После неоправданного и трагического вторжения России в Украину в конце февраля мир внимательно следил за тем, как российские войска пытались продвинуться по территории Украины, но украинский народ встретил сопротивление и отбросил их. Точно так же мы наблюдаем значительное количество кибератак в регионе. Мы продолжаем работать над защитой растущего числа украинских правительственных, медийных, финансовых и некоммерческих веб-сайтов, а также защитили украинский домен верхнего уровня (.ua), чтобы сохранить присутствие Украины в Интернете.
В то же время мы внимательно следили за значительной и беспрецедентной активностью в Интернете в России. Российское правительство предприняло шаги по ужесточению контроля как над техническими компонентами, так и над контентом Рунета. Со своей стороны, люди в России делают что-то совсем другое. Они внедряют инструменты для поддержания доступа к глобальному Интернету и ищут нероссийские медиа-источники. Этот пост в блоге описывает то, что мы наблюдали.
Правительство России устанавливает контроль над Интернетом
За последние пять лет российское правительство предприняло шаги по ужесточению контроля над суверенным Интернетом в пределах границ России, включая законы, требующие от российских интернет-провайдеров устанавливать оборудование, позволяющее правительству отслеживать и блокировать интернет-активность, и требующие создания исключительно российского DNS (вне ICANN). И это создало механизмы для российского правительства, чтобы контролировать, как Россия была подключена к глобальному Интернету, чтобы они могли отключить вилку, если они хотели.
После российского вторжения в Украину российское правительство сделало ряд заявлений, связанных с выполнением своих суверенных законов об Интернете. Российским госорганам было поручено перейти на российские DNS-серверы, перевести общедоступные ресурсы на российские хостинги и предпринять ряд других шагов, направленных на снижение зависимости от нероссийских провайдеров. Хотя некоторые восприняли эти инициативы как заявление о том, что Россия намерена отключиться от глобального Интернета, пока Россия, похоже, не использовала имеющиеся у нее инструменты, чтобы полностью отключиться от глобального Интернета. Мы по-прежнему наблюдаем успешную обработку подключений в России через нероссийскую инфраструктуру.
Тем временем российские власти предприняли ряд целенаправленных действий по блокировке веб-сайтов и операторов, которые они считают нежелательными. Первоначально чиновники преследовали популярные сайты социальных сетей, такие как Facebook, Instagram, Twitter и YouTube, а также русскоязычные СМИ, базирующиеся за пределами страны.
Мы можем видеть влияние некоторых из этих блокировок на трафик от российских пользователей на различные новостные сайты в России и Украине до и после введения блокировки.
В каждом случае эти новостные сайты продемонстрировали экспоненциальный рост трафика в дни, предшествовавшие вторжению в Украину 24 февраля. Но это увеличение было компенсировано в течение нескольких дней действиями по блокировке трафика на эти сайты. Блокировки имели разную степень успеха в течение первых нескольких недель, хотя каждая из них, похоже, в конечном итоге преуспела в отказе в доступе к этим источникам новостей через традиционные интернет-каналы.
Но это только половина истории. По мере того как российское правительство предприняло шаги по контролю над традиционными каналами доступа в Интернет, произошли изменения в способах использования Интернета многими россиянами.
Граждане России обращаются к инструментам для выхода в открытый Интернет
Россияне внедряют приложения и инструменты, которые позволяют им взаимодействовать с Интернетом в частном порядке и избегать некоторых механизмов, которые российское правительство использует для контроля и мониторинга доступа к Интернету. В то время как самые популярные приложения в Apple App Store в большинстве стран мира в марте по-прежнему связаны с социальными сетями и играми, таблица лидеров в России выглядела совсем иначе:
Все самые популярные приложения в России в марте были предназначены для частного и безопасного доступа в Интернет или зашифрованных приложений для обмена сообщениями, включая самое загружаемое приложение — собственное приложение Cloudflare WARP / 1.1.1.1 (рекурсивный DNS-преобразователь на основе конфиденциальности). Этот список популярных приложений резко контрастирует с любой другой страной в мире.
Из-за значительной и важной популярности WARP (1.1.1.1) мы получили подробное представление о том, как именно это произошло. Если мы оглянемся на начало февраля, то увидим, что WARP-инструмент Cloudflare мало использовался в России. Его использование началось с первых выходных войны и достигло своего пика две недели назад. Позже, после того, как эта виртуальная миграция на такие безопасные инструменты стала очевидной, мы увидели попытки заблокировать доступ к инструментам, используемым для безопасного доступа в Интернет.
В то время как уровни отступили от своего пика, большое количество россиян продолжают использовать Cloudflare WARP в России на значительно более высоких уровнях, чем до войны.
В дополнение к тому, как россияне используют Интернет, все больше полагаясь на частную и зашифрованную связь, мы также наблюдаем изменения в том, к чему они пытаются получить доступ. Вот диаграмма DNS-запросов от российских пользователей к известной американской газете. Недавний трафик DNS для сайта увеличился в пять раз по сравнению с довоенным уровнем, что указывает на то, что россияне пытаются получить доступ к этому источнику новостей.
А вот DNS-трафик крупного французского источника новостей. Опять же, количество поисковых запросов в DNS значительно выросло, поскольку россияне пытаются получить к нему доступ.
А вот и британская газета.
Картина ясна из этих трех графиков. Россиянам нужен доступ к нероссийским источникам новостей, и, учитывая популярность частных инструментов доступа в Интернет и VPN, они готовы работать, чтобы получить его.
Линия фронта против кибератак
В дополнение к услугам, которые мы смогли предоставить рядовым гражданам в России, наши серверы на границе Интернета внутри страны также позволили нам обнаруживать и блокировать исходящие оттуда атаки. Когда атаки нейтрализуются внутри России, они никогда не выходят за пределы России. Это всегда было частью предложения распределенной сети Cloudflare — выявлять и блокировать кибератаки (особенно DDoS-атаки) локально и до того, как они начнутся.
Вот как выглядела DDoS-активность, исходящая из России и заблокированная там Cloudflare с начала февраля. Обычная DDoS-активность, исходящая из российских сетей и заблокированная там серверами Cloudflare, относительно невелика в течение февраля, но затем резко возрастает в середине марта.
Чтобы было ясно, возможность определить, откуда исходит трафик кибератак, не то же самое, что возможность указать, где находится злоумышленник. Установить атрибуцию кибератак сложно, и сейчас самое время быть особенно осторожным с атрибуцией. Кибер-злоумышленники довольно часто запускают атаки из удаленных мест по всему миру. Это часто происходит, когда они могут захватить устройства в других странах с помощью таких вещей, как искажения IoT (Интернет вещей).
Но даже с такой уловкой мы все равно наблюдаем значительное увеличение количества заблокированных атак, которые поражают наши серверы в России.
Несколько недель назад, когда вторжение в Украину было на начальной стадии, я заметил, что «России нужно больше Интернета, а не меньше». Во время беспрецедентных экономических санкций со стороны США и Европы раздавались призывы ко всем иностранным компаниям пойти дальше и полностью покинуть Россию, включая призывы к интернет-провайдерам отключить Россию. Чтобы было ясно, Cloudflare ведет минимальную торговую и коммерческую деятельность в России — у нас никогда не было юридического лица, офиса или сотрудников там — и мы предприняли шаги, чтобы гарантировать, что мы не платим налоги или сборы российским правительство. Но, учитывая значительное влияние наших сервисов на доступность и безопасность Интернета, мы считаем, что полное удаление наших сервисов из России принесет больше вреда, чем пользы.
Хотя мы глубоко ценим мотивацию призывов к компаниям уйти из России, этот уход интернет-компаний может иметь непреднамеренный эффект продвижения и укрепления интересов российского правительства по контролю над Интернетом в России. Попытки отрезать Россию от глобального Интернета через ICANN и RIPE только отрезают россиян от информации о войне на Украине, к которой российское правительство не хочет, чтобы они имели доступ. После того, как ряд американских центров сертификации прекратили выдачу SSL-сертификатов для российских веб-сайтов, Россия отреагировала в начале марта, рекомендовав российским гражданам вместо этого загрузить российский корневой центр сертификации. Как отмечает EFF, «временная мера российского государства по поддержанию работы своих служб также позволяет шпионить за россиянами сейчас и в будущем».
Вот почему эксперты почти все согласны с тем, что российский Интернет должен оставаться максимально открытым для россиян. Десятки групп гражданского общества призвали правительства работать над противодействием авторитарным действиям «и гарантировать, что санкции и другие меры, направленные на опровержение незаконных действий российского правительства, не приведут к обратным результатам, усиливая усилия Путина по установлению контроля над информацией». Российские активисты за цифровые права умоляли поставщиков услуг предоставить россиянам бесплатный доступ к VPN, чтобы они не оставались изолированными от мировых источников новостей. Даже Государственный департамент США ясно дал понять: «Крайне важно поддерживать поток информации к народу России в максимально возможной степени».
Поддерживая нашу миссию по созданию лучшего Интернета, наша команда в течение шести недель напряженно следила за развитием событий и круглосуточно работала над тем, чтобы обеспечить защиту украинской веб-собственности и обеспечить доступ обычных россиян к глобальной сети Интернет. Мы по-прежнему трепетно относимся к мужественным украинцам, вставшим на защиту своей родины, и продолжаем надеяться, что воцарится мир.
