Нажмите "Enter", чтобы перейти к содержанию

Роскомсвобода обход блокировок: Информация с сайта «РосКомСвободы» про обход блокировок больше не является запрещённой

Информация с сайта «РосКомСвободы» про обход блокировок больше не является запрещённой

В Анапском городском суде на основании решения ЕСПЧ наши юристы добились закрытия административного дела, возбуждённого по иску прокуратуры в 2015 году.

Юристы «РосКомСвободы» добились закрытия административного дела по факту размещения «запрещённой информации» на нашем сайте в разделе «Инструментарий». Основанием для пересмотра стала позиция Европейского суда по правам человека (ЕСПЧ), вставшего на нашу сторону в 2020 году.

 

По словам медиаюриста «РосКомСвободы», адвоката Екатерины Абашиной, наша позиция в суде сводилась к следующему:

«Как в 2015 году в законе РФ не было оснований для признания информации о VPN запрещённой, так и в 2021 году таких правовых оснований не появилось (за это время даже появились кейсы, когда районный суд отказывал прокуратуре в иске о запрете информации о названных технологиях). А ЕСПЧ в своём постановлении вообще отметил, что полезность технологий для обхода фильтрации не может быть сведена к инструменту для злонамеренного стремления заполучить экстремистский контент, они служат множеству законных целей, поэтому наложение общего запрета на распространение информации о таких технологиях не соответствует принципам демократического общества».

Здесь стоит привести цитату из постановления ЕСПЧ: «Подавление информации о технологиях доступа к информации в режиме онлайн на том основании, что они могут случайно облегчить доступ к экстремистским материалам, ничем не отличается от попыток ограничить доступ к принтерам и фотокопировальным аппаратам, поскольку они могут быть использованы для воспроизведения такого материала (пункт 30 постановления)».

«При новом рассмотрении дела мегабаттла не произошло — Анапский межрайонный прокурор отказался от иска, дело закрыто, мы довольны», — подытоживает Екатерина.

 

Напомним, весной 2015 года Анапский городской суд Краснодарского края постановил внести в реестр запрещённых сайтов страницу rublacklist.net/bypass, на котором располагался раздел «Инструментарий» с инструкциями по обходу госблокировок. По мнению прокуроров, подавших иск, «с помощью указанного сайта граждане могут получать неограниченный доступ к запрещённым материалам, в том числе и экстремистским», а также на нём якобы «предоставляется доступ к информации, направленной на разжигание социальной, расовой и религиозной розни, что нарушает конституционные права граждан». Суд тогда провёл заседание без участия представителей «РосКомСвободы» и требования прокуроров об ограничении доступа к «Инструментарию» удовлетворил. Обжаловать во всех судебных инстанциях в России это решение не удалось, поэтому мы обратились в ЕСПЧ.

Суд в Страсбурге сравнил удаление сведений о технологиях доступа к информации из-за риска их использования для поиска экстремистских материалов с попытками ограничить доступ к принтеру со ссылкой на то, что экстремистские материалы можно на нем распечатать. В тот же день ЕСПЧ рассмотрел еще три дела относительно веб-сайтов, которые ранее были заблокированы на территории России: «Булгаков против России», «Владимир Харитонов против России» и «ООО “Флавус” и другие против России».

Постановление ЕСПЧ об установлении нарушения Конвенции вступило в силу 16 ноября 2020 г., после чего наши юристы подали в Анапский городской суд Краснодарского края заявление о пересмотре дела о блокировке страницы сайта «РосКомСвободы», и в конце мая текущего года суд его удовлетворил, а уже в августе его закрыл.

 

Здесь стоит отметить, что постановления ЕСПЧ исполняются в судах по-разному. К примеру, Таганский районный суд отказался рассматривать заявление по делу издателя Владимира Харитонова — отказ сейчас обжалуется адвокатами «Сетевых свобод». Аналогичное заявление по «Граням.Ру» до сих пор не рассмотрено — «застряло» с февраля месяца текущего года.

