С той стороны зеркального стекла. Жизнь за Великим Файрволом и будущее интернета в России

Так уж получилось, что уже почти месяц я живу в Китае, в городе Шеньчжэнь. 

 
Многие неугодные сервисы, такие как Twitter, Facebook^* , Instagram^* , Google здесь блокируют, так как они не хотят сотрудничать с китайским правительством. В России движутся в том же направлении, но пока еще находятся в самом начале пути. Тем интереснее посмотреть, как это все работает. Практически, увидеть будущее. 

Сразу оговорюсь, что некоторые технические аспекты я даю с намеренным упрощением, в основном схемы работы все расписаны именно для понимания принципов. 

После того, как начались первые блокировки интернет-проектов Роскомнадзором, многие стали сравнивать то, что происходит в России с Китаем. Я и сам отпускал в Фейсбуке едкие замечания. Посмотрев с другой стороны, я осознаю, насколько наивно это было. 

Ставить рядом российские и китайские блокировки — это все равно что сравнивать низенький заборчик, сквозь который видна противоположная сторона и можно при желании передавать вещи или, поставив табуреточку, перелезть, с трехметровой бетонной стеной с колючей проволокой сверху.

Технически обход блокировок в России — штука элементарная. Блокировка осуществляется по IP адресу, или по домену. Чаще всего после блокировки сервисы благополучно переезжают на другие адреса или домены. В некоторых случаях (например, как в случае с Рутрекером) владельцы ресурсов пишут удобные обертки, которые «вроде как ничего не нарушают», и, при этом, позволяют без проблем достучаться до нужных ресурсов. Новые IP адреса и доменные имена банят долго, обертки не запрещают.  Работает TOR и все возможные способы туннелирования, начиная от простейших PPTP и L2TP вариантов VPN. 

На фоне всего этого разгвоздяйства китайские кибер-полицейские работают как хорошо обученный спецназ. Рассказываю историю.

Перед выездом в Китай установил OpenVPN на свой сервак в Германии (у меня есть там железка у хорошо известного многим провайдера на букву H). Заодно подумал, и закинул его же на свои инстансы на Amazon. 

По приезду попробовал присоединиться и… Потерпел неудачу. Дело в том, что провайдеры Китая анализируют весь трафик, который идет через них (так называемый DPI, Deep Packet Inspection), и блокируют не только IP адреса или домены, а, в том числе, не пропускают и определенные протоколы. Среди них есть и OpenVPN. Ну и, конечно, PPTP, L2TP, IPsec. При этом, компании, которым VPN соединение нужно, пользуются модифицированной версией, которую может расшифровать правительство. 

Конечно, разом запретить все открытые протоколы правительство все равно не может. Например, без SSH китайские компании потеряли бы много денег — в конце-концов, им же нужно работать с серверами по всему миру. Поэтому следующим моим шагом было запихнуть трафик от OpenVPN в SSH туннель. Потом еще настроить удаленный DNS, и так далее, не буду грузить тут вас подробностями, благо инструкций в интернете великое множество.Пару дней все работало прекрасно, правда, пинг был великоват, ну да я все равно не играю в компьютерные игры, так что, мне было практически все равно.

А потом все начало тормозить. Я зашел на сервер — и увидел, что до него пытались достучаться по всем известным уязвимостям с пары десятков китайских IP. Уж не знаю, каким образом китайский кибер-спецназ прознал об этом (а может, сведения о этом VPN появились на каком-нибудь форуме местных хакеров), так что, я от греха подальше убил виртуалку, в которой стоял OpenVPN и перекинул туннель на амазоновский инстанс. 

Через пару часов EC2 ушел в глубокий отказ, мне пришлось ребутить его из консоли. Судя по всему, в него тоже «постучали». Хорошо, что не в мою дверь. Впрочем, по заверениям всех иностранцев, так или иначе проживающих в Китае, случаев арестов лаоваев за использование VPN не было. Мало того, не было и случаев штрафов за публикацию контента в Facebook^* , или, например, за то, что китайская компания ведет в нем страничку. 

