IV. Как обойти блокировку
В феврале 2022 года лыжница американского происхождения Эйлин Гу стала интернет-сенсацией в Китае, когда выступила на зимних Олимпийских играх в Пекине в составе сборной Китайской Народной Республики (КНР). Во время своего пребывания в Китае Гу опубликовала несколько постов о своём олимпийском опыте в Instagram — платформе, запрещённой на материке. Незадолго до того, как Гу совершила свой знаменитый прыжок на лыжах, один недовольный пользователь Instagram спросил Гу: «Почему ты можешь пользоваться Instagram, а миллионы китайцев с материка — нет? Почему к тебе, как к гражданке Китая, такое особое отношение? Это несправедливо. Можешь ли ты заступиться за миллионы китайцев, у которых нет доступа к интернету?» Ответ Гу показал, как мало она понимает в блокировке интернета: «Любой может скачать VPN, это буквально бесплатно в App Store ».
VPN-сетиНа самом деле они не были и не являются доступными в китайских магазинах приложений — по крайней мере, для обычных пользователей, у которых не было доступа к специальной интернет-сети с ограниченным доступом, которая была доступна только во время Олимпийских игр. Как и в случае со многими зарубежными приложениями для общения и социальных сетей, Китай запрещает компаниям предлагать VPN и другие обходные сервисы в версиях своих магазинов приложений для материкового Китая или, по крайней мере, запрещает им предлагать VPN, которые не «одобрены правительством и не находятся под его контролем». Как написал один китайский интернет-пользователь в ответ Эйлин Гу на Weibo: «Буквально бесплатно, но технически и практически запрещено».
Большинство людей не могут просто взять и улететь за границу, чтобы установить предпочитаемое ими приложение для обхода блокировок, а в некоторых случаях, как для многих уйгуров и представителей других тюркских народов на северо-западе Китая, даже наличие таких приложений на телефоне может стать поводом для задержания. Это означает, что люди, которые хотят обойти цензуру на уровне сети— а именно это люди в Китае обычно пытаются сделать с помощью VPN — приходится прилагать дополнительные усилия, чтобы это сработало. Кто эти люди и что такого они хотят получить за границей, что готовы нарушать закон, пусть и не всегда соблюдаемый?
Кто использует инструменты обхода?
Неудивительно, что китайское правительство не предоставляет статистику о гражданах, которые пытаются обойти блокировку интернета. Внешние оценки использования инструментов обхода часто основаны на небольших выборках, онлайн-опросах или вообще не объясняют методологию, но это всё равно лучшая информация, которая у нас есть. По оценкам 2015 и 2018 годов, около 30 процентов китайских интернет-пользователей пользуются инструментами обхода. Однако Пекин начал борьбу как с местными, так и с иностранными VPNначиная с 2017 года, обычным пользователям стало сложнее обходить цензуру на уровне сети. По оценкам 2022 года, число пользователей приближалось к 3 процентам. Если эта цифра верна, то даже при резком росте числа пользователей — например, при удвоении числа пользователей в 2023 году, по данным «Голоса Америки», — процент пользователей всё равно будет значительно ниже 10 процентов. Мы подозреваем, что значительная часть пользователей VPN проживает в более богатых городских районах, где они с большей вероятностью могут столкнуться с приезжими иностранцами. Таким образом, создаётся впечатление, что VPN используют чаще, чем на самом деле, хотя нам неизвестны недавние исследования, подтверждающие это.
Очевидное снижение популярности инструментов обхода цензуры, скорее всего, связано с репрессивными мерами Пекина. Но успешная замена платформ, когда легкодоступные приложения, прошедшие внутреннюю цензуру, заменяют более труднодоступные зарубежные, несомненно, также снизила спрос. «Огромное количество людей пребывает в блаженном неведении о существовании [внешнего] интернета», — заявил поставщик инструментов обхода цензуры учёным в рамках недавнего исследования обхода цензуры, представленного на симпозиуме по безопасности USENIX. «Существует полноценная внутренняя экосистема [такая], что люди почти никогда случайно не наткнутся на сайт, который подвергается цензуре». Отдельный опрос китайских интернет-пользователей, проведённый в 2015 году, показал, что около пятой части респондентов даже не знали, «что иностранные сайты, такие как Google, недоступны». Даже для тех, кто в противном случае стремился бы избежать цензуры, замена платформ сделала обход менее привлекательным. Пользователь инструмента для обхода рассказалисследователям:
Я пытался убедить родителей использовать [инструмент для обхода блокировок], но им это было не так интересно. Мы создали семейный чат в Signal, но было сложно переключиться только на [нас] троих, в то время как всё остальное происходит в WeChat. Моя мама считает, что цензура — это плохо, но у неё просто нет [желания] обходить блокировки.