«VPN-блокировки не за горами, но с ними можно бороться»

1 ноября 2019 года в силу вступил Закон о «суверенном Рунете», согласно которому, российский сегмент интернета должен «централизованно управляться Роскомнадзором». И ведомство взялось за то, чтобы установить полный контроль. А на пути к этому стоят VPN-сервисы, предоставляющие россиянам доступ к заблокированным в России сайтам.

Роскомнадзор уже неоднократно предпринимал попытки преследования VPN, которые не хотят фильтровать трафик пользователей и осуществлять блокировки по реестру запрещённых сайтов (что само по себе для VPN абсурдно). Так, в течение лета 2021 года в СМИ периодически появляется информация, что то один, то другой VPN-сервис якобы подвергся блокировке от госведомства. Правда, в большинстве случаев их пользователи никаких особых сбоев в работе не замечают. Роскомнадзор же явно намерен продолжать попытки, в том числе используя новые возможности ТСПУ (технические средства противодействия угрозам), блокировать такие сервисы. И, кажется, что риски блокировок или других санкций для строптивых VPN сейчас действительно высоки.

 

Мы постараемся ответить на вопросы, насколько реальна перспектива блокировок VPN, кто и как может эти блокировки осуществить и как вообще устроены современные VPN-сервисы, как могут они защищаться от нападок РКН и защищать своих пользователей.

 

И начнем с актуального перечня текущего состояния VPN-протоколов — какие из них работают, какие уже устарели и какие они имеют возможности.

 

Глоссарий терминов:
  • Частная сеть (private network) — компьютерная сеть, использующая зарезервированные диапазоны IP-адресов для внутренней адресации, и изолированная от Интернета. Примером может служить частное жилье, где несколько устройств подключены к роутеру, или внутренняя сеть учебного заведения. Для связи с Интернетом частная сеть использует шлюзы — узлы сети, имеющие несколько сетевых интерфейсов, один из которых подключён в внутренней сети, а другой — к внешней.
  • Виртуальная частная сеть (virtual private network, VPN) — сеть, которая позволяет узлам обмениваться данными между собой, не будучи непосредственно соединёнными проводом между собой (как это происходит в случае частной сети), а работая поверх другой сети (в большинстве случаев, Интернета).
    • Первоначально технология использовалась в бизнес-среде, для обеспечения удалённой работы сотрудников (remote access) и для связи внутренних сетей компании, разделённых физически (например, отделений в разных городах, site-to-site).
    • Позже стала использоваться обычными пользователями для обеспечения анонимности в Интернете и обхода ограничений на доступ к ресурсам.
    • Для реализации VPN используются технологии туннелирования.
  • Туннель — технология, позволяющая установить соединение между двумя узлами поверх какой-либо сети и передавать данные других приложений внутри этой сети.
    • Это достигается за счёт инкапсуляции (вложения друг в друга) протоколов.
    • Инкапсулируемый (вложенный) протокол обычно (вне ситуации инкапсуляции) относится к более низкому уровню «сетевой модели», нежели тот, который используется в качестве туннеля. Примером может служить TCP, инкапсулированный внутри HTTP, или Ethernet внутри TCP/UDP. В «обычное время» TCP и UDP работают поверх Ethernet, а HTTP поверх TCP. В случае же прохождения трафика через туннель в некоторых случаях получается двойное использование некоторых протоколов.
  • Протокол шифрования — обеспечивает (де)шифрование данных, передаваемых по сети. Примеры: TLS (ранее SSL), Noise и другие.
  • Сетевая модель TCP/IP — модель, описывающая соотношение протоколов, использующихся для передачи информации по Интернету. В ней выделяют 4 уровня:
    • Канальный уровень (link layer) — самый низкий уровень, на нем обеспечивается физическая передача данным проводным или беспроводным способом. Примеры протоколов: Ethernet (проводной), IEEE 802.11 (беспроводной)
    • Сетевой уровень (internet layer) — отвечает за адресацию и роутинг (маршрутизацию) между сетями. Основной протокол: IP (Internet Protocol)
    • Транспортный уровень (transport layer) — отвечает за установку соединения (канала передачи данных) между 2 узлами в сети и передачу данных по нему. 2 основных протокола: TCP, UDP
      • TCP (Transmission Control Protocol) гарантирует полноту и целостность доставленных данных за счет увеличения объема трафика и снижения скорости обмена данными
      • UDP (User Datagram Protocol) не дает такой гарантии и не имеет соответствующих недостатков
      • Помимо них существуют и другие протоколы этого уровня, например SCTP (Stream Control Transmission Protocol) — более современный протокол, призванный компенсировать некоторые недостатки TCP, или ICMP, который плохо подходит для передачи данных, но используется для передачи технической информации (например, в команде ping, проверяющей доступность узла в сети).
    • Прикладной уровень (application layer) — на нем расположены протоколы различных приложений, выполняющих свои задачи. Примеры протоколов: HTTP, SMTP (передача почтовых сообщений), SSH (удаленное подключение к компьютеру через командную строку, туннелирование TCP-трафика). Существует множество протоколов прикладного уровня

