Россию отключают от VPN. Что делать?

Многие россияне, стремящиеся получать информацию из разных источников, используют VPN, а власти, беспокоясь о ментальном здоровье граждан и желая пресечь экстремизм и теругрозы, старательно режут доступ к таким сервисам. До сего дня это удаётся не очень, - предложение ширится, и на каждый VPN не накинешь платок, но ситуация может резко измениться в ближайшее время: уже больше года в России тестируются новые виды блокировки и, кажется, они готовы. Как теперь быть любознательным, рассказывает корр. издания-иноагента The Bell Валерия Позычанюк.

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН И РАСПРОСТРАНЕН ИНОСТРАННЫМ АГЕНТОМ THE BELL ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА THE BELL. 18+

Что случилось

В середине апреля 2023 года в России начали блокировку VPN Mullvad шведского провайдера с открытым исходным кодом. Сервис блокируется по IP. Таким же образом ранее стали ограничиваться TunnelBear, NordVPN, Proton VPN, Windsribe, Surfhsark VPN и др. Блокировка по IP — это традиционная, уже понятная для специалистов ограничительная технология, которую Роскомнадзор использует с 2012 года. Ее VPN обходят с помощью разных фич и хитростей, восстанавливая работоспособность своих сервисов.

Но уже больше года в России тестируются новые виды блокировки: блокировка по протоколам и сигнатурам (трафику от конкретных протоколов или приложений). Ее Роскомнадзор осуществляет через ТСПУ (технические средства противодействия угрозам), которые должны быть установлены у каждого провайдера интернета в России. С их помощью Роскомнадзор может блокировать VPN-сервисы напрямую, без внесения в реестр запрещенной информации. Есть мнение, что такие методы могут быть более эффективными, чем блокировки по IP, а значит, более болезненными для VPN и их пользователей.

Как блокируются VPN сейчас и чего ожидать пользователям дальше? Смогут ли заблокировать сразу все сервисы и навсегда? Что делать, если ваш VPN заблокировали, и есть ли работающие альтернативы? Об этом рассказывает технический директор «Роскомсвободы» (запрещена в РФ) и основатель Privacy Accelerator Станислав Шакиров.

Роскомнадзор готовился заранее

Российские власти занялись блокировками VPN еще в 2021 году. Тогда Роскомнадзор пытался запретить несколько VPN-сервисов, постоянно появлялись устрашающие новости о том, что кого-то вот-вот заблокируют (хотя на деле все продолжало отлично работать). Провайдеров VPN настойчиво призывали добавляться в «белые списки» и фильтровать трафик пользователей по Единому реестру запрещенной информации — как бы добровольно выполняя волю государства. До сих пор так и не понятно, согласился ли на это кто-то, кроме «государственного» VPN от «Лаборатории Касперского». Но вряд ли для других VPN-сервисов это могло быть приемлемо — ведь они продают как раз доступ к тому, что блокируют власти.

В 2022 году в России вступила в силу военная цензура, которая невероятно расширила список запрещенных сайтов, одномоментно добавив туда практически все независимые СМИ, популярные социальные платформы, да и вообще любые сайты — от магазинов, торгующих детскими автомобильными креслами или аквариумами, до сообществ любителей бега и музыки, если там было хоть какое-то критическое упоминание военного конфликта в Украине или даже просто антивоенный баннер.

Такой поворот событий стремительно сделал VPN средством первой необходимости, благодаря которому люди теперь получают независимые новости, постят фотки в запрещенных соцсетях и просто получают доступ к внешнему миру без цензуры. По разным оценкам, до четверти россиян сейчас пользуются средствами обхода блокировок, а рынок России стал восьмым по проникновению VPN (первые три места про проникновению, то есть проценту населения, которое использует VPN, занимают ОАЭ, Катар и Сингапур, а вот крупнейшим рынком для сервисов в деньгах остается Северная Америка — 35% от общемирового объема).

Ситуация, когда каждый четвертый житель страны может зайти на запрещенные сайты через VPN, не радует Роскомнадзор. Власти активно взялись за блокировку VPN-провайдеров. С начала 2023 года мы видим непрекращающиеся попытки (надо сказать, все более успешные) закрыть доступ к популярным массовым сервисам.

Что происходит в России с VPN сегодня

На протяжении всего 2022 года мы фиксировали сообщения о кратковременных трудностях у пользователей различных сервисов VPN, в основном в отдаленных регионах страны. Тактика была такая: отключение конкретного сервиса на пару часов, чтобы, с одной стороны, провести необходимые тесты, с другой — чтобы это не сильно насторожило общественность и не вышло большим резонансом в СМИ. Так опробовались новые виды блокировок — по протоколам.

Протоколы — это наборы правил и процедур, которые определяют, как устройства и приложения должны взаимодействовать друг с другом в сети. Они бывают разных уровней: начиная с того, как декодировать электричество, идущее по проводам в биты информации, заканчивая верхнеуровневыми протоколами, по которым отправляется электронная почта. У VPN также есть свои протоколы. И чтобы заблокировать доступ к ним, провайдер может запретить использовать определенные протоколы, которые нужны для доступа к этим сервисам.

