У суботу, 25 траўня, карыстальнікі ў Беларусі скардзіліся на кепскую працу VPN-сэрвісаў. Імаверна, блакаванне было звязанае з выбарамі ў Каардынацыйную раду, якія пачаліся ў той жа дзень. Якім чынам улады блакуюць VPN? Цяпер гэта будуць рабіць пастаянна? Што рабіць, калі ваш сэрвіс не працуе? «Люстэрка» падрыхтавала гайд з адказамі на самыя папулярныя пытанні чытачоў.
Што такое VPN
Тэхналогія VPN (virtual private network) дапамагае зашыфраваць свае дзеянні ў інтэрнэце. Пры ўключаным VPN паміж прыладай карыстальніка і сайтам, на які ён заходзіць, узнікае «пасярэднік» — віртуальная сетка, якая шыфруе трафік і змяняе сапраўдны IP. Такім чынам, правайдар у Беларусі не даведаецца, на якія сайты вы заходзілі. Уладальнікі сайтаў таксама не ўбачаць вашага рэальнага IP.
Фармальна ў Беларусі яшчэ з 2015 года забароненыя ўсе спосабы абыходу заблакаваных сайтаў — у тым ліку і VPN. Але на практыцы (да нядаўняга часу) улады не займаліся актыўным абмежаваннем доступу да іх.
Што адбылося?
У суботу, 25 траўня, у Беларусі былі праблемы з доступам да некаторых VPN-сэрвісаў. Адзін з чытачоў «Люстэрка» пратэставаў чатыры папулярныя сэрвісы — Psiphon, Turbo VPN, HUB VPN и TunnelBear. Усе яны не адкрываліся. Іншыя чытачы «Люстэрка» не маглі скарыстацца ProtonVPN, Windscribe і гэтак далей. Акрамя таго, праект «МотолькоПомоги» паведамляў пра праблемы доступу да замежных сайтаў (нават без VPN).
Як мяркуецца, блакаванне было звязанае з выбарамі ў Каардынацыйную раду, якіяпачаліся якраз 25 траўня. Кіраўнік каманды распрацоўшчыкаў платформы для галасавання на выбарах у КР Павел Лібер пацвердзіў, што заўважаныя спробы блакавання ўнутры краіны, і заклікаў беларусаў не галасаваць без VPN.
Якім чынам блакавалі VPN у Беларусі?
Існуюць два асноўныя спосабы блакавання VPN-сэрвісаў.
Першы. Правайдар можа закрыць доступ да канкрэтнага сервера канкрэтнага пастаўшчыка паслуг (калі ведае IP-адрасы гэтага сервера). Гэты спосаб падыходзіць для блакавання асобных папулярных VPN-сэрвісаў. Звычайна папярэдне ўлады іх уключаюць у чорныя спісы — напрыклад, так часта адбываецца ў Расіі, дзе з 2021 года ўжо заблакавалі каля 170 такіх праграм.
Другі спосаб: закрыць пэўны пратакол, то-бок зашыфраваны канал сувязі, праз які VPN-серверы перадаюць інфармацыю. Такіх пратаколаў шмат (напрыклад, WireGuard, OpenWeb, Stealth VPN, SoftEther, VLess, Xray, Stunnel, Shadowsocks, OpenVPN). Закрыўшы доступ да некаторых з іх, можна сур’ёзна запаволіць ці ўвогуле спыніць працу VPN.
Відаць, 25 траўня ў Беларусі блакавалі працу некаторых з такіх пратаколаў. У прыватнасці, пра гэта казала старшыня Выбарчай камісіі КР Алена Прыходзька. Паведамлялі пра гэта і чытачы «Люстэрка».
— Выкарыстоўваю ўласны VPN, створаны на замежным віртуальным серверы, — ён таксама перастаў працаваць. Спроба перабраць пратаколы падключэння (WireGuard, OpenVPN, IKEv2) не дапамагаюць, — пісаў адзін з іх.
Заблакаваць трафік, які зашыфраваны з дапамогай пэўнага пратаколу, можна з дапамогай спецыяльнага абсталявання — так званай сістэмы Deep Packet Inspection (DPI). Гэта комплекс тэхнічных і праграмных сродкаў, які правайдар усталёўвае на каналы сувязі, каб фільтраваць сеткавыя пратаколы па вызначанай прыкмеце. Вядома, што ў распараджэнні ўладаў Беларусі такое абсталяванне ёсць. Выданне Bloomberg пісала, што яшчэ ў 2018 годзе Беларускі нацыянальны цэнтр абмену трафікам закупіў тэхніку DPI ў амерыканскага вытворцы Sandvine. Відавочна, гэтую сістэму актыўна выкарыстоўвалі ў 2020 годзе для абмежавання працы інтэрнэту ў Беларусі падчас пратэстаў.
