Как в китае обходят блокировку интернета
Перейти к содержимому

Как в китае обходят блокировку интернета

  • автор:

Как мы учились обходить блокировки VPN в Китае, чтобы быть готовыми к РКН

В понедельник 7 августа многие пользователи VPN в России заметили проблемы с подключением к серверам. Картина складывалась противоречивая: у абонентов одного оператора мог работать VPN, а мог — нет, в одном регионе у части пользователей были трудности с подключением, а другие не испытывали технических проблем. Это уже вторая заметная волна блокировок в этом году.

По собранной в соцсетях и Телеграме информации, ограничения затронули наиболее распространенные VPN-протоколы OpenVPN, WireGuard, L2TP и PPTP. На сбои в работе VPN-сервисов жаловались клиенты мобильных операторов — Мегафон, МТС, Билайн, Tele2, Yota, Тинькофф Мобайл.

Зампред Комитета ГД по информационной политике, информационным технологиям и связи Антон Горелкин прокомментировал СМИ, что «пользоваться VPN-сервисами не запрещено, но Роскомнадзор обязан ограничивать работу тех из них, кто нарушает закон» — то есть, разрешает доступ к заблокированным в России сайтам и сервисам, список которых на данный момент включает не только политические и новостные ресурсы, но и крупнейшие социальные сети.

Примерная карта блокировок ВПН на неделе с 7 августа

В тот же день вечером создатель сервиса обхода блокировок AntiZapret @ValdikSS рассказал, что блокируются преимущественно подключения из России к серверам за границей у абонентов мобильных операторов, и что эти блокировки заметно отличаются от того, что было раньше. На этот раз под удар попали не популярные коммерческие сервисы, доступные всем желающим, а частные серверы, которые пользователи самостоятельно настраивали у зарубежных провайдеров. Поменялся и характер блокировки: теперь Роскомнадзор с помощью DPI и ТСПУ оценивал тип трафика и сразу же его блокировал, если определял его, как подключение через VPN. Блокируются популярные протоколы WireGuard, L2TP и OpenVPN. По мнению технического директора Роскомсвободы и основателя Privacy Accelerator Станислава Шакирова, это были «блокировки не в тупую». По его мнению, цензоры пытаются сделать так, чтобы блокировка VPN затронула только частных лиц, но не повлияла на работу корпоративных клиентов.

В этот же день на Xeovo обвалилось огромное количество тикетов, но к вечеру, когда информация о новой волне блокировок VPN ещё продолжала расходиться по рунету, и СМИ ещё собирали статистику, которую мы здесь приводим, мы уже закрыли большую часть из них и соединение наших клиентов было восстановлено. Как нам это удалось? Мы к этому готовились.

Примерно год назад перед Xeovo появилась задача не только предоставлять классические VPN-протоколы, но добавить еще stealth proxies. Они маскируют VPN-трафик под обычный HTTPS, позволяя обходить DPI.

На то было две причины:

  1. Рано или поздно все больше стран начнут блокировать их. Блокируются они очень легко.
  2. На некоторых рынках в рекламе мы используем слоган «Silence censorship. Protect your privacy and bypass restrictions with Xeovo» — который не работает, когда ты не можешь предоставить везде услуги 🙂

Протокол WireGuard блокируется очень легко. OpenVPN немного сложней, но в целом оба варианта поддаются блокировке без особого труда. На сегодня лидеры блокировок VPN это Россия, Китай, Узбекистан, Иран, Египет и Туркменистан. Последний выделяется особо: они просто заблокировали всё и ввели вайтлисты — тут мы пока проиграли, за остальные рынки можно побороться. Но и к вопросу Туркменистана мы ещё вернёмся.

Будет работать в Китае — будет работать везде

Как milestone мы решили поставить перед собой сложную, но понятную цель: Xeovo VPN должен работать в Китае — и если мы сможем это реализовать, то проблем с другими странами не должно будет быть.

Отчасти так и оказалось: наш опыт обхода «Великого китайского файерволла» действительно подготовил нас к тяжёлой волне блокировок в России на этой неделе. С другой стороны, на каждом рынке всё равно есть свои нюансы — не весь опыт борьбы с китайской цензурой переносится на другие страны, и в других странах требуются свои специфические решения.

Для успешного старта мы решили взять как можно больше доступных и проверенных протоколов (Shadowsocks, VLESS, VMess и Trojan).

Из-за такого большого арсенала первые проблемы начались с тестированием рабочих GUI клиентов и составлением пользовательских инструкций для каждой операционной системы. Клиентов очень много и большая часть из них работает примерно одинаково, но все еще бывают исключения к примеру у таких клиентов как Clash и Surfboard. Особо плохая поддержка была поначалу у протокола VLESS на MacOS, сейчас ситуация улучшилась и появился Nekoray.

Сильно мешает то, что постоянно появляется много новых протоколов, которые нужно пересматривать/тестировать каждый год, ибо их перестают поддерживать и просто в конце концов забрасывают. Хотя тенденция постоянного появления новых протоколов напрягает — это происходит потому, что цензура находит способы блокировать новые протоколы. Так эта битва и продолжается: одну голову гидре отрубят — вырастут две, а нам со всем этим зоопарком потом разбираться.

Вторая проблема была с документацией. Иногда мы просто зря тратили время читая ломаную англоязычную документацию для конкретного протокола, когда изначально нужно было сразу начинать с китайской версии. По большей степени документации или не полные или не апдейтятся, всегда возникали проблемы. В какой-то момент мы даже планировали нанять программиста со знанием китайского языка чтобы облегчить жизнь, но справились как-то сами через DeepL Translate.

После всех фаз тестирования и запуска мы начали уже оптимизировать наш генератор. Очень важно было добавить для каждого клиента свой subscription, файл который может фетчить все новые сервера которые мы добавляем и работает во всех популярных клиентах. Это особенно удобная и важная функция если IP-адреса попадают часто под бан.

После всех баг-фиксов и фич мы столкнулись с хорошими трудностями: наши IP-адреса как горячие пирожки начали блокироваться GFW, великим китайским файерволлом. Это был верный индикатор, что наш сервис работает как надо — прямой фидбэк, к которому мы были готовы.

Первая стратегия которую мы решили попробовать это смена IP-адресов для выходных узлов. В конце концов это оказалась малоэффективная и затратная стратегия (которую мы все еще иногда используем).

В начале она работала неплохо и IP-адреса жили неделями, попадали в карантин и выходили из блока через пару недель. Потом выяснилось что GFW использует довольно умный подход к блокировке IP-адресов и они редко остаются вечно в бане. Чем чаще IP-адрес попадает в карантин, тем дольше он там будет оставаться.

Решение блокировок IP-адресов мы решили с помощью CDN: если совсем коротко, то IP-адрес прячется за CDN и не попадает в блок. Китай избегает блокировок больших CDN-провайдеров. Единственный минус такого метода — это скорость подключения и стабильность в целом. Так что это всё ещё не панацея, но пока самый эффективный метод, который мы нашли. Если интересует больше технических подробностей, мы советуем читать Great Firewall Report (как именно блокирует Китай).

Следующая дилемма с Китаем была это разделение протоколов. Все протоколы, которые мы предоставляем могут работать в Китае, но не все из них рассчитаны на массовое использование. Чем больше подключено юзеров, тем больше вероятность что GFW обнаружит что идет подключение к proxy и заблокирует IP-адрес. Так же играет роль регион и провайдер. В некоторых регионах использование VPN отслеживают намного пассивней и хуже, чем в других. Пользователи из некоторых китайских регионов даже сообщали, что какое-то время работал WireGuard 🙂 В итоге, для пользователей, которые подключаются из Китая, мы оставили VLESS и VMess.