Те, кто предпочитает обходить систему, не обязательно являются убеждёнными политическими диссидентами. Многие из них просто хотят смотреть иностранное телевидение. В 2018 году в одном отраслевом исследовании говорилось, что 54 % китайских пользователей VPN надеялись «получить доступ к более качественному развлекательному контенту». Это согласуется с наблюдениями Патрика Бёлера, исследователя в области медиа, изучающего обход блокировок в Китае, который получил поддержку от Open Technology Fund для другой работы: «Как правило, большой популярностью пользуются сервисы потокового вещания международного контента и доступ к международным игровым платформам».
История обхода закона в Китае
Пока китайское правительство подвергает интернет цензуре, граждане Китая пытаются найти способы обойти эту цензуру. В 2000-х годах для обхода цензуры требовались определённые технические знания, но относительная простота механизмов блокировки со стороны правительства означала, что эффективные инструменты обхода могли быть такими же простыми. Например, сайты диаспоры, которые хотели транслировать свои сообщения в Китай, могли часто менять свои IP-адреса или доменные имена, чтобы обойти правительственную IP- и DNS блокированные списки.
Эти сравнительно простые методы больше не работают против усиленной китайской сетевой цензуры система. И помимо того, что инструменты для обхода блокировок не попадают в магазины приложений страны, Пекин также пытается сделать так, чтобы его граждане даже не знали о существовании альтернативных методов обхода. Примерно с 2010 года партийное государство уделяет особое внимание выявлению и блокировке информации об инструментах для обхода блокировок. Недавние исследования показывают, что власти даже внедрили HTTPS промежуточные коробки чья основная задача — блокировать домены, связанные с сервисами обхода цензуры. Такая блокировка существенно влияет на количество людей, использующих эти инструменты, поскольку они зависят от «доступности» для привлечения пользователей. Хотя некоторые инструменты обхода цензуры все еще работают на материковой части Китая, потенциальным пользователям сначала нужно узнать о них и скачать их, что становится все сложнее в китайских сетях. (Стоит отметить, что китайские власти не блокируют все возможные инструменты обхода цензуры. В угоду экономической необходимости правительство поддерживает список одобренных технологий обхода, которые позволяют иностранным компаниям и другим лицам обходить систему цензуры, чтобы отправлять защищённые электронные письма или посещать заблокированные веб-сайты. Эти одобренные инструменты обхода почти наверняка позволяют правительству отслеживать передаваемые с их помощью сообщения.)
Несмотря на то, что подавляющее большинство граждан никогда о них не узнают, китайское правительство также стремится нейтрализовать любые новые методы обхода блокировок. Значительная часть сетевой цензуры в Китае направлена на выявление использования инструментов обхода блокировок. Это означает, что даже если кто-то скачает VPN Находясь за границей, они могут не иметь возможности использовать его по возвращении в Китай: система сетевой цензуры распознаёт определённые сигнатуры трафика, связанные с использованием VPN, и блокирует их. В последние два десятилетия наблюдается эскалация гонки вооружений между цензорами и разработчиками инструментов для обхода блокировок, которые пытаются адаптировать свои механизмы обхода после каждой новой блокировки.
Многие из этих механизмов основаны на простой идее: показать цензору ложный пункт назначения. Цензор видит ложный пункт назначения, считает, что всё в порядке, и пропускает трафик к ложному пункту назначения. Затем ложный пункт назначения перенаправляет интернет-трафик к реальному пункту назначения. Поэтому китайские цензоры сосредоточились на выявлении и блокировке таких ложных пунктов назначения.
Многие из самых популярных способов обхода цензуры в Китае основаны на использовании прокси-серверов. Прокси-серверы, или прокси, — это просто машины, которые выступают в роли посредников: они принимают и перенаправляют трафик, который в конечном счёте предназначен для другого сервера. Разные организации могут настраивать свои прокси-сети по-разному, но в основе всех них лежит взаимодействие пользователя, пункта назначения и как минимум одного прокси-сервера, который является посредником между пользователем и пунктом назначения. Такие сервисы и инструменты, как The Onion Router (Tor), Shadowsocks и NordVPN, работают с использованием прокси-серверов. (В наших целях вы можете рассматривать VPN как разновидность прокси-сервиса. Многие люди используют термины «прокси» и «VPN» как взаимозаменяемые для описания технологии, которая помогает обходить цензуру.)
