Радость по поводу новых технологий борьбы с цензурой в интернете преждевременна

Не прощайтесь с блокировками.
Радость по поводу новых технологий борьбы с цензурой в интернете преждевременна

Забавно наблюдать, как в мейнстримную прессу, особенно заряженную политикой, залетают «сенсации» из мира IT и наполняют читателей надеждами. Надежды эти, увы, по большей части ложные, потому как обидно сначала прочитать, что «все блокировки РКН превратятся в тыкву», а потом, после мало-мальски серьезного изучения вопроса, узнать в очередной раз, что блажен, кто верует.

Свежий сюжет, который предлагаю к совместному разбору с читателями, завязан на публикации 6 сентября в блоге весьма прогрессивного фонда Mozilla, в котором рассказывается о намерении в скором времени включить по умолчанию в браузере Firefox опции DNS-over-HTTPS (DoH).

Публикация, надо сказать, выдержана даже не в осторожном, а в испуганном духе: «Мы планируем подключить DoH в Соединенных Штатах в конце сентября. Сначала мы подключим небольшое число пользователей и будем наблюдать за развитием событий прежде, чем задействовать опцию для широкой аудитории. Если всё пройдет без осложнений, мы сообщим дополнительно о 100 % готовности (включить DoH по умолчанию в браузере – С.Г.)».

И вот в ответ на эту опаску-оглядку по просторам прогрессивного отечества вирусно разливается публикация под названием «ПРОЩАЙ ДИ-ПИ-АЙ» (зародившаяся, как я понял, на одном из каналов Telegram), из которой мы узнаем, что теперь «все блокировки РКН превратятся в тыкву. Для обходов блокировок не понадобится ничего, кроме браузера Firefox. Блокировки по DNS не будут работать от слова совсем, ибо все запросы там будут зашифрованы. А блокировки по IP перестанут работать, ибо теперь можно будет тупо изменить IP заблокированного адреса и РКН об этом не узнает… Великий и ужасный DPI здесь тоже не поможет. Ибо ну вот идет https трафик до рандомных хостов… и чо вы с ним сделаете?»

Мы и в самом деле с этим «ничо» не сделаем, потому что за потоком непонятных для неискушенной публики терминов скрывается то ли глупость, то ли дезинформация. Из арсенала все тех же несбыточных надежд.

Начнем с технологии. DNS-over-HTTPS означает очень простую вещь. Когда вы хотите посетить сайт, вы набираете в адресной строке браузера его название, например novayagazeta.ru. Поскольку интернет нормального языка не понимает, ваш запрос сначала отправляется на специальные серверы доменных имен (DNS-серверы), которые используют простые таблицы для перевода названий сайтов в их IP адреса. Например, IP адрес «Новой газеты» — 198.100.146.115. Именно этот цифровой адрес DNS-сервер передает дальше в сеть, после чего страница сайта воспроизводится в вашем браузере.

По умолчанию ваш запрос с названием сайта, который вы набираете в адресной строке браузера, отправляется в сеть в незашифрованном виде, поэтому любой посредник может его прочитать и, тем самым, узнать, какой сайт вы собираетесь посетить. Протокол DNS-over-HTTPS позволяет передавать пользовательские запросы к серверу DNS не в открытом виде, а через зашифрованный протокол HTTPS.

Надо сказать, что Mozilla (а также Google) тестируют DNS-over-HTTPS уже больше года — с июня 2018. Начиная с версии 62 (а сегодня доступна уже версия 68), любой пользователь браузера Firefox может включить DoH самостоятельно в настройках. Посему воодушевивший соотечественников меморандум, как минимум, не имеет никакого отношения к самой технологии, а лишь — к ее включению в браузер по умолчанию, да и то применительно к гражданам США и Великобритании, поскольку именно в этих странах инициатива Mozilla вызвала яростную критику и противодействие со стороны влиятельных общественных организаций – Фонда надзора за интернетом и Ассоциации провайдеров интернета. Последние даже присудили Mozilla издевательскую премию в номинации «Интернет-преступник года».

Что же так возмущает американскую общественность в протоколе DNS-over-HTTPS? Дело в том, что на пользовательских запросах DNS строятся американские системы родительского контроля и слежения за нарушением авторских прав.

Ребенок отправляется на какой-нибудь sex.com, а какой-нибудь OpenDNS, SafeDNS, Quostodio, Net Nanny или Symantec Norton Family Premier перехватывает его запрос и говорит – «Ай-ай-ай! Рано тебе, мальчик, заглядывать в эту сторону!».

Также действуют и защитники сверхприбыли студий грамзаписей и Голливуда вроде Американской ассоциации звукозаписывающих компаний (RIAA): набрал в адресной строке браузера что-нибудь вроде thepiratebay.org и тебе, голубчику, мигом напомнят о многомиллионном штрафе за скачивание и распространение контрафакта.

Не удивительно, что протокол DoH, шифрующий запросы DNS и усложняющий жизнь американских заботливым родителям и контроллерам авторского права (сознательно употребляю это слово, потому что в массе своей авторские права принадлежат не самим авторам, а монопольным структурам, эти права за гроши изымающим), вызывает неприязнь к Mozilla и Google, планирующим включить опцию DoH по умолчанию в своих браузерах.