После чего мы обнаружили еще одну трудность — позитивную трудность, которую можно воспринимать как экзамен и проверку своего сервиса: во время политических ивентов/выборов Коммунистическая партия максимально врубает машину цензуры. Грубо говоря, в блок летит всё и вся — даже юзеры, которые индивидуально разворачивают прокси. С данной проблемой мы не смогли справиться, и называем такие инциденты чёрные дни. Тут уже как повезет — может пронести и прокси будут работать, но с вероятностью 90% заблокируют всё, включая CDN.

Более серьезная и сложная проблема это был подбор подходящего хостинг-провайдера, ибо у нас есть свои минимальные стандарты и многие из них не подходили. Большая часть подходящих провайдеров — подпольные, о которых ноль информации и доверия. О стандартных практиках безопасности вообще говорить не приходится. Помимо этого, мы не берем сервера в Китае/Гонконге по понятным политическим причинам.

Второй нюанс это китайские провайдеры. Грубо говоря, нужна CN2 сеть для комфортного подключения если ты в РФ. Для себя мы нашли оптимальных поставщиков в Южной Корее, Тайване, Японии и Сингапуре.

Финальная проблема — это стоимость борьбы с цензурой в Китае. Трафик нам выходит дороже, чем мы предполагали, поскольку мы его не ограничиваем — пользователи ограничены только скоростью канала и сколько смогут из него выжать. Помимо трафика дополнительный кост — частая смена провайдеров/IP-адресов/оплата CDN.

Стоимость трафика в Южной Корее с оптимизированным каналом для Китая для наглядности

В целом, этот продукт оказался для нас убыточным, но мы продолжаем работать в Китае и оптимизировать затраты. Нашу борьбу за китайского пользователя мы рассматриваем скорее как инвестицию, чем убыток.

Вслед за Китаем подключились другие страны. Самая большая активность была из Ирана. В целом практики такие-же как в Китае, но процессы у них отлажены намного хуже и они часто блокировали все подряд. Ну и в любой непонятной ситуации аятоллы могут просто отключить интернет в стране.

Будем работать в Туркмении — будем работать везде

Следующий рубеж, который мы себе поставили — это открыть интернет пользователям из Туркмении. Туркменистан — это endgame в плане интернет-цензуры, в стране по сути действуют вайтлисты. Это ситуация тяжелее, чем в Китае, чем в России, чем в арабских странах — чем везде на планете, за исключением КНДР, где вместо интернета действует интранет.

Какое-то время у нас в Туркмении работали stealth proxies, но потом довольно малоизвестный провайдер попал в бан со всей своей ASN — и сейчас мы ищем способы возобновить работу и помочь людям обходить блокировки. Всё, что можем сказать — что способы будут нестандартные, out of the box, мы будем выходить за наши границы. И также мы будем работать и бороться с цензурой в РФ.

  • Ещё в планах Xeovo VPN увеличить инфраструктуру для прокси. Сейчас мы тестируем XTLS-Reality, который будет очень полезен для пользователей из Ирана.
  • Так же в планах разработать свой мониторинг IP-адресов на блокировку в Китае, Иране, РФ и других стран.
  • И работаем над модифицированным Raspberry Pi, который планируем отправлять бесплатно нашим клиентам. Это поможет быстрей реагировать на блокировки.

  • Для оплаты зарубежными картами или криптовалютой: xeovo.com. Скидка 10% по промокоду HABR2023
  • Для оплаты рублями: VPNPay
  • vpn
  • xeovo vpn
  • великий китайский фаерволл
  • блокировки

«Уж какие мощные блокировки у Китая, но и их научились обходить»: смогут ли в России заблокировать VPN

«Уж какие мощные блокировки у Китая, но и их научились обходить»: смогут ли в России заблокировать VPN

В России уже давно ведется внедрение комплексной системы блокировки интернет-ресурсов. В последнее время все чаще появляются и новости блокировках VPN-сервисов, используемых для обхода этих блокировок. Возможно ли заблокировать все VPN-сервисы в принципе, чем российская система блокировок отличается от китайской и можно ли отключить Рунет от глобальной сети RTVI рассказал директор «Общества защиты интернета» признанный в России иностранным агентом Михаил Климарев.

Догнать и перегнать Китай

Мы уже перегнали Китай в области блокировок. Российская система блокировок более жестко относящаяся к пользователям, и она очень серьезно влияет на качество интернета в России. Из России пока не заметно, насколько упало качество связи, поскольку эти процессы происходили медленно. Но если вылетаешь в Европу, это видно сразу.

Объясню, почему. «Великий китайский файрвол» — это действительно большая стена, которая стоит между Китаем и всем остальным миром. Внутри страны трафик никак не фильтруется.

В России получилось так, что существует огромное количество маленьких «заборчиков». Каждый оператор связи устанавливает у себя уменьшенную копию этой самой «великой китайской стены». И когда трафик идет от одного российского оператора к другому, то он проходит сквозь такой файрвол дважды, у одного оператора и у другого оператора. Поэтому потеря качества связи, задержки и другие подобные вещи более заметны. В Китае внутри, повторюсь, ничего не мешает прохождению трафика.

Единственное, у нас пока не установлена система слежки за каждым отдельным абонентом. В Китае это тоже внедряется пока не везде, но сам процесс уже пошел. И скоро, в принципе, в России это тоже, наверное, будет возможно. За каждым отдельным пользователем будет некая слежка. Появится возможность проверять трафик каждого пользователя, на какие сайты он заходил, чем он пользовался.

Но прочитать, что вы пишете в личных сообщениях в западных соцсетях с помощью средств обхода, математически невозможно, потому что для этого потребуются слишком большие вычислительные мощности, чтобы эту информацию расшифровать. Сейчас уровень шифрования информации достаточно развит, его поддерживают и пользовательские устройства, и браузеры.

Mихаил Климарев
@klimarev

Отключить Россию от «внешнего интернета»

Людям, которые считают, что выход в интернет нам может отключить Запад, я обычно рекомендую сразу взглянуть на карту и посмотреть, где находится Россия. Громадная страна с огромной территорией. И по этой территории проходит множество всевозможных интернет-кабелей со всех сторон.

Кстати, Россия иногда является главным поставщиком интернет-связанности, например, для республик Средней Азии. То есть если отключить Россию от интернета, это значит отключить Казахстан, Кыргызстан, Узбекистан.

Это совершеннейшая глупость, это могут сказать только люди, которые плохо себе представляют, как вообще работает интернет, которые просто не верят в то, что люди могут между собой договариваться без приставленного к виску пистолета.

К тому же существует довольно много различных субъектов. Это конкурентный рынок. Если условно нас отключат от франкфуртской Internet Exchange, то тут же вмешается, например, копенгагенская Internet Exchange. Есть много стран, которые захотят поучаствовать в торговле, в том числе информацией, потому что это деньги, огромные деньги.

Arctic Images / Getty Images

Если Россию отключат от глобального интернета, это случится по приказу российских властей. Мы такие шаги недавно видели и в Белоруссии в 2020-м году, и в Казахстане. Они закончились тем, что власти в итоге включили все назад и смогли продержаться буквально двое суток.