 

Список распространённых протоколов VPN:

1. L2TP/IPsec — связка из двух протоколов, где сначала IPsec устанавливает защищённый канал связи, внутри которого L2TP устанавливает защищённый туннель. Такая комбинация считается морально устаревшей по соображениям безопасности и невысокой производительности.

a) IPSec (Internet Protocol Security) — разработан Инженерным советом Интернета (Internet Engineering Task Force, IETF) для IPv6 (первоначально был обязательным, позже стал рекомендацией)

i) Может использоваться также как протокол туннелирования (tunnel mode), но в связке с L2TP используется в «транспортном» режиме (transport mode).

b) L2TP (Layer 2 Tunneling Protocol) — протокол туннелирования. Его стандарт был опубликован в 2000 году и явился развитием протоколов L2F (Layer 2 Forwarding Protocol, Cisco) и PPTP.

i) Сам по себе не имеет механизма шифрования данных.

2. Альтернативно используется связка IKEv2/IPsec, которая обеспечивает бо́льшую скорость передачи данных в сравнении с L2TP/IPsec и позволяет поддерживать соединение при переключении от одной сети к другой (что актуально для мобильных приложений). Такая комбинация не отличается максимальной защитой, но обеспечивает высокую скорость и стабильность соединения.

a) IKEv2 (Internet Key Exchange) — протокол обмена ключами, позволяющий установить предварительное безопасное соединение для того чтобы узлы сети смогли безопасно обменяться информацией, необходимой для установки полноценного защищённого подключения (используемый алгоритм шифрования, ключ шифрования и т. п.)

b) То есть в данной связке IPsec используется как протокол туннелирования.

3. OpenVPN — свободное ПО, демон для установки защищённого соединения между клиентами и сервером.

a) Использует собственный протокол, включающий в себя SSL/TLS для шифрования данных.

b) Открытый исходный код позволяет любому желающему провести собственный аудит и убедиться в отсутствии случайно или специально оставленных бэкдоров.

c) Имеет репутацию надёжного, проверенного временем решения.

4. WireGuard — современный протокол, созданный как замена OpenVPN.

a) Малая кодовая база упрощает аудит по сравнению с OpenVPN.

b) Занимает лидирующие позиции по скорости и использует современные технологии шифрования. Впрочем, так же существует критика проекта со стороны некоторых криптоаналитиков за отсутствие такой расширяемости в плане использования протоколов шифрования, которая есть у IPSec.

c) NordLynx — проприетарный вариант WireGuard, используемый NordVPN. По утверждению компании он «решает проблему WireGuard, который должен хранить на сервере IP-адреса подключённых к нему клиентов».

 

Прочие протоколы VPN:

1. PPTP (Point-to-Point Tunneling Protocol) — морально устаревший протокол, не обеспечивающий надёжного шифрования.

1) SSTP (Secure Socket Tunneling Protocol) — проприетарный протокол Microsoft, позволяет использовать PPTP вместе с SSL/TLS шифрованием.

2) MPPE (Microsoft Point-to-Point Encryption) — используется для шифрования данных в рамках PPTP и PPP (Point-to-Point Protocol).

2. SoftEther — протокол, используемый приложением SoftEther VPN (которое также поддерживает альтернативные протоколы).

1) Обеспечивает хорошую защиту от DPI (deep packet inspection) за счёт использования инкапсуляции Ethernet внутрь HTTPS.

2) Поддерживает VPN over ICMP и VPN over DNS, позволяя проникать сквозь сети, которые не пропускают через себя TCP/UDP трафик.

3. Cisco AnyConnect — технология установления подключения к VPN. Для обмена данными может использовать также протоколы UDP и SCTP (Stream Control Transmission Protocol). В некоторых случаях (UDP) так же использует DTLS (Datagram Transport Layer Security) для обеспечения безопасности соединения.

1) OpenConnect — open-source реализация данного способа подключения.

4. Lightway — собственная разработка ExpressVPN как альтернатива WireGuard. Отличается минимальной кодовой базой, и, по утверждению разработчиков, стабильно работает при переключении между разными сетями.

 

Смежные технологии:

1. TLS, ранее SSL (Transport Layer Security, Secure Sockets Layer) — распространённый криптографический протокол (используется в том числе в рамках HTTPS). Широко используется в рамках протоколов подключения к VPN (OpenVPN, SoftEther, Cisco AnyConnect).

2. SSH (Secure SHell) — Сам по себе — протокол для удалённого управления. Но самая распространённая его реализация, OpenSSH позволяет в пределах такого соединения установить туннель и предоставляет интерфейс (по протоколу SOCKS) для подключения поверх этого туннеля, результат такого соединения похож на анонимизацию пользователя через VPN, но не является им. Такая технология неоптимальна, так как использование TCP over TCP приводит к низкому качеству связи.

 

Сами по себе популярные VPN-протоколы уязвимы к блокировкам при помощи технологии DPI (Deep packet inspection), которая анализирует проходящий через сетевой узел трафик, и блокирует пакеты, которые распознает, как принадлежащие VPN-протоколам.

Однако существуют технологии, позволяющие дополнительно замаскировать VPN-трафик под другой тип трафика, что затрудняет его выявление при помощи DPI.

 

Технологии обфускации:

1. Shadowsocks, протокол шифрования, созданный на основе SOCKS5, позволяет в числе прочего скрывать факт использования VPN, пропуская трафик, через промежуточный SOCKS5 прокси-сервер, что позволяет обходить блокировки VPN.

1) SOCKS — протокол для обмена данными через прокси-сервер. Его расширение SOCKS5 обеспечивает механизм аутентификации.

2. obfs4 (obfs4proxy) — одна из реализаций PT (Pluggable Transports — «подключаемые транспорты») в рамках проекта Tor.

Также может использоваться в рамках OpenVPN и в соединении с другими технологиями. PT маскируют трафик Tor (или VPN) под другой тип трафика, что позволяет обходить блокировки со стороны провайдеров или властей.

3. Cloak — ещё один вариант PT, который маскирует трафик других протоколов под HTTP-трафик, что затрудняет его блокировку.

1) Помимо вышеупомянутых, существуют и другие варианты PT.

4. Stunnel — технология туннелирования, позволяющая в том числе маскировать трафик под HTTPS, то есть в конечном счёте под TLS, что затрудняет блокирование VPN трафика.

5. OpenVPN Scramble (XOR Obfuscation) — технология обфускации трафика, использующая шифр XOR (также известный как гаммирование) для того, чтобы DPI алгоритмы не могли распознать его.

6. Chameleon — проприетарный протокол VyprVPN, маскирующий трафик OpenVPN.

7. V2Ray — часть Project V (набор инструментов для защиты приватности в сети), предоставляет возможность работы с прокси-серверами, поддерживает различные протоколы, в том числе Shadowsocks.

 

По факту коммерческие VPN-сервисы чаще всего предлагают следующие протоколы:

  • OpenVPN как проверенное и надёжное решение.
  • WireGuard как современную альтернативу.
  • IKEv2/IPsec как легаси-вариант (постепенно выводится из обращения).
  • Собственные проприетарные решения.