Теперь самое интересное. Я понимаю эйфорию, которая охватила российского журналиста, который залопотал о «тыкве» блокировок РКН. Видимо, решил, что отечественные провайдеры блокируют по требованию государства нежелательные для государства сайты через DNS, поэтому и понадеялось, что протокол DNS-over-HTTPS позволит приблизить вожделенный момент с «ПРОЩАЙ ДИ-ПИ-АЙ».

Тут нас, однако, поджидает первая – малая – неприятность (малая, потому что будет еще и вторая – уже большая). По DNS в нашем государстве блокировку осуществляют только 10-15 процентов провайдеров. А остальные 85-90 % используют блокировку на совсем другом уровне – протоколе указания имени сервера, т.н. Server Name Indication (SNI) .

Термин также звучит страшно, но объясняется просто. В момент установки соединения по зашифрованному протоколу HTTPS происходит обмен сертификатами между сервером и компьютером пользователя (то, что называется handshaking, рукопожатием). При этом обмене, предшествующем шифрованию всего последующего трафика, имя запрашиваемого пользователем сайта передается в открытом, не зашифрованном виде. Тут-то его и перехватывают родные провайдеры, сопоставляют запрос с запретным списком РКН, и, в случае совпадения, выдают вам вместо нужного сайта заглушку про постановление советского правительства.

Теперь вы понимаете, что DoH ровным счетом ничего не изменит в сложившейся ситуации и никакого «ПРОЩАЙ ДИ-ПИ-АЙ» не случится.

Можно, конечно, потрафить тщетным надеждам и сказать, что с осени 2018 года интерсивно ведется подготовка внедрения нового протокола — Encrypted SNI (ESNI), который, как явствует из названия шифрует имя запрашиваемого сайта с помощью публичного ключа сайта, получаемого из системы имен DNS. И вот если в новые версии браузеров будут включены обе опции – и DoH, и ESNI, то можно будет с натяжкой говорить о технических сложностях блокировки сайтов, которые Большому Брату кажутся нежелательными.

Как бы мне не хотелось становиться гонцом плохих вестей, но и утаивать помянутую выше большую неприятность не имею права.

Вы не задумывались, почему в США, ЕС и других «свободных» странах не заморачиваются с изощренными технологиями противодействия нежелательным демаршам нетизанов, вроде скачивания на торрент-трекерах новинок кинопроката и посещения сайтов, разжигающих расовую неприязнь и гендерную нетерпимость? Почему структуры-церберы «глушат» запросы нерадивых пользователей в массе своей по DNS, а не по SNI, как то делают более продвинутые российские и китайские борцы за чистоту идей?

В июле я уже рассказывал читателям («Коды и котики» https://www.novayagazeta.ru/articles/2019/07/03/81111-kody-i-kotiki) об удивительном изобретении «наших американских партнеров» — универсальном коде, который массово прививается населению и делает избыточным любые непопулярные запретительные меры. Зомбированное население нагружено на уровне общественного осуждения такими жесткими конструкциями самоконтроля, что без всякого внешнего принуждения добровольно сторонится любых действий, которое государство полагает нежелательными.

В нашем народе, чья ментальность веками формировалась космическим нигилизмом и недоверием к любой власти, универсальный код американского образца не действует по определению, зато прекрасно работает мотивация самосохранения, которая за последние 100 лет, похоже, прописалась в генотипе и служит мощным фактором выживания на самом высоком – национальном — уровне.

Если вы почитаете опросы общественного мнения (любые: что левые, что правые, что провластные, что люто либеральные), то не останется сомнений в том, что подавляющему большинству жителей РФ не нужны ни DoH, ни ESNI, ни сайты из списка РКН. Наш человек со спокойным сердцем готов принять (и принимает) любой запрет в интернете, вплоть до полной самоизоляции национального сегмента.

И это не плохо, и не хорошо. Это – форма национального самосохранения и результат работы исторической памяти, основанной на опыте взаимоотношений с родной властью.

Дальше больше. Абсолютно все, кто в РФ интересуются запретным списком РКН, давно решили для себя эту задачу. О том, как пользоваться VPN, знают даже ученики начальных классов. Кому нужно, те пользуются. Таких меньшинство. Большинству это не нужно. Поэтому никакого «ПРОЩАЙ ДИ-ПИ-АЙ» в обозримом будущем не наступит – что с DoH, что с ESNI, что с VPN, что с Великим Русским Файрволлом, что с чертом лысым и картавым. Когда говорит психология масс, высокие технологии молчат.

Последний нерешенный вопрос: зачем наше государство идет на технологические изощрения вроде блокировки по SNI и тотального внедрения DPI? Ответ: ума не приложу! Честное слово. Ибо со стороны государства эти телодвижения избыточны и бессмысленны.

Русские люди – не китайцы, ими невозможно управлять по правилам муравейника. История показала, что русскими людьми можно управлять только по любви и на доверии. Есть любовь и доверие, избыточны любые РКН. Нет любви и доверия, не поможет даже полная изоляция рунета. Альтернатива любви в России только одна – народом не получится управлять, его можно будет только угнетать. Та же история показала, что у последнего сценария всегда и при любых обстоятельствах бывает только один финал.

Не прощайтесь с блокировками