— Паводле звестак, якія я маю, у нейкі момант увесь трафік у краіне пачалі пускаць праз нейкі адзін вузел, відаць, гэта і быў гэты DPI. <…> Трафік проста «ўпёрся ў паліцу», таму інтэрнэт у краіне цалкам і знік на нейкі час. Улічваючы, што DPI закуплялі два гады таму, з таго часу аб’ёмы трафіку ў сеціве выраслі, і яны не разлічылі нагрузку, калі вырашылі пусціць яго праз DPI, — апісваў у 2020 годзе імаверную схему блакавання інтэрнэту расійскі эксперт Міхаіл Клімароў.
У верасні 2020 года Sandvine разарвала ліцэнзійнае пагадненне з уладамі Беларусі. Але сістэма DPI у айчынных рэгулятараў інтэрнэту, мяркуючы з усяго, засталася. У прыватнасці, яна згадваецца ў дакуменце пад доўгай назвай «Комплексны план мерапрыемстваў, скіраваных на прыняцце эфектыўных мер па супрацьдзеянні кіберзлачынствам, прафілактыцы іх здзяйснення, павышэнні лічбавай пісьменнасці насельніцтва на 2024−2025 гады». Дакумент знайшлі журналісты «Флагштока» ў пачатку гэтага года на сайце беларускіх школ. У ім апісваюцца планы па блакаванні ў Беларусі VPN, ананімайзераў і проксі-сервераў з дапамогай DPI.
«Вывучэнне магчымасці распрацоўкі і ўкаранення сістэмы праверкі сеткавых пакетаў па змесце (DPI-сістэма) з мэтай рэгулявання і фільтрацыі трафіку для эфектыўнага процідзеяння выкарыстанню ананімайзераў, VPN і проксі-сервераў у супрацьпраўных мэтах у беларускім сегменце сеткі Інтэрнэт», — апісваецца ў дакуменце адна з задач чыноўнікаў і сілавікоў (а дакладней Мінсувязі, МУС, КДБ і ААЦ) на найбліжэйшыя два гады.
Магчыма, нядаўняе блакаванне VPN стала першай спробай рэалізаваць гэтыя планы на практыцы.
Чаму адключэнне VPN у Беларусі — гэта незвычайна?
Раней улады аддавалі перавагу таму, каб глушыць інтэрнэт «дывановым» метадам: адключаць яго ў месцах масавага збору людзей падчас пратэстаў, ладзіць амаль поўную блакаду сеціва ў жніўні 2020 года або масава блакаваць сайты незалежных медыя і грамадзянскіх арганізацый.
Магчыма, цяпер мы назіраем новую тэндэнцыю — спробу кропкавага адключэння асобных платформаў і сэрвісаў. Так, у апошнюю навагоднюю ноч, 31 снежня 2023 года, у Беларусі прыкладна на 20 хвілін перастаў працаваць YouTube — якраз падчас звароту Святланы Ціханоўскай. Цяпер жа ўлады ўпершыню блакавалі працу VPN-сэрвісаў — і таксама падчас важнай для дэмсілаў падзеі.
У Беларусі могуць адключыць VPN назаўжды?
Мы не ведаем, якія планы і тэхнічныя магчымасці ёсць у органаў улады, што адказваюць за кантроль інтэрнэту ў нашай краіне. Але можам параўнаць сітуацыю з Расіяй, досвед якой напэўна ўлічваюць айчынныя чыноўнікі і сілавікі.
Яшчэ ў 2019 годзе ў РФ прынялі змяненні ў законы «Пра сувязь» і «Пра інфармацыю, інфармацыйныя тэхналогіі і пра абарону інфармацыі» (змяненні назвалі «Законам пра суверэнны інтэрнэт»). Паводле яго ўлады могуць кантраляваць пункты злучэння расійскага сегмента інтэрнэту з вонкавым светам. Прадугледжаная магчымасць стварэння інфраструктуры, якая дазваляе расійскаму сегменту працаваць у ізаляцыі, калі аператары сувязі не змогуць падключыцца да замежных каранёвых сервераў інтэрнэту.
Пасля прыняцця закона расійскія ўлады пачалі ўсталёўваць на сетках аператараў спецыяльныя «тэхнічныя сродкі процідзеяння пагрозам» (ТСПП). То-бок той самай сістэмы DPI.
З 2021 года ў Расіі актыўна блакуюць VPN-сэрвісы — у 2023 годзе колькасць забароненых праграм дасягнула 167. Падчас блакаванняў улічваюцца інтарэсы бізнесу, бо VPN шырока выкарыстоўваюць прыватныя кампаніі для стварэння карпаратыўных абароненых сеткавых інфраструктур. «Раскамнагляд» загадзя папярэджвае пра блакаванне тых ці іншых сэрвісаў і просіць прадстаўнікоў бізнесу паведамляць, калі яны карыстаюцца імі ў сваёй працы.
Ні заканадаўчай базы, ні досведу адключэнняў з улікам інтарэсаў бізнесу, наколькі мы можам меркаваць, у Беларусі няма.
Кантроль над лічбавым жыццём грамадзян паступова становіцца больш жорсткім, але казаць пра планы стварыць «суверэнны інтэрнэт» усё ж рана. Напрыклад, два гады таму старшыня Белтэлерадыёкампаніі Іван Эйсмант наракаў, што гэта дорага і складана.
Акрамя таго, масавае блакаванне VPN-сэрвісаў можа балюча ўдарыць па IT-сектары Беларусі. Як мы ўжо пісалі, кампаніі карыстаюцца VPN для стварэння сеткавых інфраструктур (асабліва гэта важна ва ўмовах папулярнасці двстанцыйнай працы, калі трэба стварыць абароненае злучэнне паміж камп’ютарам работніка і ўнутранай карпаратыўнай сеткай). Таксама беларускія айцішнікі часта падключаюць такія сэрвісы, каб хаваць сваю лакацыю, бо ва ўмовах вайны і санкцый заходнія заказчыкі адмаўляюцца працаваць з людзьмі ў Беларусі.
Можна меркаваць, што планам масавага блакавання VPN будзе папярэднічаць стварэнне вялікай заканадаўчай базы і нейкае абмеркаванне ўмоваў з бізнесам (у першую чаргу з IT). Пакуль магчымае кропкавае і эпізадычнае блакаванне VPN-сэрвісаў. Асабліва падчас актыўных палітычных кампаній і ініцыятываў дэмсіл і беларускіх дыяспар за мяжой.
VPN блакуюць — што рабіць?
Першае. Карысна мець пад рукой некалькі працоўных VPN-сэрвісаў. Лепш за ўсё, каб як мінімум адзін з іх быў платны (з платнай падпіскай звычайна працуе значна стабільней). Падборку платных сэрвісаў можна знайсці тут, бясплатных — тут.
Другое. Паспрабуйце пагуляцца з наладкамі сэрвісу VPN, якім карыстаецеся. Звычайна там ёсць магчымасць пераключэння паміж рознымі пратаколамі (нейкі з іх можа працягваць працаваць). Паспрабуйце ўключыць рэжым абфускацыі (англ. оbfuscation) — калі ён прысутнічае ў наладках. У такім рэжыме трафік шыфруецца больш складаным чынам, і ёсць шанец абысці блакаванне.
Трэцяе. Не залянуецеся і напішыце ў службу падтрымкі сэрвісу (асабліва калі на яго аформленая платная падпіска). Там вам могуць пацвердзіць, што складанасці ў працы VPN звязаныя менавіта з блакаваннем, а таксама падказаць, якія наладкі дапамогуць яе абысці. Акрамя таго, калі распрацоўшчык атрымае шмат скаргаў, ён можа пераналадзіць свае сэрвісы так, што беларускія правайдары не змогуць іх выявіць.
Сілавікі актыўна ўмешваюцца ў працу інтэрнэту ў Беларусі. «Люстэрка» папярэджвае пра рызыкі і дае канкрэтныя інструкцыі, як жыць і атрымліваць інфармацыю ў такіх нестабільных умовах. Мы павышаем вашую лічбавую пісьменнасць і клапоцімся і дапамагаем разабрацца ў сітуацыі, калі інтэрнэт штарміць.
Падтрымайце рэдакцыю, каб мы маглі стварыць больш карысных матэрыялаў
Калі вы знаходзіцеся не ў Беларусі, станьце патронам «Люстэрка» — журналісцкага праекта, якому вы дапамагаеце заставацца прафесійным і незалежным. Ахвяраваць любую суму можна хутка і бяспечна праз сэрвіс Donorbox.
Усё пра бяспеку і адказы на іншыя пытанні вы можаце даведацца па спасылцы.
