Роскомнадзор пытается блокировать новые прокси Fake TLS для Telegram, которые работают по принципу стеганографии

На этой неделе Роскомнадзор начал массово блокировать прокси-серверы Fake TLS для Telegrаm. Источники в околотелеграм-сообществе подтвердили, что блокировки начались в середине недели, а в субботу утром стали массовыми, пишет ^[1] издание «Код Дурова», которое специализируется на мониторинге сбоев Telegram.

Fake TLS — новый вариант обхода блокировок, который Telegram ввёл в эксплуатацию в начале августа 2019 года ^[2]. Эти прокси работают по принципу стеганографии, притворяясь обычным трафиком TLS.

При использовании такой стеганографии посторонний злоумышленник не сможет применить систему DPI для фильтрации трафика Telegram по содержимому пакетов: «При использовании нового протокола, поток MTProto оборачивается в стандартный HTTPS (первые сообщения о согласовании туннеля) в котором идет передача домена (ненастоящего). После согласования протокола MTProto — Fake-TLS не используется, далее трафик начинает ходить привычным нам MTProto протоколом со случайной длиной (dd — ключи)».

Первые экспериментальные прокси Fake TLS используют домен Google.com при подключении, то есть провайдер или DPI видят HTTPS-соединение к Google.com. Но при этом (временно на время тестирования) указан реальный IP-адрес сервера Fake TLS Proxy.

В будущем авторы Fake TLS Proxy обещают реализовать ввод других доменов кроме Google и не пускать клиентов, если они используют другой домен при согласовании подключения: «Если сервер будет стоять в облаке от того же Google и при согласовании используется какой-то домен Google — тогда и эвристический анализ не поможет, со стороны все будет выглядеть так, как будто какой-то сервис Google работает по HTTPS/TLS протоколу».

Но пока Fake TLS не заработал в полную силу, у Роскомнадзора есть техническая возможность блокировать прокси старым добрым методом: по IP-адресам. Что они и делают: «Ранее Роскомнадзор игнорировал новый тип прокси Fake TLS, однако теперь начал вычислять их IP-адреса и добавлять в чёрный список, — пишет «Код Дурова». — Однако это не значит, что новый тип прокси не эффективен. Он создавался для обхода DPI, а не блокировок «старым» методом через IP. Как и раньше, обойти такую блокировку можно лишь постоянной сменой IP-адресов — необходимо делать это быстрее, чем их будет банить российский регулятор».

DPI на Урале

Некоторое время назад Роскомнадзор также начал устанавливать систему DPI у провайдеров на Урале ^[3]. После проверки, какое оборудование наиболее эффективно блокирует Telegrаm ^[4], Роскомнадзор выбрал оборудование производства компании RDP.RU.

Карта сбоев Telegram ^[5] показывает, что некоторые пользователи в Уральском федеральном округе действительно испытывают проблемы с доступом. О сбоях сообщают в Екатеринбурге, Челябинске, Тюмени и Нижнем Тагиле.

Впрочем, количество жалоб не критичное. Похоже, у большинства жителей региона всё нормально работает.

Пилотный проект по переводу всего Уральского федерального округа на DPI будет завершён к концу года, после этого начнётся развёртывание системы в других регионах. «После сдачи пилота будут оценивать, насколько «токсичным» он был для пользователей, то есть влиял ли на сервис, а также было ли заблокировано всё из реестра запрещённых сайтов Роскомнадзора и не заблокировали ли что-то лишнее», — сказал участник пилота на Урале.

Эксперты предупреждают, что сбои неизбежны. Если в сеть добавляется новое оборудование для маршрутизации и DPI, то повышается задержка и замедляется скорость работа интернета.

Закон об изоляции вступает в силу с 1 ноября 2019 года. Согласно закону, Роскомнадзор сможет контролировать все точки передачи данных за границу и маршрутизацию трафика, в том числе с помощью специального оборудования у провайдеров. Кроме того, операторы могут установить «технические средства, определяющие источник передаваемого трафика… Они должны обладать возможностью ограничить доступ к ресурсам с запрещённой информацией не только по сетевым адресам, но и путём запрета пропуска проходящего трафика».

К пилотному проекту присоединились все крупные операторы, сказал ^[7] руководитель Роскомнадзора Александр Жаров: «В настоящее время осуществляется монтаж оборудования на сетях основных операторов связи, и мы с конца сентября в течение нескольких недель будем его тестировать. Тестировать его мы будем, как и говорили всегда, в тесном сотрудничестве с операторами связи осторожно, <...> то есть мы будем сначала проводить техническую проверку, влияет на трафик, не влияет на трафик, все ли сервисы работают успешно. И потом уже протестируем его в боевом режиме. Пока всё идет нормально, когда эксперимент завершится, я расскажу о результатах», — пообещал Жаров.

Завершить испытания планируется в середине октября. Жаров сказал, что создание центра мониторинга и управления сетью связи общего пользования тоже идёт в плановом режиме.

Сами операторы не комментируют проект: «Что вы от нас хотите, мы просто исполняем закон. Надо поставить оборудование — значит поставим», — сказал ^[8] представитель одного из провайдеров в Челябинске.

Минутка заботы от НЛО

Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить

• Не пишите оскорбительных комментариев, не переходите на личности.
• Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).
• Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи ^[9].

Что делать, если: минусуют карму ^[10] | заблокировали аккаунт ^[11]

→ Кодекс авторов Хабра ^[12] и хабраэтикет ^[13]
→ Полная версия правил сайта ^[14]

Автор: alizar

Источник ^[15]