 

Сводная таблица использования протоколов популярными сервисами (информация будет обновляться):

VPN cервисWireGuardOpenVPNIKEv2/IPsecПрочее
NordVPNДа (как NordLynx)ДаДа (на macOS и iOS) 
ExpressVPNНетДаДа (на Windows и iOS)Lightway (недоступен на iOS),  IKEv1 (на iOS), L2TP (на Windows и macOS)
PIA (Private Internet Access)Да (бета-версия)ДаДа (на iOS)Shadowsocks
Red Shield VPNДа (требует ручной установки)ДаДа (недоступен на Android)OpenConnect (недоступен на macOS и iOS)
AmneziaНет (в разработке)ДаНет (в разработке)Shadowsocks, Cloak
Outline VPNНетНетНетShadowsocks

 

Мы также напоминаем, где взять защищённые и проверенные VPN, помогающие как обеспечить конфиденциальность, так и восстановить доступ к цензурируемой информации в Сети — сервис vpnlove. me.

 

Продолжение следует. Следите за публикациями на нашем сайте.

В России начали блокировать страницы с инструкциями по обходу блокировок / Хабр на сайте Rublacklist.net. Оператор ресурса — проект «РосКомСвобода», созданный для продвижения идей свободы информации и саморегулирования интернет-индустрии.

Страница http://rublacklist.net/bypass/, отправленная на блокировку, содержит подробную инструкцию по обходу блокировок. В нем перечислены возможности использования прокси- и VPN-серверов, специальных браузерных плагинов, Турбо-режима в браузерах, Tor и I2P. В решении суда страницу назвали анонимайзером.

Как указано в судебном решении, благодаря анонимным сайтам типа http://rublacklist.net/bypass/ пользователи могут получить доступ ко всем запрещенным сайтам путем подмены адресов и через сети анонимного доступа.

Это отличается, например, от толкования термина Инженерным советом Интернета: там под анонимайзером обычно понимается прокси-сервер, обеспечивающий пользователю защиту конфиденциальности и анонимность. Анапский городской суд не согласен с толкованием термина в РосКомСвободе. Руководитель Project Legal Саркис Дарбинян заявил:

«Прокурор Анапы в очередной раз продемонстрировал, насколько далеки представители надзорного органа от понимания как сетевых технологий, так и сути деятельности РосКомСвободы, как общественной организации. Как можно отнести проект по замкам к анонимным, остается только догадываться. Скорее всего, в анапском суде вообще никто не понимает, с чем они работают, решения просто штампуются, принимаются пачками. При этом имеет место нарушение основополагающего принципа гражданского процесса — состязательности сторон. И это уже становится повсеместной практикой, когда решение суда принимается тихо, без уведомления заинтересованных сторон.

Дарбинян подтверждает, что на сайте нет анонимайзеров, есть только инструкция, как с их помощью получить доступ к заблокированной в России информации.

На данный момент анонимайзеры и анонимные сети не запрещены в РФ. Запрет анонимайзеров обсуждался в Госдуме в феврале этого года. Тогда законопроект предлагалось не создавать, речь шла о том, как государство должно реагировать на появление таких «черных дыр» в Интернете. Идею депутата Левина поддержал Роскомнадзор. В том же месяце в Республике Беларусь были запрещены Tor и анонимайзеры.

Также не возбраняется распространять информацию по преодолению блокировок, констатирует руководитель проекта Артем Козлюк: «Вся информация, распространяемая на интернет-ресурсах нашей организации, не является запрещенной законодательством РФ или противоправной, мы внимательно за этим следим. Да, мы предоставляем пользователям информацию о способах восстановления доступа к информации, но это не запрещено законом.

Помимо страницы РосКомСвободы, в блокировку будут переданы еще несколько различных ресурсов. Они также не являются анонимными, а лишь содержат информацию о получении утерянного доступа к заблокированным страницам. Некоторые решения не только неправильно применяли нормы материального права, но и искажали факты, утверждает РосКомСвобода.

В то же время при переходе на блокировку у некоторых российских интернет-пользователей произойдет полная потеря доступа к сайтам из списка. Это связано с особенностями реализации блокировки у некоторых операторов связи.

