В Кремле вновь заговорили о Telegram как о «проблемной» площадке, а ФСБ начало расследование по террористической статье против Павла Дурова. Все идет к блокировке одного из самых популярных мессенджеров россиян вслед за другими соцсетями и онлайн-сервисами. Мы решили задать самые частые вопросы о VPN, прокси и других способах обхода блокировок эксперту по цифровой безопасности Денису Альшанову — что действительно работает, чего стоит опасаться и к чему готовиться пользователям.
— Почему одни VPN работают стабильно, а другие быстро «умирают»? От чего зависит их живучесть?
Если вы смотрите иностранных ютуберов, у них VPN рекламируется как способ посмотреть Netflix из другой страны. Но в России ситуация другая: здесь VPN пытаются выявлять и блокировать как класс. Государство устраивает охоту на VPN. В результате разработчики постоянно сталкиваются с тем, что что-то ловится, а что-то нет. Сегодня VPN работает, а завтра — перестает. Есть и другая причина. Даже если протокол еще не научились выявлять, конкретный сервер может оказаться в заблокированной подсети — например, потому что провайдер раньше размещал там VPN. Тогда блокировка происходит автоматически.
Поэтому проекты, которые изначально закладывают, что строится не просто VPN как сервис для подключения из другой страны или для базовой безопасности — а именно как инструмент обхода блокировок, — работают иначе. Они стараются поддерживать доступ постоянно. Все остальные ориентированы на другие рынки, и Россия для них не приоритет.
— Можно ли вообще концептуально вычислить человека, который пользуется VPN? Сейчас появляются исследования о небезопасности VPN.
Первое. Если бы государство могло вычислять всех пользователей VPN, оно бы просто заблокировало все VPN. Точка. Это важно повторять каждый раз, когда пугают штрафами и уголовной ответственностью именно за использование. Если бы технически можно было массово выявлять и блокировать, это бы уже сделали — без пугалок.
Второе. Периодически выходят странные исследования, которые вредят обществу, потому что создают впечатление, будто все VPN одинаково опасны. Например, утверждение, что если не включен дополнительный слой защиты, «товарищ майор» видит, что вы делаете в интернете, — это неправда.
Что реально отслеживается без VPN? Видно, что вы подключились, например, к YouTube или X. Только сам факт подключения к домену. Все остальное — адресная строка, переданные данные — давно зашифровано. Почти все сайты (99,9%) используют HTTPS. Там происходит криптографический handshake, обмен ключами — это сложная система шифрования.
Да, технические ошибки бывают. Были исследования, которые показали, что часть бесплатных VPN на Android вообще не обеспечивали шифрование. Такое возможно. Но это не означает, что все VPN небезопасны. Иногда сервисы обхода блокировок идут на компромиссы: для пользователя главное — получить доступ к информации. Иногда внешний слой маскировки может быть не включен, но внутренний слой шифрования остается. И это не означает, что провайдер видит, что именно вы открываете в поисковике. Это важно понимать.
— Как человеку выбрать нормальный, безопасный VPN? На что ориентироваться россиянину, который хочет обойти блокировки?
Смотрите, можно дать очень сложные рекомендации, но базовая сейчас такая: выбирайте VPN, создатели которого изначально заявляют, что они нацелены на обход блокировок Роскомнадзора. То есть сервисы, которые прямо ориентированы на эту задачу.
Второе — не доверяйте бесплатным VPN, если вы не знаете, кто их предоставляет. Бывают ситуации, когда общественные или международные организации, в том числе созданные выходцами из России, дают бесплатный доступ. Но вы должны понимать, что это за организация, и оценивать это самостоятельно.
Третье — если вы выбираете платный VPN, просто погуглите про компанию: кто ее создатели, что это за структура.
Например, есть инициатива Proton — крупная коммерческая компания, цель которой создать безопасный интернет. Но при этом у Proton есть серверы в России. Это повод задуматься. Хотя мы пока не ловили Proton на сотрудничестве с государствами. То есть нужно смотреть, кто стоит за сервисом, какие у него принципы и публичная позиция.
— Могут ли завести дело просто за подписку или оплату VPN? Есть ли реальные риски?
Российское государство любит демонстрировать, что действует по закону. Законы могут быть странными, но они всегда показывают: «у нас есть закон, мы действуем по нему».
Сейчас запрещена реклама VPN. Покупка VPN не запрещена.
Если предположить, что завтра примут закон, запрещающий пользоваться VPN, то ситуация будет любопытной.
Помните закон о запрете поиска заведомо экстремистской информации? По нему было фактически одно показательное дело. Там было видно, что страницу поиска просто обновляли несколько раз.
Если завтра начнут наказывать за VPN, неважно, есть у вас VPN или нет. Теоретически можно просто взять телефон и установить любой VPN с соответствующим названием — и предъявить это. В настройках любого телефона — на Android или iOS — слово «VPN» встречается по умолчанию. Почему тогда за это не наказывать?
Я сомневаюсь, что примут закон в таком виде. VPN — это Virtual Private Network, изначально это технология для подключения к рабочему месту или объединения офисов в одну сеть. Если они решат блокировать все VPN, им придется придумывать огромное количество исключений для бизнеса и корпоративных сетей. Это крайне сложно. Но полностью исключать такую вероятность нельзя.
— В Кремле признают, что сами пользуются VPN. Можно ли сказать, что полностью запретить VPN в России невозможно? И насколько VPN интегрированы в госструктуры и госкомпании?
Да, они явно пользуются VPN. Если зайти в X (Twitter), можно увидеть, как представители власти активно там пишут — от Марии Захаровой до региональных депутатов. Они пользовались, пользуются и будут пользоваться интернетом. Более того, во многих структурах, связанных с государством, есть их внутренний рабочий VPN — который нужен для удаленного подключения к офису. Часто он включает в себя и обход блокировок.
Когда я уезжал из России в 2021 году, из заметных блокировок был LinkedIn, который критичен для многих IT-компаний, и он часто был включен во внутренние корпоративные VPN.
Насколько я понимаю, для обычных сотрудников государственных медиа никаких специальных исключений не делают — они сами ищут работающие VPN.
Если закроют всё, могут сделать какие-то отдельные точки доступа. Но здесь важно смотреть не только технически, а культурологически. Власть считает, что запреты — для «плебса». Они — «баре». Когда Песков говорит, что пользуется VPN, он фактически транслирует: мы понимаем, что можно смотреть в интернете, а вы — нет. Это не технический вопрос, а вопрос отношения к обществу. А как именно технически будет дальше — пока неизвестно.
— Если человек может поднять свой собственный VPN-сервер, это надежнее, чем пользоваться коммерческим сервисом?
Это надежнее в том смысле, что это точечная установка, и ее сложнее найти. Но важно понимать: VPN — это не одна технология, а целый спектр разных технологий и протоколов. Если пять лет назад достаточно было поднять любой VPN с любым протоколом, который вы смогли настроить, то сейчас это гонка. Если человек способен самостоятельно развернуть сервер — прекрасно. Если есть знакомый, который может помочь — тоже отлично. Еще лучше, если можно оплатить сервер, например, криптовалютой, установить туда VPN и пользоваться. Это хороший вариант.
— Как будет развиваться борьба государства с VPN? Будут ли усиливать давление?
События последних недель, особенно ситуация с Telegram, показывают, что они к чему-то готовятся. Это не техническое наблюдение, но у меня есть ощущение, что их подталкивает Иран — к тому, чтобы быть готовыми максимально всё закрыть.
Могут ли они технически задействовать «рубильник» и сделать что-то вроде «великого китайского фаервола»? Организационно — да. Это будет сложно. В Китае есть два момента:
Первое — доступ к глобальному интернету там есть, но за дополнительные деньги и не очень быстрый. Второе — Китай развивался в условиях изначально ограниченного интернета. Российский интернет морально к этому не готов. И технически не факт, что будет готов. Тем не менее, они могут озлобиться и попытаться закрыть всё.
Нас во многом спасает то, что точек входа трафика в Россию больше одной. Глобальная сеть устроена сложно и непредсказуемо. Даже в соседних странах провайдеры иногда переключают маршруты, если возникают проблемы из-за российских блокировок.
Мы не можем готовиться к одному сценарию — нужно быть готовыми ко всем.
Есть опыт Ирана и Китая. Люди, которые борются за свободу информации, они многому научились на этих примерах. Многие современные протоколы обхода блокировок впервые появились именно в Китае.
Видео-версию интервью с экспертом и ответы на другие вопросы о том, как оставаться на связи, невзирая на блокировки, смотрите в нашей программе.