Регионы для тестов блокировок по протоколам в теории могли выбираться по принципу минимального побочного эффекта. Например, блокировки были замечены на Дальнем Востоке и в Сибири, где насыщенность инфраструктуры не такая большая, как в Москве или в центральных регионах. Точечные тесты блокировок нужны были, чтобы выработать схему, при которой при блокировании сервисов VPN не пострадает сопутствующая гражданская и бизнес-инфраструктура (а может быть, и военная). На старых системах работают VPN-сети банков — например, банкоматы. Поэтому Роскомнадзору приходится быть аккуратным.

С начала 2023 года все самые массовые VPN-сервисы сообщали о планомерных отключениях в разных городах, начиная с востока. Один за другим сбои в сети почувствовали Омск, Бийск, Новосибирск, Пермь, Орск, Новочебоксарск, Тольятти, Якутск, Казань, Елабуга, Уфа, Чебоксары, Нижний Новгород. Пользователи, которые не смогли подключиться к серверам популярных сервисов, подтверждали ограничения. Сообщения о том, что происходит фильтрация по протоколам, теперь приходят с территории всей страны.

С тех пор как в России установили ТСПУ, стали появляться более сложные блокировки, чем те, которые мы наблюдали с 2012 года. Через ТСПУ появилась возможность тестировать различные политики цензурирования, выделяя их на том или ином провайдере, регионе или запуская в масштабе всей страны. Причина такой эффективности в том, что к настоящему моменту ТСПУ стоят уже у каждого оператора и Роскомнадзор может управлять каждым конкретным устройством. То есть сейчас ведомство имеет доступ ко всему трафику, который проходит через эти устройства, и может, например, отключать работу электронной почты у провайдера А из региона Б.

В это же время крупные VPN-сервисы уже рутинно блокируются по IP и URL-адресу. Для таких блокировок, вероятнее всего, сотрудники Роскомнадзора просто вручную скачивают приложения VPN, смотрят, куда оно подключается. Затем вносят в реестр блокировок URL, который используется внутри клиента для получения конфигурации, и IP-адреса предлагаемых клиенту VPN-серверов.

Так, сейчас с разной степенью эффективности пытаются блокировать все популярные VPN-сервисы, в том числе казавшиеся ранее довольно устойчивыми Psiphon и Lantern. Они, в свою очередь, стараются реагировать и активно внедрять новые фичи, которые помогают восстанавливать работоспособность. У ProtonVPN есть разработка Stealth — протокол, который должен маскировать VPN-соединение, чтобы его не мог вычислить цензор, но Роскомнадзор научился его распознавать и блокировать всего за две недели.

Есть сообщения, что даже Outline блокируется у некоторых операторов, что в целом предсказуемо. Outline использует протокол ShadowSocks, который изначально был разработан для обхода блокировок в Китае. Но там уже научились его распознавать и блокировать, и российские власти заимствуют этот опыт.

Сейчас российские госорганы уже активно тренируются отключать популярные VPN по протоколам OpenVPN, WireGuard, IKEv2, Shadowsocks. Два других протокола — PPTP, L2TP (не очень популярны, потому что устарели и имеют свои проблемы с безопасностью) — пока не фильтруются, но и их заблокировать не сложно. С блокировкой IKEv2 могут возникнуть проблемы, так как их используют российские банки, и без составления «белых списков» разрешенных IKEv2-сетей, вероятно, обойтись не получится. Однако, например, в Китае такие «белые списки» уже есть, так что, вполне возможно, будут и у нас. А в целом проблема в том, что VPN-сервисы используют примерно одни и те же протоколы, а значит, и блокировки по протоколам становятся очень эффективными.

Что будет с VPN дальше

Обычно для ответа на этот вопрос все хотят какого-то сравнения с Китаем: будут ли у нас настолько же жестко блокироваться все возможные протоколы VPN, останутся ли рабочие варианты, насколько сложно ими будет пользоваться.

Глядя на то, что происходит сегодня, с сожалением можно констатировать — да, мы идем в направлении китайской модели. Там технологии борьбы с VPN (а значит, и с доступом людей к неподцензурной информации) уже хорошо обкатаны. А наши органы с охотой перенимают опыт: проводить регулярные встречи с коллегами из Киберадминистрации Китая начали как минимум с 2017 года. Так что, возможно, те самые мемные «китайские специалисты», новость о которых вирусилась по всем телеграм-каналам, прибыли в Москву не отключать YouTube, а научить наших окончательно блокировать массовые VPN. Для этого осталось перенести блокировки со стороны провайдеров на dpi-системы ТСПУ и начать полноценную блокировку VPN по протоколам. На это могут потребоваться считанные месяцы или дни.

