу, дальше регулятор потратит две-три недели на выяснение новых IP-адресов. Заблокируют их, пройдут сутки, и снова все заработает. Технология устроена так, что невозможно прикрыть ее раз и навсегда. Нигде в мире это не удалось сделать», – объясняет эксперт.
Китайская (анти)утопия: Построение цифровой диктатуры в отдельно взятой стране
По данным прошлогоднего исследования Comparitech, в той или иной степени работа VPN ограничена почти в двух десятках стран. Россия в этом списке соседствует с такими государствами, как Китай, Иран, Ирак, КНДР, Туркменистан, Бахрейн, Сирия, Оман. Считается, что наиболее успешен опыт Китая, где применяют технически более искушенные методы блокировки: например, DPI-оборудование замедляет любые подозрительные соединения, не пропуская трафик на устройство пользователя до тех пор, пока аналитическое ПО полностью не убедится в его безвредности. Для этого внедрена сложная система оценки «благонадежности» трафика (Quality of Service filtering).
«В Китае борьба началась гораздо раньше, и в нее вложены несравнимо большие деньги, – говорит Баулин. – Плюс у страны есть своя электроника. И все равно VPN-клиенты умудряются пробиваться на территорию КНР. Лично я, когда был в Китае, подключался по VPN. Правда, ни один сервис не работал стабильно».
Чем грозит недоступность VPN для бизнеса
Как напоминает Эльдар Муртазин, назначение VPN отнюдь не исчерпывается доступом на запрещенные сайты. «VPN необходима в первую очередь для безопасности в Сети. Любой современный человек должен пользоваться VPN-клиентом, это цифровая гигиена», – отмечает собеседник.
VPN играет важную роль в бизнес-коммуникациях, поэтому полная блокировка таких сервисов в России нанесла бы ощутимый удар по экономике
Олег Харсеев/Коммерсантъ/Vostock photoДля бизнеса VPN – способ избежать утечки чувствительной информации к конкурентам, защититься от взломов и DoS-атак. Также туннелирование трафика используется в банковских операциях. По словам экспертов «Профиля», даже временное отключение VPN-сервисов генерирует прямые убытки. Полная блокировка технологии поставила бы под угрозу российский бизнес, уверен Александр Беслик из HFLabs.
«Это выстрел себе в ногу, – объясняет он. – Многие компании используют VPN для организации удаленной работы сотрудников и подключения к офисной сети из дома. А попытки блокировать доступ к зарубежным IP-адресам негативно скажутся на российских компаниях, имеющих офисы за границей».
«Наш экспортный бизнес требует вовлечения в международную информационную повестку, – рассказывает Виталий Янко из SoftwareLead. – Но многие зарубежные сервисы или СМИ просто не работают с российских IP-адресов! Поэтому 2–3 сервиса VPN крайне нужны для работы. В том числе приходится использовать cloud-сервисы, недоступные в России. В основном это трекеры задач вроде Monday.com».
Известен еще один побочный эффект от блокировок: во время «ковровой бомбардировки» IP-адресов страдает работа организаций, совсем не связанных с искомой целью регулятора. Так, во время войны с Telegram Роскомнадзор отключал доступ к сайтам интернет-магазинов и образовательных учреждений. А осенью 2021 года на фоне борьбы с VPN произошел массовый сбой электронных систем Банка России.
«У Роскомнадзора недостаточно компетенций, чтобы блокировать что-либо корректно и на долгий срок, – делает вывод Муртазин. – Они делают так: заблокируем, а дальше посмотрим, кого задело. Кто будет кричать, жаловаться, того разблокируем. Вот и сейчас, в начале июня, посыпались сервисы Google – карты, почта… Благо, ненадолго: специалисты Google быстро перевели их на другие IP-адреса. Сам факт, что кто-то ломает работу интернета, ничего хорошего не означает. Всеобщая связность – достижение человечества. Радоваться тому, что кого-то заблокировали, – последнее дело».
Как меняется роль VPN в жизни россиян
Чем нынешняя волна блокировок VPN-сервисов отличается от предыдущих? Пожалуй, только историческим контекстом. В Рунете началась новая реальность: с 24 февраля по 9 июня 2022 года на территории РФ заблокировано 69 509 сайтов (согласно реестру проекта «Роскомсвобода»).
В эти месяцы многие россияне впервые услышали аббревиатуру VPN. Уже в начале марта популярные сервисы отметили прирост российской аудитории: у ExpressVPN она выросла за две недели в 4 раза, у Surfshark – в 35 раз, портал Top10VPN оценивал рост в 8 раз. В апреле внутреннюю аналитику раскрыл мобильный оператор Yota: с января доля клиентов компании, использующих VPN, выросла в 38 раз. Еще одну оценку 6 июня обнародовала британская газета The Times: с февраля число российских пользователей VPN выросло в 15 раз – с 1,6 до 24 млн человек.
Эксперты призывают отнестись к этим цифрам с осторожностью. «Активная российская интернет-аудитория – примерно 25 млн человек, это люди, сидящие в Сети ежедневно и подолгу, – говорит Муртазин. – Что касается VPN, то нужно определиться, что мы понимаем под использованием. Если брать тех, кто в принципе установил программу-клиент, это может быть и 40 миллионов человек. Но постоянно VPN пользуются миллионов 15. Конечно, тренд налицо: до украинских событий VPN был нужен только корпоративным пользователям и тем, кто ездил в Китай».
Еще одно препятствие для VPN-сервисов в России никак не связано с Роскомнадзором. С марта российские банковские карты не принимаются для оплаты за рубежом. Как приобрести платный VPN-продукт? Приходится выкручиваться: проводить оплату через системы онлайн-платежей (WebMoney, «Золотая Корона»), оформлять виртуальные банковские карты в странах СНГ и так далее. Конечно, можно использовать бесплатный VPN, однако специалисты по кибербезопасности настоятельно не рекомендуют это делать: всегда есть риск, что подобный сервис будет зарабатывать на пользователе другим способом – например, «сливая» его персональные данные третьим лицам.
«Я нашел VPN-сервис, который принял оплату из России, – делится Баулин. – Но это по-прежнему большая проблема. Сначала многие проводили платежи через криптобиржу Binance, но потом она ограничила работу с РФ. Через онлайн-кошелек Qiwi оплата тоже то принимается, то нет. Это к вопросу о том, сколько миллионов россиян реально останутся с VPN. Как и в случае с блокировками Роскомнадзора, технические способы подключиться есть, но издержки растут, и в какой-то момент люди просто прекращают попытки».