Да, российские власти могут в принципе пойти такой шаг. Но это будет означать, что по экономике будет нанесен очень серьезный удар. Такой «железный занавес» нужен только в том случае, если вам не важны экономические связи, и вы хотите именно прекратить определенный поток информации. Нужно это в случаях, когда уже началась гражданская война или что-то подобное, когда по улице бегают партизаны, за ними бегают полицейские, что-то горит, что-то взрывается.

Сможет ли работать Рунет при отключении от глобальной сети — вопрос интересный. На практике такого не было никогда. Все случаи, когда это пытались делать, приводили к тому, что переставало работать вообще все.

Интернет исторически строился так, что у него не было границ. Каждый современный интернет-сайт представляет собой много разных сервисов, объединенных в одной точке. Это не просто какая-то там страничка, это и всякие социальные сети, подключенные к ним системы трейдинга, системы рекламы, да и чего там только нет.

Заблокировать все

Теоретически ничего в интернете заблокировать нельзя, если это именно интернет. Это огромное число компьютеров, соединяющихся друг с другом через цепочку других компьютеров, выступающих посредниками. Таким посредником может стать любой IP-адрес, состоящий из четырех групп цифр. Допустим, Роскомнадзор знает эти адреса конкретного VPN-сервиса и может заблокировать их, но при этом, есть же и множество других, которые он не знает.

Другой способ блокировки — по протоколу. Когда компьютеры общаются между собой, они «договариваются», как будут это делать по определенному набору правил, протоколу. Недавно пытались заблокировать такие протоколы, как L2TP и IPsec. Но дело в том, что современные VPN-сервисы уже используют специальные протоколы, натренированные на Китае, позволяющие обходить такие системы блокировок.

Они как бы мимикрируют под другие совершенно легальные протоколы, которые просто невозможно заблокировать, потому что без них интернет просто перестает работать. Со стороны это будет выглядеть, как будто пользователь очень часто обращается к какому-то сайту, на котором все зашифровано. Поэтому заблокировать VPN-сервисы на уровне протоколов тоже, наверное, будет сложно.

Но тут нужно отметить, что чем больше блокировок, чем эти блокировки будут более злыми, тем хуже будет работать интернет. Особенно это заметно на всяких сервисах, работающих в реальном времени — например, телефония, видеосвязь, игры.

И уж какие мощные блокировки у Китая, но и их научились обходить. Там пытались вводить уголовную ответственность за использование средств обхода, и даже это не спасает. Придумываются разные схемы обхода блокировок, и они все довольно простые. При этом достаточно себе скачать какую-то программку, нажать кнопку на экране и она будет работать. Таких средств будет все больше и больше. А поскольку появляется рынок, есть аудитория, от нее можно получать какую-то прибыль. Есть такое выражение «рыночек порешал».

Самое плохое случится только если отключат интернет или введут белые списки. Вот это самое страшное, может быть. Это опять же нанесет огромный удар по экономике. Это уже будет не интернет, а что-то похожее на северокорейский интранет «Кванмён», в котором доступно порядка тысячи внутренних доменных имен и порядка сотни сайтов. Уверен, что вам не понравится интернет, где есть только 100 сайтов и все они находятся под контролем властей. Если это цель “суверенного Рунета”, то мне такой путь совсем-совсем не нравится.

4 способа получить доступ к сайту в Китае, если вы уже там

4 способа получить доступ к сайту в Китае, если вы уже там

Более 10 миллионов туристов ежегодно приезжают посмотреть на Великую китайскую стену, а вот Великий китайский файрволл не дает гражданам и гостям Китая получить доступ к более чем 10 000 сайтов.

Если вы живете в Китае или прибыли в эту страну как турист, то ваша онлайн-свобода под угрозой. Facebook, YouTube, Twitter, Google — все эти и многие другие сайты и сервисы там заблокированы, из-за чего вам будет практически невозможно связаться с семьей и близкими. Под блокировку попали даже такие сервисы, как Gmail и Dropbox, из-за чего вы сможете пропустить важнее письмо от коллег или даже не сможете работать вовсе. Кликните здесь, чтобы узнать, какие из ваших любимых сайтов заблокированы в Китае.

Впрочем, не переживайте — мы будем рады помочь! VPN-сервис — это лучшее и самое надежное решение всех проблем, связанных с интернет-цензурой в Китае. VPN-сервис откроет доступ ко всем вашим любимым сайтам и сервисам. Из нашего простого и понятного руководства вы узнаете все, что нужно знать на этот счет.

Внимание! Хотя VPN-сервисы, безусловно, являются самым надежным способом получить доступ к любимым сайтам в Китае, многие из них не работают на территории этой страны. Поэтому крайне важно выбрать такой VPN, который стабильно работает в Китае — например, ExpressVPN. При этом следует помнить, что даже самые лучшие VPN-сервисы могут порой сталкиваться с перебоями в работе из-за постоянно меняющихся китайских ограничений.

4 способа обхода блокировок сайтов в Китае

1. Используйте VPN

В первую очередь мы посоветуем вам установить VPN еще до поездки в Китай.

В отличие от прокси-сервисов и браузерных расширений, хороший VPN зашифрует ваши данные так, что ни хакеры, ни правительство не смогут получить к ним доступ. Также вы сможете изменить свое виртуальное местоположение на любое другое, что позволит легко и непринужденно обойти географические блокировки доступа.

Правительство Китая, конечно, активно блокирует VPN-сервисы, однако ряд провайдеров работал, работает и будет работать в Китае.

Если вы ищете отличный VPN для работы в Китае и других странах мира, то мы готовы порекомендовать вам ExpressVPN . Сотрудники сервиса постоянно тестируют и обновляют его серверы, следя за тем, чтобы они были в состоянии обеспечить обход Великого китайского файрвола. Серверы сервиса установлены в граничащих с Китаем странах и обеспечивают быстрые подключения, что обеспечит вам доступ к любому контенту, в том числе потоковому, из любой точки мира.

Small assortment of technological devices compatible with ExpressVPN.

ExpressVPN предоставляет своим клиентам шифрование военного уровня и продвинутые функции безопасности, так что вы можете не волноваться почем зря — ни китайское правительство, ни кто бы то ни было еще не смогут определить ваше местоположение или узнать ваши личные данные.

Лучший аспект ExpressVPN, пожалуй, это 30-дневная гарантия возврата денег. Если вы не уверены, подходит ли вам этот сервис, вы сможете сперва испытать его на деле совершенно бесплатно.

2. Используйте Tor для работы в Сети

Tor — это безопасный браузер, который анонимизирует пользователей и их действия за счет перенаправления трафика сквозь различные узлы сети.

Вы, конечно, не сможете зайти на сайт Tor и скачать это приложение, находясь в Китае, зато вы сможете связаться с его разработчиками и получить ссылку на загрузочный файл, лежащий в облачном хостинге. Пишите письмо на адрес gettor@torproject.org и не забудьте указать в теле письма, какая у вас операционная система.

Китайское правительство небезуспешно блокирует Tor. Чтобы ваше подключение не было взято на карандаш товарищами из соответствующих органов, запустите приложение Obfsproxy вместе с браузером Tor. Obfsproxy — это сервис, который делает ваш tor-трафик похожим на обычный при прохождении глубокой проверки пакетов данных.

Еще более мощный способ защиты — это использование Tor вместе с VPN. Тут есть два варианта: можно подключиться к Tor через VPN или к VPN через Tor.