Когда я спросил у пары китайских знакомых, почему это так — они сказали — «ну, правительство не будет препятствовать бизнесу. Что хорошо для бизнеса — то хорошо для Китая. А если прессовать иностранцев и сажать их за их любимые соцсети, то они не будут сюда приезжать. А нам нужно сотрудничество». 

Уж не знаю, правда это или нет.  Познакомились недавно, может, они просто боятся говорить со мной начистоту? Кто его знает. 

Конечно, я нашел себе VPN-сервис, благо их сейчас немало. Все они построены по следующему принципу: у них есть много-много серверов по всему миру, и когда эти сервера банят, то поднимают новые. Так как большинство этих серверов — всего лишь виртуалки, то делается это быстро. Купили у нового провайдера VPS, накатили образ, хоп — уже новая нода. А ПО ссинхронизировало списки с нового сервера. В качестве протоколов используется чаще всего OpenVPN с модифицированными заголовками или туннелирование VPN через SSH/SSL. Я дам ссылки на два сервиса, которые сейчас использую (осторожно, рефссылки, но я буду благодарен, если вы зарегаетесь по ним и подарите мне и себе немного свободного интернета): AirVPN и ExpressVPN

Прихлопывают эти VPN достаточно часто, на форумах часто можно увидеть нытье о том, что что-то из Китая опять не работает. Особенную активность разводят во время всевозможных саммитов. Вот, например, пока я писал этот пост, прихлопнули мою любимую виртуалку в Сингапуре, до которой пинг был всего около 150 мс. Сейчас она не отвечает, хотя, до этого исправно снабжала меня свободным инернетом в течение трех недель. Да, конечно же, «обходы блокировок» с помощью «включения сжатия» в Хроме, VPN в Opera итд итп, не работают. Давно забанили.

Кроме VPN анализируют также посты в соцсетях, HTML странички, и так далее — все это как по ключевым словам, так и с помощью систем анализа смысла.

Главное тут — психологический аспект. Большинство иностранцев, чья работа не связана с интернетом, через полгода-год на эти VPN забила. Ну потому что реально раздражает, что для того, чтобы вылезти в сеть, тебе нужно что-то там включить, подождать, все это обязательно будет тормозить (пинг в 200-300 милисекунд — обычное дело, и это еще хорошо), скорости больше 2-3 мегабит ты все равно не получишь… Те, кто знает китайский, плотно сидят в здешних социальных сетях, остальные… В ВК, конечно же. Судя по всему, у российской соцсетки есть или сервера на территории Поднебесной, или у их провайдера хороший пиринг с Китаем. По крайней мере, абсолютно все другие российские сервисы работают очень медленно (американские — нормально, потому что пиринг с Америкой налажен). 

В общем, это действующая модель того, к чему может прийти Россия, если пойдет по пути запретов. Немногочисленные маргиналы, пролезающие сквозь файрволл абсолютно незаметны и достаточно безопасны на фоне подавляющего большинства, которому получить «сетевую свободу» просто лень. В какой-то момент начинаешь думать «да черт с ней, с этой зарубежной соцсеткой. Платить еще за VPN этот. И фильм нормально не посмотришь, и гифки будут грузиться по 2 минуты...»

Другое дело, что непонятно, смогут ли в России организовать Deep Packet Inspection на соответствующем техническом уровне. Потому что у нас все дорого, или невозможно.Помните анекдот про грешника, который в российский ад попал? У него там каждый день была обязанность — съесть ведро навоза. Но жил он в этом аду, в общем-то, неплохо. Потому что ежедневно было одно и то же — то навоз не завезли, то ведер на всех не хватает.

Ну, это пока. А вообще, мы учимся, да.

• * — Компания Meta (социальные сети Instagram и Facebook) - признана экстремистской организацией на территории Российской Федерации