«В последние два десятилетия наблюдается эскалация гонки вооружений между цензорами и разработчиками инструментов для обхода блокировок, которые пытаются адаптировать свои механизмы обхода после каждого нового блока».
Кто-то в Китае, желающий прочитать The New York Times (которая запрещена в Китае), может попытаться подключиться через прокси-сервер. Используя выбранное прокси-приложение, он вводит «www.nytimes.com». Вместо поиска DNSпрямо с компьютера в Китае прокси-программа отправит этот запрос на прокси-сервер, поэтому все пакеты отправленный пользователем на прокси-сервер, будет иметь IP-адрес прокси-сервера на них. Китайское правительство middlebox При проверке пакетов будет виден только безобидный IP-адрес, никак не связанный с The New York Times. Как только пакеты дойдут до прокси-сервера, он выполнит все необходимые действия для получения главной страницы The New York Times. Наконец, прокси-сервер отправит пользователю информацию о главной странице The New York Times — и снова все пакеты будут выглядеть так, будто они исходят от прокси-сервера, а не от The New York Times.
Эта система работает до тех пор, пока китайские власти не поймут, что прокси-сервер на самом деле является прокси-сервером. Как только они поймут, что это такое, они смогут легко добавить IP-адрес прокси-сервера в чёрный список.
Какое-то время властям не приходилось далеко ходить. Чтобы противодействовать Tor, популярному бесплатному сервису, прокси-серверы которого обслуживаются добровольцами, в 2009 году китайские цензоры просто прочитали общедоступный список прокси-серверов Tor и заблокировали все их IP-адреса. Затем Tor попытался лучше скрыть IP-адреса своих прокси-серверов, но к 2016 году цензоры скачивали исходный код каждой новой версии программного обеспечения Tor и блокировали IP-адреса прокси-серверов, которые находили в нём, — и всё это до того, как кто-либо в Китае успевал ими воспользоваться.Система цензуры в КНР также работает над выявлением прокси-серверов, которые не так очевидны. По крайней мере с 2011 года цензоры в КНР используют несколько автоматизированных механизмов для выявления и подтверждения подлинности ранее неизвестных прокси-серверов. Эти механизмы отслеживают множество различных протоколов обхода. Во-первых, прокси-сервер мониторинг подключения проверяет наличие пакетов с определенными контрольными особенностями, такими как строки символов, которые слишком равномерно случайны, чтобы быть совпадением. Эти функции служат подсказкой о том, что пакеты предназначены для прокси-сервера и пытаются замаскироваться, чтобы проскользнуть мимо цензоров. Иногда, только на основании этих контрольных сигналов, система цензуры решает заблокировать IP-адрес подозреваемого прокси-сервераВ других случаях система отправляет «запросы» на предполагаемый прокси-сервер, изображая из себя законный инструмент для обхода блокировок пользователя, отслеживает реакцию сервера и затем принимает решение о блокировке IP-адреса. Эти запросы поступают с широкого спектра IP-адресов, которые часто меняются. Это означает, что провайдеры, предоставляющие услуги обхода блокировок, не могут просто вести список IP-адресов зондов и настраивать свои прокси-серверы на игнорирование этих адресов — их слишком много, чтобы отслеживать все, и есть вероятность, что один из них в конечном итоге будет присвоен законному пользователю.
В течение нескольких лет в 2010-х годах практика под названием «фронтирование домена» позволяла обходить цензуру на веб-сайтах и в приложениях (таких как Telegram и Signal), которые были запрещены в Китае. Подобно использованию прокси-серверов, фронтирование домена изменяет стандартные настройки HTTPS Пакеты данных шифруются таким образом, чтобы цензор видел только ложный пункт назначения («фронт») и не мог добраться до реального пункта назначения, скрытого внутри HTTPS-шифрования. В идеале «фронт» — это веб-сайт или сервис, который Китай предпочёл бы не блокировать и который уже настроен на получение и пересылку трафика без каких-либо знаний о том, что он используется в качестве «фронта».
Например, кто-то в Китае использует доменное имя инструмент может направлять их пакеты на сервер Amazon Web Services (AWS), о котором ничего не подозревает.(AWS, как крупный поставщик облачных услуг, обрабатывает большой объем интернет-трафика). В данном случае сервер AWS выступает в роли «фронтенда». Получив, распаковав и прочитав доменное имя во внутренней части этих пакетов, сервер AWS поймет, что пакеты на самом деле предназначены для приложения Signal для обмена зашифрованными сообщениями. Сервер AWS, настроенный на автоматическую переадресацию такого трафика с ошибочным адресом, просто отправит пакеты в Signal. Таким образом, компании, обслуживающие большие объёмы веб-трафика, такие как Amazon/AWS, Google и Microsoft/Azure, стали важными, хотя и в основном пассивными, участниками экосистемы обхода цензуры. Технологии, использующие доменные прокси, такие как Telegram и Signal, получили выгоду от возникшей «побочной свободы».
T, однако, заключается в самих компаниях. Компании не обязаны перенаправлять трафик, который на самом деле не адресован им, — они могут отказаться от использования в качестве «фронтов». Запрошедшее десятилетие именно это и произошло. Некоторые наблюдатели приписывают России (еще одному крупному государству, занимающемуся цензурой) оказание достаточного давления на Google и Amazon, чтобы они перенастроили свои системы и запретили использование доменов в качестве фронтов в 2018 году. Теперь, несмотря на попытки возродить эту технологию, масштабное использование доменных фронтов больше не является решением проблемы цензуры, каким оно было всего несколько лет назад. Исчезновение доменных фронтов показывает, что успешное обхождение цензуры — это не всегда история о том, как «хорошие парни» хакеры перехитряют «плохих парней» цензоров. Это также подразумевает понимание и решение проблем (например, финансовых), которые могут возникнуть у компаний или других третьих сторон в связи с их ролью в этом процессе.
И вполне возможно, что правительство Китая предпримет ещё более жёсткие меры для искоренения злостных пользователей инструментов обхода блокировок. Согласно неподтверждённым данным на онлайн-форуме, посвящённом технологиям, в 2023 году один из пользователей обнаружил, что его недавно установленный модем, предоставленный оператором связи, внезапно заблокировал доступ к инструменту обхода блокировок, а вскоре после попытки доступа к нему ему позвонила полиция и назвала конкретный веб-сайт. Академические исследования подтверждают, что такого рода слежка в домашних условиях с помощью домашнего интернет-оборудования действительно возможна.
Непрекращающиеся попытки Китая выследить и заблокировать новые инструменты обхода блокировок показывают, насколько опасным, по мнению цензоров, может быть свободный доступ в интернет.
Обход закона уходит в подполье
Агрессивная позиция Китая в отношении инструментов обхода блокировок привела к тому, что многие провайдеры, особенно те, которые предлагают свои услуги бесплатно, оказались в невыгодном положении. У международного провайдера инструментов обхода блокировок Lantern, который в начале 2023 года обслуживал более 4 миллионов пользователей в Китае, к началу 2025 года осталось менее полумиллиона пользователей. В некоторых случаях провайдеры могли стать жертвами собственного успеха: “Проблема с [инструментами обхода цензуры] в Китае, - сказал один из опрошенных авторов исследования USENIX Security Symposium по обходу цензуры, - заключается в том, что, как только сервис масштабируется до уровня, на котором он становится широко известным, он привлекает внимание цензора для блокировки”. Наконец, механизм контроля цензуры GreatFire недавно обнаружил, что даже VPN Те, кому удаётся работать в Китае, теперь могут делать это гораздо медленнее, чем раньше.
Это привело к росту подпольного рынка инструментов для доступа к заблокированным веб-сайтам и сервисам. Информация распространяется из уст в уста или в «группах Telegram, посвящённых таким вещам, как обмен прокси подробности и продажа этой информации за деньги». Один китайский пользователь рассказал учёным: «Я заплатил этому анонимному человеку в WeChat, и он предоставил мне свои инструменты и данные для входа в аккаунт. Я не знаю, есть ли у сервиса название. Это не приложение, которое можно найти в магазинах мобильных приложений или приложений для ПК».
«[Они думают не о том, что] «я подрываю устои Коммунистической партии», а о том, что «я просто хочу посмотреть Netflix».
Эти сервисы обхода блокировок на чёрном рынке в Китае эвфемистически называют «аэропортами», потому что они подключают пользователей к зарубежному интернету. Такие сервисы на чёрном рынке «всегда существуют, когда есть барьеры и препятствия для того, что люди хотят делать, и есть возможность обойти эти барьеры с помощью более качественного продукта», — отмечает Бёлер, исследователь в области медиа. Трудно сказать, сколько таких «аэропортов» существует — десятки? сотни? — но объявления, которые они размещают, дают некоторое представление о масштабах рынка. Во-первых, заявленные цены довольно низкие: ежемесячная плата составляет от 15 до 188 юаней (примерно от 2 до 26 долларов США). «Если вы занимаетесь чем-то незаконным и цены на это очень низкие, это значит, что это настолько распространено, что вы можете монетизировать это на таком уровне». С другой стороны, разнообразие предложений говорит о том, что рынок очень сложный, диверсифицированный и «в некотором роде всеобъемлющий». «Существует большая конкуренция в плане цен, функций, стран, в которые можно подключиться, количества серверов и пропускной способности с точки зрения трафика», — объясняет Бёлер.
По данным местных органов власти, которые привлекли продавцов к ответственности, отдельные аэропорты могут обслуживать тысячи или даже десятки тысяч клиентов. Они также могут предоставить технические ноу-хау менее технически подкованным пользователям, чтобы те могли успешно настроить свои сервисы. «Именно для этого и существуют [аэропорты], — говорит Бёлер. — Они не требуют никаких технических знаний, оформления документов или чего-то ещё. Вы просто заходите на Taobao или в другое подобное место, покупаете приставку, подключаете её к Wi-Fi, и на вашем телевизоре появляются стриминговые сервисы». На самом деле относительная простота использования этих сервисов «означает, что люди могут не знать, что они пользуются услугами аэропортов. Они могут думать, что просто купили приставку. [Они думают не о том, что] «я подрываю устои Коммунистической партии», а о том, что «я просто хочу посмотреть Netflix». [Провайдерам] не нужно размещать предупреждающие надписи вроде «Вы совершаете преступление!»» (Неофициальный характер рынка в аэропортах также даёт мошенникам широкие возможности выманивать деньги у потенциальных пользователей.)
Обход правил мёртв, да здравствует обход правил
Продолжение работы некоторых коммерческих VPN, а также развитый чёрный рынок «аэропортов» подтверждают две ключевые истины о Locknet. Во-первых, система не является герметичной. В плотине всегда будут бреши, вопрос лишь в том, насколько они велики и распространены. Во-вторых, чем популярнее и удобнее для пользователей механизм антицензуры, тем выше вероятность того, что он привлечёт внимание властей и будет закрыт. Борьба с инструментами обхода блокировок началась с крупных провайдеров и магазинов приложений и теперь почти наверняка нацелена на более крупные и успешные аэропорты. Даже если у партийного государства есть технические возможности для блокировки каждого аэропорта, оно может решить, что игра не стоит свеч. Общая стратегия Пекина, похоже, направлена на то, чтобы лишить граждан простого доступа к интуитивно понятным приложениям для шифрования или обхода блокировок, зная, что барьеров, связанных с доступностью или удобством использования, достаточно, чтобы отбить у многих людей желание прилагать дополнительные усилия. (Некоторые люди могут подумать, что обход блокировки невозможен. В 2015 году в ходе опросакитайских интернет-пользователей «почти 20 процентов [участников] указали, что доступ к» зарубежным сайтам, таким как Google, невозможен.)
Но чтобы обойти блокировку, нужно не просто пытаться получить доступ к зарубежным сайтам. В конце концов, блокировка направлена на контроль как зарубежного, так и внутреннего контента. У пользователей, которые надеются избежать цензуры на внутренних платформах, есть свои хитрости, которые требуют гораздо меньше технических навыков, чем установка VPN с чёрного рынка.
По определению, пользователи, которые хотят публиковать контент на отечественной платформе, рассчитывают активно пользоваться этой платформой, а не обходить её. Цензура на уровне сервиса Таким образом, методы уклонения от блокировки направлены на маскировку контента, а не интернет- трафика. Опрос китайских интернет-пользователей, проведённый в 2024 году, разделил тактики обхода цензуры на уровне сервисов на пять групп, включая игру слов (использование омофонов и подобных закодированных выражений), визуализацию (например, публикация изображений с текстом, в том числе одним респондентом, который «однажды создал изображение длиной в метр»), деконтекстуализацию и реконтекстуализацию (например, использование аллегорий или исторических личностей для скрытого обсуждения текущих событий) и обмен ссылками (публикация URL-адресов, ведущих на контент, размещённый в облачном сервисе). Пятая категория — одноразовые аккаунты — со временем может стать менее востребованной, поскольку компании продолжают внедрять правительственные правила регистрации с указанием настоящего имени.
Однако в реальном мире знать, как безопасно противостоять властям, может быть непросто. Подавляющее большинство людей, которые обходят цензуру на уровне сервиса или сети, никогда не пострадают из-за этого серьёзно. Партийное государство назначает наказания довольно произвольно, и самые серьёзные последствия, такие как выплата миллиона юаней или тюремное заключение за использование VPN, случаются крайне редко. Но именно произвольность делает оценку реальных рисков такой сложной задачей — не говоря уже о том, что у любого, кому грозит такое наказание, нет эффективных средств правовой защиты. Лишь немногих пользователей VPN отправят в тюрьму, но это может произойти с каждым.