Подключения типа Tor-через-VPN обеспечивают дополнительный уровень защиты, так как ваш VPN-сервис будет зашифровывать ваши данные еще до того, как те попадут в сеть Tor, благодаря чему входной узел Tor не узнает ваш настоящий IP-адрес. Также это значит, что ваш провайдер не узнает, что вы используете Tor, но для этого сперва придется запустить VPN, а Tor — только после этого.

Если же вы сперва откроете Tor, а потом подключитесь к VPN, то вы будете использовать подключение типа VPN-через-Tor. Ваши данные будут шифроваться на входе и выходе из сети Tor. Используя этот метод, вы не дадите VPN-сервису узнать ваш настоящий IP-адрес, а ваш интернет-провайдер не узнает, что вы используете VPN.

3. Ultrasurf

Ultrasurf —это одна из самых популярных на сегодняшний день бесплатных программ, позволяющих обходить цензуру. С ее помощью пользователи могут обходить файрволлы с помощью прокси-сервера HTTP.

Этот прокси-метод аналогичен VPN: здесь тоже создается своего рода туннель между компьютером и пулом серверов, расположенных в удаленной локации.

В отличие от VPN, прокси шифрует только лишь трафик браузера. Программы такого рода не шифруют трафик других программ и сервисов — например, программы для работы с электронной почтой или Skype. А это значит, что большая часть вашего трафика остается беззащитной перед хакерами.

В свою очередь, VPN-сервисы шифруют весь исходящий с устройства трафик, что обеспечивает полную защиту.

Ultrasurf обеспечивает шифрование данных на пути между вашим компьютером и своими серверами, но если вы при этом пытаетесь зайти на незащищенный сайт, то никакого шифрования не ждите.

Ultrasurf меняет IP-адреса своих серверов до 10 000 раз в час, чтобы избежать обнаружения и гарантировать своим пользователям свободный доступ в Интернет. А когда вы удалите эту программу, то она не оставит за собой ни следа. Даже если кто-то обыщет ваш компьютер, узнать о том, что вы использовали эту программу, будет невозможно.

4. Shadowsocks

Shadowsocks — это еще один прокси-сервис с открытым исходным кодом, обеспечивающий пользователям возможность забыть про онлайн-цензуру. Когда вы используете Shadowsocks, то сервис создает зашифрованное подключение между вашим компьютером и сервером с помощью протокола SOCKS5. Но, в отличие от VPN, Shadowsocks не будет защищать вашу приватность — эта программа разрабатывалась для обхода цензуры и только.

Shadowsocks шифрует лишь тот трафик, который вы отправляете со своего устройства на прокси-сервер, и не маскирует пользовательский IP.

Динамические протоколы Shadowsocks, конечно, это достаточно продвинутая система защиты, однако VPN-сервис все равно гораздо лучше и плане защиты приватности, и в плане обеспечения анонимности.

Строгий запрет VPN-сервисов в Китае сулит определенные сложности

Цензура в Китае присутствует везде и всюду. Репрессивные законы о доступе к Сети и постоянное прослушивание трафика правительственными агентствами угрожают онлайн-свободе любого человека, пытающегося выйти в Интернет, находясь при этом на территории Китая.

Конечно, изначально эти законы принимались в целях борьбы с киберпреступлениями, однако со временем об этом вспоминать перестали. Хакеры ни в чем себе не отказывают, а файрволл блокирует такие сайты, как Facebook, YouTube, Twitter и Google. С помощью нашего бесплатного инструмента для проверки файрволла вы и сами можете посмотреть, какие из сайтов заблокированы в Китае.

Собственно говоря, в Китае блокируются даже китайские сайты, особенно сайты новостных агентств и блоги, где звучат мнения, отличие от мнения правящей партии. Это еще сильнее угрожает свободному доступу в Сеть и нарушает личную свободу и безопасность граждан.

Без доступа к новостным ресурсам, освещающими непредвзятые точки зрения, невозможно считать себя информированным и критически следить за действиями своего правительства. Увы, именно такую цель и преследуют авторитарные режимы.

Можно ли использовать VPN для обхода Великого китайского файрволла? И да, и нет.

Китайское правительство запретило работу на своей территории всем VPN-сервисам, не получившим соответствующую лицензию от… да, от самого китайского правительства. Лицензированные VPN-сервисы, скорее всего, будут предоставлять пользовательские данные правительству или даже добавят в свой софт бэкдоры, чтобы следить за пользователями было удобнее. Наконец, маловероятно, что такие VPN смогут обойти файрволл.

Все это умножает на ноль смысл от работы с такими VPN, ведь с учетом всего вышесказанного они больше похожи на инструменты отслеживания пользовательских действий, а не защиты приватности.

Большинство сайтов иностранных VPN уже заблокированы файрволлом, зарегистрироваться на них на территории Китая не получит. Соответственно, если вы уже приехали в страну, но не настроили заранее VPN, то для восстановления свободного доступа к Интернету воспользуйтесь приведенными выше советами.

Если вы еще только готовитесь к поездке, не забудьте установить на ваше устройство один из рекомендованных для Китая VPN-сервисов – а мы гарантируем, что все сервисы из этой статьи прошли проверку и точно работают в Китае.

Заключение

Цензура и прослушка со стороны правительственных органов угрожают онлайн-свободе любого человека, выходящего в Интернет из Китая. Китайское правительство занято тем, что блокирует критикующие его сайты, а борцы за свободу из всех стран мира усердно работают над созданием способов восстановить приватность граждан и гостей этой страны.

Программы вроде Tor и Ultrasurf могут проложить вам дорожку в обход Великого файрволла, однако установка VPN перед поездкой будет лучшим, наиболее оптимальным решением.

«Цензура за Великой стеной сложнее российской — можно полагаться на китайские инструменты по её обходу»

Открываем цикл бесед с техническими экспертами о том, как и зачем блокируют VPN в России и мире. Представляем первое интервью — с Джексоном Сиппом, членом команды GFW Report. Джексон также является исследователем в Университете Колорадо (кампус в городе Боулдере) и занимается вопросами безопасности сетевых систем, конфиденциальности и борьбы с цензурой.

GFW Report — это независимая команда исследователей цензуры, основным направлением деятельности которой является цензура в Китае. В течение четырёх лет организация публикует технические отчёты и наблюдения с целью распространения информации о цензуре в Интернете и инструментах обхода Великого китайского файервола (Great Firewall of China, GFW). В конце апреля 2023 года команда GFW Report выпустила новое исследование, в котором описала, как Великий Китайский Файервол обнаруживает и блокирует полностью зашифрованный трафик.

Результаты этого исследования могут быть крайне интересны для экспертов и простых пользователей в России сейчас, поскольку у многих есть ощущение, что российские власти пытаются перенимать опыт Китая, как в плане построения машины цензуры вообще, так и в деталях: будь то возможное закрытие YouTube или уже начавшаяся блокировка VPN.

Разбираемся, что такое Великий китайский файервол, как сейчас работает система интернет-цензуры в Китае, какие у неё есть сходства и различия с российской системой. Ну, и конечно, разговор будет о том, как в Китае блокируются VPN, а пользователи обходят эти блокировки. Как раз об этом — последний доклад команды. Такой экспертный взгляд на Китай, может быть поможет нам чуть лучше понять то, что происходит в нашей стране.

Как работают исследователи цензуры в Китае

– Откуда вы получаете сведения о том, что происходит в Китае?

Мы изучаем уже опубликованную информацию, базы данных о том, какие компании существуют в Китае, как они работают. Также мы используем более технические методы, например, команду traceroute, которая показывает нам по каким маршрутам передаются пакеты в интернете.

Один из сложных аспектов проведения такого рода исследований — это то, что мы находимся в США, и у нас нет большого количества компьютеров в Китае, с помощью которых можно проводить тесты. Но пара серверов есть, они находятся в разных уголках страны. Получив доступ к ним и увидев различия, мы можем составить более полную картину того, как работает сетевая инфраструктура. Кроме того, существуют такие инструменты, как OONI, которые дают больше точек обзора, но информация у них менее детализирована.

Мы используем комбинацию разных методов, чтобы нарисовать картину того, как выглядит сетевая инфраструктура GFW. Однако трудно сказать наверняка, что именно там происходит.

Впервые мы услышали об отчете GFW Report, наверное, в 2019 году. Тогда вышел доклад об активном зондировании Shadowsocks. Сейчас выпущен новый отчёт. Получаете, вы постоянно проводите техническое тестирование и можете отслеживать изменения?

Отчёт GFW — это не обязательно постоянный активный технический мониторинг. Скорее наблюдение за тем, с чем сталкиваются пользователи в Китае.

Так исследователи могут узнать от пользователей, что определённые инструменты и протоколы блокируются. Когда такие сообщения появляются, мы стараемся разобраться, что вызывает блокировку. Пользователи сигнализируют: «Такой-то сервис пару дней назад внезапно перестал работать». И команда GFW Report, и другие исследователи собираются вместе и пытаются понять, почему это происходит. В этот момент мы подключаемся к компьютерам в Китае, пробуем через доступные инструменты разобраться, почему что-то не работает.

На примере Shadowsocks мы начали наблюдать активное зондирование (active probing). Оно представляет собой прощупывание сервера для подтверждения того, что это именно Shadowsocks. Если Великий китайский файервол получает такое подтверждение, то передача данных блокируется. GWF Report исследовал это в 2019 году, а в 2020 выпустил отчёт, в котором описал способ решения этой проблемы, через использование аутентификации на клиенте.

Как работает Великий китайский файрвол

Джексон, смотрите, на Reddit есть такой формат, называемый ELI5 или «объясни мне, как будто мне пять». Можете ли вы объяснить пятилетнему ребенку, что такое Великий китайский файрвол? Что это за система? Что она делает?

Легко. Задача Великого китайского файервола — не запретить пользователям доступ к информации, а затруднить его. Смысл его работы в поиске способов ограничения массового доступа к глобальному интернету, который является само собой разумеющимся для людей в странах без интернет-цензуры.

Китайская цензура более централизована, чем цензура в других странах, в том числе в России. GFW включается сразу на китайской границе и активно фильтрует весь трафик, поступающий в страну и выходящий из неё, чтобы отслеживать информацию, которая не поддерживается государственным режимом.

Это делается несколькими способами. Первый — через подмену ответов DNS. Клиент запрашивает, где находится определённый сайт, и если китайское правительство хочет этот сайт заблокировать, то клиенту возвращают случайный подменный адрес этого сайта. И фактически зайти туда нельзя.

Второй способ — это блокировка на основе IP-адресов, когда по ним блокируются сайты и страницы с информацией, не одобренной в Китае. Все запросы на эти сайты передаются в никуда.

Третий — блокировка на основе заголовков SNI (Server Name Identification), которые используются в протоколе TLS (Transport Layer Security). Когда цензор видит в SNI название запрещённого сайта, соединение разрывается.

Если вы говорите, что серверы GFW находятся на границе, что цензура начинается на границе Китая, то это значит, что между сервером и клиентом внутри Китая цензуры нет?

Это гипотеза, которой мы придерживаемся в настоящее время. Мы считаем, что два хоста внутри Китая с меньшей вероятностью столкнутся с цензурой. Хотя есть некоторые нюансы в работе цензуры в зависимости от провинции, так что не исключено, что её можно обнаружить между двумя разными точками внутри страны. Но проведённые исследования показывают, что в основном цензура возникает на границе.

То, что вы описываете, наводит на мысль, что интернет-кабели, соединяющие Китай с остальным миром, должны быть достаточно централизованными: принадлежать правительству, одной или нескольким организациям. Потому что иначе было бы очень, очень трудно осуществлять подобную цензуру. Верно ли моё предположение?

Мы считаем, что есть только два, может быть, три провайдера, которые которые обеспечивают трафик в страну и из страны, и все они находятся под сильным влиянием государства.

Если посмотреть в общем, насколько хорошо работает GFW? Например, у нас в России многие сайты недоступны. Но если пользователь достаточно мотивирован, есть довольно простые способы обойти цензуру: установить правильный VPN или получить ту же информацию через зеркало сайта, который не был заблокирован. Насколько в этом плане эффективен Великий китайский файрвол?

В одной из книг про цензуру говорится, что её лучше понимать не как запрет, а как затруднение доступа к информации. Цензура делает информацию более дорогой относительно времени, денег или неудобств. В этом случае цензура — скорее попытка предотвратить массовый доступ к этой информации, чтобы построить свой собственные внутренний интернет, в котором люди защищены от внешнего влияния. Если пользователи достаточно мотивированы — о чем вы как раз говорите — они смогут обойти и GFW, они смогут обойти запреты и в России, в Иране и т.д.

Есть интересная особенность Великого китайского файрвола: цензура там усиливается время от времени в течение года. И связано это с тем, что в Китае происходят какие-то крупные события, будь то встречи политических деятелей или годовщины исторических событий, которые могут быть не самыми радостными для китайских граждан. В это время Китай меняет свой способ осуществления цензуры.

Так, например, 4 июня отмечается годовщина событий на площади Тяньаньмэнь. И каждый год перед этим, примерно за одну-две недели, мы наблюдаем, как цензура начинает нарастать. В этот момент применяют новые методы или возобновляют те, которые были год назад. За пару дней до этого события мы начинаем получать сообщения о том, что некоторые инструменты обхода цензуры больше не работают, хотя раньше работали, несмотря на GFW. А потом всё снова прекращается. Появляется вопрос — почему?

По моему мнению, есть две возможные причины этого (опять же, мы не знаем наверняка). Первая причина в том, что цензура, чувствительная к времени, так называемые «временные блокировки», добавляют уровень сложности для их обхода. То есть если новый метод цензуры включат заранее, например, в январе, то у разработчиков, которые ищут способы обхода блокировок, есть шесть месяцев, чтобы разобраться с ней и быть готовыми к важной дате в июне. Есть время, чтобы сидеть и копаться в этой штуке, выяснять, как она работает, и разрабатывать способы её обхода. Однако если власти выпустят новую блокировку за две недели до мероприятия, у нас не будет достаточно времени, чтобы создать эффективное решение, которое люди смогут использовать для продолжения своей интернет-активности без ограничений. Поэтому первая причина временной цензуры — это стремление ограничить время на выявление и преодоление новых методов блокировки.

Вторая причина — это стоимость цензуры. В Китае это учитывается. Я думаю, что многие страны очень чувствительны к тому, как их методы цензуры влияют, например, на торговлю. Власти признают, что экономика должна иметь приоритет над цензурой. При любом типе цензуры есть вероятность ложных срабатываний, которые могут повлечь определённый экономический эффект. Например, если бизнесмен, приехавший в Китай, не сможет получить доступ к своей электронной почте, потому что она на Google, это будет довольно серьёзной проблемой. И такое положение вещей может лишить людей стимула вести бизнес в стране. Таким образом, включая цензуру только на некоторое время, в определённые периоды, можно уменьшить побочный ущерб, неизбежный при длительном применении.

Какие методы обхода цензуры работают в Китае

А что обычно используют люди в Китае для обхода Великого китайского файрвола? Мы спросили наших подписчиков в телеграм-каналах, что им интересно узнать про блокировки VPN и цензуру в Китае. И читатели интересовались в основном двумя вещами: испытанными и верными способами обхода цензуры, которые всегда работали и работают до сих пор, а также наиболее перспективными, которые, скорее всего, будут работать в течение некоторого времени в будущем.

В какой-то мере обход цензуры в Китае — это преуспевающая индустрия. Вокруг неё существует целый рынок обмена инструментами обхода и предоставления пользователям (особенно не техническим специалистам) доступа в глобальный интернет. По нашим данным, десятки миллионов людей в Китае регулярно используют средства обходы цензуры, и большинство из них — не технари. Поэтому они используют такие площадки для обмена ключами и доступом, которые исследователи называют «аэропорты». Это небольшие онлайн-маркетплейсы, где встречаются пользователи и разработчики средств обхода цензуры. И это опасная игра. Как правило пользователям предлагают в основном доступ к серверам Shadowsocks, Trojan and v2ray, которые пользователи просто вставляют в приложение в телефоне или на компьютере.

Можно назвать, что конкретно сейчас работает в Китае: это именно технологии Shadowsocks, Trojan and v2ray. Если говорить о конкретных сервисах — это Psiphon, но у него меньше пользователей, так как он не для всех удобен. Регулярно появляются новые небольшие VPN-сервисы, они становятся популярными, и их блокируют. И это происходит каждые несколько месяцев.

Давай подробнее поговорим о том, как всё устроено, особенно для не технических специалистов, в плане обмена ключами для средств обхода цензуры.

Тут просто бизнес. Пользователи платят деньги за подписку, за доступ к этим прокси. На GitHub есть проекты, где можно скачать себе готовый сайт для продажи ключей за деньги. Пользователи приходят на такой сайт и хотят получить десять ключей или доступ на месяц, может быть, там и другие предложения. Обычные пользователи просто копируют ключи с этого сайта и вставляют в свои приложения на устройствах — им ни в чем не надо особо разбираться. Тем, кто предоставляет доступ, тоже не надо быть разработчиками. Им нужно просто поднять сайт на Digitalocean — и всё работает.

Интересно, как пользователи находят эти услуги для покупки. У нас существует такая проблема: есть сообщество против цензуры, люди, которые могут запускать средства обхода цензуры, а есть просто пользователи, которым они нужны. И сложность в том, чтобы они нашли друг друга. В Китае же есть «аэропорты», и теперь становится понятно, какую роль они играют в том, чтобы наладить контакт между распространителями средств обхода цензуры и потребителями.

Вы попали в точку, обрисовав трудность соединения тех, кто производит прокси и тех, кто ими пользуется. Продвижение этих сервисов, организация того, чтобы каждый пользователь, который хочет получить доступ к ним, мог бы его получить, — это не просто. И, действительно, «аэропорты» имеют большую важность для этого.

Вы упомянули о Shadowsocks, Trojan и v2ray. Но мы много слышали о том, что Shadowsocks блокируется в Китае. Это так?

В Китае блокируется не сам протокол Shadowsocks, а некоторые его популярные серверы. В исследовании 2020 года про активное зондирование как раз об этом говорится. GFW начинает подозревать серверы в том, что они относятся к Shadowsocks, проверяет это и, если получает подтверждение, блокирует их. При этом есть разновидности Shadowsocks, которые к такой атаке устойчивы и которые не блокируются или пока не блокируются.

Как мы уже говорили, в Китае, по-видимому, существует некоторые экономические соображения, определяющие, как GFW выбирает серверы для блокировки. Есть много занятных сообщений пользователей, которые пишут: «Я разместил прокси Shadowsocks, который использую только я (или только мои семья и друзья), и я никогда не сталкивался с блокировкой, никогда не видел активного зонда и тому подобных вещей». В тоже время если крупный провайдер, у которого тысячи пользователей, разворачивает свои инструменты, их могут вычислить и заблокировать в течение нескольких часов. Так что, похоже, здесь есть ещё какая-то логика, которую мы не до конца понимаем: как GFW определяет, какие сервера блокировать, а какие нет. Не похоже, что это происходит всегда, когда используется протокол Shadowsocks.

Это проект, над которым я работаю в последнее время. И сегодня я понимаю, что это не просто фингерпринты (Fingerprints, «отпечатки пальцев»), которые побуждают Великий китайский файервол к активному зондированию. Похоже, там есть еще какая-то эвристика, которую мы пока не уловили. Я провёл много тестов для того, чтобы проверить блокировку разных клиентов, разных протоколов, соединений к разным серверам, в разных странах, чтобы понять логику цензуры GFW. И очевидно, что в этой логике не только фингерпринты: если смотреть на первый пакет данных, на основании которого обычно происходит блокировка, то мы увидим, что её не происходит.

Как цензура в Китае влияет на пользователей и их поведение в Сети

А как простые пользователи в Китае учатся использовать сложные инструменты обхода? Например, если какой-то человек в Китае хочет обойти GFW, но понятия не имеет, как работают компьютеры? И вот кто-то дал или продал ему ключ, как бы он настроил свой смартфон?

Знаете, моя бабушка прикладывала огромные усилия, чтобы попасть в интернет здесь, в США, где цензура не является проблемой. И это только потому, что она едва понимает, как работает её телефон. Если говорить о пользователях в Китае, то процесс для них действительно был упрощён настолько, насколько это возможно: с этими «аэропортами», предоставляющими такие сервисы, при использовании которых пользователю не нужно особо разбираться. Всё, что нужно понимать: необходимо взять IP-адрес прокси-серверы и вставить его в программу на телефоне. Это очень простой процесс, примерно такой же простой, как подключиться к сети Wi-Fi.

Ещё один вопрос, который задал один из наших подписчиков: доступен ли в Китае YouTube или он заблокирован? А многопользовательские онлайн-игры подвергаются цензуре или нет? Как люди обходят блокировку?

Да, YouTube заблокирован. Все сервисы Google в настоящее время заблокированы в Китае. И онлайн-игры, как правило, блокируются. Думаю, есть игры, которые могут быть в свободном доступе, потому что они базируются в Китае, но есть игры, которые не одобрены местной властью, и они блокируются.

«Как пользователи обходят блокировку» — интересный вопрос, потому что ответ на него указывает на то, что пользователи ставят в приоритет при использовании сервисов. Ищут ли пользователи очень приватный инструмент, чтобы никто не знал, чем они занимаются? Или же им нужно что-то, способное работать с высокой пропускной способностью и низкой задержкой, чтобы они могли участвовать в онлайн-играх или смотреть потоковое видео YouTube?

И в Китае, похоже, относительно мало людей беспокоятся по поводу возможного преследования. Они предпочтут услуги с высокой пропускной способностью и низкой задержкой. Существуют сервисы, предоставляющие такие VPN-услуги, но они могут продержаться на рынке всего несколько месяцев, прежде чем их заблокируют. Мы уже упоминали о том, что существуют интернет-кабели, идущие в Китай и из Китая. И вот в них есть некие приоритетные полосы, доступ к которым и продают отдельные VPN-сервисы для любителей потокового видео или онлайн-игр. Очень примечательно, что эти сервисы не ставят во главу угла конфиденциальность.

