Цензура DNS-трафика в Малайзии — угроза глобальной интернет-свободе

Малазийская комиссия по коммуникациям и мультимедиа (МККМ) ранее в сентябре ворвалась в информационное поле, приказав интернет-провайдерам страны перенаправлять DNS-запросы, направленные на серверы альтернативных DNS-провайдеров, на свои собственные серверы.

МККМ сопроводила своё решение высказыванием, в котором назвала такой ход направленным на защиту пользователей от «вредоносного контента», а именно от сайтов, «связанных с онлайн-гемблингом, порнографией, нарушениями копирайта, мошенничеством и другими нарушениями малазийского закона».

Перед тем, как углубляться в тему, давайте вспомним, что вообще такое DNS и какова его роль в инфраструктуре сети.

DNS расшифровывается как Domain Name System («система доменных имён»), и это своего рода словарь интернета. Когда вы вбиваете в адресную строку браузера тот или иной веб-адрес, например, www.example.com, вашему компьютеру необходимо перевести эту «человеческую» строку в понятный машине IP-адрес — набор цифр, идентифицирующий тот или иной сервер в сети. Этим переводом занимаются DNS-резолверы. Серверы, служащие DNS-резолверами, обычно управляются интернет-провайдерами или сторонними сервисами.

В контексте указа МККМ, предписание провайдерам перенаправлять DNS-запросы означает, что если пользователь настроил на своём устройстве альтернативный DNS-сервер (например, Google DNS, Cloudflare или AdGuard DNS), его запросы должны быть перехвачены и перенаправлены на собственный DNS-сервер провайдера. Всё это совершается якобы с целью защиты пользователей от «вредоносных» сайтов.

Насколько легко перехватить и перенаправить DNS-трафик

С технической точки зрения, всё это возможно воплотить в жизнь, поскольку провайдеры контролируют DNS-трафик, идущий через их сеть. Однако здесь стоит сделать важную оговорку. Если вы используете незашифрованный DNS-сервер, который использует протоколы IPv4 или IPv6 для сообщения IP-адреса, то ваш интернет-провайдер легко сможет увидеть, какие сайты вы пытаетесь посетить. А если их можно увидеть, то значит их можно и перехватить и даже модифицировать. Исторически, в основной своей массе DNS-трафик остаётся незашифрованным, так что для большинства пользователей картина именно такая.

Но если отправлять запросы по зашифрованному DNS-протоколу, то их перехват будет представлять для провайдера гораздо более сложную задачу. Зашифрованные DNS-протколы, хотя они всё ещё не распространены так широко, набирают популярность, поскольку позволяют закрыть уязвимости, присущие незашифрованному DNS. Сразу несколько защищённых протоколов используются для передачи зашифрованных запросов, наиболее популярные из них — DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT). Стоит выделить также новый передовой протокол DNS-over-QUIC (DoQ), который превосходит их оба в плане надёжности и скорости. Он всё ещё находится на ранней стадии применения: AdGuard DNS стал первым публичным DNS-провайдером, поддерживающим DoQ.

И хотя использование зашифрованного DNS-сервера защищает вашу историю посещённых сайтов от любопытных глаз провайдера, последний всё ещё может понять, что вы используете какой-то альтернативный DNS-сервер. Это возможно благодаря процессу, известному как «бутстрап». Когда ваше устройство впервые устанавливает соединение с зашифрованным DNS-сервером, оно сначала должно получить IP-адрес этого сервера при помощи обычного, незашифрованного DNS. Это даёт провайдеру подсказку, что вы скорее всего используете не его DNS-сервер, а какой-то другой.

Но весь этот процесс в реальности весьма сложен и на практике, вероятно, приведёт к большому числу ложных срабатываний. Так что в контексте практического применения нам не вполне ясно, шагнут ли провайдеры дальше простого перенаправления незашифрованного трафика. Многое будет зависеть от «размаха» указа МККМ и предусмотренных им обязанностей провайдеров. На первый взгляд кажется, что единственным способом не дать пользователям прибегать к альтернативным DNS-сервисам стало бы их полное отключение от интернета, и такое решение выглядит чрезмерным.

Одно можно сказать смело: если вы используете зашифрованный DNS, у вас намного больше шансов защитить себя от насильного перенаправления DNS-трафика.

