Zdjęcia Eugeniusza Rozsądnego / Wiedomosti / TASS
W Rosji coraz częściej mówi się o możliwym zamknięciu internetu. Jakie technologie są u władz w arsenale i ile będzie kosztować taki krok?
Rosyjski internet w najbliższym czasie czekają zmiany. Dmitrij Rogozin przekonuje FSB na potrzeby udziału w kosmicznej sieci OneWeb, a ANO “gospodarka Cyfrowa” krytykuje projekt o odłączenie Rosji od internetu. Co jest trudnego w tym, żeby “wyłączyć wyłącznik”?
Na koniec 2018 r. grupa posłów na czele z szefem komitetu Rady Federacji zgodnie z prawem Andrzejem Клишасом wniosła do Dumy projekt ustawy o konieczności zapewnienia pracy rosyjskiego segmentu internetu w przypadku wyłączenia z zagranicznych serwerów. W celu zapewnienia pracy Runetu w rosyjskich sieciach proponowano ustawić “środki techniczne”, które określają źródła ruchu, a także w razie potrzeby pomogą “ograniczyć dostęp do zasobów z zakazanej informacji nie tylko w sieci web, ale i przez wyłączenie pomijania odbywającego się ruchu”.
Według informacji agencji BBC, Władze gotów wydać do 20 mld rubli na jedną z takich środków, które, między innymi, umożliwia obecnie technicznie niemożliwe blokadę komunikatora Telegram. Chodzi o programowo-sprzętowym kompleksie, zapewniającego kontrolę i analizę przechodzącego ruchu (DPI — deep packet inspection). System klasyfikuje formy, innymi słowy prawidłowości, tkwiące w tej czy innej aplikacji lub usługi, w celu dalszej ewentualnej blokady ostatnich.
Gwoli sprawiedliwości trzeba zauważyć, że szef rosyjskiego regulatora Aleksander Artystycznej oświadczył, że jego resort nie zwraca się z takimi planami w ministerstwie Finansów. Dlatego nie warto dyskutować, kto dokładnie będzie realizować plan czasowy. Rozważmy tylko jego możliwości i trudności, które się pojawią.
Po wprowadzeniu ustawy, najprawdopodobniej, za punkt orientacyjny wzięty doświadczenia Chin w budowaniu “wielkich IT-budowli” wirtualnych w granicach państwa. Pozwoli czy mechanizm opisany w rosyjskim projekcie ustawy, je zrealizować?
Jak to działa
Ogólnie, nowoczesny internet jest wymiana wiadomości klient — serwer za pomocą protokołu HTTP/HTTPS/HTTP2 i takimi typami komunikacji, takie jak wiadomości, pliki audio/wideo komunikacji, torrenty itp. W związku z inicjatywą producentów przeglądarek i projektem Linux Foundation Let ‘ s Encrypt, które dostarczają wszystkich, którzy chcą z połowy 2015 roku darmowe certyfikaty SSL, w ostatnich latach wszystkie strony bez szyfrowania są uznawane za niebezpieczne. W wyniku protokół HTTP ustępuje popularności HTTPS, w którym udostępnić połączenie danych jest szyfrowany.
Gdy użytkownik chce przejść do strony https://yandex.ru dzieje się następujący:
1. Przeglądarka komunikuje się z serwerem nazw domen internetowych DNS dostawcy (lub domowego routera) do toczenia znanego człowiekowi adresy www yandex.ru w pracy zestaw cyfr 77.88.55.501, czyli IP (4-x байтные adresy) i/lub adresu IPv6 (16 байтные adresy).
W ten sposób DNS można sobie wyobrazić jak książka telefoniczna, który tłumaczy przyjazne człowiekowi adresy internetowe w wygodny do pracy zestaw cyfr adresu IP.
Z kolei serwer DNS zwraca się do przełożonego z serwerem, lub do zagranicznych root serwerów, utrzymuje katalogi zgodności z zasobów internetowych ich adresy. Aby hakerzy nie było przekierowanie zapytanie na swoje strony, stosuje się szyfrowanie informacji cyfrowo i przeprowadza się okresowe sprawdzanie kluczy (tak, są one nie tylko u Telegram).
2. Przeglądarka nawiązuje szyfrowane połączenie i sprawdzić certyfikat serwera. Certyfikat — jest to narzędzie, które pozwala upewnić się, że zwraca się właśnie do witryny yandex.ru, do którego planowaliśmy, a nie jakiś hakerów kopii, na której chcą dowiedzieć się numery naszych kart kredytowych.
Certyfikat musi być podpisany przez urząd certyfikacji, których — uwaga! — obecnie w federacji ROSYJSKIEJ nie ma.
3. W przypadku udanej instalacji TLS dalej dzieje się ładowanie strony na стандартизированном języku znaczników HTML, a do zawartości strony (grafika, skrypty, itp.) odbywa się w podobny sposób, zaczynając od kroku 1.
Co przeszkadza odłączyć
W marcu 2016 roku Towarzystwo ochrony internetu po raz pierwszy opublikował wskaźnik spójności krajowego segmentu internetu z globalnej sieci, który odzwierciedla skumulowany liczba powiązań między polskimi i zagranicznymi autonomicznymi systemami. Na początku grudnia 2018 roku wynosił 2512 punktów, a wartości maksymalnej w 3514 punktów indeks osiągnął w kwietniu tego roku. Im mniej połączeń, tym łatwiej ich kontrolować, a tym poniżej wpływ na światowy internet w przypadku wyłączenia Rosji.
Pięć lat temu po raz pierwszy został poruszony temat autonomii: w 2014 roku Rada bezpieczeństwa polecił odpowiednim służbom zbadać kwestię bezpieczeństwa Runetu, a w 2016 roku Tys рапортовало, że planuje osiągnąć wskaźnika transmisji ruchu wewnątrz kraju, jak i w 99%, podczas gdy w 2014 roku analogiczny wskaźnik wynosił 70%.
Czego brakuje do suwerennego internetu teraz? Przede wszystkim, system DNS nie jest autonomicznym i zależy od globalnego systemu korzeniowego. Dlatego do pracy Runetu w trybie autonomicznym chcesz utworzyć krajowy odpowiednik DNS. Tekst ustawy 2018 r. stanowi: “W celu zapewnienia zrównoważonego funkcjonowania sieci Internet tworzy się krajowy system informacji o nazwach domen i (lub adresach sieciowych) jako zbiór powiązanych ze sobą programowo-sprzętowych, służących do przechowywania i uzyskania informacji o adresach sieciowych w odniesieniu do nazw domen, w tym zawartych w rosyjską narodową domenę strefy, a także autoryzacji przy rozdzielczości nazw domen”, — wskazany w dokumencie. Technicznie Rosji będzie łatwo stworzyć swoje główne serwery DNS, ale o wiele trudniej jest przekonać ludzi, żeby z nich korzystać.
Drugą przeszkodą okazuje się przypisywanie adresów IP (nowe domeny musi dostać swój “cyfrowy adres”). Przeprowadzone przez organizację Réseaux IP Européens Network Coordination Centre (RIPE NCC) z siedzibą w Amsterdamie. RIPE NCC usług płatnego członkostwa, w tym rosyjskim organizacjom, pozwalając korzystać adresy IPv4 i IPv6. Usługa obejmuje umieszczenie informacji o nowych członkach w bazie danych organizacji. Stworzyć podobny “niezależnym” centrum trudne, co najmniej, ze względu na to, że wolne adresy IPv4 już się skończyły. Podobna sytuacja jest z certyfikatami SSL: ich wydawanie i weryfikacja odbywa się także zagranicznymi firmami, ale plany się na nich w projekcie ustawy jest również brak. A bez nich nie będzie działać system szyfrowania ruchu, która nie daje hakerom przeglądać wysłana przez połacie internetu informacje.
