Как Узбекистан (возможно) блокирует сайты

 

В ночь на 5 сентября в работе крупнейшей социальной сети Facebook произошел мощный сбой. Пользователи со всего мира сообщали о самых разных проблемах: у кого-то не прогружалась лента, кто-то не мог оставлять реакции, а кто-то, пытаясь зайти на сайт или в приложение, просто получал ошибку. Самые сильные сбои можно было прочувствовать на обоих побережьях Северной Америки, в Центральной Европе, Японии и Австралии. А еще — в Узбекистане.

Через несколько дней глобальные проблемы закончились. Пользователи из разных стран перестали жаловаться на ошибки, но в Узбекистане социальная сеть по-прежнему работала крайне плохо. К началу следующей недели, 10 сентября, карта от Downdetector (сервиса, который отслеживает сбои крупных соцсетей, мессенджеров и магазинов) отмечала проблемы Facebook лишь в двух местах планеты — Венесуэле и Узбекистане.

Вечером 11 сентября социальная сеть снова заработала, а пользователи могли свободно смотреть ленту, загружать медиафайлы и оставлять комментарии. Но за неделю проблемного доступа во многих блогах и некоторых СМИ появились записи о «блокировке». Основание для этого — факт, что площадка становится местом для критики правительства, и факт, что многие информационные ресурсы об Узбекистане уже больше десяти лет не открываются на территории страны. 16 сентября у Facebook начались новые проблемы, и не только в Узбекистане, но и в Италии.

Основываясь на этой истории, Hook.report вспоминает, как технические проблемы отстранили Узбекистан от некоторых информационных ресурсов, изучает, какие способы помогают ограничить доступ к определенным сайтам, и предполагает, к чему могут привести такие проблемы.

 

Внимание! В материале есть описание технологий. Однако текст предназначен для широкого круга читателей, и поэтому редакция может допускать некоторые упрощения, способные сделать теоретическую часть более понятной.

 

 

Часть 1

Заблокировать нельзя открывать

──────────

 

Называть проблемы с доступом к некоторым ресурсам «блокировками» формально некорректно. Блокировка — отчасти юридический термин. Он подразумевает, что у государства прописаны механизмы, которыми тот или иной сайт можно «запретить» и «ограничить». Близкий пример — Россия, где за блокировку отвечает Роскомнадзор, суды и провайдеры. Органы исполнительной власти жалуются на сайты в суд, суд принимает решение о блокировке, Роскомнадзор заносит адрес ресурсов в свой реестр, а затем требует от интернет-провайдеров блокировку.

В Узбекистане такого механизма пока нет — он будет, без участия суда, но с участием экспертной комиссии Узбекского агентства по печати и информации. А пока проблемы с доступом, которые пользователи испытывают на ресурсах вроде ozodlik.org, fergananews.com или uzmetronom.com, — это «технические проблемы».

Все началось во второй половине 2000-х, после андижанских событий, официальный взгляд Ташкента на которые сильно разнился с мнением других стран. Самые ранние записи, которые касаются проблем с доступом, можно найти на Uforum (в ветке упоминается и «заблокированная» до этого «Фергана»). В феврале 2007 года речь шла о том, что власти «заблокировали» ресурс navoi.name, который, к слову, потом снова начал работать.

С того времени у пользователей периодически возникали проблемы с доступом на зарубежные информационные ресурсы. Пользователи отмечали трудности и сравнивали, какой из сайтов лучше (или вообще) работает у разных интернет-провайдеров. Так, например, материалы «Ленты» о президентских выборах 2007 года до сих пор недоступны. В разных ветках форума люди обсуждали, насколько такое положение дел правомерно и не нарушает ли оно законодательство Узбекистана, которое гарантирует каждому гражданину свободный доступ к информации.

Иногда на форуме обсуждали и проблемы местных ресурсов. Например, сайт informator.uz, чей владелец пытался выяснить, как и за что его СМИ перестало работать. Ключевой момент из обсуждения — факт, что провайдеры и регистраторы доменных имен могли просто так (теоретически — «по указке») отключить адрес сайта.

 

 

К слову, мысли о регламентированном процессе блокировки были уже давно. С 2004 года в УзАПИ действует Центр мониторинга в сфере массовых коммуникаций, который должен следить за тем, чтобы информационные ресурсы не распространяли запрещенную информацию. Однако о праве блокировки в документах ничего нет. Центр мог лишь наблюдать и сообщать о нарушениях в «соответствующие органы власти»

 

«Четкого регламента как действовать при нарушениях пока нет, — писал в 2007 году руководитель центра «Узинфоком» Джалолитдин Рахимов. — Все дело в том, что мониторинг только начал давать результаты. До этого ничего не делалось. В ближайшее время будет совещание между компетентными органами, чтобы сделать его правильным и менее болезненным, чтобы владельцы сайтов точно знали, куда звонить, а не осаживали наши телефоны.