Конечно, в плане цензуры Россия ориентируется на Китай с его не то чтоб очень успешным Великим китайским файерволом — там до сих пор не удалось заблокировать все, что желало бы китайское государство. Игра в кошки-мышки идет постоянно: на каждую новую запретительную технологию появляется новая технология обхода. Плюс власти делают послабления для бизнеса, которому нужно быть представленным в глобальной сети, а оттуда доступы растекаются к частным пользователям.

Но помимо Китая есть еще Иран и Туркменистан, у которых свой путь цензуры. В Туркменистане заблокировано уже три четверти IP-адресов, существует «белый список» доступных сайтов. Чтобы пробиться в глобальную сеть, пользователям приходится использовать сложную комбинацию из разных сервисов VPN, специальных роутеров и вообще сильно заморачиваться. Однако точно так же, как там, у нас, скорее всего не будет. Россия все же не очень похожа на Туркменистан с его небольшим населением, одним оператором связи и гораздо меньшим по масштабу внешнеэкономических взаимодействий. По масштабам Россия, скорее, как раз где-то между Ираном и Китаем.

В условиях блокировок в разных странах зарекомендовали себя нестандартные решения. Например, тот же Lantern, имеющий большой опыт успешной работы как раз в Китае. Сервис заточен именно на обход блокировок, и, как только его блокируют, инженеры сразу пытаются решить проблему — и обычно у них это получается. А еще популярны технологии вроде Self hosted VPN, которые позволяют пользователю сделать себе собственный приватный VPN-сервер. Новое поколение таких решений «из коробки», то есть рассчитанных уже не на сисадминов, а на рядовых пользователей, — сервисы вроде опенсорсных Outline и Amnezia. Они практически единственные стабильно работают сейчас в Иране.

По нашим прогнозам, в России самыми устойчивыми окажутся сервисы, которые работают, используя обфускацию (маскировку) трафика под рутинный web-трафик. Популярные инструменты обфускации — Cloak, v2ray, Xray WStunnel. Они как раз таки позволяют замаскировать VPN-канал под обычный трафик. Такой подход позволяет защитить VPN от возможных блокировок по сигнатурам и требует намного более сложных технических решений для определения.

Что делать, если VPN больше не работает

• Во-первых, разобраться. Отключение может быть временным, через некоторое время все восстановится. Какой-то VPN может сбоить только на конкретном телеком-провайдере, надо проверять.

Если провал длительный, а еще вы видите сообщения в медиа и на пользовательских форумах о том, что ваш VPN подвергся блокировке, это тревожнее, но все еще тоже поправимо. Пока ни один провайдер не заблокирован полностью, и часто помогает просто смена настроек. Потыкайте в разные сервера внутри приложения, посмотрите, что будет.

В крайнем случае всегда можно написать в поддержку вашего сервиса и запросить непубличные IP-адреса, которые не знают госы и которые будут работать. Например, Nord VPN, Private Internet Access сейчас таким образом работают: публичные сервера заблокированы, а скрытые они отправляют пользователям в частном порядке.

• Во-вторых, использовать запасной вариант. Мы советуем всегда иметь наготове второй предустановленный сервис, которым можно воспользоваться в случае шатдауна.

Лучше пусть это будет не традиционный VPN, а решения вроде Lantern, Psiphon, Tor или Amnezia. Если это будет второй классический VPN — то, конечно, не из самых известных, и не из первой строки выдачи «Яндекса». Их будут рубить в первую очередь. Можно использовать для подстраховки браузерные плагины типа Censor Tracker или AntiZapret.

• В-третьих, кратко снова хочется сказать о том, что не все VPN одинаково полезны! Пользуйтесь проверенными!

Мы, конечно, прикалывались над топорной антирекламой от РОЦИТ, которая показывает, что персональные данные россиян якобы становятся достоянием общественности из-за того, что люди пользуются VPN (как будто кассирше в супермаркете нужно внедрить каждому вороватый VPN-сервис, а не запросто скачать все из утечек корпораций типа Яндекс.Еды). Но здравое зерно здесь есть — прежде чем что-то устанавливать себе на устройства, стоит изучить информацию от инфобезопасников и правозащитников, мониторить списки проверенных, зарекомендовавших себя VPN. Например, мы обновляем наш рейтинг на ресурсе vpnlove.me.

И уж, конечно, не берите первое, что подсказывает поисковая выдача. Бесплатные VPN-однодневки, которые люди массово устанавливают себе, скачав по первой ссылке, не только скверно работают, но и могут действительно нести опасность — мы не знаем, кто их производитель, из каких побуждений он дает бесплатный доступ к своему сервису и что получает взамен.

Лучше купить подписку на хороший сервис, который можно подключить сразу на нескольких устройствах, обеспечив безопасное зашифрованное соединение для нескольких членов семьи. Сейчас появляются сервисы, через которые можно оплатить VPN прямо с рублевых российских карт и другими способами, в том числе через Qiwi и Yoomoney.