Классические коммерческие VPN-сервисы, к которым привык массовый пользователь (те самые, где достаточно нажать одну кнопку в смартфоне), доживают последние месяцы. Таким прогнозом в беседе с "Газетой.Ru" поделился Сергей Грибанов, основатель компании INSYTE Electronics, производителя системы "Умный Дом INSYTE".
"То, что мы наблюдаем сейчас на магистральных каналах и узлах провайдеров, это уже не точечная борьба с неугодными сайтами, а планомерная зачистка всего обходного транзитного трафика", — заявил он.
По словам Грибанова, долгое время системы глубокого анализа трафика, такие как DPI и аппаратные комплексы ТСПУ или технические средства противодействия угрозам, стоящие у провайдеров, работали по принципу черных списков: видели обращение к запрещенному домену или IP-адресу и сбрасывали соединение.
"VPN это легко обходил, поскольку внутри зашифрованного туннеля провайдер не видел конечную точку маршрута. Но проблема популярных VPN протоколов, таких как OpenVPN, IPsec или классический WireGuard, в том, что у них предельно узнаваемые заголовки пакетов. Они создавались десятилетия назад для организации защищенных каналов между филиалами корпораций, а не для пряток от государства. Сегодня ТСПУ не нужно знать, куда вы идете. Железка видит характерную сигнатуру (грубо говоря, "почерк") того же WireGuard на нестандартном порту и просто уничтожает пакеты и разрывает соединение", — объяснил эксперт.
Что реально приходит на смену VPN? По мнению Грибанова, эпоха шифрования сменилась эпохой мимикрии.
"Вся техническая тусовка и энтузиасты уже давно ушли на современные протоколы проксирования — VLESS, Shadowsocks-2022, Trojan. Суть этих технологий в том, что они не просто прячут ваши данные, а маскируют сам факт наличия туннеля под легитимный HTTPS-трафик. Для системы DPI провайдера ваше подключение к заблокированной соцсети выглядит так, словно вы читаете Википедию, обновляете Windows или просматриваете сайт зарубежного интернет-магазина", — сказал он.
Более того, механизм позволяет "прикрываться" чужими TLS-сертификатами крупных корпораций.
"Заблокировать такой трафик по сигнатуре невозможно, так как он выглядит как обычный веб-серфинг. Это не гипотезы, это реальность, которая отлично работает прямо сейчас и позволяет без потери скорости смотреть видео в 4K. В теории можно вспомнить про Tor с мостами Snowflake, когда трафик маскируется под интернет-телефонию и идет через браузеры обычных пользователей, но для повседневного использования с тяжелым контентом это слишком медленно", — заявил эксперт.
Можно ли заблокировать вообще все существующие способы обхода блокировок? По мнению Грибанова, технически — нет.
"Математику обмануть нельзя. Чтобы отлавливать хорошо замаскированный трафик, DPI-системе нужно переходить от чтения заголовков к глубокому анализу данных: анализировать степень их "случайности" пакетов, тайминги или начать активно проверять сервера-адресаты, прикидываясь обычным клиентом", — сказал он.
В масштабах провайдера уровня страны анализировать каждый бит с такой детализацией в реальном времени — это запредельно дорогая инфраструктурная задача.
"Оборудование банально "ляжет" от недостатка вычислительных мощностей. Чтобы закрыть 100% лазеек, есть только один рабочий вариант: переход на модель "белых списков". Это значит, что интернет по умолчанию не работает за пределами страны, а доступ открывается только к конкретным разрешенным шлюзам. На это рубильника хватит", — предполагает специалист.
Но риски у подобных мер колоссальные, предупредил Грибанов.
"Современный интернет — это сложнейшая каша из облаков, CDN-провайдеров, микросервисов и API. Вы не можете устроить массовую блокировку пулов IP-адресов зарубежных хостингов или начать жестко резать неизвестные протоколы без сопутствующего ущерба. Когда начинают "закручивать гайки", под раздачу неизбежно попадает гражданская ИТ-структура. За одним IP-адресом условного Cloudflare могут скрываться тысячи сайтов, от криминальных до абсолютно легальных. Вы блокируете подсеть, потому что там спрятался чей-то VPN-сервер, и в ту же секунду у вас в половине страны "отваливаются" кассовые аппараты в супермаркетах, терминалы оплаты, перестают ходить транзакции между серверами банков, падают приложения логистических служб и маркетплейсов. Их внутренние процессы часто завязаны на глобальные сертификаты, метрики, капчи и балансировщики нагрузки, находящиеся за границей", — поделился он.
Полностью безопасных массовых блокировок не существует, и это "всегда стрельба по ногам собственной экономике", заявил эксперт.
"Если давать честный прогноз, то до конца 2026 года массовые коммерческие VPN для среднего пользователя исчезнут. Постоянные поиски рабочих приложений, падение скорости в ноль и обрывы связи каждые десять минут просто вымотают людей, и большинству придется смириться с реальностью суверенного интернета. Произойдет жесткий водораздел", — прогнозирует он.
Технически грамотная часть общества окончательно перейдет на аренду личных виртуальных серверов за рубежом, поднимая собственные скрытые узлы связи для себя, семьи и друзей, предполагает Грибанов.
"Глобальный интернет никуда не исчезнет, просто доступ к нему перестанет быть кнопкой в телефоне и станет привилегией тех, кто обладает минимальными навыками работы с консолью и готов тратить время на настройку правильных протоколов", — резюмировал он.
Свежие комментарии