- Global Voices по-русски - https://ru.globalvoices.org -

Эволюция Великого китайского файрвола: 21 год цензуры

Категории: Восточная Азия, Китай, гражданская журналистика, закон, политика, технологии, цензура, Advox

Коллаж изображений Ойван Лам

В сентябре 1987 года пекинская лаборатория отправила то, что стало первым e-mail в Китае. Сообщение германскому университету содержало [1] [анг] фразу: «Преодолевая Великую китайскую стену, чтобы соединиться с миром».

В последние два десятилетия развитие инфраструктуры интернета позволило китайцам пересекать «Великую стену» и общаться с остальным миром. Однако китайские власти вскоре возвели другую стену, чтобы не дать людям доступ к информации, которая, по их мнению, представляет опасность для Коммунистической партии Китая.

В 1996 году в Пекине вступил в силу набор временных постановлений, регулирующих компьютерную информацию, и в 1998 году министерство госбезопасности запустило проект «Золотой щит» — национальный фильтр, блокирующий политически чувствительному контенту попадание в домашнюю сеть.

Эту тактическую схему цензурирования с давних пор называют Великим файрволом; она проходит периодические усовершенствования с момента первого включения, так как усилия людей пересечь её никогда не останавливались. Некоторые люди описывают это взаимодействие между Великим файрволом и китайскими интернет-пользователями как беспрерывный «побег из тюрьмы».

Недавно платформа журналистских расследований из Гонконга Initium провела обзор [2] [кит] сопутствующей эволюции Великого файрвола и средств для его обхождения. Ниже мы кратко изложим и частями переведём основные пункты этого доклада на китайском.

Первый этап: «Золотой щит» блокирует доменные имена и IP-адреса

Первое поколение «Золотого щита» — это внутренний фильтр, блокирующий некоторые доменные имена и IP-адреса некоторых серверов:

「牆」就像一個邪惡的郵差,只要看到你的信封上寫上 Google 或 Facebook 等網站的地址,就會直接將信件丟棄。

Великий файрвол подобен злому почтальону; видя, что конверт адресован Google или Facebook, он выкидывает письмо.

Используя зарубежные серверы, то есть прокси-серверы, люди могли обойти эту стену и посещать любые сайты, какие хотят:

就好像你將一封希望寄給 Google 的信,先寄給一位認識好郵差的朋友,再由他幫你轉寄給 Google。

Это похоже на следующую ситуацию: вы хотите отправить письмо в Google. Сперва вы отправляете письмо другу, который знает хорошего почтальона, а затем этот почтальон передаёт письмо дальше в Google.

Второй этап: «Золотой щит» внедряет цензуру по ключевым словам

Фильтрующая по ключевым словам система «Золотого щита» была улучшена до способности обнаруживать контент сайтов, которые посещают пользователи, даже если интернет-соединение идёт через прокси. Если через интернет-соединение передаётся «чувствительный контент», протокол передачи данных (TCP) перезапускается:

這時候,「牆」就如一名資訊審查員,拆開你的信件,只要發現你提到敏感資訊,便將你的信丟棄。

В этом случае Великий файрвол действует как инспектор информации. Он может вскрыть ваше письмо и выбросить его, если найдётся чувствительное содержимое.

[3]

Пути цензурирования поста в Weibo. Схема от Citizen Lab (CC BY 2.5)

Чтобы предотвратить такую инспекцию, китайские пользователи начали использовать виртуальные частные сети или VPN для преодоления Великого файрвола. Изначально VPN использовались глобальными корпорациями для защиты коммерческих тайн; их внутренние сообщения проходили по частным сетям и шифровались для того, чтобы третья сторона не могла обнаружить послания, отправляемые по сети.

Другими словами, VPN-сервер за пределами Китая может безопасно передавать запросы на посещение китайским пользователем любого стороннего сайта.

Третья стадия: Великий файрвол начинает обнаруживать VPN и другие пути обхода

Поддерживаемые правительством разработчики Великого файрвола наконец справились с обнаружением слабостей VPN. Они выяснили, что у широко используемых протоколов VPN — IPSec, L2TP/TPSec и PPTP — есть некоторые очевидные особенности, они часто используют специфические порты. То есть при обработке зашифрованного соединения остаётся заметный след.

Великий файрвол был вновь усовершенствован для обнаружения подобных «необычных» следов соединений:

這就好比「牆」雖然看不懂你的信件,但能從你信件內容中經常使用的筆跡和標點符號出現頻率,分析出你的真實意圖。

Это можно представить так: хотя Великий файрвол не может прочесть ваше письмо, он может анализировать намерения вашего письма, основываясь на почерке и частоте знаков пунктуации.

В 2011 году Великий файрвол временно заблокировал два ведущих VPN-протокола: PPTP и L2TP. Однако экономический ущерб от блокировки оказался грандиозен. После этого систему усовершенствовали с целью замедлять или перезапускать отдельные VPN-соединения.

[4]

VPN-диаграмма, широко распространнённая в сети

Для того, чтобы решить эту проблему, разработчики открытого кода из GitHub совместно создали новый инструмент — Shadowsocks.

Также, как и VPN, Shadowsocks — технология обхода блокировок. Она шифрует соединение между пользователем и сайтом, который он хочет посетить, однако соединение трудно обнаружить третьей стороне, поскольку Shadowsocks позволяет пользователю выбирать различные методы шифрования и назначать случайный порт.

Помимо этого, Shadowsocks — проект с открытым кодом, поэтому даже если изначальным разработчикам придётся под давлением властей удалить код, опубликованный на GitHub, другие разработчики смогут продолжить разработку кода и поддержку его вариантов, таких как ShadowsocksR и V2Ray.