Исполнение закона задерживается из-за возможных проблем

Спустя несколько дней после публикации закона МККМ заморозила его исполнение. 9 сентября заместитель министра связи Малайзии Тео Ние Чинг заявила, что перед тем, как выпускать закон, авторы законопроекта должны были сначала проконсультироваться с лидерами индустрии. Она упомянула, что такие консультации будут проведены, правда, не предоставив точных дат. «Мы хотим, чтобы МККМ провела надлежащее, всестороннее взаимодействие. Если потребуется месяц — давайте сделаем это. Если потрубуется три месяца — давайте сделаем это», — сказала заместитель министра.

Такой разворот в действиях правительства Малайзии относительно данной проблемы последовал за волной критики, которую МККМ получила после вынесенного провайдерам указания. Есть свидетельства, что некоторые пользователи, использующие публичные DNS-резолверы Google или Cloudflare, столкнулись с проблемами доступа к интернету. С жалобами также выступили некоторые сайты, утверждающие, что доступ к ним был ограничен, несмотря на то, что их содержимое удовлетворяет всем требованиям закона. МККМ посоветовала владельцам таких сайтов обратиться к их интернет-провайдеру, а если это не поможет, то к самой МККМ — но, судя по всему, это не дало результата, поскольку исполнение закона было приостановлено на неопределённый срок.

Существует несколько возможных сценариев того, почему всё пошло не по плану. Но сперва давайте отойдём от этой темы, чтобы обратить внимание на кое-что важное. Во-первых, мы верим, что таким законам не место в современном цифровом мире. Дух этого закона идёт вразрез с идеей свободной сети, но не только с ней — он посягает на наше базовое право выбирать те сервисы, которые мы считаем наиболее подходящими для себя.

И хоть намерения — защитить граждан от вредоносного контента — могли быть благими, передача правительству полного контроля над посещаемыми сайтами слишком рискована и открывает дверь для потенциального злоупотребления. Наше твёрдое убеждение: каждый пользователь должен сам решать, какой контент он хочет потреблять, а какой — блокировать. Существует, например, немало бесплатных публичных DNS-резолверов, таких как AdGuard DNS, которые предоставляют множество различных конфигураций. Таким образом, пользователи всегда могут выбрать тот вариант, который подойдёт именно им. Контроль над онлайн-опытом пользователя должен быть в его собственных руках, а не в руках интернет-провайдера или правительства.

Что же до того, что именно пошло не так с исполнением малазийского закона (помимо всеобщего недовольства), один из возможных вариантов заключается в перегрузке серверов, одобренных правительством, которым пришлось обрабатывать огромный поток запросов, перенаправленных с запрещённых DNS-серверов. Также свою роль могло сыграть большое количество ложных срабатываний, когда не открывались сайты, не представляющие никакой опасности.

Что дальше?

Малазийские власти могли отправить закон на доработку, но это не значит, что он будет переделан с нуля. Идея, заложенная в него, всё так же жива, и велик шанс, что она будет воплощена в жизнь в том или ином виде. Если не в ближайшие недели, то в течение этого года.

МККМ также сказала, что не собирается запрещать VPN-сервисы в качестве меры, направленной на исполнение закона. Шифрование, предоставляемое VPN-приложениями, обеспечивает защиту пользовательских DNS-запросов от мониторинга со стороны првайдера. Провайдер всё ещё может видеть, что пользователь подключён к CPN, и идентифицировать IP-адрес VPN-сервера, но не может получить доступ к содержимому трафика, включая DNS-запросы, сделанные через VPN. Такие DNS-запросы будут обрабатываться собственными DNS-серверами VPN-провайдера.

На первый взгляд, решение не блокировать VPN-сервисы может показаться странным, поскольку использование VPN поставит под угрозу эффективность закона. Одно из возможных объяснений может заключаться в том, что власти не ожидают, что значительное количество людей будет возиться с настройкой VPN, чтобы обойти ограничения.

Отказавшись блокировать VPN, малазийские власти создают лазейку для доступа к заблокированному контенту. Однако закон всё равно вызывает тревогу за приватность и безопасность пользователей. Он может дать провайдерам и правительству неограниченный доступ к спискам доменов (google.com, pornhub.com и т. д.), которые посещает пользователь. Кроме того, если пользователям с DNS-шифрованием будет перекрыт доступ в интернет, это, мягко говоря, подорвёт их пользовательский опыт и их безопасность и отбросит назад стандарты онлайн-безопасности в целом.

Вдобавок к этим опасениям, подобные практики могут послужить опасным прецедентом и примером для подражания для других стран, в особенности тех, где демкоратические свободы развиты недостаточно сильно. Сообщество должно объединиться против подобных угроз свободному интернету и ясно обозначить своё недовольство, иначе то, что вчера казалось абсурдным, завтра может стать реальностью.