Все всё понимают, или всех всё устраивает...

Автор: Александр Солодовников

Должность: Шеф

15.10.20

Ну вот, долго ли коротко ли, а реализовывать закон Яровой, закон о суверенном Интернете и ряд новых “инициатив” надо начинать….

Столько копий сломано в онлайн дискуссиях, сколько объяснений дано, сколько раз слышано - “ну Они же понимают...” Отвечу на все скопом, НЕТ, не понимают! Точнее так, люди работающие “на земле” понимают, а те, кто витает в эмпиреях, как бы, не очень.

Давайте поясню. Коллеги, отраслевые эксперты и даже я не единожды писали и говорили о неприменимости предлагаемых законов для достижения заявленных целей. Да - да, каждый волен верить или не верить кому-то. Но почему отраслевым экспертам нужно доверять меньше, чем депутатам и чиновникам? Ах да, конечно, эксперты же заинтересованные лица. А вот другая сторона - вот точно нет?  Ну в общем-то, “плавали, знаем”. Те, кто не готов доверять отрасли, точно понимают, как она устроена?

Ну что ж, еще раз!

Закон Яровой. 

Главная декларируемая цель - антитеррористическая! Не верите мне, вот просто полное название прочитайте. Я не готов говорить “за всю Одессу”, поэтому только о том, в чем я точно понимаю. Часть закона Яровой требует от нас хранение, так называемых, метаданных и ВСЕГО абонентского трафика. Метаданные пока позволяют определять кто и куда ходил в Интернете (почему “пока”, чуть позже). Хотелось бы понять, а вот ВЕСЬ трафик-то зачем? Уже оскомину набили слова о том, что доля шифрованного трафика в Сети растет и уже к лету прошлого года составляла до 85%.

Так выглядит доля шифрованного трафика в сервисах Google на сейчас. Взято отсюда.

 

Вскрыть такой трафик, мягко говоря, трудновато. Как правило, это выходит за разумные пределы требуемой вычислительной мощности относительно разумного времени. И потенциальные террористы точно используют и дополнительные средства защиты, то есть дополнительное шифрование и анонимизацию. Значит под раздачу попадают пылкие пацаны неосторожно постящие во Вконтактике! Это точно та цель, которую ставили перед собой разработчики закона? Но “lets go ahead”, как говорят наши “вероятные союзники”, точнее вернемся к пресловутому “пока”. Почему метаданные сейчас позволяют подсмотреть кто и куда ходил, а скоро будут позволять не в полной мере? Потому что грядет полномасштабное внедрение протоколов DoH/DoT и SNI. Не буду писать о технических подробностях, это легко гуглится, скажу лишь, что внедрение этих протоколов скроет соответствие имени условного сайта его IP-адресу. Причем для нас, как для провайдера, это тоже некая проблема, поскольку несколько усложнит устранение некоторых неисправностей. Но мы разберемся в итоге, поколбасит, конечно, но наработаем подходы. А вот по “полезности”, для целей закона Яровой, это всё ударит. Нет, конечно ВКшечка по-прежнему позволит исправно выявлять “юношей бледных со взором горящим”, а вот другие ресурсы… Мы же знаем, что IP-адрес не прибит гвоздями к одному лишь сайту. За ним может быть много разного, а также один и тот же сайт может скрываться за разными айпишниками. Всё это ударит и по блокировкам “вредного” контента тоже, они станут совсем уж бессмысленными.

И тут в Минцифре, похоже, стали что-то подозревать… Они подготовили законопроект, который должен запретить использование  DoH/DoT и SNI, а заодно и новую версию протокола шифрования TLS 1.3 на территории Российской Федерации. Как обычно забыли спросить разработчиков браузеров и поставщиков онлайн-сервисов. Ну ОК, провайдеры выполнят это требование и не станут предоставлять IP-адрес ресурса в шифрованном виде, но поддержка новых протоколов нативно включена в браузерах, а сервера имен существуют и не только в провайдерских сетях! И что, мы будем выпиливать TLS 1.3 из операционных систем и блокировать 853 порт на котором работает DoT? А что будем делать с DoH? Давайте вспомним двухлетнюю войну с Телеграм, начнем гоняться по Интернету теперь за серверами имен... Вот ровно так же как с Телегой и будет. Крови всем попортят изрядно, но результат уже известен. 

Давайте теперь перейдем к другой российской беде. Нет, про дороги я не буду. Несколько слов про реализацию закона о суверенном Интернете, которая вплотную приблизилась к нам. Да, институт ГИПРОСвязь спроектировал для нас установку неких Технических Средств Противодействия Угрозам (ТСПУ). Исходя из реализации этих ТСПУ очевидно, что главная угроза это вы, наши дорогие абоненты. Но и об этом я тоже писал (тут и тут)и говорил (с 19-й минуты). В целом понятно, что идея, ну кроме освоения ооооочень больших денег, кроется в том, чтобы отдать некоему уполномоченному центру право фильтровать трафик и отключать доступ в Интернет помимо воли провайдера. Да! Так! ни больше и ни меньше. Кроме того, на вопрос “какие это внесет задержки”, получен ответ: - “от 3-х до 30-и миллисекунд”. Так что игроки в WoT готовьтесь мазать (тоже писал). Ну и в случае чего, полный shutdown становится абсолютно реальным. Что уж говорить о Единой Точке Отказа для всей страны. Почему? Да потому что кто-то валенок на клавиатуру в Центре Управления и Мониторинга уронит и, привет.... Да, чуть не забыл, они конечно попытаются отфильтровать этот самый TLS 1.3, что отчасти реализуемо. Это будет приводить к деградации сервисов, которые постепенно перестанут взаимодействовать с теми клиентами, которые используют более старые протоколы. Будет такое ползучее разрушение работоспособности то тут, то там. А ещё будут применять bandwidth throttling (тоже писал), а вы станете тиранить нашу техподдержку “почему так медленно”. Вот эти самые ТСПУ теоретически могут во всё такое. Есть одна закавыка! Масштаб ну очень большой, а того, что хочется побороть, ну очень много. 

Если кто-то подумал, что это всё, таки нет! На днях получил запрос от РКН - “А нет ли у вас на узле GGC?”. Нет, у нас нету, но это очень полезная штука, я писал о нем при первом заходе РКН в эту сторону аж в 2017 году. Зачем им это? Ну вы же смотрите на YouTube Дудя, а не Киселёва на телеке… Ну-ка мы уберем кеш, ухудшим качество для вас и увеличим себестоимость для провайдеров и посмотрим, будете ли вы продолжать.

И так уж к слову, раз начал, помните с помпой запускали в 2014 новый поисковик “Спутник”? Закрыли бедолагу. Сколько он стоил нам с вами, и не спрашивайте. 

 

Вот, закончил на оптимистической ноте…, для тех, кто понимает!