Когда китайское правительство стало блокировать всё больше и больше сайтов, включая неполитические онлайн-игры, фотосайты и социальные сети, спрос на средства обхода возрос. Отдельные разработчики построили успешный бизнес на приложениях обхода блокировок для пользователей сети с помощью Shadowsocks.

После того, как в 2014 году Apple выпустила апгрейд своей операционной системы до iOS 8, аппараты этой компании начали открывать порты программирования API, связанные с VPN, позволившие другим разработчикам строить частные приложения, зашифрованные VPN. С того времени прокси-приложения, поддерживающие протоколы Shadowsocks, расцвели. Людям нужно было только установить и открыть приложение для соединения с сайтами, запрещёнными китайским правительством, что упростило для обычных пользователей доступ к сайтам за пределами Великого файрвола.

Но китайские власти внимательно наблюдают за всем этим.

Четвёртый этап: законы о кибербезопасности против анонимности и VPN

В дополнение к постоянному усовершенствованию Великого файрвола Пекин также принимает новые законы, криминализирующие деятельность провайдеров VPN-сервисов.

22 января 2017 года китайское министерство промышленности и информационных технологий (МПИТ) анонсировало [5] [анг] «Извещение об очистке и регулировании рынка сервисов доступа в интернет», которое гласит, что:

without approval by the telecommunication management departments, one must not create on his own accord, or hire, dedicated lines (including virtual private networks VPNs) or other information channels to conduct cross-border business activities. Basic telecommunication enterprises leasing dedicated international lines to users, should create a centralized user archive, and make clear to the users that the terms of use of those lines are limited to internal office use, and that the lines must not be used to connect to domestic or overseas data centers or operations platforms to conduct telecommunication operations business activities.

без разрешения отделов менеджмента телекоммуникаций нельзя по своему усмотрению создавать или нанимать специальные линии (включая виртуальные частные сети VPN) или другие информационные каналы для того, чтобы осуществлять международную коммерческую деятельность. Основные телекоммуникационные компании, предлагающие специальные международные линии пользователям, должны создать централизованный архив пользователей и разъяснить им, что эти линии допустимо использовать только для внутренних служебных нужд, а не для соединения с отечественными или зарубежными дата-центрами или платформами для проведения коммерческой деятельности в области телекоммуникационных операций.

Первого июня официально вступил в силу противоречивый «Закон о кибербезопасности», наделяющий обширными правами отделы надзора, увеличивающий ответственность и обязанности операторов интернета, а также требующий от отдельных пользователей регистрироваться под настоящим именем. Эта система наблюдения похожа на работу «Precrime» в американском научно-фантастическом фильме «Особое мнение».

Закон прямо предписывает Apple [6] [анг] убрать приложения VPN из китайского магазина приложений в июле. Китайский партнёр Amazon также предостерёг [7] [анг] своих клиентов от использования облачных серверов для установки VPN-сервера. Он сообщил, что, если обнаружатся клиенты, использующие неодобренные VPN, то их обслуживание будет прекращено.

Ужесточилось давление на отдельных разработчиков и пользователей VPN. Начиная с июля регулярно приходят новости о нападках полиции на разработчиков софта для прокси и их пользователей.

Один из программистов рассказал в Twitter, как его идентифицировала полиция. Он сказал, что полиция определила его IP-адрес через номер QQ, показанный в App store. Полиция наведалась в его квартиру и силой заставила удалить приложение. Позже он пообещал не загружать снова своё прокси-приложение.

В Шэньчжэне некоторые интернет-пользователи были найдены полицией из-за их частых соединений с приложениями прокси. Им был отключён интернет, и им пришлось писать письмо с обещанием никогда больше не пользоваться этими программами для того, чтобы восстановить соединение.

Усилившиеся репрессии напугали отдельных разработчиков и пользователей средств обхода. Один из программистов говорит, что у них осталось только два выхода:

要絕對安全,只有兩條路:一個是不做中文版,包裝成類似 ExpressVPN 這樣的海外公司;另一個……我前天見了一個朋友,他說他認識工信部的人,可以幫我申請 VPN 銷售許可證。這樣就可以徹底洗白了。

Есть только два способа, позволяющие быть в полной безопасности, первый — не использовать китайскую версию приложения и продвигать своё приложение, как если бы оно было зарубежным вроде Express VPN; второй способ…я  встретил на днях друга, и он сказал, что знает кое-кого из тех, кто работают на МПИТ и могут помочь мне получить разрешение на продажу VPN. В этом случае бизнес может быть полностью легальным.

Однако получение лицензии означает работу с правительством над шпионажем за онлайн-активностью пользователей VPN. Он разъясняет:

肯定要按官方要求,記錄用戶身份,保留用戶日誌,到時候上面如果查下來,要什麼數據就給他們。…其實沒幾個用戶在意隱私的,他們只要能翻牆就行了。而只要有人用,我們就有錢賺……

Конечно, вы должны следовать правилам правительства о регистрации личности пользователей, сохранять записи времён входа; и мы должны давать любые данные, которые потребует правительство в будущем… конечно, совсем немного пользователей заботятся об анонимности и всё, что им нужно, — просто перейти эту стену. Пока у нас есть пользователи, мы можем делать деньги…

С технической точки зрения, технологии обхода блокировок превзошли Великий файрвол. Но теперь правила игры меняет новый юридический режим. Сегодня китайский пользователь, желающий быть соединённым с внешней сетью, должен выбирать: бросить ли ему свою анонимность и подписаться на лицензированные VPN-сервисы или преодолеть свой страх полицейского преследования и подписаться на зарубежные средства обхода блокировок.

Через тридцать лет мечта о том, чтобы пересечь Великую стену и достичь любого уголка в мире, уступила место кошмару, в котором свобода людей — под угрозой.