🎯 Цензура в мережі Інтернет

Говорячи про інтернет-цензуру, одразу хотів би уточнити, що сама по собі цензура – це не загроза, і несе в собі вона, швидше, благо, ніж шкоду. Як і багато хто, я не хочу, щоб вороже налаштований сусід міг зайти в інтернет і анонімно замовити моє вбивство, а інший сусід дістався до агітаційних матеріалів ІДІЛ і влаштував у мене в місті джихад. Для цього держава (принаймні деякі держави) блокує небезпечні ресурси. Але зловживання цензурою, коли влада використовує цей інструмент для обмеження свобод і прав, – це справжня загроза, і саме про неї й піде мова.

Наведу приклад свого бачення зловживання цензурою. Наприкінці 2017 року в Ірані відбулися акції протесту, основною причиною яких було невдоволення високими цінами. Для придушення протестів влада заблокувала жителям месенджер Телеграм. Телеграм – основний месенджер для іранців, багато хто заробляє за його допомогою, для багатьох Телеграм є корпоративним месенджером, для більшості – основним засобом комунікації з друзями і родичами. Такий крок міг дорого коштувати жителям, які не здатні обійти блокування: фактично було паралізовано найважливіший канал комунікації.

Рішучі дії з обмеження користувачів у мережі під час політичних протестів на сході – звична справа. Наприклад, у 2011 році під час протестів жителям Єгипту відключили інтернет зовсім. Але ось тільки з ефектом від подібного заходу влада трохи прогадала: відсутність інтернету спровокувала народ виходити на вулиці і призвела до повалення беззмінного президента Хосні Мубарака.

Повне відключення інтернету – це особливий випадок, таку цензуру програмними засобами не обійти. Інша справа – обмеження доступу до веб-сайтів, є два основні шляхи реалізації блокування: за IP-адресою і через DNS.

Блокування через DNS

Ви напевно звикли вводити у своєму браузері адресу сайту на кшталт www.google.com. Але насправді введені вами дані – лише доменне ім’я. Сайт розміщений на сервері, і реальна адреса сайту – це IP-адреса. Але оскільки користувачам зручніше ввести google.com, ніж, наприклад, 128.14.124.56, придумали систему доменних імен.

Суть її дуже проста: є кореневі DNS-сервери, які знають, якому доменному імені яка IP-адреса відповідає, є локальні DNS-сервери, які отримують від них інформацію. Наприклад, локальний DNS-сервер є і у вашого інтернет-провайдера. Коли ви ввели в адресному рядку браузера www.google.com, ваш комп’ютер звертається до DNS-сервера провайдера з питанням “за якою IP-адресою розташований сайт www.google.com”. Якщо цей сайт заблоковано, DNS-сервер провайдера поверне відповідь з IP-адресою сторінки з інформацією про блокування сайту на вимогу влади. На неї ви й потрапите.

Подібні інструменти цензури обходяться простою заміною DNS-сервера, наприклад на DNS-сервера Google (ми навчимо вас цього в рамках курсу), або використанням VPN, де, як правило, використовується DNS-сервер, зазначений у налаштуваннях VPN. Блокування IP-адреси сайту Коли ваш комп’ютер отримує від DNS-сервера інформацію про IP-адресу сервера запитуваного сайту, він починає з ним обмін інформацією, яка, перетворюючись у браузері, виводить вам сайт. Усі запити проходять від вашого комп’ютера через провайдера і можуть бути ним заблоковані.

Найцікавіше, що на одній IP-адресі може бути кілька сайтів, і тоді під блокування потраплять усі. І таких випадків було чимало. Протидія подібній атаці – проксування інтернет-трафіку. Це може бути VPN, проксі, Tor, SSH, головне, щоб сервер, через який ви вийдете в мережу, перебував в іншій юрисдикції. Багато хто вважає, що це повний обхід блокувань.

Насправді, виходячи в мережу через віддалений сервер, наприклад VPN, ви можете потрапити під обмеження місцевих провайдерів, наприклад шведських, якщо ваш вихідний сервер розташований у Швеції. У разі використання тунелю ваш провайдер бачить підключення до VPN або проксі-сервера, але не блокує обмін даними, оскільки це не заборонено.

Способи блокування застосунків

Вище головним чином ішлося про сайти. У випадку з додатками, наприклад месенджерами, все відбувається аналогічним чином. Месенджер для роботи повинен зв’язатися з керуючим сервером, і на етапі з’єднання і відбувається блокування. У Росії під час спроби заблокувати IP-адреси серверів месенджера Телеграм Роскомнадзор заблокував понад 18 мільйонів IP-адрес Amazon, Google, Hetzner, Microsoft, Digital Ocean. Порушив роботу безлічі компаній, таких як Battle.net, EA Games, Steam, Skyeng, сервісу захисту від DDoS-атак Google Shield, Evernote, Spotify, таксі-сервісу Gett, Volvo і багатьох інших.

Від килимового блокування Роскомнагляду постраждав конкурент Телеграм Viber, а сам Телеграм продовжив роботу. Іноді здійснюється блокування за портами. Кожна програма, якій необхідний доступ у мережу, використовує для з’єднання з мережею якийсь порт. Наприклад, TeamViewer використовує порт 5938, Steam – від 27015 до 27030. Якщо заблокувати інтернет-трафік за цими портами, додаток не зможе з’єднатися із сервером. Це, як правило, практикується на рівні компаній.

Наприклад, на моїй першій роботі моїй подрузі системний адміністратор блокував порт 5190, який використовував на той момент популярний месенджер ICQ. Блокування порту не дозволяло співробітникам використовувати ICQ на роботі. Багато сучасних додатків захищають себе від блокування за портом. Наприклад, TeamViewer почне підключатися через порти 443 і 80 (їх не можна заблокувати, оскільки вони потрібні для роботи з сайтами), якщо у нього не вийде встановити з’єднання через порт 5938.

Частина застосунків надають можливість у налаштуваннях вказати проксі-сервер для підключення або самостійно задати порт. У випадку з мобільними застосунками існує ще один метод блокування – через магазини мобільних застосунків App Store і Google Play. Застосунок може бути прибрано з магазину і навіть примусово заблоковано на пристроях користувачів.

Таким чином на вимогу влади в Росії було заблоковано застосунок LinkedIn: він зник одночасно з російських App Store і Google Play. У КНР у такий спосіб було заблоковано масу застосунків, включно з застосунками, що надають послуги VPN, і навіть застосунок New York Times.

Як боротися з такою цензурою?

Apple у цьому випадку не найкращий вибір. Для боротьби з подібною цензурою вам варто перейти на Android або проводити джейлбрейк пристрою і ставити застосунок самостійно. У випадку з Android ви можете завантажити застосунок з альтернативного магазину застосунків, ми розповімо вам про них у відповідному розділі курсу.

Є й альтернативний шлях обійти блокування в магазині застосунків – змінити в налаштуваннях регіон. У цьому разі на вас поширюватимуться блокування обраного регіону. Але такий спосіб працює не завжди: у КНР влада активно бореться з цим, і на деяких смартфонах це неможливо, крім того, в App Store зміна регіону вимагає відмови від усіх підписок.

Цензура може боротися і з засобами обходу обмежень: можуть блокуватися порти, які використовуються під час VPN-з’єднання, може аналізуватися трафік щодо використання VPN і за умови його виявлення блокуватися, врешті-решт можна блокувати сайти, що пропонують послуги VPN або інструкції з обходу блокувань. У Китаї, наприклад, входять у практику суди над продавцями послуг VPN і подальше тюремне ув’язнення. Так, восени 2017 року громадянин КНР Ву Сянян отримав 5 років і 6 місяців в’язниці та штраф понад 75 тисяч доларів США за надання послуг доступу до VPN компаніям і приватним особам.

Завершуючи статтю, хотілося б зазначити: для грамотного користувача навіть обхід такого потужного інструменту цензури, як Великий китайський файрвол, не становить особливих труднощів, я вже не кажу про обхід простих блокувань сайтів за IP-адресою або DNS.

Перевірка наявності інтернет-цензури

Як правило, наявність обмежень перевіряється спробою отримати доступ до потрібного ресурсу або програми, але є один додаток, створений для автоматизації цих завдань, про який я б хотів вам розповісти. Це застосунок OONIprobe – розробка Open Observatory of Network Interference (OONI), підрозділу The Tor Project, що займається дослідженням і боротьбою з інтернет-цензурою в усьому світі.

OONIprobe може автоматично перевірити наявність блокування популярних сайтів, месенджерів, включно з Telegram і WhatsApp. Відстежити маніпуляцію заголовками HTTP або наявність вузлів-посередників – це більше відноситься до стеження, ніж до цензури. Наразі проект перебуває на стадії розвитку, його функціонал постійно доповнюється. Код програми викладено на GitHub. Окрема інструкція з використання OONIprobe не потрібна, це простий та інтуїтивно зрозумілий застосунок.

Додати коментар