Свободу інтернету

Друга хвиля прокотилася напередодні 2017 року – в ЗМІ штучно розкручувалася істерія так званих «синіх китів» – міфічних (бо їх ніхто насправді не бачив) груп у соціальних мережах, які підбурюють дітей до самогубств. Але і тут не вийшло.

А ось третя хвиля потрапила у ціль. В травні 2017 року вийшло рішення РНБО, що набувало чинності указом президента №133, про санкції до країни-агресора. У ньому, крім усього іншого, йшлося про те, що потрібно заблокувати доступ до популярних, але вкрай токсичних інтернет-ресурсів Вконтакте, Яндекс, Однокласники та їм подібних. На хвилі патріотизму рішення було прийнято суспільством в основному позитивно. Спецслужби знайшли важелі неофіційно натиснути на більшість операторів і все-таки змусити їх впровадити цензуру в українському сегменті Мережі.

Взагалі, до середини 2017 року в Україні просто не було технічної можливості забороняти доступ до чого-небудь. Але спроби легітимізувати більш широке застосування цензури йшли постійно. Профільні телеком-асоціації (ІнАУ, ТПУ та інші) єдиним фронтом виступали проти подібних ініціатив.

Навесні 2018 року вийшов другий аналогічний указ президента, де перелік доменів, що підлягають блокуванню, збільшений ще майже на 200. Причому додане формулювання «і всі їх піддомени». Цією дією під фундамент українського інтернету була закладена бомба, а гніт від цієї бомби дістався власникам заборонених доменів, тобто країні-агресору.

У світі існує безліч різних способів цензурувати інтернет. Російський, в якому публікується відкритий список ідентифікаторів, що підлягають блокуванню, тільки один з них. І у цього підходу є серйозний недолік. Виключно господар домену на свій власний розсуд вибирає, куди буде вказувати домен. І ніщо не заважає цьому господареві зробити так, щоб домен вказував на об'єкт критичної інфраструктури українського інтернету. У цьому випадку такий український ресурс буде заблокований в Україні ж – повністю автоматично. Ця вразливість широко експлуатується проти ресурсів самої Росії з 2017 року. Атакуючий вибирав прострочений і вільний до реєстрації домен, який давно перебував в списках блокування Роскомнагляду, реєстрував або викуповував його – і розважався у своє задоволення.
Для більш точного блокування, щоб перевіряти не тільки IP-адреси, а й гіперпосилання повністю, необхідно застосовувати додаткове обладнання – системи глибокої інспекції трафіку DPI. Вартість таких систем стартує від 50 тис. дол. за 10Гбіт/с пропускної здатності. Схоже, у законопроекті №6688, що зобов'язує операторів встановити DPI-системи за свої кошти, просувають одного цілком конкретного виробника такого обладнання, і цінник, звичайно ж, буде сильно вище.

Ще є інформація, що готується «казахський варіант» фільтрації трафіку, де всі місцеві користувачі мережі будуть змушені встановити у себе сертифікати, що дозволяють адміністраторам DPI-систем розшифровувати і аналізувати навіть зашифрований зв'язок. Це призведе до повної відсутності можливості шифрування і авторизації сайтів, вдарить у першу чергу по банківській сфері, корпоративним мережам, а також створить гігантські можливості для зловживання. За матеріалами дослідження канадської Citizenlab, в Туреччині, де подібний механізм уже давно впроваджений, спецслужби використовують можливості DPI для завантаження користувачам троянських і шпигунських програм.

Адміністратори єгипетської державної системи DPI виявилися більш винахідливими: вони вставляли в популярні сайти код, який майнив для них криптовалюту на пристроях користувачів всієї країни. Що вигадають наші, якщо в них буде така можливість? Про цензуру політичних опонентів навіть і говорити немає сенсу – і так все зрозуміло...