«Умное голосование» и сервисы Google — иностранное вмешательство и рука Пентагона. Это и Дума, и Роскомнадзор, и наш МИД уже сказали. Дальше блокировки. Кто кроме оппозиции заметит цифровую войну с «несогласными», «Фонтанке» рассказал эксперт.
После тестирования на прошлой неделе блокировок публичных DNS-сервисов, которые в том числе помогают работать «экстремистским» ресурсам несистемной оппозиции, в День программиста, 13 сентября, у пользователей некоторых операторов связи в России «сломался» AppStore.
«Сейчас без VPN нельзя поставить приложение на сетях всех операторов, где работает ТСПУ (технические средства противодействия угрозам. — Прим. ред.), то есть оборудование для «суверенного Интернета», — это мобильные операторы и часть крупных проводных операторов», — в частности, сообщил «правая рука» Навального Леонид Волков. На сайте Apple было указано, что с их стороны проблем с доступом к AppStore нет. Филипп Кулин, автор телеграм-канала «Эшер II», который со времён блокировок Telegram известен своей аналитикой действий госорганов по вычищению скверны из Сети, в интервью «Фонтанке» рассказал, что происходит вокруг пресловутого «Умного голосования» и когда ждать смерти YouTube в РФ.
— Филипп, действительно государство научилось блокировать то, что ещё недавно заблокировать не могло?
— Без всяких шуток, мы дожили до момента, когда мы можем сказать друг другу (разговор состоялся онлайн. — Прим. ред.) «пока мы ещё можем говорить по Интернету»! Можно констатировать, что ситуация, которая была заложена в «суверенный Интернет» как идея, началась. Они уже могут заблокировать всё. Это факт. И это уже даже не будет зависеть от того, будет ли какое-то сопротивление. Нет никаких позывов к обратному. Так или иначе, трудный путь будет пройден. Конечный результат будет. 8 сентября был первый тест-драйв. Сейчас, с AppStore — второй.
— 8 сентября — это когда эксперты заметили блокировку публичных DNS-сервисов Google 8.8.8.8 и Cloudflare 1.1.1.1?
— Да. Кто-то назвал это учениями, кто-то блокировкой. Но в этом смысле точка невозврата была пройдена уже 16 апреля 2018 года, когда начали блокировать Тelegram. Именно тогда стало понятно, что для них нет никаких преград. Уже тогда стало понятно, что тем, кто принимает такие решения, всё равно на всё остальное. Вижу цель, не вижу препятствий. В этом году проблема уже в том, что все блокировки вышли из публичного поля. Если в 2018 году мы видели графики того, как работают блокировки, то сейчас эти графики мне уже взять неоткуда. Можем только наблюдать последствия. Дальше наши предположения, исходя из нашего же опыта. Я тоже считаю, что пока это всё нечто между учениями и пробой. У государства есть уже ненулевое, а заметное внедрение тех самых ТСПУ (технических средств противодействия угрозам). Скорее всего, этими устройствами уже охвачено от одной пятой до половины всех сетей в России. Заметная часть, которую можно тестировать. Может быть, 40 %. На момент написания закона о суверенном Интернете ни у кого не было понимания, во что это выльется. Это было чётко видно и по закону, и по подзаконным актам. Понятно, что про DNS думали давно. Сейчас смогли посмотреть, как они могут выявлять, как могут пробовать заблокировать, как отреагирует общественность. Тест 8 сентября не был тестом того, что ещё может сломаться. Не было ясности, выдержит ли их оборудование, справится ли оно с таким потоком информации. Но вот посмотрели. Вырубили тут, там. Вырубали в разное время на сетях крупных операторов. Секторально. В тёмное время суток. По паре-тройке часов. Результаты записали, пошли думать дальше. Теперь попробовали конкретный магазин. Опять же — там, где уже могут. Я так это вижу.
— Как чисто технически выглядит блокировка?
— Есть озвученная цель — соответствующее приложение от ребят Навального. За ним сейчас гоняются, чтобы заблокировать. Нам рассказали, какие DNS-сервисы «нарушают». В своё время крупные фирмы сделали публичные сервисы DNS. Эти сервисы нужны для сопоставления имён. DNS — это вообще такая инфраструктурная вещь, на которой держится весь Интернет. Public DNS нужны, чтобы пользователь заходил именно туда, куда он шёл. Google и Cloudflare сделали серверы для всего мира. Со своими фишечками. Например, Google передаёт дальше информацию о том, кто запросил его ip-адрес, чтобы можно было делать геораспределение запросов. Чтобы мобильные сервисы и сайты могли переправлять пользователей на разные точки на карте мира. А Cloudflare, наоборот, делает эту информацию секретной. Разные подходы у этих публичных DNS. Феномен в том, что у провайдеров иногда нет DNS, или он работает плохо — это сопутствующая услуга, делать её с хорошим качеством довольно дорого, или это DNS вашей «мыльницы» (домашний роутер), которая была самой дешевой и качеством не блещет. И прописывают эти публичные DNS. Если я не знаю адрес провайдера, то 1.1.1.1 — хорошая цифра. 8.8.8.8 ещё раньше появилось. Прописал — и отлично. И это стало традицией. Естественно, что если задача «заблокировать», то бить надо по самым популярным сервисам. Они феноменально популярны именно из-за их простоты. Программисты ими пользуются просто потому, что это очень удобные цифры, их легко прописать по умолчанию. И блокировка самого популярного сервиса — это 80 % решения узкой проблемы. Поскольку это публичный мировой DNS, он регламентирует, с каких ip они, в свою очередь, спрашивают адреса, для разработчиков. Я могу сделать домен, который будет отдавать какие-то записи только этим DNS. А остальным не будет. И это позволяет заставлять получать нужные записи только через эти DNS. Это реальное средство не светить информацию. Поскольку они имеют шифрованное соединение, это очень популярная вещь, и надо иметь яйца, чтобы их закрыть. Это очень хорошее средство обхода. Те, кто хочет тебя заблокировать, не видят, что ты спрашиваешь. И у них есть только один вариант — обрубить концы. А это сложно, потому что популярно. Вообще, очень многое зависит от публичных DNS сейчас.
— Кого заденет такая блокировка, кроме фанатов оппозиционных взглядов и действий?
— Сложный вопрос. Всё зависит от распространённости секретного соединения. Я просто не знаю этого. Например, FireFox в США использует по умолчанию шифрованный 1.1.1.1. А не в США — нешифрованный. Не в США надо настраивать. Сколько людей это настроило самостоятельно, непонятно. Нешифрованный DNS Роскомнадзор, скорее всего, не заблокирует. Тяжеловато. Соответственно, отвалятся те, кто пользуют шифрованный DNS. Хотя некоторые устройства используют шифрованный по умолчанию. Это могут быть и кассовые аппараты, и ip-телевидение, другие устройства.
— В «Обществе Защиты Интернета» пугают, что отвалиться может масса устройств, которыми пользуются люди, политикой вообще незанятые…
— Да, если на этих устройствах используется шифрованный DNS (DNS over HTTPS (DoH) и DNS over TLS (DoT). Но если власти вдруг закроют и обычный DNS на эти четыре восьмёрки или четыре единицы, то тут будет большой коллапс. Известно, что восьмёрки прошиты в некоторые кассовые аппараты жёстко. Восьмёрка — умолчание в Docker. Прямо в программный код прописано. А это очень популярное средство контейнеризации. И там, если машине не удалось некую стандартную конфигурацию взять, то у него в код вшиты эти самые четыре восьмёрки, как надёжный фундамент. Очень у многих эти восьмёрки прошиты в DNS. Да у меня самого прописаны восьмёрки (на серверах, обслуживающих проект «Эшер II» — графики, сайт, ботов. — Прим. ред.). Буду ли я делать свой DNS? Нет. Буду брать у провайдера, у которого DNS дважды в день отваливается? Нет. Да я просто пропишу эти четыре восьмёрки. И если будут бить по нешифрованным тоже, то вот это мгновенно заметят уже все. Просто отвалится Интернет, во всей широте понимания этого слова.
— Быстро это можно исправить?
— Если человек понимает, что происходит, то да. Но если у меня дешёвые «виртуалки», я никогда в эти настройки не лез, то единственное, что меня подвигнет залезть в настройки, — новости на «Фонтанке». Вот журналисты говорят, что заблокировали четыре восьмёрки, а у меня почему-то в тот же момент перестали работать устройства... Но ведь и туда ещё надо зайти. А восьмёрки не работают! Короче, везде будет всё тормозить. Долго всё будет восстанавливаться.
Я давно работаю в хостинге. Мы как-то меняли ip-адреса. Меняли их за три месяца. Сделали рассылку. Предлагали перенести домены. Сменили. Потом месяц ещё подождали, некрасиво же откидывать привычные адреса людям так сразу. Заплатил денег за старые домены. Через год человек платит деньги нам и говорит: «Что-то сайт не работает». А у него год сайт не работает уже, потому что айпишник прописан старый, а мы не управляем доменом и не могли сменить. И вот такого будет очень много в случае блокировок публичных DNS-сервисов. Не все смогут быстро сообразить, диагностировать. Не все читают новости. Будет реальный коллапс. Особенно если они это всё сделают на транзите. Между дата-центрами. Но они этого пока не секут. Нет карты у них единой.
— А раз карты нет, то впереди «ковровые бомбардировки», если дают приказ «выключить нарушителей»? Это завтрашняя реальность?
— Да, конечно. Более того, это будет касаться и сервисов, а не только пользователей. Отвалятся сервисы. Будем заходить на сайт, а он работать не будет, потому что движок сайта не работает, потому что у них отвалился DNS, а не у меня.
— Быстро заработает, если просто прекратят блокировать? Условно говоря, опасный день миновал, выборы прошли, всё заработало?
— Если всё происходящее связано с выборами, да. Но мы же только гадаем о причинах. Да, это может быть связано с выборами. Но может быть связано только косвенно, чтобы мы все об этом говорили. Сейчас по высказываниям экспертов получается, что власть бегает за «унылым голосованием». И бегает явно. Дальше вопрос в том, что ситуация может быть иной. Ведь глупо бегать за тем, что не выстрелит. Никто из коллег не верит, что «УГ» выстрелит. Это всё выглядит как разрыв с реальностью…
— Это тебе непонятно. Ты погоны не носишь…
— Так о том и речь. У того, кто приказ отдаст, где реальность? Где у него пропасть с реальностью?
— «Коммерсантъ» написал на прошлой неделе, что всех, кого надо, предупредили о том, что будут бить по публичным DNS. Упрёки в адрес властей несколько несостоятельны.
— Да. Предупредили всех больших. У меня есть целых два документа про это. Но это ещё при Жарове началось. В 2017 году при DNS-атаках Жаров прямым текстом говорил: «системообразующие предприятия не пострадали». И это говорит о том, что нас делят на «компании» и «компании, отличные от других». Есть компании, которые предупреждают о том, что будут блокировать, и они успевают защититься. А есть компании опричь других. Опричнина — это что? Это что-то опричь чего-то. Слово «опричнина» — оно же об этом. Есть царь, двор, опричники, которые опричь других. А есть другие, у которых вычищают скверну. Вот теперь у нас цифровая опричнина. Первые вылазки в сторону скверны уже состоялись.
— Но ведь «точечные». Насколько справедливо утверждение, что от блокировок более защищены пользователи маленьких провайдеров? И почему это так?
— So so. Частично это так. Но это скорее те, кто случайно не подключен к широкополосным сетям, где уже блокируют, и одновременно нет ТСПУ. И это действительно зачастую малые провайдеры. Но это очень ненадолго. Ещё год-полтора максимум. Скорее — меньше.
— Телеком-эксперт Михаил Климарёв утверждает, что будут блочить YouTube с вероятностью 95 %. Будешь спорить?
— Нет, спорить не буду. Единственное, что, на мой взгляд, YouTube будут блокировать не сейчас. Не на этой неделе. Разговоры об этом есть. А такие разговоры в России всегда заканчиваются одинаково. Они не сразу этим заканчиваются, конечно. Но после того, как в этом разговоре уже поучаствовала Захарова, думаю, что вопрос решённый. Но непонятно когда. Частично могут уже на этой неделе. Но кратковременно. Они пока не настолько готовы к нездоровым сенсациям, как я вижу.
— Тот факт, что МИД вызывал посла США с явным намеком на Google и Apple, подтверждал твой прогноз, что готовятся к блокировкам магазинов приложений?
— Да. И сегодняшние проблемы с доступностью к магазину Apple. Единственное, что непонятно — это блеф, разрыв связи с реальностью или пропаганда? Пытаюсь не думать в сторону того, что все эти разговоры про «иностранное вмешательство» нужны для оправдания чего-то нехорошего на выборах... Можно вспомнить про заявления того же Жарова 2018 года о «юридических последствиях» для того же Apple. Тогда давали 30 дней до наступления этих последствий. Эти 30 дней третий год длятся. Это всё разговоры для того, чтобы в один прекрасный момент сказать: «А мы им говорили». Некая информационная подготовка к чему-то. К чему именно — интересный вопрос. Про это же и письма столичной прокуратуры Тиму Куку. И депутат Пискарёв в Госдуме, который говорит, что «УГ» — это Пентагон. Чтобы в случае чего сказать — а чё это они? И народ повторит: действительно, чё это они там, за океаном, себе позволяют?
Но Россия в этих вещах не уникальна. Власти в США делают всё то же самое. Мы, скорее, слизываем с них все эти идеи. Мы всегда в хвосте паровоза. Все, кто что-то знают про технологии, уезжают на Запад. И вдруг у нас хакеры русские во всём виноваты! Смешно! Нашим просто понравилось, что эта риторика работает. Решили развить.
— Возвращаясь к «Умному голосованию». В Тelegram боты Навального работают исправно. Детище Дурова снова будут мочить, или Павел поделится информацией с «Большим братом»?
— Думаю, что власть так нагрелась с «телегой», что есть некие договорённости о том, куда обе стороны не лезут. Эта тема будет игнорироваться. Только «телеги» им сейчас и не хватало. И этим мессенджером не так много людей пользуется. Не так страшно, как приложения в магазинах.
— В сухом остатке. Вероятность того, что всё будет через одно место, какова? С учётом свежих новостей.
— 100 %. Казалось бы, хрестоматийная история с замедлением Тwitter. Ну что там могло пойти неправильно? Сделали шаблон для блокировок так, что Microsoft.com заблокировали, потому что заблочили все вариации t.co! Почему-то и всегда так, какое бы решение ни производилось… Исполнителям же пофиг. Пришло предписание заблокировать t.co — заблокировал. Прописал *t.co*. Нажал кнопку. А дальше — гори всё огнём. И на этот раз обязательно шмякнут куда-нибудь не туда. Даже если «аккуратно» шмякнут. Вероятность косяков стремится к 100 %, если они хоть что-то сделают. Конечно, если руки в карманы не уберут. Но мне всё же кажется, что их такая вычурная показательная возня, вот вся эта беготня за «Умным голосованием», она для того, чтобы мы все отвлеклись от самой идеи и занимались рассуждениями об инструментах оппозиции. «УГ» — это такой червячок нам, а не реальная цель. В реалии — это подготовка к чему-то большему. Может быть, это тест. Настоящая санация чуть дальше. Сейчас артподготовка. Они сами её пиарят. Посмотрят сейчас на то, как всё работает, в том числе реакция пользователей, и к январю (условно) заблокируют YouTube.
Клим Чугункин, специально для «Фонтанки.ру».