Когда вы говорите о преследовании, вы имеете в виду, что люди в Китае могут быть как-то наказаны за использование инструментов обхода блокировок?

В общем китайские пользователи, использующие инструменты обхода цензуры, не являются целями для китайского правительства. Известны случаи штрафов на сумму около 200 долларов, которые были назначены за несколько лет использования сервисов VPN. Однако наказание несравнимо суровее для разработчиков и администраторов инструментов обхода цензуры: они, как известно, могут получить тюремный срок до пяти лет за разработку и размещение этих инструментов. Это просто для понимания, на какой риск они идут, развёртывая инструменты в GFW.

Я бы сказал, что штраф в 200 долларов — это пример наихудшего сценария. В большинстве случаев пользователи получают сообщения с предупреждением от властей: дескать, мы знаем, что вы делаете, пожалуйста, прекратите. Однако мы действительно нашли некоторые цифры. Похоже, что в одной из провинций Китая в августе 2021 было 18 случаев административного наказания за то, что они считают «превышением полномочий». В течение года — 60 случаев, причём некоторые люди получили устное предупреждение. Это не так уж и много, если учесть, что средствами обхода цензуры пользуются десятки миллионов человек.

И как, в этом случае, власти узнают, что кто-то использует такие инструменты: может быть полиция обнаружила VPN-клиент на телефоне при проверке или это провайдер регистрирует VPN-трафик и видит пользователей под VPN?

У нас нет точных данных, но я сильно сомневаюсь, что на улицах проверяют телефоны. Можно предположить, исходя из опыта других стран, тех же США, где рассылают предупреждения о нарушении авторских прав через провайдеров, что всем этим занимаются как раз они. Либо это происходит на базе провайдера, либо сливает данные сам сервис. Китайское правительство вполне может получить доступ к сервису и к его логам, которые потенциально могут указать на некоторых пользователей. Но вариант с провайдером — наиболее вероятный.

Получается, что поддерживать VPN-серверы в Китае опасно? То есть людей, которые разрабатывают сервисы и поддерживают их, могут посадить за это в тюрьму?

Абсолютно верно. Как посредники, распространяющие прокси, так и разработчики могут попасть в тюрьму за разработку или распространение этих инструментов. Это рискованная игра, и респект парням за то, что они это делают.

Как Великий китайский файрвол блокирует инструменты обхода цензуры

Давайте поговорим о последнем исследовании, соавтором которого вы являетесь. Не могли бы вы объяснить простым языком, что вы обнаружили?

Я объясню через такую метафору. Допустим, все в комнате говорят по-русски, но есть два шпиона, которые говорят по-французски — их будет легко узнать. Особенно если у вас есть эксперт, франкофон, который подтвердит: вот эти двое говорят по-французски. И это своего рода описание концепции фингерпринта. То есть, когда все говорят одинаково и лишь небольшая группа — по-другому, тогда для эксперта, который ищет шпионов, будет очень просто отделить эту группу от общей массы, понять, что это за язык и поймать шпионов.

Но что если мы сможем сделать такой инструмент, который будет говорить на языке, не похожем ни на один другой, на котором никто больше не говорит и о котором никто ничего не знает? Тогда будет невозможно просто найти парня, говорящего по-французски и схватить его. Теперь надо перебрать все известные нам языки, отбросить их и оставить только то, что ни на что не похоже.

И это был своего рода принцип которым в последние несколько лет руководствовались разработчики средств обхода цензуры при создании этих полностью зашифрованных протоколов. Они разрабатывали инструменты, которые не похожи ни на что, у которых не было фингерпринтов, чтобы их нельзя было распознать и заблокировать на основе их отпечатков. И много проектов пошли по этому пути. Например, Obfs4 — прекрасный пример полностью зашифрованного протокола.

В конечном счёте, мы обнаружили, что Великий китайский файрвол использует определённые правила для идентификации протоколов и их распознавания. Мы понимаем, что это сложные, хитрые правила.

Весь «доброкачественный» трафик: TLS, DNS, SMTP и так далее описан этими правилами. В них отчасти используется идентификации по фингерпринту, то есть распознаются первые несколько байтов пакета и подтверждается, что это, например, TLS и HTTP. Правило «смотрит» на то, сколько байт ASCII во всем пакете, зашифрованный он или нет. Правила предусматривают подсчёт количества нулей и единиц в этих данных, и по их количеству вычисляется зашифрован этот трафик или нет. И это позволило GFW идентифицировать инструменты шифрования и специально блокировать их.

Получается, это своего рода белые списки. Сначала они идентифицируют и отбрасывают все известные типы трафика. Потом считают единицы и нули в неизвестных типах. И если у них примерно одинаковое количество единиц и нулей, тогда цензоры подозревают, что это псевдослучайность, а затем — что это какой-то обход цензуры. И что тогда происходит? Блокировка или замедление?

Блокировка. И это не просто блокировка текущего соединения, но и всего последующего трафика на этот же сервер. Итак, мы обнаружили, что GFW пытаются идентифицировать и исключить трафик (мы это называем в нашей статье «исключениями»), который они знают, и среди оставшегося найти и заблокировать тот, что их не устраивает. Они блокируют текущее соединение и последующие соединения с этим сервером на том же порту сервера клиента. Теперь это блокировка по IP и порту, и она длится в течение нескольких минут, что действительно препятствует доступу пользователей к этому конкретному сервису.

В этом разговоре уже упомянули несколько ситуаций, когда цензор что-то блокирует, а затем разблокирует. А также в статье было указание на такую технику, которая называется «вероятностное блокирование», когда блокируется не весь неугодный трафик, а только какая-то часть. Как это работает?

Да, в Великом китайском файрволе существуют временные и частичные блокировки. Мы проводили тесты: отправляли данные, которые, как мы знали GFW должен заблокировать, и они блокировались с вероятностью, приближающейся к 25%. И то, что происходило в этом случае, является концепцией, которую мы называем «вероятностной блокировкой». Причины этого точно нам неизвестны, но есть некоторые соображения.

Первая причина — это снижение частоты ложных срабатываний. Опять же, возвращаемся к идее о том, что китайское правительство очень чувствительно к экономическим проблемам, они не хотят блокировать интернет-трафик, который возможно служит каким-то деловым потребностям. Поэтому, блокируя соединения только в 25% случаев, они с меньшей вероятностью нечаянно заблокируют соединения, которые являются добропорядочными. Например, иногда в сервисах используются TLS или какие-то странные самописные протоколы, которые могут не пройти тест GFW. В таком случае если Великий китайский файервол заблокирует один пакет пользовательских данных, так как он покажется ему плохим, то при повторной передаче такой проблемы уже не возникнет. И ущерб для добропорядочного бизнеса будет небольшим.

Однако если пользователь подключается к средству обхода цензуры, каждый его пакет будет идентифицирован как плохой, нежелательный. Четверть этих соединений будет заблокирована. К том уже помимо «вероятностной блокировки» тут включится «временная блокировка», которая запрещает подключение к этому серверу в течение 60-90 секунд. Не важно, что изначально цензура не может перехватить каждый пакет, а только четверть — новый уровень блокировки не позволит последующему трафику пройти.

Таким образом, наша теория в том, что существует логика цензуры, основанная на уменьшении ложных срабатываний, которые уменьшают уменьшает экономические риски.

Вторая идея в том, что дело может быть просто в ограниченности ресурсов. Мы не очень хорошо знакомы с тем, что представляет собой сетевая инфраструктура Великого китайского файрвола. И реализация его инструментов может быть невероятно ресурсоемкой или иметь, например, такие технические ограничения из-за которых они отбирают только 25% данных.

Трудно сказать наверняка, чем это обосновано. Но вот такие две гипотезы у нас есть.

Когда мы говорили перед интервью, вы упомянули, что, например, иностранные граждане в Китае не подвергаются такой же цензуре в Интернете, как китайские граждане. Похоже, это действительно сложная система, которая учитывает все нюансы: кто такой пользователь и какой трафик у него. Как различается цензура в Китае для иностранцев и для местных жителей?

Я уже упоминал, что в Китай и из Китая идут разные интернет-магистрали, и у них разные приоритеты. Есть кабели, которые не блокируются, и поэтому получение доступа к этим линиям является своего рода «золотым ключиком» и для обычного китайца это очень сложно.

Кроме того, существуют инструменты, которые люди постоянно используют, но о которых они даже не подозревают, что с помощью них можно направить трафик за пределы Китая. Например, это технология частный узел iCloud (iCloud Private Relay). Это такой прокси, через который проходит трафик пользователей iPhone, прежде чем дойти в конечный пункт назначения. Изначально это решение для того, чтобы наблюдатели, которые хотели бы подсмотреть трафик на пути следования, не могли узнать, куда он идёт, чтобы сервер не мог узнать, кто вы такой, и т.п. Побочный эффект такого решения — то, что он действует как VPN, как инструмент обхода блокировок. И китайское правительство было не в восторге, когда появилась такая функци. В конечном итоге произошло то, что произошло — возникли «деловые отношения», из-за которых пользователи с китайским Apple ID или прописанным местоположением в Китае больше не могут использовать эти инструменты. Они блокируются, в то время как пользователи с американским или другим иностранным Apple ID не имеют проблем с доступом к этим инструментам в Китае.

Есть ли данные, какое оборудование используется на аппаратном уровне, в Великом китайском файерволе, и каковы его функции? Продает ли его Китай другим странам?

Никто не знает наверняка, откуда берутся инструменты, которые используются в GFW. Неизвестно, как выглядит конкретная сетевая инфраструктура в Китае. Одна из ранних работ, вроде 2015-го года или 2017-2018 гг. была про блокировки DNS. Тогда мы выяснили, что всего блокирующих систем было три и они дублировали друг друга. И у каждой из них был свой фингерпринт, уникальные параметры. По ним мы и поняли, что систем несколько и они блокируют по-разному. Кто их производит нам не понятно.

Похожа ли цензура в России на цензуру в Китае

А что вы можете сказать о сходствах и различиях между китайской и российской цензурой?

Я хорошо знаком с Великим китайским файерволом и его внутренним устройством, а вот полноценного исследования современного состояния российской цензуры наша команда не проводила. Но здесь можно выделить некоторые очевидные сходства и различия.

Ранее у нас сложилось понимание, что цензура в России была очень децентрализована, она осуществлялась на уровне провайдеров. Российские власти заставляли провайдеров услуг интернет устанавливать системы цензуры, в то время как в Китае большинство таких систем управляется государством.

Цензоры в Китае по-настоящему верят верят в свою миссию, в то, что они защищают интересы государства, создают безопасное пространство. Люди, которые разрабатывают инструменты, делают это максимально хорошо. Я думаю, что это одна из причин, по которой мы наблюдаем такое техническое совершенство GFW, — это мотивация его создателей, они действительно заинтересованы в том, чтобы их инструменты цензуры становились всё лучше и лучше. В то время как с российской цензурной машиной по-другому: провайдерам говорят, мол, вот список запрещённых сайтов, блокируйте его, как хотите. И провайдеры делают какой-то минимум, чтобы отчитаться. И откуда тогда взяться крутым решениям.

Но похоже, что за последние пару лет российская цензура становится более централизованной. Теперь есть «чёрные ящики» (ТСПУ), которые принадлежат государству, с помощью которых можно делать то, что давно делается через GFW. И тут интересно посмотреть, насколько эти системы похожи друг на друга. Например, фингреппринты похожи или различны, «чёрные ящики» одинаково работают у разных провайдеров или нет, разные «чёрные ящики» разрывают соединение по-разному или одинаково и какие характеристики имеет RST-пакет? Можно ли с уверенностью сказать, что каждый интернет-провайдер в России использует один и тот же способ цензуры? «Чёрные ящики» настроены одинаково? И по каким параметрам мы это можем сравнить то, что видим в России, в тем, что видим в Китае?

Если, во-первых, все провайдеры режут одинаково, а во-вторых, система имеет схожие параметры с GFW, тогда можно говорить о вероятности, что есть общие поставщики или разработчики двух систем. Но я думаю, что на этот вопрос будет трудно ответить.

Я считаю особенно интересным в российской системе цензуры то, что список доменов для блокировки у вас как бы полупубличный. Я не знаю, является ли он полностью публичным, но, в общем, он доступен. И это действительно впечатляет, потому такой реестр дает вам дата-сет для анализа того, что происходит с этими сайтами.

Такое невозможно при китайской модели цензуры. Поскольку в Китае такого публичного списка не существует, у нас есть только догадки о том, что действительно блокируется, о том, какого типа контент, какие темы попадут под блокировку. И мы проводим тесты каждые пару лет, чтобы составить список сайтов, которые оказались заблокированными в тот период, пытаясь при этом исключить случайные результаты, не связанные с блокировкой. Но иметь полный список того, что именно заблокировано в данной стране в данное время, — это действительно бесценный инструмент для исследователей, который можно использовать для анализа.

Это действительно проблема, что вы никогда не сможете уверенно сказать, сколько сайтов в Китае находятся под временной блокировкой, а сколько — под постоянной.

Да, это очень не просто. Интернет работает не идеально. Проводить тесты из Китая можно, но сложно в моменте понять, заблокирован ли этот сайт или просто связь с ним плохая, так как сайт расположен в США, а клиент в Китае. Там много нюансов. Поэтому очень полезно для исследования заранее знать, заблокирован сайт или нет.

Получается, Великий китайский файрвол всё ещё технически более продвинутая система: у него есть активное зондирование, внутри применяются разные типы цензуры для разных групп людей, в системе существуют временные блокировки и, GFW, очевидно, применяет гораздо больше блокировок по «отпечаткам пальцев» (а у нас пока только несколько случаев таких было). Как вы думаете, к чему должны быть готовы пользователи в России, что нас ждёт? Можете ли вы предвидеть какие-нибудь превентивные шаги, которые следует сделать российским пользователям?

Знаете, китайским пользователям уже пришлось пройти через многое. Игра в кошки-мышки продолжается: вводятся блокировки — придумываются новые средства обхода цензуры — а затем цензоры находят эти новые средства и изобретают способы их заблокировать.

К счастью, сейчас Великий китайский файрвол является более сложным, чем российская система цензуры, и даже если она будет пытаться его догонять, пользователи в России смогут полагаться на инструменты и решения, которые развивались в течение многих лет в Китае. И так они смогут быть на шаг впереди.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *