Telegram vs ТСПУ. Как работает фильтрация интернета и можно ли что-то сделать

В интернете пишут про «ответный удар» Telegram по цензурному оборудованию РКН. Рассказываем, возможно ли это, и как вообще устроена интернет-фильтрация.

Proxy Wars

На следующий день после усиления блокировки мессенджера стали появляться новости о том, что Telegram-прокси начали DDoS-атаку на ТСПУ (технические средства противодействия угрозам, ответственные за блокировки в интернете). Из-за этого фильтрующее оборудование перегрузилось и перестало справляться, начали сбоить даже незаблокированные ресурсы из «белого списка», а в отдельных регионах возобновил работу WhatsApp. Сообщение быстро разлетелось по разным СМИ, форумам и личным блогам иностранных аналитиков.

Такие новости — бальзам для ушей, но произошедшее они пересказывают неточно.

Во-первых, прокси сами по себе не могут целонаправленно засорять эфир запросами. Это просто серверы-посредники, которые встают между пользователем и нужным ему ресурсом, чтобы провайдер (а значит, и ТСПУ) не увидел реальный целевой запрос. У Telegram есть встроенные прокси — MTProto, список которых обновляют пользователи разных стран. Некоторые VPN-провайдеры также запускают свои прокси, что более надежно, чем прокси ноунеймов. Если что, добавить прокси в Telegram можно через «Настройки» → «Данные и память» → «Прокси» → «Добавить прокси» → выбрать MTProto → добавить ключи (secret) любого прокси из списка выше или из другого источника.

Во-вторых, массовые неполадки в работе Telegram участились в пятницу 13 марта. Когда мессенджер стал сильно сбоить, сотни тысяч пользователей включили телеграмовские прокси. ТСПУ пришлось тратить свои вычислительные ресурсы на попытки глубоко проанализировать весь этот трафик в реальном времени. Кроме этого, создатели некоторых антицензурных прокси применили тактику «смоляной ямы» (tarpit): когда робот РКН стучался к прокси-серверу с проверкой, сервер начинал в ответ лить поток зашифрованного мусора.

ТСПУ стоят у всех интернет-провайдеров и фильтруют весь интернет-трафик, но у каждого устройства своя пропускная мощность. Поэтому когда у них переполняется оперативная память, они начинают работать медленнее, и чтобы не сгореть, начинают частично пропускать трафик в аварийном режиме bypass. Поэтому ранее заблокированные ресурсы временно становятся доступными.  Интернет-провайдер может и сам и направить трафик в обход зависшего ТСПУ (не через bypass, а именно через ТСПУ целиком), но РКН за это выпишет операторам штраф, как это случалось при попытках ускорить YouTube.

Так что дело не в хакерской атаке команды Telegram, а в его пользователях.  

Слои цензуры

Как конкретно работают ТСПУ, точно никто не знает, поэтому они называются «черными ящиками». Их контролирует подведомственный Роскомнадзору ГРЧЦ (Главный радиочастотный центр). Интернет-провайдеры не имеют доступа к настройкам и могут только физически отключить устройства из сети в случае глобальной аварии. Известно, что почти все комплектующие поставляются иностранными компаниями, а программное обеспечение для фильтрации разрабатывает российская RDP, принадлежащая «дочке» Ростелекома.

Из недавно опубликованной инструкции по архитектуре и принципам работы ТСПУ стало известно, что устройства состоят из четырех аппаратных подсистем. Это bypass (физическое замыкание при аварии), балансировщик (распределение трафика между DPI-фильтрами), непосредственно фильтры DPI и управление (связывание оборудования с центральной системой управления).

Технология DPI (deep packet inspection) позволяет анализировать трафик максимально «эффективно»: проверять не только заголовок пакета и тип протокола, но и косвенные признаки запроса: характерные последовательности байтов информации (сигнатуры), структуру данных внутри пакетов и тд.