Как мы [в «Узинфокоме»] видим [этот процесс]: По идее, замечания должны уходить владельцу домена [либо] напрямую, либо через его регистратора, так как именно регистратор держит в своей базе контакты клиента плюс имеет договор на его обслуживание. Если же по истечении положенного времени нарушения не устраняются, то регистратор вправе заблокировать домен.

Если регистратор этого не делает, то [это] делаем мы, плюс выставляем претензию регистратору о невыполнении своих функций. При систематическом невыполнении регистратором своих функций у него может быть отозвана аккредитация как регистратора. Владельцы доменов (его клиенты) будут переведены (перейдут) к другим регистраторам».

Таким образом, Центр «Узинфоком» работает только с регистраторами. Но может вмешаться в их работу, если соответствующие функции ими не выполняются»

 

Но регламент так и не появился (по крайней мере в открытом доступе). Зато у зарубежных сайтов появлялись новые проблемы. В марте 2010-го на «Ленте» вышел материал, при попытке зайти на который пользователи попадали на главную страницу ресурса. Заметка, ссылаясь на Uznews, рассказывала о бородатом мусульманине из Самарканда, которого «попросили» принести справку, что он не участник запрещенных организаций. Сейчас материал доступен. Так же, как и материал BBC об отказе британского супермаркета продавать узбекский хлопок, который, по словам издания, собирали школьники (сейчас он доступен). Какое-то время не работали карты от Google на домене .com, в то время как карты .ru спокойно открывались.

 

 

Часть 2

Играем в прятки с сигналом

──────────

 

Со стороны пользователей доступ к сайтам в интернете выглядит просто — достаточно лишь пройти по ссылке или ввести в браузере адрес сайта. Но движение информации во всемирной сети происходит намного сложнее, и некоторые технические моменты открывают возможности для намеренных или случайных технических проблем.

Каждый сайт или ресурс интернета так или иначе расположен на сервере, то есть на физическом диске, куда поступают запросы от пользователей. У каждого хранилища есть собственные адреса, которые называют IP-адресами (internet protocol). Когда пользователь пишет в адресной строке браузера нужный ему сайт, он запускает цепочку движения информации, которая в итоге приводит его на нужный ресурс.

 

 

Исходящий от пользователя запрос идет к серверу, который обрабатывает его и отправляет свой ответ. На этот процесс ресурсам дается ограниченное время, и если пользователь не получит ответ за определенный срок (измеряется в миллисекундах), то браузер перестанет «ждать» и напишет, что ресурс не ответил вовремя. Этот механизм позволяет снижать нагрузку на глобальном уровне — запросы, которые остаются без ответа, перестают «участвовать» в движении и не мешают остальным. Но, с другой стороны, появляется окно для проблем.

Сетевые запросы передаются и обрабатываются на нескольких уровнях (протоколах). На самом верхнем уровне — провода, оптоволоконные кабели, радиосвязь и прочие ощутимые элементы. Но «глубже» подключаются внутренние прикладные протоколы — механизмы, которые можно назвать «правилами общения». И если на определенном этапе что-то мешает работе такого протокола, сигнал от пользователя не доберется до сервера, сервер, соответственно, не ответит, а пользователь получит ошибку. Нарушить цепь можно и «на выходе» — сигнал спокойно дойдет до сервера, но его ответ не доберется до пользователя.

На скриншоте — сайт «Ферганы». Браузер показывает ошибку протокола и объясняет, что время на ответ сервера закончилось. Сайт физически существует, однако пользователь из Узбекистана не может его увидеть.

 

 

Теоретически нарушение протоколов можно использовать для ограничения доступа к определенным ресурсам. Однако некоторые специалисты, с которыми общался Hook, назвали этот способ «топорным». Например, есть более «красивые» — тот же российский, когда запросы на определенные IP-адреса из реестра «Роскомнадзора» перенаправляются на другую страницу. На ней — заглушка, которая наглядно объясняет, когда и почему тот или иной ресурс оказался заблокированным.

Правда, если работать с IP, появляется проблема. На одном IP могут быть разные сайты (их сервера), и доступ, соответственно, теряется у всех. Весной этого года, блокируя постоянно меняющиеся IP-адреса Telegram, «Роскомнадзор» мешал работать множеству других, совершенно не запрещенных в стране сервисов.

 

 

Часть 3

Заблокированный Facebook

──────────

 

Обычно на своих экранах пользователи видят лишь конечный результат — сообщение, которым сервер ответил на отправленный запрос. Однако путь , по которому сигнал двигается туда и обратно, чаще всего выглядит очень сложно.

На своем пути запрос должен пройти через несколько десятков, а то и сотен точек, так называемых узлов. Изучить маршрут довольно просто — нужно открыть командную строку и, используя команду tracert, ввести адрес или IP нужного ресурса. Так, например, выглядит путь до сервера, где расположен Hook:

 

 

Мы видим путь из 21 точки с определяемым IP (про неопределяемые — чуть позже). Первые три — локальные данные конкретного пользователя, следом идет адрес East Telecom. За ними (номера 5 и 6) — точки, принадлежащие «Узбектелекому», несколько российских, а в самом конце — адрес из США (проверить принадлежность IP-адреса можно через сервис 2ip, который в 2014 году тоже временно испытывал проблемы).

В случае с Facebook путь выглядит так:

 

 

После тех же двух точек «Узбектелекома», через которые сигнал покидает страну, идет российский IP (Узбекистан закупает интернет-канал, выходящий из России), США, а в самом конце — дата-центр Facebook в Ирландии.

То, каким маршрутом пользователи добираются до финальной точки, обычно определяют сами соцсети. Они настраивают маршруты так, чтобы у пользователей было как можно меньше проблем, а скорость соединения оставалась стабильной. Но маршруты обычно не бывают слишком длинными, потому что в общении между пользователем и сервером есть еще один показатель — TTL. Time to live (время жизни) — максимальное количество переходов между разными точками сети. Чаще всего максимальный TTL равен 255, после 255-го запроса сигнал обрывается, а пользователь получает ошибку.

Проверить TTL можно в командной строке, используя команду ping. У Hook, например, остается только 44 единицы от TTL (на 15 сентября 2018 года):

 

 

У Facebook — 55:

 

 

Это значит, что перед Ирландией сигнал пользователя совершает 200 переходов. При том, что tracert обнаружил лишь 10 определенных точек.

Если отправить запросы на последний адрес «Узбектелекома» (кстати, Евгений Скляревский заметил, что почти такой же сервер появился в цепочке во время проблем «Живого Журнала» в 2007 году) и первый адрес из-за границы (195.69.190.137 и 178.18.255.98), то разница TTL составит 191 пункт. Это показывает, что где-то между последней точкой «Узбектелекома» и первой точкой за рубежом находится еще 191 неопознанное устройство:

 

 

Установить, относятся ли они к «Узбектелекому», территории Казахстана или России не получится. Правда, TTL до сайтов в Tas-IX (сеть на территории Узбекистана) тоже остается на уровне 60 пунктов. Специалисты, с которыми общался Hook, говорят, что с большей вероятностью неопределенные точки находятся на территории Узбекистана. Вот ping до местных ресурсов:

 

 

Социальные сети уровня Facebook сложнее, чем обычные сайты. Если последние расположены, как правило, на одном конкретном сервере, то содержимое социальных сетей может находиться в абсолютно разных местах. Например, текстовое содержимое может «лежать» в Ирландии, изображения — в Калифорнии, а реклама и персональные данные пользователей — в Индии. Посылая запрос на facebook.com, пользователь открывает «оболочку», а устройство продолжает отправлять новые запросы по другим адресам. Впоследствии (при благоприятном исходе) из этого собирается готовая страница социальной сети.

 

Однако, учитывая 191 «пустой» переход на пути из Узбекистана, любое удлинение маршрута может исчерпать лимит TTL, оставив пользователей без ленты.

 

Специалисты рассказали Hook, что, учитывая будущие изменения в шифровании сигналов интернета, Facebook действительно мог тестировать новые маршруты для пользователей из разных стран и тем самым «забрать» пункты TTL для пользователей из Узбекистана. В этом случае даже возможно, что сотрудники «Узбектелекома» могли спокойно пользоваться социальной сетью, работая «в штатном режиме», так как их путь до ирландского дата-центра был немного короче. Ресурс «Инфоком» в качестве ссылки на эту публикацию даже привел пост «Узбектелекома» в Facebook.

В 2010 году у Facebook уже были проблемы. Некоторые зарубежные СМИ писали, что социальную сеть заблокировали, однако в итоге все оказалось не так страшно.

 

 

Часть 4

Обойти и выйти

──────────

 

В 2007 году обойти «блокировки» могли только «знающие» люди — как минимум те, кто знал, как пользоваться поисковыми системами. Они могли спокойно найти сайты-анонимайзеры (многие из них, к слову, также начинали испытывать проблемы), которые позволяли открывать «внутри себя» то, что не открывалось просто так. Более продвинутые пользователи использовали то, что сегодня знакомо многим, — прокси-серверы и VPN.

По сути, все эти методы изменяют самое основное — физическое положение каждого пользователя. Если упростить, то пользователь отправляет исходный запрос не на финальный сервер нужного ему ресурса, а на сторонний, у которого нет описанных выше проблем. Тот сервер уже от своего имени связывается с нужным ресурсом и возвращает пользователю данные. Да, в этом случае сигнал направляется в обе стороны немного дольше, из-за чего скорость соединения и ответа несколько снижается, однако технология позволяет действительно получать искомую информацию, даже несмотря на то, что без нее ресурс недоступен.

В России анонимайзеры и VPN практически запрещены, им нельзя пускать пользователей на запрещенные сайты. В Узбекистане — нет. Даже летний проект постановления, в котором многие нашли формулировку, схожую с запретом VPN, на самом деле не трогает эти сети. Мининфоком, разработчик документа, заверил пользователей, что спорные места касаются, скорее, взломов Wi-Fi, нежели VPN. И это логично, ведь сама технология (virtual private network — частная виртуальная сеть) часто используется не для обхода «технических проблем», а для связи филиалов крупных компаний, расположенных в разных частях планеты, страны, города или даже одного здания.

 

 

Исправить «проблемы» можно и некоторыми другими способами. Например, в браузере от «Яндекса» есть турборежим, который помогает быстрее загружать страницы и экономить трафик. В этом случае браузер «общается» с ресурсами через серверы «Яндекса» (по аналогии с прокси) и пускает пользователей на некоторые (не все) заблокированные ресурсы. Также может помочь гугл- или яндекс-переводчик. Если добавить в окно перевода ссылку на нужный материал, а затем открыть ее из соседнего окна с переведенным текстом, ресурсы, также обработанные другими серверами, начинают работать.

 

 

Часть 5

Чего ждать дальше?

──────────

 

«Разница в том, что там совершенно другие механизмы. Там блокируют без решения суда, а просто после каких-то указаний интернет-провайдеру от властей, от правительства или каких-то других органов. Самая главная проблема в том, что там не на кого подавать в суд», — говорил в своем интервью «Голосу Америки» главред «Ферганы» Даниил Кислов.

А пока «технические проблемы» многих ресурсов замечают лишь рядовые пользователи. В отличие от них, главное информагентство страны УзА упоминает материалы с «Озодлика» и «Узметронома», а ташкентский хокимият опровергает сообщения узбекской службы BBC. При этом факт того, что государство на уровне отдельных ведомств не признает проблемы с доступом, в некоторых случаях может плохо сказываться на имидже. Например, во время проблем с Facebook «Узбектелеком» заявил, что «не имеет отношения к блокировкам» и «все работает в штатном режиме». Многие комментарии в социальных сетях показывали, что пользователи не доверяют подобным сообщениям, особенно учитывая то, что национальный оператор опубликовал их почти через неделю после начала проблем.

Проблемы с Facebook даже привели к тому, что бесплатные VPN-сервисы стали одними из самых популярных приложений в магазинах Apple и Google. В отличие от 2007 года, обойти технические проблемы сейчас может практически каждый, кто умеет скачивать приложения на смартфон. Об этом писали и российские СМИ во время блокировки Telegram. Обобщая, все сводится к мысли, что блокировки только поднимают известность ресурса, и даже школьники начинают понимать, что такое VPN и как им пользоваться.

 

 

С другой стороны, в Китае официально запрещены многие социальные сети, сервисы и мессенджеры. И пользователи не страдают — созданные аналогичные продукты вроде WeChat собирают сотни миллионов пользователей, дают людям нужный функционал и постоянно развиваются даже в сторону электронной оплаты и заменителей документов. Однако в Узбекистане еще не было прецедента, чтобы местный продукт был популярнее аналогичного зарубежного. В первую очередь потому, что у зарубежных уже есть имя, охват и намного более проработанные системы.

 

До сентября 2018 года в Узбекистане не было ни одного прописанного механизма, по которому тот или иной ресурс можно было бы считать «неправильным» и официально заблокировать. Теперь он есть — блокировками будут заниматься специальный Центр мониторинга и «Узбектелеком». Центр будет искать запрещенную информацию (порнографию, экстремизм, наркотики) и добавлять ее в реестр, а главный провайдер страны — блокировать.

В отличие от российской модели, где решение о блокировке принимает суд, а не регулятор, в модели Узбекистана суд сможет подключиться уже после блокировки. Но и это кажется сдвигом, ведь решение регулятора действительно можно будет оспорить.

 

Текст: Борис Жуковский

 

Расскажите друзьям: