Так ли страшны блокировки сайтов, как их малюют?

5 комментариев
Так ли страшны блокировки сайтов, как их малюют?

В последние месяцы власти Беларуси сделали несколько шагов в сторону ужесточения регулирования интернета: от приравнивания практически любого сайта к СМИ до намерения блокировать анонимизаторы и прокси. Насколько это реально, как это будет работать и грядет ли потеря связности сети? Предлагаем технический анализ эффективности запретительных тенденций от Игоря Савчука.

Читать далее

Иллюстрация: roszapret.com

Постановка задачи

Насколько страшна и эффективна блокировка? Сложно однозначно ответить на этот вопрос касательно Беларуси. Нашумевшее постановление Оперативно-аналитического центра (ОАЦ) никак не регулирует технические аспекты блокировок, отдавая их реализацию на откуп местным провайдерам. В качестве иллюстрации стоит вспомнить белорусские «сетевые учения» под конец 2014 года, когда ряд оппозиционных сайтов были частично заблокированы. Как суммировал медиа-эксперт Павел Быковский, у специалистов «нет однозначного ответа, почему доступ пользователей к интернет-ресурсам блокировался столькими разнообразными способами».

«Мне кажется, что это была проверка разных механизмов блокировки — как они могут работать. Но важно, что никто не взял на себя ответственность за эти блокировки. Официально блокировок не было, официально произошла DDoS-атака на «Белтелеком», из-за которой отдельные ресурсы пострадали. Но по характеру того, что происходило, в это поверить невозможно», — отметил Быковский.

Действительно, применялся широкий спектр блокировок, и по моему ощущению, самой популярной была наименее ресурсоёмкая DNS-фильтрация. В моём домашнем роутере уже давно «забиты» Google Public DNS, поэтому я такой блокировки даже не заметил. Одним словом, вышеописанный алгоритм администрирования блокировок, который ОАЦ перенимает у своих российских коллег, даёт неоднозначные результаты, превращая фильтр в огромное «глючное решето». Именно отсутствие единого технического администрирования гарантированно приводит к хаосу и потери связности сети в момент «включения красной кнопки».

Типичный белорусский пример, новости одного дня, 26-27 марта 2015, на портале TUT.BY: «Некоторые провайдеры заблокировали доступ к оппозиционным сайтам», «Часть провайдеров открыли доступ к оппозиционным сайтам», «Некоторые провайдеры всё ещё блокируют оппозиционные сайты». Последовательно прочитав приведённые ссылки, легко увидеть, что на самом деле никто не понимает, что происходит — именно так реализована нынешняя «блокировка байнета».

Раз уж мы упомянули Россию как ориентир для подражания в Беларуси, имеет смысл рассмотреть возможные последствия этого вектора развития именно на её примере. Для исследования реальной эффективности российских блокировок я выбрал несколько крупных рунетовских веб-ресурсов, на примере которых и хочу показать, есть ли жизнь по ту сторону от блокировок. Скорее всего, Беларусь получит схожие результаты, если двинется по намеченному пути.

Все диаграммы и статистику я буду приводить на примере информационного ресурса Grani.ru, который год назад был заблокирован по решению суда РФ. На этом ресурсе установлено множество счётчиков, которые предоставляют огромное количество цифр по его аудитории. Все данные взяты из открытых источников, вы можете самостоятельно проверить (или оспорить) приведённую информацию и выводы.

Есть ли жизнь по ту сторону блокировки?

Итак, исходная точка, пациент попадает под блокировку:

С 13 марта 2014 наш сайт внесен в реестр запрещенных ресурсов за «призывы к противоправной деятельности и участию в массовых мероприятиях, проводимых с нарушением установленного порядка». По распоряжению Роскомнадзора провайдеры по всей России блокируют доступ к «Граням».

Как легко проверить, этот крупный сайт до сих пор находится под федеральной блокировкой, несмотря на множество судебных дел и активность адвокатов по его разблокировке.

Зная дату начала блокировки, я выбрал статистику за три предшествующих блокировке месяца, чтобы сделать эталонный срез его «доблокировочной» аудитории:

Далее зафиксировал статистику за эти же три месяца, но год спустя, когда ресурс уже больше восьми месяцев находился под федеральным «баном».

Обратите внимание на два усреднённых значения, выделенные на графиках, — падение посещаемости на сопоставимых периодах до 20%. 

Для наглядности изменения посещаемости ресурса привожу хронологически более длинный график.

В такой ретроспективе хорошо видно, что первоначальный органический трафик Grani.ru практически полностью восстановился до изначальных величин.

Ниже привожу следующий скрин с публичной статистики, снятый до блокировки (февраль 2014 года), показывающий группировку посетителей ресурса по стране-происхождению.

Ниже — цифры за февраль 2015, спустя год после блокировки.

Сопоставив таблицы, можно сделать первые промежуточные выводы:

  1. Несмотря на то, что работа российского фильтра заметна, он очень дырявый. Количество переходов напрямик из РФ всё равно весьма большое (около 15-25%).
  2. Общее количество посещений после блокировки постепенно восстанавливается до «доблокировочного» значения. Произошло перераспределение пропорции посетителей по странам, но количество посещений практически никак не изменилось, система снова вернулась в стабильное равновесие.

Адаптационный эффект: что это значит?

Второй вывод вызвал сомнения, поэтому я решил рассмотреть эту картину на другом уровне. Для этого получил график популярности языков, установленных в пользовательских браузерах по умолчанию.

Логика моего интереса проста: если блокированный пользователь из РФ заходит на ресурс Grani.ru через анонимайзер, то в статистике выше его скорее всего посчитают как человека, например, из США. Однако дефолтная страница в браузере по-честному выдаст его как «ru-ru» — активного «пользователя» русского языка. Это, конечно, косвенный анализ, ведь никто не запрещает человеку жить в США и использовать русский язык на своем домашнем компьютере-браузере в качестве основного. Но давайте посмотрим на график.

Чрезвычайно интересная корреляция с синхронным падением доли юзеров «русских» браузеров (русский бан-фильтр определено заработал, хоть и похож на дырявое решето) и ювелирная компенсация выпадающей доли точной порцией «англоязычных» браузеров. 

Вот аналогичный эффект «мгновенной компенсации зарубежным трафиком» от другого заблокированного ресурса —  «Ежедневного журнала», заблокированного в апреле 2014.

Grani.ru — лишь один из более десятка сайтов, статистику которых я мониторил на протяжении полугода, пытаясь понять эффективность работы «черного списка» Роскомнадзора. И во всех наблюдаемых случаях блокировка сайта не приводила к существенному падению трафика на ресурсе в долгосрочной перспективе.

Обобщая, можно выделить следующие закономерности процессса блокировки:

  1. В момент блокировки происходит резкий скачок трафика, привлечение внимания к блокируемой информации, дальше идет волна репостов (эффект Страйзенд во всей красе).
  2. Дальше — фаза небольшого падения посещаемости, примерно на 10-20% от стандартной.
  3. Через 1-3 месяца происходит постепенное и плавное замещение выпавшей доли родного трафика за счет зарубежного. Но всегда точно до уровня обычной посещаемости ресурса.
  4. Если ресурс не впадает в панику в первые недели блокировки, далее наблюдается постепенная ремиссия посещаемости. То есть, с лагом примерно в пару месяцев ресурс полностью восстанавливает свой первоначальный органический трафик, продолжая оставаться в «бане» у Роскомнадзора.

Я назвал это самовосстановление трафика заблокированного ресурса «адаптационный эффект».

 

Чудеса в сетевом решете

Рассмотрев «адаптационный эффект», обсудим упомянутый выше «дырявый фильтр»: каким образом значительной части пользователей удаётся заходить на заблокированный ресурс напрямую из России?

Дабы количественно оценить степень дырявости цензурирующей конструкции под рабочим названием «Невеликий российский файрвол», я решил воспользоваться стандартным сервисом для удаленного тестирования веб-сайтов. Суть этого автоматического тестирования заключается в том, что пинг-сервис имеет огромное количество расставленных скриптов в физически разных точках присутствия своей сети, из которых и пытается последовательно скачать (опросить) одну заданную страничку. В итоге собирается общая статистика доступности конкретного сайта/страницы из разных географических регионов.

В сервисе http://ping-admin.ru/free_test/ выбираем только российские точки, проверяя возможность обращаться из России к заблокированному сайту, находящемуся за рубежом (пакеты проходят через все фильтры туда-сюда).

 

У этого сервиса около 50 точек присутствия по всей территории РФ, покрыты все крупные областные центры.

Для контроля я выложил выходные данные как в графическом виде (большая таблица), так и в виде текстового cvs-файла. Для экономии же места привожу лишь итоговую диаграмму, построенную на базе «сырых» данных.

Конечно, это очень примерная оценка, ведь низкая разрешающая способность этой реализации сканирования не может дать абсолютно точной и объективной картинки. Однако если вернуться к статистике, снятой с заблокированного ресурса, то средний процент прямого доступа из РФ колеблется по месяцам в диапазоне 15-35%, что вполне коррелирует с полученными данными.

Винегрет технологий и анархия исполнителей

Почему при таком количестве разговоров о блокировках наблюдается такая потрясающе низкая эффективность их реализации?

Предлагаю обратиться ещё к стороннему исследованию, данные которого были получены на основе совершенно других принципов и методов. Первым делом процитирую один из его выводов:

«Радует, что у приличного количества пользователей вообще не блокируются какие-либо сайты».

Согласно этому обширному сканированию, выполненному летом 2014 года, примерно 20-25% всех интернет-провайдеров в РФ никак не блокировали трафик к запрещенным веб-ресурсам. Прямая корелляция с результатами моего исследования.

Это же стороннее исследование позволяет высказать предположение о причине происходящего. Отсутствие централизации в архитектуре (топологии) Рунета сыграло злую шутку с идеей блокировок. Власти России (также как и в постановлении ОАЦ в Беларуси) отдали реализацию этого закона на откуп провайдеров. Причина: у государства нет ни квалифицированных кадров, ни денег, ни других ресурсов, чтобы независимо реализовать это решение. 

Государство просто «проаутсорсило» своё решение, и уже рядовые провайдеры начали шаманить на рабочих местах, кто во что горазд, изобретая порой диковинные по глючности велосипеды. В подтвердение этому — таблица задокументированных методов блокировок.

«Я его слепила из того, что было».

Отсутствие централизации и координации породило дикий винегрет из технологий, который вы и видите на графике. Как результат — чрезвычайно низкая итоговая эффективность блокировок.

Общие выводы

После большого количества слов, цифр и графиков, имеет смысл обратиться к сухому остатку.

1. Блокировки в нынешнем виде имеют мало смысла. Во всех рассмотренных мною случаях заблокированных сайтов наблюдается стабильный «адаптационный эффект», который выражается в восстановление исходного трафика в течение 2-3 месяцев. 

2. Очевидна необходимость централизации усилий для эффективного контроля за исполнением законов по блокировке веб-ресурсов. Иначе — генерируется винегрет из технологий и подходов, наблюдается хаос и самодеятельность на уровне исполнителей. Необходима перестройка всей структуры подключения провайдеров к интерконнекту. В Беларуси это сделано изначально, в России есть намерения сделать нечто похожее (проект выделения федеральных операторов связи).

3. Создание новых, полноценно контролирующих транзитный трафик госструктур, привлечение туда высококвалифицированного персонала должно сопровождаться закупкой и внедрением специализированного сетевого оборудования и технологий, например, Full DPI.  

