Суверенный рунет – реальные угрозы
Как и следовало ожидать, верхняя палата российского парламента без особого труда приняла закон о так называемом суверенном рунете, даже при том, что часа полтора после начала заседания в пятницу в зале СФ интернет был недоступен, равно как не работали микрофоны и панель для голосования. Своего рода знамение подталкивает к тому, чтобы ешё раз, максимально спокойно посмотреть на законопроект, который уже поступил к главе государства.
Есть ли угрозы рунету?
Да, без сомнения. Не будет электричества, не будет и Сети, хоть суверенной, хоть глобальной. Но это наполовину шутка, конечно. А если без шуток, то просматриваются как внешние, так и внутренние угрозы российскому сегменту интернета.
Внешние проистекают из того, что не Россия – хозяин рунета. Доменными именами и IP-адресами управляет ICANN (Internet Corporation for Assigned Names and Numbers) со штаб-квартирой в Калифорнии, 10 из 13 корневых серверов Сети расположены в США и принадлежат американским компаниям (см. карту, карту и комментарий).
Географическое расположение корневых серверов интернета
Карта, конечно, не самая свежая, но выразительная. А вот таблица с названиями компаний, управляющих корневыми серверами:
Имя хоста | IP-адреса | Управляющая организация |
a.root-servers.net | 198.41.0.4, 2001:503:ba3e::2:30 | VeriSign, Inc. |
b.root-servers.net | 199.9.14.201, 2001:500:200::b | |
c.root-servers.net | 192.33.4.12, 2001:500:2::c | |
d.root-servers.net | 199.7.91.13, 2001:500:2d::d | |
e.root-servers.net | 192.203.230.10, 2001:500:a8::e | NASA (Ames Research Center) |
f.root-servers.net | 192.5.5.241, 2001:500:2f::f | |
g.root-servers.net | 192.112.36.4, 2001:500:12::d0d | US Department of Defense (NIC) |
h.root-servers.net | 198.97.190.53, 2001:500:1::53 | US Army (Research Lab) |
i.root-servers.net | 192.36.148.17, 2001:7fe::53 | |
j.root-servers.net | 192.58.128.30, 2001:503:c27::2:30 | VeriSign, Inc. |
k.root-servers.net | 193.0.14.129, 2001:7fd::1 | |
l.root-servers.net | 199.7.83.42, 2001:500:9f::42 | |
m.root-servers.net | 202.12.27.33, 2001:dc3::35 |
Две управляющие компании американских университетов, как видите, две – из структур вооруженных сил США, космическое агентство NACA и собственно ICANN. Принадлежность остальных нуждается, на мой взгляд, в расшифровке. Итак,
VeriSign, Inc. (управляет двумя корневыми серверами) – компания из города Рестон, Вирджиния, США,
Cogent Communications - многонациональный интернет-провайдер, Вашингтон, США,
Internet Systems Consortium (ISC) — некоммерческая организация, занимающаяся поддержкой инфраструктуры интернет, Редвуд, Калифорния, США,
RIPE NCC— один из пяти региональных интернет-регистраторов, Амстердам, Нидерланды,
Netnod Internet Exchange i Sverige - структура шведского фонда TU-stiftelsen,
WIDE Project - интернет-проект в Японии, основанный университетом Кейо, Токийским Технологическим институтом и Токийским университетом. Управляет главной магистралью японского интернета и используется для запуска .jp домен верхнего уровня (TLD).
Конечно, ICANN позиционирует себя как международная некоммерческая организация (созданная в 1998 году при участии правительства США), так ведь и ФРС формально не относится к госорганам США – так, независимое федеральное агентство, которое по чьему-то недосмотру выполняет функцию Центрального банка США.
Но дело не только в ICANN и корневых серверах (в конце концов специалисты говорят, что к верхнему доменному уровню обращаются не более трети зарегистрированных доменных имён, остальные запросы используют кэшированные DNS-записи о TLD NS. Есть ещё важнейшая структура, которая раздаёт IP-адреса, IANA, и эта - разумеется некоммерческая - организация тоже американская.
Где здесь зарыта собака?
