На этой неделе Роскомнадзор начал массово блокировать прокси-серверы Fake TLS для Telegrаm. Источники в околотелеграм-сообществе подтвердили, что блокировки начались в середине недели, а в субботу утром стали массовыми, пишет издание «Код Дурова», которое специализируется на мониторинге сбоев Telegram.
Fake TLS — новый вариант обхода блокировок, который Telegram ввёл в эксплуатацию в начале августа 2019 года. Эти прокси работают по принципу стеганографии, притворяясь обычным трафиком TLS.
При использовании такой стеганографии посторонний злоумышленник не сможет применить систему DPI для фильтрации трафика Telegram по содержимому пакетов: «При использовании нового протокола, поток MTProto оборачивается в стандартный HTTPS (первые сообщения о согласовании туннеля) в котором идет передача домена (ненастоящего). После согласования протокола MTProto — Fake-TLS не используется, далее трафик начинает ходить привычным нам MTProto протоколом со случайной длиной (dd — ключи)».
Первые экспериментальные прокси Fake TLS используют домен Google.com при подключении, то есть провайдер или DPI видят HTTPS-соединение к Google.com. Но при этом (временно на время тестирования) указан реальный IP-адрес сервера Fake TLS Proxy.
В будущем авторы Fake TLS Proxy обещают реализовать ввод других доменов кроме Google и не пускать клиентов, если они используют другой домен при согласовании подключения: «Если сервер будет стоять в облаке от того же Google и при согласовании используется какой-то домен Google — тогда и эвристический анализ не поможет, со стороны все будет выглядеть так, как будто какой-то сервис Google работает по HTTPS/TLS протоколу».
Но пока Fake TLS не заработал в полную силу, у Роскомнадзора есть техническая возможность блокировать прокси старым добрым методом: по IP-адресам. Что они и делают: «Ранее Роскомнадзор игнорировал новый тип прокси Fake TLS, однако теперь начал вычислять их IP-адреса и добавлять в чёрный список, — пишет «Код Дурова». — Однако это не значит, что новый тип прокси не эффективен. Он создавался для обхода DPI, а не блокировок «старым» методом через IP. Как и раньше, обойти такую блокировку можно лишь постоянной сменой IP-адресов — необходимо делать это быстрее, чем их будет банить российский регулятор».
DPI на Урале
Некоторое время назад Роскомнадзор также начал устанавливать систему DPI у провайдеров на Урале. После проверки, какое оборудование наиболее эффективно блокирует Telegrаm, Роскомнадзор выбрал оборудование производства компании RDP.RU.
Карта сбоев Telegram показывает, что некоторые пользователи в Уральском федеральном округе действительно испытывают проблемы с доступом. О сбоях сообщают в Екатеринбурге, Челябинске, Тюмени и Нижнем Тагиле.
Впрочем, количество жалоб не критичное. Похоже, у большинства жителей региона всё нормально работает.
Пилотный проект по переводу всего Уральского федерального округа на DPI будет завершён к концу года, после этого начнётся развёртывание системы в других регионах. «После сдачи пилота будут оценивать, насколько «токсичным» он был для пользователей, то есть влиял ли на сервис, а также было ли заблокировано всё из реестра запрещённых сайтов Роскомнадзора и не заблокировали ли что-то лишнее», — сказал участник пилота на Урале.
Эксперты предупреждают, что сбои неизбежны. Если в сеть добавляется новое оборудование для маршрутизации и DPI, то повышается задержка и замедляется скорость работа интернета.
Закон об изоляции вступает в силу с 1 ноября 2019 года. Согласно закону, Роскомнадзор сможет контролировать все точки передачи данных за границу и маршрутизацию трафика, в том числе с помощью специального оборудования у провайдеров. Кроме того, операторы могут установить «технические средства, определяющие источник передаваемого трафика… Они должны обладать возможностью ограничить доступ к ресурсам с запрещённой информацией не только по сетевым адресам, но и путём запрета пропуска проходящего трафика».
К пилотному проекту присоединились все крупные операторы, сказал руководитель Роскомнадзора Александр Жаров: «В настоящее время осуществляется монтаж оборудования на сетях основных операторов связи, и мы с конца сентября в течение нескольких недель будем его тестировать. Тестировать его мы будем, как и говорили всегда, в тесном сотрудничестве с операторами связи осторожно, <...> то есть мы будем сначала проводить техническую проверку, влияет на трафик, не влияет на трафик, все ли сервисы работают успешно. И потом уже протестируем его в боевом режиме. Пока всё идет нормально, когда эксперимент завершится, я расскажу о результатах», — пообещал Жаров.
Завершить испытания планируется в середине октября. Жаров сказал, что создание центра мониторинга и управления сетью связи общего пользования тоже идёт в плановом режиме.
Сами операторы не комментируют проект: «Что вы от нас хотите, мы просто исполняем закон. Надо поставить оборудование — значит поставим», — сказал представитель одного из провайдеров в Челябинске.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
Как написать комментарий и выжить
- Не пишите оскорбительных комментариев, не переходите на личности.
- Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
- Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.
Что делать, если: минусуют карму | заблокировали аккаунт
→ Кодекс авторов Хабра и хабраэтикет
→ Полная версия правил сайта
Автор: alizar