Члены РосКомСвободы не были официально уведомлены ни о начале судебного разбирательства, ни о решении суда. Представители проекта на процессе не присутствовали. Руководство организации узнало об инциденте из открытых источников.

РосКомСвобода намерена обжаловать решение суда о блокировке одной из страниц своего сайта. Для организации этого процесса администрация ресурса собирает средства. Способы перевода денег можно найти по телефону http://rublacklist.net/11503/ . К краудфандингу принимаются криптовалюты Яндекс.Деньги, PayPal, Bitcoin и Litecoin, а также другие способы по запросу.

Обновлено 30.05.2015 10:00 : в администрацию РосКомСвободы поступило уведомление от Роскомнадзора о блокировке страницы http://rublacklist. net/bypass/ .

Действительно ли Россия только что фактически запретила интернет-анонимайзеры?

Российские чиновники давно обсуждают запрет Tor и других анонимайзеров. Изображения сведены Татьяной Локоть

Российский суд постановил заблокировать часть веб-сайта РосКомСвободы, российской организации по защите свободы и прав человека в Интернете, на том основании, что рассматриваемая страница является анонимайзером — инструментом, который позволяет пользователям получать доступ к контенту и веб-сайтам, которые могут быть запрещены в России. Это решение вызывает тревогу, поскольку в настоящее время анонимайзеры и подобные инструменты в России не запрещены.

Решение суда принято 13 апреля, когда Анапский городской суд (Краснодарский край, Россия) постановил заблокировать http://rublacklist.net/bypass — раздел сайта РосКомСвободы, содержащий инструкции по обходу геоблокировки и получить доступ к веб-сайтам, занесенным в черный список в России. В решении суда утверждается, что веб-страница «является анонимайзером» и что «используя этот сайт, граждане могут получить неограниченный доступ к запрещенному контенту, в том числе экстремистскому, посредством анонимного доступа и подмены IP-адресов пользователей».

Хотя решение суда было принято в апреле после обращения местной прокуратуры, РосКомСвобода узнала об этом только 27 мая и никаких предупреждений не получала, сообщил юрист организации Саркис Дарбинян. Дарбинян также сказал, что они были удивлены тем, что страница помечена как анонимайзер, поскольку на ней нет таких инструментов, а есть только инструкции для пользователей Интернета. Юристы организации планируют обжаловать это решение.

Артем Козлюк, глава РосКомСвободы, назвал обвинения и решение суда «абсурдными» и поинтересовался, имеют ли чиновники четкое представление о том, что такое анонимайзеры.

Работники правоохранительных органов продемонстрировали полную некомпетентность в базовых знаниях всех общих технических аспектов работы сети, хотя разобраться в ней могут даже подростки. Анонимайзеры, прокси и браузеры — многозадачные инструменты, помогающие искать информацию в Интернете.

Хотя в решении суда упоминаются анонимайзеры, оно якобы использует окольные доводы для внесения в черный список страницы РосКомСвободы. Поскольку информация на странице «облегчает доступ пользователей к сайтам с содержанием из Федерального списка экстремистских материалов», сама страница должна быть «запрещена на территории Российской Федерации», согласно опубликованному в сети тексту постановления. Суд также перечисляет некоторые экстремистские материалы, к которым можно было получить доступ с помощью инструкций по обходу, и в конечном итоге использует закон о противодействии экстремистской деятельности в качестве основного основания для запрета.

Тем не менее, настораживает тот факт, что суд указал термин «анонимайзер» в качестве одного из оснований для блокировки страницы, поскольку анонимайзеры, прокси-серверы и другие подобные инструменты в настоящее время не запрещены к использованию или публикации информации о них в России. .

Последние несколько лет российские чиновники обсуждают ограничения на использование VPN и анонимайзеров. В 2013 году российские СМИ сообщили, что Федеральная служба безопасности (ФСБ) рассматривает возможность лоббирования в Государственной Думе законопроекта о запрете «Tor и других анонимных прокси-серверов», но эта идея так и не вышла за рамки комитета.

Ваш комментарий будет первым

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *