Разобрались, как в Беларуси блокировали интернет в августе 2020, и почему ничего не получилось и не получится.

Красавік 26, 2021 12:53

Что случилось?

В августе 2020-го беларусы впервые столкнулись с отключенным на несколько суток интернетом по всей стране. Слухи о том, что сразу после президентских выборов такой сценарий возможен, ходили некоторое время накануне. Но представить это было сложно.

Некоторые компании заранее вывезли за границу специалистов, для которых доступ в интернет был критичен. Другие смогли организовать доступ изнутри страны, обходя блокировки. Типичные пользователи интернета сами искали обходные решения. В этом материале мы разбираемся, почему такой шатдаун стал возможен и может ли он повториться.

Почему это случилось? Официальные версии

9 и 10 августа Национальный центр реагирования на компьютерные инциденты (CERT) заявлял о массированной DDoS-атаке на инфраструктуру сети BY-NET. Специалисты центра утверждали, что в эти дни фиксировали различные типы DDoS-атак, направленные на переполнение канала связи. Их цель – создание мощного потока запросов (пакетов данных), который начинает конкурировать за канал с обычным трафиком. В результате такой атаки пользователи либо видят нестабильную связь, либо же связь пропадает полностью.

Этой же версии придерживался «Белтелеком», который таким образом объяснял проблемы с доступом в интернет у своих абонентов:

«Это привело к значительной перегрузке каналов, сбою и выходу из строя телекоммуникационного оборудования и, как следствие, затруднениям с доступом для абонентов к отдельным ресурсам и сервисам сети интернет».

Национальный центр обмена трафиком также заявлял о DDoS-атаках и аварийно-восстановительных работах на сетях партнеров на территории сопредельных государств. Каких партнеров имели в виду, в НЦОТ не уточняли. Однако нам не удалось найти подтверждений, что такие работы проводились. А версию, что это шатдаун, а не авария, подтверждают профессиональное сообщество и эксперты

Крупные белорусские мобильные провайдеры тоже не озвучили экспертного мнения о причинах недоступности интернета. Многие компании, включая крупных игроков (A1МТСlifeCosmosTV«Деловая Сеть»), сослались на «проблемы у вышестоящих провайдеров», которыми являются НЦОТ и «Белтелеком».

При этом судебные заседания о не работавшем в августе интернете (ответчиком был оператор А1) проводили в закрытом режиме. «В ходе заседаний общество не получило никакой новой информации о том, что за действия привели к недоступности зарубежного интернета 9–12 августа 2020 года», – говорит юрист и правозащитник Алексей Козлюк.

2 апреля 2021 года белорусские власти представили проект поправок в закон «Об электросвязи». Проектом предложили «наделить Оперативно-аналитический центр при Президенте Республики Беларусь правом принимать решения о приостановлении или ограничении функционирования сетей электросвязи и входящих в них средств электросвязи в определенных законопроектом случаях».

Насколько реальны версии властей?

DDoS-атаки обычно не приводят к проблемам с оборудованием, что бы под этими проблемами ни подразумевалось. Между крупными поставщиками услуг используются технические механизмы для отсечения атак (bgp blackhole, bgp flowspec). Отсечь атаку на оборудование становится рабочей, выполнимой задачей в течение минут, максимум – часов. Тем более при атаках на конкретные интернет-ресурсы невозможно «уронить» всю сеть.

Национальный центр реагирования на компьютерные инциденты отчитывался об «атаках» 9 августа и 10 августа. 

«Злоумышленники использовали следующие технологии воздействия: DP Flooding, UDP Fragment, UDP0 Flooding, DNS Flooding, ICMP Misuse, NTP Flooding. Суммарная мощность некоторых превышала больше 200 Гбит/с. Технические решения по защите (Anti-DDoS) провайдеров отразили указанные атаки, однако, по нашей информации, начались проблемы с оборудованием», – писали на сайте CERT.

Но эти типы атак направлены на перегрузку канала. К тому же реальная пропускная способность внешних каналов НЦОТ составляет 600–700 Гбит/с, а «Белтелекома» – 1500. Поэтому мощность атак в 200 Гбит/с – это немного. При таком сценарии могли бы не работать некоторые целевые ресурсы, на которые идет атака, клиенты провайдера заметили бы, что интернет «тормозит».

Атаки, после которых что-то выходит из строя, – это атаки другого типа. Тогда взламывают оборудование и целенаправленно выводят его из строя. 

При создании CERT заявляли, что подразделение сотрудничает с международными командами для совместного решения глобальных и локальных угроз. Между тем никаких заявлений извне Беларуси о подобных атаках не было. 

Кстати, еще одну версию, почему не работает интернет, озвучил Александр Лукашенко:

«Кому-то неймется, призывают выходить на улицы. Даже из-за границы отключают интернет, чтобы вызвать недовольство у населения», – заявил он 10 августа.

Однако Беларусь получает доступ в интернет не из одного источника. Чтобы такой сценарий стал возможен, нескольким десяткам независимых друг от друга провайдеров и точек обмена трафиком из разных стран нужно договориться между собой. Вероятность утечки информации о таком сговоре очень велика. Мы же не нашли таких новостей, и никаких доказательств такого сценария представлено не было. 

Зато мы узнали, что по ночам 19 июня и 16 июля 2020-го белорусские пользователи фиксировали фильтрацию некоторых протоколов, включая TLS, SSH, OpenVPN, IPSEC. Предположительно это делали на внешних каналах НЦОТ и «Белтелеком».

В это же время также не работали Viber и Telegram, а у многих государственных и коммерческих провайдеров перестали работать корпоративные VPN-туннели, обеспечивающие связь между различными офисами и регионами. Были затронуты корпоративные сети крупных организаций. Например, «Белорусской железной дороги» и «Газпрома».

«Важно смотреть на экономические и репутационные риски. Я почти уверен, что им самим не понравилось то, что происходило. На интернет сейчас завязано администрирование практически всех бизнес-процессов.

Возьмем, например, логистику. В крупных городах логистические и транспортные процессы планируются и управляются через интернет – представьте, что происходит, если транспорт не может развезти скоропортящиеся продукты питания со складов по магазинам?» – говорит о ситуации в Беларуси директор российской некоммерческой организации «Общество защиты интернета» Михаил Климарев.

Следующим важным событием было произошедшее 8 августа в 21:00 отключение страны от зарубежных IPv6-сетей «Белтелекомом» и НЦОТом. На графиках платформы Radar от QRATORLABS видно, что с 9 августа у «Белтелекома» количество провайдеров IPV6 упало с 8 до 0, а у НЦОТ – с 6 до 1 и синхронно вернулось к предыдущим значениям 13 августа.

 Вероятность того, что 13 из 14 зарубежных поставщиков интернета у двух отдельных операторов одновременно отключат свои IPv6-каналы связи, минимальна, а значит отключение произвели на белорусской стороне, то есть на стороне «Белтелекома» и НЦОТ. 

Мы предполагаем, что связь по IPv6-протоколу отключили либо для того, чтобы не создавать дополнительную нагрузку на оборудование DPI, либо по причине того, что DPI-платформы вообще не были настроены на фильтрацию IPv6-трафика.

Более реальная версия отключения интернета в Беларуси

Более реальным выглядит сценарий отключения интернета в стране по внутренним причинам. Его делает возможным сама структура Байнета1.

Во-первых, даже в сравнении с соседями мы подключены лишь к 18 провайдерам, через которые получаем доступ к международному сегменту интернета. 

____________________

1Тут и далее в качестве источников информации о провайдерах (автономных системах) и поставщиках интернет-соединения используются данные из базы AS Relationships организации Center for Applied Internet Data Analysis по состоянию на декабрь 2020 г. Используются данные модели Serial-1, отношения client-provider, игнорируются записи peer. 

В качестве информации о стране автономной системы – данные из базы по состоянию на декабрь 2020-го.

Ближайшие соседи превосходят Беларусь по количеству подключений минимум в 3 раза. А лидер в этом списке – Нидерланды (один из мировых центров обмена интернет-трафиком) – соединяют более 281 интернет-компаний. 

Но это не главная проблема. Как мы писали выше, вероятность того, что 18 независимых частных компаний вступят в сговор, чтобы отключить Беларусь от интернета, крайне мала. Серьезные риски наступают, когда трафик приходит в Беларусь и контролируется лишь несколькими национальными провайдерами.

Только 2 из них («Белтелеком» и НЦОТ) имеют право продавать доступ в интернет внутренним провайдерам (неважно, каким интернет провайдером вы пользуетесь, ваш трафик все равно пройдет через сеть одного из двух монополистов) либо напрямую конечным пользователям.

Потоки трафика из зарубежных источников смыкаются в две точки, которые становятся бутылочным горлышком всей системы. Оба провайдера – «Белтелеком» и НЦОТ – являются государственными. Кроме Беларуси подобное устройство, когда доступ в зарубежную сеть предоставляют только по два провайдера, имеется лишь в двух странах – Азербайджане и Таджикистане.

Такая монополия делает интернет уязвимым не только с точки зрения внешних атак, если они действительно происходят. Риски ошибки персонала, сбоя оборудования и последствия, которые они влекут за собой, становятся выше. 

Был ли шатдаун преднамеренным?

Шатдауном называют преднамеренное полное отключение интернета, снижение пропускной способности сети или же блокировку отдельных сервисов для контроля над потоком информации. Это делает их недоступными или фактически непригодными для использования частью населения или в пределах географического местоположения. 

Белорусские пользователи в августе 2020-го испытывали трудности с доступом, но все-таки могли подключиться, используя специализированные VPN для обхода блокировок, а также незашифрованное соединение (HTTP). Стандартные VPN-приложения при этом блокировали – наиболее популярные сервисы оказались бесполезны.

Мы считаем, что причиной такой блокировки стала некорректная работа DPI-оборудования, которое не справилось с нагрузкой. Технологию Deep Packets Inspection (технология глубокого анализа пакетов) разработали для фильтрации и приоритезации информации, передаваемой через интернет. Изначально технология создавалась для повышения качества обслуживания интернет-пользователей.

Немного про DPI

Интернет изначально строился по принципу сетевого нейтралитета – все пользователи и все типы трафика имели одинаковый приоритет. Этот подход использовали при изобретении телеграфа в середине XIX века – телеграммы доставлялись одинаково, на равных условиях, без попыток различать их содержание и регулировать их принадлежность к тому или иному техническому способу доставки.

Подобный принцип неплохо работает на сообщениях с приблизительно равной длиной. С развитием разнообразных развлекательных интернет-сервисов в Сети начала преобладать доля тяжелого контента, например трансляций видео в HD-качестве, и интернет-каналы оказались перегружены. Это привело к тому, что обычный контент, например веб-сайты, начал загружаться медленнее и пользователи стали испытывать дискомфорт.

DPI-системы создавали для того, чтобы приоритезировать или блокировать трафик определенного типа, тем самым улучшая качество обслуживания клиентов. Например, в сетях мобильных операторов, где пропускная способность сети ограничена, DPI-системы используют, чтобы в первую очередь передавать содержимое, чувствительное к задержкам. Система вашего мобильного оператора может быть настроена так, что чувствительный к задержкам видеозвонок передадут с более высоким приоритетом, чем, например, загружаемый через торренты фильм.

Белорусский оператор сотовой связи МТС еще в 2011 году начал развертывать системы DPI, чтобы предоставить абонентам специальные тарифы в зависимости от типа трафика. Например, дешевые анлимы без возможности скачивать торренты или с бесплатным использованием YouTube, мессенджеров и социальных сетей.

Государственные провайдеры также используют DPI-системы

4 сентября 2018 года на сайте Центра электронных торгов НЦОТ разместил приглашение на закупку оборудования подсистемы полного анализа сетевых пакетов (DPI) на сумму 2 500 000 USD.

В сентябре 2020-го журналист Bloomberg Райан Галлахер опубликовал в своем твиттере информацию об оборудовании Sandvine, установленном на площадке в НЦОТ в Минске.

Он написал, что в НЦОТ стоит оборудование Sandvine Policy Traffic Switch. По имеющейся у нас информации, в двух точках присутствия НЦОТ в Минске установлено оборудование с пропускной способностью 800 Гбит/с на каждую точку, то есть 1,6 терабит суммарно. Важно отметить, что реальная пропускная способность зависит от множества факторов – типов проходящего трафика и сложности правил его обработки.

На сайте НЦОТ пишут, что на начало 2020 года внешний шлюз предприятия составлял 410 Гбит/c. Однако, по имеющейся у нас информации, реальная пропускная способность внешних каналов НЦОТ на сегодняшний день составляет около 700 Гбит/с.

«Белтелеком» закупил и использует DPI-платформу Huawei SIG9800 (внесена в реестр сертификации ОАЦ 12.08.2016).

Расчетная суммарная пропускная способность данного оборудования в указанном количестве составляет около 1020 Гбит/с. Это рассчитано исходя из того, что, согласно списку из реестра сертификации ОАЦ, в Белтелеком поставили 8 единиц DPI Huawei SIG9800-X16 (пропускная способность до 120 Гбит/с) и одну единицу X8 (до 60 Гбит/с).

По состоянию на август 2020 года пропускная способность внешнего канала «Белтелекома» составляла около 1340 Гбит/с, что на 30% превышает пропускную способность установленного оборудования, а значит, в пиковые периоды нагрузки оборудование не способно справиться с проходящим объемом трафика.

В Беларуси технологию DPI использовали во вред

Мы предполагаем, что власти хотели блокировать VPN-сервисы, мессенджеры и сайты независимых СМИ. Но из-за неправильных настроек DPI-оборудование не справилось. В защиту этой версии также говорит и то, что не нужно устанавливать дорогостоящее DPI-оборудование, чтобы отключить Беларусь от зарубежных сетей.

9 августа около 8 утра в Беларуси перестали работать некоторые технологии.

1 Стандартные популярные VPN-сервисы, например ExpressVPN, NordVPN. Целью блокировки было не дать пользователям зайти на заблокированные сайты.

2 SSH-доступ. Это шифрованный протокол связи, который используют для администрирования серверов и в качестве прокси-сервера, чтобы зайти на заблокированные сайты.

3 Сайты независимых СМИ и политические ресурсы, например euroradio.fm и belarus2020.org.

4 Мессенджеры Telegram и Viber.

5 Около 12:00 9 августа начались сбои доступа ко многим зарубежным сайтам с использованием SSL. 

В 2020 году 99% сайтов, которые вы открываете через браузер, используют SSL/HTTPS, поэтому не работали практически все зарубежные ресурсы, включая сервисы Google. В подтверждение – ссылка на Google Transparency Report, на графике видно, что отсутствует вечерний прирост потребления интернета, который начинается около 18 часов.

Мы предполагаем, что DPI-оборудование включили в «Белтелекоме» и НЦОТ около 8 утра, а днем, когда трафик вырос, оно перестало справляться с нагрузкой, и подавляющее большинство пакетов начали пропадать.

Михаил Климарев уверен, что в Беларуси интернет собирались фильтровать.

– Но оборудование не справилось. О деталях сложно говорить, но, вероятнее всего, сказался ряд факторов. Квалификация у руководства и технических специалистов не очень высокая, а у продавцов стоит задача продать решение – они получают деньги от заключенной сделки. Гарантировать работоспособность такой сложной платформы можно только после тестирования в реальных условиях. Практически события 9–12 августа и были таким провалившимся тестом.

Но власти все равно не взяли ответственность на себя

– Фактически все официальные лица заняли позицию: интернет не работал по причине атаки из-за рубежа. Точка. Никто не заявил о работе с иностранными партнерами, о международном расследовании, о требовании наказать виновных, – рассказывает Алексей Козлюк. – У общества все так же нет ответчика, или ответственного лица, которому можно предъявлять претензии, кроме, конечно, тех, кто отвечает за телекоммуникационную инфраструктуру по связи Беларуси и иностранных государств.

В моем понимании те провайдеры, которые пострадали из-за недоступности интернета и не могли полноценно оказывать услуги, должны были обратиться с претензиями к тем, кто за эту отрасль отвечает. Дальше могли бы провести расследование и сделать выводы. Например, изменить общую политику в отношении инфраструктуры, которая оказалась настолько уязвимой к такого рода действиям.

Однако на поверхности никаких действий не происходит – нет видимых действий со стороны участников рынка, со стороны регулятора и тех, кто отвечает за инфраструктуру. Нет уволенных юристов и руководителей спецслужб.

А еще оказалось, что в Беларуси нет никакой процедуры, которая регулирует отключение интернета.

– Отключение интернета – крайняя мера, которая вряд ли когда-нибудь может быть признана необходимой и пропорциональной. Но даже если отойти от целей отключения и остановиться исключительно на процедуре, то и здесь очевидно нарушение. Если у госоргана нет прямого полномочия выключать интернет, то он и не может отдать такое распоряжение, – говорит Алексей. – Даже если в законе предусмотрена возможность выключить интернет, должна быть четко прописана процедура, как и кем принимается решение по отключению интернета, а также должна быть возможность оспорить такое решение в суде. Все эти гарантии в Беларуси отсутствуют.

Поэтому в условиях, когда адвокатирование, лоббирование и использование других юридических инструментов недоступно, остается самозащита. Нам никто не запрещает и сейчас, в условиях юридического дефолта и отсутствия нормального законодательства в области защиты цифровых прав и свобод, защищать их самостоятельно.

Я говорю о просвещении и об использовании технических средств обхода блокировок и шатдаунов. Чем больше людей владеет подобными инструментами, тем менее эффективны блокировки и шатдауны. Это значит, что у государства в целом и у конкретных людей в частности будет меньше оснований делать это из-за снижения эффективности. Да, это вечная гонка вооружений, но она достаточно эффективна, потому что гражданское общество априори более гибко и мобильно.

Во всем мире это называется digital resistance – цифровое сопротивление. Мы видим неправовой характер действий правительства и отсутствие диалога о развитии интернета в Беларуси, и мы делаем то, что мы можем, – ненасильственно сопротивляемся.

Что делать, чтобы у вас был интернет, даже когда его блокируют?

Рекомендации ниже основываются на опыте, который мы получили 9–12 августа 2020-го. Тогда в стране блокировали протоколы безопасной связи HTTPS, а также стандартные протоколы VPN: IPsec, OpenVPN, L2PT и др.

Но существуют решения, которые помогут типичному пользователю полноценно и комфортно пользоваться интернетом во время блокировки, если ее принципы останутся прежними.

Для этого нужно использовать приложения для обхода блокировок, созданные с целью прохождения фильтров DPI. Например, Psiphon, Tachyon, X-VPN, Lantern, HotSpot Shield, Betternet, Tor с использованием Bridge.

Принцип их работы можно описать так.

1. Для того чтобы система DPI не блокировала подключения, такие приложения маскируются под другие, безобидные типы трафика, поэтому система DPI не понимает, что это VPN-подключение, и беспрепятственно пропускает его. Некоторые приложения (например, Psiphon) автоматически подбирают оптимальный доступный протокол при подключении, а некоторые дают пользователю возможность вручную выбрать метод маскировки (например, X-VPN, предлагающий 10 протоколов на выбор).

2. Используются методы подключения peer-to-peer. В этом случае трафик не только маскируется под безобидный, но и соединения происходят не с конкретным сервером в интернете, а с адресами других VPN-клиентов. Это усложняет их обнаружение и блокировку на системе DPI, которая в данном случае вынуждена отслеживать соединение с каждым из peer, а это очень ресурсоемкая операция.

Мы также рекомендуем иметь возможность оперативного переключения между провайдерами, использующими НЦОТ и «Белтелеком» в качестве вышестоящих провайдеров.

Например, если вы используете домашний кабельный интернет byfly (бренд «Белтелеком»), а у соседей подключен кабельный интернет A1 или МТС (на момент публикации они оба подключены через НЦОТ), то в случае включения блокировки можно попробовать переключаться между ними и снова воспользоваться приложениями обхода блокировок из списка выше. Во время шатдауна 9–12 августа мы наблюдали, что «Белтелеком» фильтровал трафик менее агрессивно, чем НЦОТ. Можно попытаться использовать в качестве резервного канала мобильный интернет, однако с августа 2020 года его отключают чаще.

Также мы рекомендуем связаться с вашим провайдером и запросить информацию о том, как он сможет помочь во время шатдауна или фильтрации. Провайдеры могут заранее знать и обновлять информацию о возможных средствах обхода блокировок, а также предлагать своим пользователям скачивать их со своих сайтов вместе с инструкциями по установке и настройке. 9–12 августа 2020-го некоторые местные провайдеры неофициально рекомендовали своим пользователям решения для обхода блокировок.

– В таких чрезвычайных ситуациях, как была в августе, можно организовывать любительские радиолинки, – рассказывает еще и о других способах Михаил Климарев. –  Или пользоваться мобильным интернетом, который доступен с территории соседних государств.

С помощью радиолинков на любительском оборудовании за 100–200 долларов можно организовать радиосвязь на скорости 30–50 мегабит на расстоянии около 10 километров. Тут можно почитать, как это сделать в домашних условиях.

А можно поставить симку зарубежного оператора и поехать к пограничному переходу –  «поймать» сеть зарубежного оператора получится и за несколько километров до границы.

Но до такого доходить не должно

Мы уже писали, что монополия двух государственных провайдеров – «Белтелекома» и НЦОТ – делает интернет в стране уязвимым. Чтобы ситуаций, которые произошли в Беларуси в августе 2020-го, не повторилось, нужно демократизировать систему.

Частные провайдеры должны получить возможность подключаться к международным сетям и между собой напрямую. Это повлечет не только рост надежности за счет повышения связанности с зарубежными и местными поставщиками интернета, но и поможет снизить стоимость доступа к зарубежным сетям за счет здоровой конкуренции вместо существующей олигополии. Как результат – повышение качества при снижении цены.


 Текст подготовлен при содействии партнеров:

Short title: 
Как блокировали интернет в Беларуси в августе 2020