Любое интернет-соединение осуществляется через один из IP-адресов подсети, так называемый шлюз. И если на этот шлюз придут данные из локальной сети с адреса, не попадающего в описанную на шлюзе подсеть, то он просто проигнорирует такой пакет. Но даже если пакеты доходят до целевых IP-адресов, это ещё не гарантия, что Сеть сработает как надо. Мы же забиваем при обращении в Сеть, при поиске, не цифровой код IP-адреса, а «человеко-понятное» имя, например, http://e-vid.ru, а за преобразование цифрового кода в «нормальное» имя отвечают службы DNS, то есть, проще говоря, корневые серверы – те самые 13. Если DNS-сервер посетителя интернета не знает, как разрешить доменное имя в зоне ru, скажем, то он обратится к доменному серверу, отвечающему за зону ru и если нужного имени в списке корневого сервера, отвечающего за названную зону, не обнаружится (притом, что зарегистрированные адреса постоянны и прописаны во всех операционных системах), то всё – нет для вас интернета. И тот факт, что в России в настоящее время размещено 11 реплик корневых серверов DNS делают проблему лишь чуть менее драматичной, но не снимают её. Работать в Сети как во времена dial-up для решения сегодняшних задач, да и в развлекательных целях, просто невозможно.
Вывод очевиден: обрушить какую-либо доменную зону верхнего уровня совсем нетрудно – тем, кто управляет упомянутыми корневыми серверами и раздаёт IP-адреса. Но с чего наши законодатели взяли, что Штатам может прийти в голову обрушить рунет? Ответ, увы, задокументирован.
Часть гибридной войны и гибридной жизни
В сентябре 2018 года Сенат принял, а президент США подписал так называемую Стратегию национальной кибербезопасности США. Помимо прочего, в документе декларируется принцип "сохранения мира силой". Откуда взялся этот принцип? "Россия, Иран, Северная Корея провели ряд безответственных кибератак, - говорится в документе, - которые нанесли ущерб американским и международным компаниям, нашим союзникам и партнёрам и не понесли соответствующего наказания, что могло бы сдерживать кибератаки в будущем". То есть подразумевается, что США могут «ответить» в той же сфере, располагая решающим преимуществом.
Я намеренно закавычил глагол «ответить», - власти России категорически же отрицают, что какие-либо госструктуры РФ имели отношение к упомянутым кибератакам, да и значение самих этих атак ставят под сомнение, но так или иначе, повод для беспокойства по поводу целостности рунета возник не на пустом месте. В конце концов, случись что – госдеп тоже может заявить, что никакие госструктуры США не причастны, а хакеры – они, мол, и в Штатах хакеры, не только в Африке.
К слову о степени решимости наших заокеанских «партнёров»: посмотрите, как они всеми силами пытаются задушить газовый «Северный поток-2», при том, что Россия на этом рынке в Европе далеко не монополист.
И тут возникает ключевой вопрос: а в какой мере закон о суверенном рунете решает – и способен ли решить в принципе – задачи несокрушимости нашей доменной зоны? Мы собираемся разместить у себя полноценный корневой сервер, как это сделали японцы, перевести на него все адреса .ru? Или мы собираемся учинить подобие великого китайского файервола (который, кстати, нацелен в первую очередь на решение идеологических вопросов, противодействие «тлетворному влиянию»)? Что?
К сожалению, законопроект (закон уж, считай) даёт основания думать, что в приоритете вторая задача. Хотя – и это принципиально важно подчеркнуть – он тоже носит гибридный характер, сочетая нормы прямого действия и огромное количество ссылок на необходимость принятие подзаконных актов, то есть передаёт существенную часть полномочий правительству и непосредственно Роскомнадзору. Как они ими распорядятся – вопрос не только техники, но и политической конъюнктуры.
Фильтруй базар!
Конечно, одним из ключевых положений закона о суверенном рунете является установка на создание инфраструктуры, позволяющей обеспечить работоспособность российских интернет-ресурсов в случае невозможности подключения российских операторов связи к зарубежным корневым серверам сети Интернет.
Это не только аппаратная (серверная) часть, сначала надо будет определить «трансграничные линии связи и точки обмена трафиком» и правила маршрутизации трафика. И тут возникает первая засада: люди, которые «в теме», утверждают, что в России сотни узлов (каналов) трансграничного трафика и на сей день никто в стране, включая РКН, ФСБ и ФСО, не знает точно, сколько именно. Все ли провайдеры по первому звонку прибегут в РКН и сдадут свои линии – большой вопрос, а на выявление техническими средствами и минимизацию количество таких узлов/каналов потребуются уйма времени и денег.
Ну, мы, как известно, не постоим, и закон предписывает «возможность установки на сетях связи технических средств, определяющих источник передаваемого трафика». И тут начинается плохо камуфлируемое лукавство: упомянутые технические средства – это технология DPI (Deep pаcket inspection), которая позволяет не только определять источник трафика, но анализирует содержание пакетов информации. Да, допустим в части определения источника трафика эта технология может сработать на налаживание «суверенной» маршрутизации и на минимизацию передачи за рубеж данных, которыми обмениваются между собой российские пользователи (вопросы государственной и коммерческой тайны, персональные данные – вот это всё). Но на что направлена функция выявления содержания пакетов информации? Попросту говоря, на то, чтобы «компетентные органы» знали, кто, о чем и как пишет, за что ратует и к чему призывает.
И если органы решат, что сообщаемая информация не отвечает национальным интересам, в том числе в части политико-идеологической, то DPI позволяет либо блокировать трафик с какого-то ресурса, либо замедлять до критической степени передачу каких-то пакетов, например, трафик социальных сетей или ютуб с видеофильмами персонажа, которого Путину нельзя называть по фамилии-имени, чтобы не накликать (беды, имеется в виду). Закон обязывает всех операторов связи установить на свои сети оборудование DPI, которое будет фильтровать трафик, а при возникновении угрозы (угрозы не поименованы, законодатель имел в виду, надо думать, некую совокупную угрозу рунету) операторы связи обязываются обеспечить возможность централизованного управления трафиком.
Закон, кстати сказать, изобилует реверансами в адрес операторов, - и на оборудование они не потратятся, и в случае каких-то сбоев нести ответственности не будет, но сам перечень исключений зон ответственности операторов показывает, что авторы законопроекта достаточно хорошо понимают, сколько самых причудливых и неожиданных сбоев (ухабов, оврагов, если угодно) может возникнуть на пути суверенизации рунета.
Всё компенсируется необязательностью выполнения
Понятно, что перечисленное в предыдущей главке и есть внутренние угрозы рунету (а также конституционным свободам), но алармистские комментарии об окончательном конце свободы слова, политического плюрализма и даже о конце ещё только зарождающегося в России интернета вещей – всё это преувеличено.
Аргумент в подтверждение тезиса, - история блокировки дуровского «Телеграма». Год войны Роскомнадзора не привёл к искомому для ведоства результату, Т-каналы как работали, так и работают и даже увеличиваются в числе и в количестве подписчиков, заметно оживился рынок VPN, но и без этого костыля многие совершенно спокойно принимают Т-трафик.
С другой стороны, недавние учения по опробыванию упорядочивания маршрутизации и замедления трафика повалили на какое-то время ряд сервисов Яндекса, сбои в сетях уважаемых корпораций, и это заставило РКН сделать шаг назад – неготовы. И кто возьмется утверждать, что будут готовы завтра, что не наломают новых дров?
Конечно, в какой-то перспективе значительная часть каналов связи окажется подконтрольной провайдерам, разделяющим точку зрения Роскомнадзора о свободе в интернете, но и это не гарантирует успеха. Зато позволит РКН отчитаться о «победе», как ведомство сделало это применительно к «Телеграму». В то же время – пока будут устанавливаться пакеты DPI (кстати, это, ведь, зарубежная технология – нет ли там каких-то вредоносных для России закладок?), будут через пень-колоду вводиться новые протоколы, реестры доменных имён, альтернативные программисты (и/или агенты госдепа) гарантированно наштампуют средства обхода ограничений, новые протоколы шифрования и тому подобное. И – мыло-мочало, начинай сначала. Жалко только, что денег в эту прорву будет угрохано немерено, в разы больше 30 млрд рублей, обсчитанных для «пакета Яровой».
Юрий Алаев.
