Telegram vs Роскомнадзор

C 13 апреля по решению Таганского районного суда начались попытки заблокировать Telegram на территории России. Несмотря на небывалый размах, пока все они оказались безуспешны. Мессенджер продолжает работать, а вот сайты и сервисы различных компаний, использовавших услуги облачных операторов, оказались недоступны из-за методов тотальной блокировки, практикуемых Роскомнадзором.

Как выполняется блокировка и почему она бессмысленна

Технически Роскомнадзор только вносит IP-адреса в реестр запрещенных ресурсов, а блокируют их уже интернет-провайдеры. В России зарегистрировано более 4000 провайдеров. Все они скачивают с сайта Роскомнадзора так называемую выгрузку. Это обновляемый черный список, который провайдеры должны запрашивать, разбирать и применять самостоятельно под угрозой отзыва лицензии. Механизм этот до сих пор не отработан, и каждый провайдер выполняет указания по-своему. Есть лишь общая памятка по ограничению доступа.

Как выполняется блокировка и почему она бессмысленна

Идея блокировать доступ к определенным IP-адресам на уровне провайдеров выглядит нежизнеспособной уже в силу структуры интернета. Наследие ARPANET разрабатывалось для бесперебойной работы в условиях ядерной войны – не то, что каких-то местечковых запретов. Если в одном месте трафик пережимают, он просто пойдет по другим.

Роскомнадзор уже попытался блокировать серверы VPN и прокси, но устал, дойдя до 18 штук. Такая борьба с мессенджером абсурдна, поскольку для его работы даже не требуется VPN. Сейчас новые IP-адреса серверов Telegram просто доставляются пользователям через сервис пуш-уведомлений и обновления настроек DC_Update.

Поначалу на них требовалось нажимать, но затем процесс смены актуальных IP-адресов Telegram стал полностью автоматическим. Эти пуш-уведомления отправляются серверами Google (для Android), Apple (для iOS) или Microsoft (для Windows). Если Роскомнадзор попытается им противодействовать, то это нарушит функциональность тысяч других мобильных приложений на всех трех платформах. Сам же Telegram останется доступным, поскольку развернуть новый VPN или Socks5-прокси – дело нескольких минут.

Глава Роскомнадзора Александр Жаров утверждает, что с представителями Google, Apple и Microsoft ведется диалог, но пока они не выполняют требования РКН в достаточном объеме. Было бы удивительно, если бы иностранные компании подчинились указам российского ведомства, законность которых вызывает больше сомнения даже внутри страны. Вы еще помните Статью 29 Конституции РФ?

Огонь по своим

Масштаб текущей зачистки сложно переоценить. За пять лет существования реестра запрещенных ресурсов суммарное число записей в нем не превышало ста тысяч. Всего за неделю попыток заблокировать Telegram он раздулся до 19+ млн записей. Точное число назвать трудно, поскольку оно постоянно меняется.

Активное противостояние Telegram и Роскомнадзора началось 16 апреля, когда РКН добавил в выгрузку около 9 тысяч IP-адресов, принадлежащих Telegram. Это вызвало лишь кратковременные перебои связи в мессенджере, поскольку он быстро развернул новые серверы в облаке AWS (Amazon Web Services). В ответ на это к вечеру того же дня РКН заблокировал всю подсеть AWS, насчитывавшую свыше 600 тысяч адресов. Большинство из них никак не были связаны с Telegram, но тотальная блокировка стала превентивной мерой.

«… большое количество IP (адресов) позволяет сервису очень быстро мигрировать. Такой переход происходит в течение двух – четырех минут, поэтому выгружать отдельные адреса бессмысленно, только всю подсеть», — прокомментировал этот шаг глава Роскомнадзора Александр Жаров изданию «Интерфакс».

Представитель провайдера (пожелавший остаться анонимными) поясняет, что основная проблема заключается в работе с выгрузками. Они часто составляются наспех и содержат некорректные записи. Например, на 20 апреля в нее попали более пяти тысяч свободных доменных имен.

Одни и те же IP-адреса могут быть указаны в выгрузке несколько раз и в разном формате: как точечная блокировка отдельных узлов (34.192.0.10, 34.192.0.12), менее избирательная блокировка диапазона адресов (34.192.0.0 – 34.192.0.100) и массовая блокировка целого сегмента сети (34.192.0.0/10). В последнем случае она затрагивает огромную подсеть compute-1.amazonaws.com, насчитывающую более 4 млн IP-адресов облачных серверов. Именно ее в итоге и заблокировали с легкой руки Роскомнадзора. Когда этого оказалось мало, в выгрузку добавили подсети 52.0.0.0/11, и 52.192.0.0/11, доведя число заблокированных IP-адресов AWS сперва до 8+ млн, а затем и до 11+ млн адресов.

Вслед за AWS настал черед Google Cloud. Подсеть Google с 540+ тысячами узлов также внесли в реестр, поскольку она использовалась для обхода блокировки Telegram. 20 – 21 апреля в выгрузку добавили 146 из 915 айпишников google.com. Из них 46 используются play.google.com, 42 – docs.google.com, 38 – drive.google.com.

В соцсетях российские пользователи пожаловались, что из-за блокировки сервисов Google они не могут зайти на Play Market, нарушились схемы бэкапа в облако Google и стала сильно затруднена совместная работа с документами. В бан попал также сервис reCAPTCHA, из-за чего на тысячах ресурсов люди не могли авторизоваться, завершить регистрацию или онлайн-заказы.

Блокировку с почты (mail.google.com) сняли быстрее всего, но в борьбе с Telegram досталось даже YouTube и шрифтам с fonts.googleapis.com, используемым в CSS миллионов сайтов по всему миру. Общее число заблокированных адресов Google превысило полтора миллиона, а фраза «забанили в Google» вдруг перестала быть шуткой.

Далее ситуация повторилась с облачным сервисом Microsoft Azure. Из-за попыток прекратить работу Telegram в ней сразу было заблокировано более 130 тыс. IP-адресов.

В следующие дни Telegram стал использовать дата-центры других операторов, и их также предсказуемо заблокировали. Выгрузка реестра пополнилась ​записями около 330+ тысяч IP-адресов Digital Ocean, по 65 тысяч айпишников в сетях Hetzner и Online.net, еще 37+ тысяч у CloudFlare, 32+ тысячи адресов Iliad Datacenter, 670+ у GoDaddy и 500+ у Clouding.io.

Пострадали банки, операторы сотовой связи, сетевые магазины, курьерские службы и другие фирмы, чьи сервисы крутились на облачных серверах. Роскомнадзор отрицает свою причастность к проблемам у клиентов Google и других облачных провайдеров. Он постепенно отменяет блокировку попавших под раздачу серверов.

В день сдачи статьи я проверил известные мне подсети Google. Пропинговал по одному IP в каждой подсети, так как их обычно банят целиком. Все узлы теперь откликаются.

По крайней мере, сейчас они отзываются при запросе через провайдеров Ростелеком и МТС, а еще вчера напротив многих из них появлялось сообщение об ошибке.

Сопутствующие потери

Роскомнадзор неустанно пишет опровержения о своей причастности к техническим сбоям из-за блокировок, но ряд компаний не стесняются заявить о потерях вслух.

16 апреля о нарушениях работы своих сервисов сообщили разные клиенты AWS и Google, никак не связанные с Telegram.

Viber уведомил о проблемах со связью у пользователей из России в связи с блокировкой доступа к серверам Amazon Web Services. За сутки проблема была решена созданием обходных путей.

Школа английского языка Skyeng написала ВКонтакте о сбоях в работе из-за блокировок AWS.

Перестала работать онлайн-форма заказа курьера «Птичка» и магазин доставки цветов GiveMe.ru. Соответствующие записи были опубликованы владельцами компаний в Facebook.

Похоже, Роскомнадзору снова удалось заблокировать себя, и на этот раз – руками возмущенных пользователей. Сайт rkn.gov.ru по-прежнему подвергается DDoS-атаке.

ВТБ, Райффайзенбанк и другие крупные компании сейчас публикуют шаблонные заявления о том, что сбои в их работе не связаны с блокировкой Telegram. При этом год назад их руководители ИТ-отделов выступали на форумах и наперебой рассказывали о своем опыте миграции в облака.

Теория заговора

Официальным поводом блокировки Telegram стал отказ компании Telegram Messenger LLP предоставить по запросу ФСБ криптографические ключи для дешифровки переговоров подозреваемых в исполнении теракта, совершенного 3 апреля 2017 г. в петербургском метро. Адвокаты компании настаивают, что только два из шести запрошенных мобильных номеров (по ним идентифицируются абоненты Telegram) принадлежали фигурантам дела. Причем, по данным следствия, они преимущественно использовали WhatsApp.

По словам защитников процедура запроса проходила с нарушениями, а самое главное – у компании нет технической возможности предоставить ключи. В Telegram используется два вида чатов: облачный (где сессионный ключ меняется каждые 100 сообщений) и секретный (со сквозным, или end-to-end шифрованием).  Серверы Telegram не получают и не хранят ключи от секретных чатов.

 

РБК указывает, что повод с терактом был явно надуманным, а реальной причиной блокировки Telegram в России, по всей видимости, стали успешные действия Павла Дурова по запуску собственной криптовалюты Gram на блокчейне TON (Telegram Open Network).

Ее анонс как раз прошел в 2017 году, а в начале этого года Telegram провел два закрытых раунда ICO и получил $1,7 млрд инвестиций. Среди первых инвесторов оказался основатель Qiwi Сергей Солонин. Его платежную систему не раз критиковали за то, что она оказывается ниже радаров налоговой службы.

Сеть TON примечательна тем, что способна обрабатывать транзакции на порядки быстрее, чем это делает сейчас Bitcoin и Ethereum. Высокая скорость и частичная анонимность делают ее привлекательной для выполнения скрытых взаиморасчетов. В статье РБК даже цитируется служебное письмо сотрудника ФСБ, предупреждающего, что на базе Telegram создается неподконтрольная государству финансовая система. В письме он высказывает опасения, что через нее пойдет львиная доля всех операций на черном рынке.

 

Во время блокировки Telegram Роскомнадзор внес проект изменений в «Порядок идентификации информационных ресурсов в целях принятия мер по ограничению доступа к информационным ресурсам».

В новой редакции основанием для блокировки могут стать постановления по делам об административных правонарушениях, а решение об идентификации информационного ресурса принимается в течение суток.

Директор по стратегическим проектам Института исследований интернета Ирина Левова комментирует, что таким образом Роскомнадзор спешно пытается подвести правовую базу под сложившуюся практику блокировки массы IP-адресов без достаточных законных оснований.