Технически ТСПУ осуществляют фильтрацию по нескольким правилам, среди которых: 

  • замедление трафика (degradation), 
  • блокировка по отпечаткам приложения (у Chrome один отпечаток, у Safari другой),
  • двухэтапная блокировка шифрованных протоколов (Telegram, WhatsApp, некоторые популярные VPN, которые работают на WireGuard и OpenVPN), 
  • DPI-листы (сама система не знает, что блокировать, что замедлять, а что пропускать, поэтому она регулярно связывается с серверами ГРЧЦ по закрытому каналу, и они передают ей инструкции. ФСБ тоже вносит свою лепту: когда ведомство признает приложение или контент в нем угрозой, соответствующее обновление появляется в списке правил).

Эксперты оценивают число правил фильтрации в 2,5 млн. Неудивительно, что при таком объеме запросов вычислительные мощности ТСПУ начинают виснуть. Но несмотря на спускаемые сверху правила фильтрации, интернет-провайдеры должны еще дополнительно блокировать доступ к сайтам из реестра Роскомнадзора, и для этого нужно свое DPI-оборудование.

Собственная инспекция трафика теперь играет провайдерам на невидимую руку рынка. Билайн, например, предлагает доступ к ушедшим из России сервисам — Netflix, Spotify и др. Правда, доступ к ресурсам, заблокированным Роскомнадзором, оператор все равно дать не может. Мегафон использует углубленный анализ данных, определяя тип передаваемых данных, тип используемых сервисов (стриминговые, банковские и тд) и даже тип приложений внутри экосистем «Яндекса», VK и Сбера. Это позволяет компании контролировать, монетизировать и замедлять трафик своих клиентов. 

Еще одна составляющая интернет-цензуры — применение машинного обучения и искусственного интеллекта. DPI не расшифровывает трафик — он видит только метаданные запроса и паттерны. А машинное обучение позволяет классифицировать трафик и выявлять попытки обхода блокировок. Также оно вместе с ИИ-алгоритмами используется для обнаружения запрещенных текстов, аудио и видео на легальных площадках. В отличие от фильтров, которым спускают указания «сверху», алгоритмы «думают» сами, что иногда приводит к, например, нахождению пропаганды наркотиков в фамилии «Драгунский» и в слове «героиня».  

С другой стороны, нейросети пропускают не триггерные слова и контекст, и пользователи уже эксплуатируют это свойство. Вместо instagram они пишут «запретграм» и «нельзяграм», вместо vpn — «Внезапный переезд в Нидерланды» и «квн» (само по себе упоминание технологии не запрещено, ее нельзя рекламировать, но с другой стороны, суд может посчитать рекламой и простое упоминание). На фоне запрета иностранных слов и удаления рэп-песен со стримингов из-за той же пропаганды наркотиков, эта практика уже выглядит рутинно.  

Это уже цензура не определенных площадок, а смыслов. Обойдется она почти в 2,3 млрд рублей, но с 2022 года на «суверенный интернет» уже потратили порядка 100 млрд, в тч почти 60 млрд на модернизацию ТСПУ.

ТСПУ с DPI и машинным обучением несовершенны: они инженерно грамотное сконструированы, но критически зависит от производительности фильтров. Перегрузка одного ядра может вызвать каскадный bypass всей коробки, стоящей у оператора. Мощностей не хватает для одновременного замедления даже двух крупных сервисов — YouTube и Telegram. Несмотря на это, у пользователей почти нет возможности сломать эти фильтры. Но они могут успешно их обходить. С преодолением DPI-блокировок справляются надежные VPN, а с нейросетями — иносказательные выражения, которые выглядят нейтрально для алгоритмов, но имеют смысл для людей.   



Пройдите тест и мы составим для вас персональную программу тренировки по безопасности

Настроить тренировку
Ситуации
Бот Секьюрно в Телеграм
поможет вам
Иллюстрация к занятию

Поздравляем!

Вы успешно прошли программу тренировки, но на этом всё не заканчивается. Выберите себе дополнительные занятия в разделе Все тренировки
Отлично
Посмотреть, что ещё есть