И даже это не гарантирует спасения от «адаптационного эффекта» в долгосрочной перспективе.

4. Повышение эффективности блокировок предполагает контроль за обходными путями — анонимизаторами, прокси-серверами, анонимными сетями типа Tor и др. Этим озабочены уже на самых верхах. 

И пока в РФ ломают голову, как перекрыть обходные пути, в Беларуси эти спецсредства внесли под запрет на уровне упомянутого постановления ОАЦ. Но при этом переложили реализацию запретительных мер на головы бедных провайдеров.

Возможна ли техническая блокировка proxy, Tor, i2p, Freenet в принципе? Подробный ответ на этот вопрос я уже давал ранее: да, возможно завинтить всё и без проблем. Вкратце, всё сводится к тому, что у Tor есть свой публичный список входных нод (Tor directory), также как у I2P есть аналогичные публичные списки стартовых серверов (Reseed list), которые в обоих случаях можно свободно выкачивать и блокировать по IP на уровне точки интерконнекта, как блокируют любые другие «простые смертные сайты», ломая этим через колено довольно хрупкую логику инициализации этих систем.

Отдельно, что касается VPN. Ранее я описывал техническую суть того, как устроена фильтрация VPN в Китае, где уже давно не «блочат» VPN-сервисы по принципу «чёрных списков», а применяют прекрасно работающую эвристику (читайте про метод опорных векторов SVM и Connection probe вот здесь).

5. Не стоит забывать и про стремительно растущий уровень технической грамотности населения. Что меня больше всего поразило — Рунет стремительно обучается новому. Принято считать, что техномагия типа Tor доступна лишь для технарей и продвинутых юзеров, но наблюдение за «адаптивным эффектом» восстановления околополитических сайтов показывает, что их абсолютно нетехническая аудитория очень быстро находит способы обхода сетевых барьеров.

6. Таким образом, чтобы полностью ограничить доступ к тем или иным ресурсам, необходим тотальный запрет на любые специализированные знания и технологии обхода блокировок. Далее общая децентрализованная архитектура интернета потребует пересмотра.

Понятие цифрового контента неразрывно связано с технологиями, на базе которых он реализуется и доставляется. Было бы довольно наивным предполагать, что можно просто ограничить доступ к информации по национально-территориальному признаку («Интернет, стой раз-два!»), а всё остальное оставить «как есть». Вряд ли подобное возможно без неизбежной модерации технологий и среды, на основе которых эта цифровая вселенная зиждется.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

ОАЦ закрыл доступ к сайту «Нашай Нiвы»
ОАЦ закрыл доступ к сайту «Нашай Нiвы»

ОАЦ закрыл доступ к сайту «Нашай Нiвы»

У госорганизаций проблемы с доступом к tut.by и другим новостным ресурсам
У госорганизаций проблемы с доступом к tut.by и другим новостным ресурсам

У госорганизаций проблемы с доступом к tut.by и другим новостным ресурсам

3 комментария
В России разблокируют Telegram
В России разблокируют Telegram

В России разблокируют Telegram

2 комментария
Маск: пора разделить Amazon
Маск: пора разделить Amazon

Маск: пора разделить Amazon

5 комментариев

Обсуждение

3

Хорошая статья. Не знал, что "возможно завинтить всё и без проблем". Наивно полагал, что комбинация VPN+TOR пробьёт любую стену.

0

Как говорится в одном старом анекдоте - ото ж!

0

Есть более продвинутое решение, позволяющее работать с IP физических лиц по всему миру. таким образом весь трафик выглядит, как "кто-то баузит"

http://luminati.io/?affiliate=L_anna

0

Спасибо, толково.

А вариант, способный обойти любую блокировку, полагаю, использовние только узкому кругу лиц известного посредника с компом за границей.

0

Не нужно так всё усложнять, любые блокировки обходятся банально - вбиваем в поиск Гугла адрес или название статьи и смотрим сохраненную копию в кеше (треугольник напротив адреса и всё)

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже