На этой неделе Роскомнадзор начал массово блокировать прокси-серверы Fake TLS для Telegrаm. Источники в околотелеграм-сообществе подтвердили, что блокировки начались в середине недели, а в субботу утром стали массовыми, пишет издание «Код Дурова», которое специализируется на мониторинге сбоев Telegram.
Fake TLS — новый вариант обхода блокировок, который Telegram ввёл в эксплуатацию в начале августа 2019 года. Эти прокси работают по принципу стеганографии, притворяясь обычным трафиком TLS.
При использовании такой стеганографии посторонний злоумышленник не сможет применить систему DPI для фильтрации тра��ика Telegram по содержимому пакетов: «При использовании нового протокола, поток MTProto оборачивается в стандартный HTTPS (первые сообщения о согласовании туннеля) в котором идет передача домена (ненастоящего). После согласования протокола MTProto — Fake-TLS не используется, далее трафик начинает ходить привычным нам MTProto протоколом со случайной длиной (dd — ключи)».
Первые экспериментальные прокси Fake TLS используют домен Google.com при подключении, то есть провайдер или DPI видят HTTPS-соединение к Google.com. Но при этом (временно на время тестирования) указан реальный IP-адрес сервера Fake TLS Proxy.
В будущем авторы Fake TLS Proxy обещают реализовать ввод других доменов кроме Google и не пускать клиентов, если они используют другой домен при согласовании подключения: «Если сервер будет стоять в облаке от того же Google и при согласовании используется какой-то домен Google — тогда и эвристический анализ не поможет, со стороны все будет выглядеть так, как будто какой-то сервис Google работает по HTTPS/TLS протоколу».
Но пока Fake TLS не заработал в полную силу, у Роскомнадзора есть техническая возможность блокировать прокси старым добрым методом: по IP-адресам. Что они и делают: «Ранее Роскомнадзор игнорировал новый тип прокси Fake TLS, однако теперь начал вычислять их IP-адреса и добавлять в чёрный список, — пишет «Код Дурова». — Однако это не значит, что новый тип прокси не эффективен. Он создавался для обхода DPI, а не блокировок «старым» методом через IP. Как и раньше, обойти такую блокировку можно лишь постоянной сменой IP-адресов — необходимо делать это быстрее, чем их будет банить российский регулятор».
DPI на Урале
Некоторое время назад Роскомнадзор также начал устанавливать систему DPI у провайдеров на Урале. После проверки, какое оборудование наиболее эффективно блокирует Telegrаm, Роскомнадзор выбрал оборудование производства компании RDP.RU.
Карта сбоев Telegram показывает, что некоторые пользователи в Уральском федеральном округе действительно испытывают проблемы с доступом. О сбоях сообщают в Екатеринбурге, Челябинске, Тюмени и Нижнем Тагиле.
Впрочем, количество жалоб не критичное. Похоже, у большинства жителей региона всё нормально работает.
Пилотный проект по переводу всего Уральского федерального округа на DPI будет завершён к концу года, после этого начнётся развёртывание системы в других регионах. «После сдачи пилота будут оценивать, насколько «токсичным» он был для пользователей, то есть влиял ли на сервис, а также было ли заблокировано всё из реестра запрещённых сайтов Роскомнадзора и не заблокировали ли что-то лишнее», — сказал участник пилота на Урале.
Эксперты предупреждают, что сбои неизбежны. Если в сеть добавляется новое оборудование для маршрутизации и DPI, то повышается задержка и замедляется скорость работы интернета.
Закон об изоляции вступает в силу с 1 ноября 2019 года. Согласно закону, Роскомнадзор сможет контролировать все точки передачи данных за границу и маршрутизацию трафика, в том числе с помощью специального оборудования у провайдеров. Кроме того, операторы могут установить «технические средства, определяющие источник передаваемого трафика… Они должны обладать возможностью ограничить доступ к ресурсам с запрещённой информацией не только по сетевым адресам, но и путём запрета пропуска проходящего трафика».
К пилотному проекту присоединились все крупные операторы, сказал руководитель Роскомнадзора Александр Жаров: «В настоящее время осуществляется монтаж оборудования на сетях основных операторов связи, и мы с конца сентября в течение нескольких недель будем его тестировать. Тестировать его мы будем, как и говорили всегда, в тесном сотрудничестве с операторами связи осторожно, <...> то есть мы будем сначала проводить техническую проверку, влияет на трафик, не влияет на трафик, все ли сервисы работают успешно. И потом уже протестируем его в боевом режиме. Пока всё идет нормально, когда эксперимент завершится, я расскажу о результатах», — пообещал Жаров.
Завершить испытания планируется в середине октября. Жаров сказал, что создание центра мониторинга и управления сетью связи общего пользования тоже идёт в плановом режиме.
Сами операторы не комментируют проект: «Что вы от нас хотите, мы просто исполняем закон. Надо поставить оборудование — значит поставим», — сказал представитель одного из провайдеров в Челябинске.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
→ Кодекс авторов Хабра и хабраэтикет
→ Полная версия правил сайта