Trzecią przeszkodą jest zawartość stron internetowych, z których większość opierają się na technologiach open source. Ich kod źródłowy są dostępne, ale są one umieszczone na zagranicznych zasobach: Sourceforge, Github, Bitbucket i innych. Popularne JavaScript biblioteki, niezbędne do prawidłowego funkcjonowania serwisu, często nie są kopiowane w kod zasobu sieci web, a stosowane są w postaci linków na zagraniczne repozytorium kodu. W przypadku “суверенизации” strony po prostu tracą wiele funkcji.
Czas apokalipsy
Jakie problemy otrzymamy, jeśli zdarzy się apokalipsa i w Rosji łamane transgraniczna integracja sieci Internet?
1. Problemy z DNS. Duża część katalogów głównych DNS będzie niedostępna (w Rosji jest lustro tylko trzech głównych DNS), co z dużym prawdopodobieństwem spowoduje opóźnienia w ładowaniu stron sieci web w usługach publicznych .pl i .federacji rosyjskiej. Oprócz tego całkowicie zniknie dostęp do zagranicznych domen podczas pisania zwykłego literowego adresu URL. Dostać się do nich będzie możliwy tylko po wprowadzeniu poprawnego cyfrowego adresu IP. Zresztą, zgodnie z warunkami naszego apokalipsy kontakt z zagranicznymi serwerami nadal jest wyłączona.
2. Problemy z wyświetlaniem i funkcjonalności stron internetowych. Umieszczenie witryny w strefie domeny .pl nie gwarantuje, że wszystkie jego treść znajduje się również w strefie .pl. Ponadto, jest teraz powszechne korzystanie geograficznie rozproszonej infrastruktury sieciowej (CDN — Content Delivery Network), gdy zawartość jest podzielona między wieloma serwerami, co skraca trasę do sieci transmisji danych, a dla użytkownika to wygląda jak szybsze ładowanie strony. Jeśli zniknie związek ze skryptami i treści na zagranicznych sieci CDN, stronami i usługami na zagranicznych hostings, to z naszych stron internetowych zniknie szereg funkcji, aż do całkowitej niezdolności do pracy: znikną elementy sterowania, filmy i inne elementy.
3. Problemy z unifikację. Obecnie większość dostawców ma dobrą przyczepność w Rosji i dostęp do kluczowych punktów wymiany ruchu, ale jednak nie można wykluczyć problemy z powodu zmiany routingu u dostawców, która odbywa się według danych z bazy wyżej RIPE.
4. Problem z weryfikacją certyfikatów SSL. Użytkownikom to wróży ogromne opóźnienia i wiadomości “niebezpieczny certyfikat w przeglądarce po podłączeniu do zwykłych stron internetowych, podczas gdy dla stron internetowych banków, instytucji finansowych, systemów płatniczych oraz instytucji państwowych portali to może oznaczać całkowitą niedostępność. One po prostu nie działają, jeśli nie mogą zapewnić bezpieczeństwa stron internetowych.
5. Problemy z działaniem usług internetowych. Niedostępne ryzykują być wiele usług w chmurze, używane rosyjskim biznesem: poczta, office, CRM, a także popularne wyszukiwarki, komunikatorów, repozytorium kodu, telefonii IP od zagranicznych dostawców i wiele innych. Coś podobnego zdarzyło się podczas aktywnej fazy wojny “Роскомнадзора” z Telegram.
Czy mogą nas wyłączyć
Obawy posłów, polegają na tym, że STANY zjednoczone i reszta świata mogą wyłączyć Rosję od internetu. W tym przypadku proponuje się utworzyć w kraju самодостаточную autonomiczny system, zapewniający funkcjonowanie sieci. Przy takim scenariuszu użytkownicy nie będą mogli aktualizować taśmę Facebook, ale banki i obiekty kluczowej infrastruktury nie ucierpią.
Podobnego zdania jest pomysłodawca i twórca chińskiego cyber-tarczy “Wielki firewall” i cyber-miecza “Wielkiej armaty” Fan Биньсин. W ostatnim czasie można go często spotkać na forach poświęconych rozwojowi internetu w Rosji. Wśród postulatów genialnego wynalazcy pełną kontrolę nad swoim segmencie internetu dla państw, możliwość ochrony swojego segmentu sieci przed atakami z zewnątrz, równe prawa do korzystania z zasobów i kontrolę nad odrosty DNS-katalogi, przez którą odbywa się dostęp do stron internetowych, tylko krajami-właścicieli tych stron. Zaproponowana przez nich koncepcja zakłada możliwość tworzenia bezpośredniej wymiany danych pomiędzy państwami z pominięciem głównych serwerów DNS w USA.
Jednak obawy posłów i wynalazców z Chin nie podzielają eksperci: światowej praktyce jeszcze nie znane są przypadki, kiedy w kraju poinformowały dostęp do internetu-blokadę. Ponadto, wyłączenie sieci w jednym z krajów w drużynie z USA lub jakiegokolwiek innego kraju na świecie nie można na siłę najniższej architektury serwerów DNS. Oprócz podstawowych dziesięciu serwerów w USA system DNS zawiera serwer w Holandii, Szwecji i Japonii, a także setki lustrzanek (duplikatów) serwera, w tym kilkudziesięciu w Rosji: w Moskwie, Sankt-Petersburgu i Jekaterynburgu.
Jeśli USA z jakiegoś powodu usunąć pliki strefy .pl ze swoich serwerów DNS, Internet będzie działać z innymi odrosty i serwerami lustrzanymi. Opóźnienia w tłumaczeniu list adresów domen w IP zwiększą czas dostępu do witryn internetowych, na kilka milisekund, ale odwrotny efekt będzie niekorzystny dla USA: utrata zaufania powoduje tworzenie szeregu lokalnych serwerów DNS. To potwierdza i David Konrad, członek zarządu ICANN, organizacji zarządzania nazwami domen i adresów IP, w gestii którego znajduje się światowej DNS: “Przycisku “Off” nie istnieje”.
Z kolei w Tys odezwały się o tej inicjatywie pozytywnie. Zdaniem resortu, rosyjski ruch częściowo przechodzi przez zewnętrzne punkty wymiany, co nie pozwala zagwarantować bezawaryjną pracę Runetu w przypadku wyłączenia zagranicznych serwerów. Jeszcze w 2017 roku ministerstwa komunikacji i ministerstwa spraw ZAGRANICZNYCH powiedział o konieczności tworzenia w krajach BRICS systemu duplikatów (lustrzanek) z serwerów nazw domen. Jednak wsparcie takie inicjatywy nie znajdują nawet Chin, który jest gotów wspierać uchwały Rosji w ONZ, ale pomysł utworzenia alternatywnego internetu uważa za zbyt uciążliwe i nieefektywne w stosunku do istniejącej.
Ociężałość i naprawdę niesamowite: szacuje się, że koszt suwerenności w cyberprzestrzeni może wynosić do 134 mld rubli rocznie. Oprócz tego jeszcze 25 mld rubli potrzebne jednorazowo na badania i prace rozwojowe, tworzenie i prowadzenie rejestru punktów wymiany ruchu, rozszerzenie stanu struktur regulatora i przeprowadzenie ćwiczeń.
Starszy brat rosyjskiego projektu “Wielki Chiński firewall”, wydaje się na tle naszego киберсуверенитета tani “gadżetu”. Kosztował budżetu południowo-wschodniego sąsiada w 800 milionów $(około 54 mld pln po kursie) i zapewnił cenzurę i kontrola ruchu w kraju z 800 mln użytkowników.
redakcja poleca
20 najdroższych firm Runetu — 2018. Ranking Forbes