Правительство КНР хочет обязать национальных интернет-провайдеров блокировать доступ частных лиц к VPN с 1 февраля 2018 года, сообщает анонимный источник, знакомый с ситуацией.
По его словам, указания уже получили государственные China Mobile, China Unicom и China Telecom — крупнейшие коммуникационные компании страны.
Новые ограничения могут полностью закрыть единственный способ доступа к множеству сайтов, заблокированных в стране. Интернет в Китае является одним из самых зарегулированных в мире. Иностранные сайты блокируются под предлогом сохранения «социальной стабильности и общественной безопасности». Генеральный секретарь Си Цзинпин проводит политику «цифрового суверенитета». Блокировка путей в обход «Великого китайского файервола» полностью вписывается в эту программу.
VPN-сервисы в Китае популярны не только у иностранцев, но и среди бизнесменов, работающих с заграничной аудиторией и клиентами. Однако компании, предоставляющие подобные услуги, с юридической точки зрения работают в серой зоне. Министерство связи в январе этого года уже заявляло, что компаниям следует прекратить оказывать услуги по обходу ограничений для частных лиц, и использовать VPN только для рабочих нужд. Некоторые VPN-провайдеры уже вынуждены закрыться. Так, GreenVPN сообщил клиентам, что они приостанавливают работу с 1 июля «после письма из регулирующих органов».
Компании, работающие на территории КНР, могут подключиться к нецензурируемому интернету, но для этого они обязаны зарегистрироваться у оператора, собирать сведения об использовании канала и передавать властям.
UPD 2017.07.13:
Китайские власти прокомментировали статью Bloomberg:
«Легальный доступ в интернет нарушен не будет.
… Торговые и иностранные компании, которым необходим доступ к мировому интернету, могут официально обратиться к телекоммуникационным компаниям и запросить выделенные каналы или другие инструменты».
Другими словами, у компаний останется доступ к мировому интернету, а частным лицам никто ничего не обещает.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (70)
9uvwyuwo6pqt
11.07.2017 06:37-1>закрыть единственный способ доступа к множеству
Конечно я зануда, но ведь VPN не единственный и не самый удобный способ обойти блокировку.
wtigga
11.07.2017 06:40+4Расскажите, какие ещё есть способы, пожалуйста.
(FIY, тор фактически заблокирован, детские способы типа подмены DNS давно не действуют.)9uvwyuwo6pqt
11.07.2017 07:12+3Прокси которые маскируются под неопределимые DPI протоколы или сетевой мусор, они позволяют пускать трафик до сервера только на заблокированные сайты. В VPN это можно сделать по адресам, но это не удобно так все учесть будет сложно, а прокси дает возможность легко проксировать определенные вкладки браузера, отдельные программы. Shadowsocks, fteproxy, скорей всего есть что-то более известное только самим китайцам.
wtigga
11.07.2017 07:45Не видел пока ни одного около-VPN провайдера, которые тут предоставляют доступ по shadowsocks/fteproxy. Думаю, по одной из двух причин:
1. Они никогда не слышали про shadowsocks/fteproxy
2. Это не помогает против GFW.9uvwyuwo6pqt
11.07.2017 07:59или проще было изменить конфигурацию OpenVPN.
wtigga
11.07.2017 08:36+2VPN-провайдеры типа Astrill и ExpressVPN пользуются своими модификациями OpenVPN, потому что обычный не работает.
Впрочем, во время больших политических событий многие VPN просто лежат.
Моя теория в том, что известных провайдеров уже всех пересчитали и не блокируют постоянно, чтобы клиенты не убежали к неизвестным провайдерам. Тогда, при большой нужде, удобно заблокировать бОльшую часть юзеров разом. Ну либо провайдеры продались и уже сотрудничают с КГБ.
Tufed
11.07.2017 13:00+4А вот теперь самая ответственная часть марлезонского балета: то что шифрованное и распознается — оно легальное. Распознаём, и решаем блокировать или нет. И можно блокнуть всё, что не распознаётся/не расшифровывается. Типа оно не легальное. Или выходи на свет, получай VPN у провайдера и т.д. Или ты опасен, за тобой уже выехали. По-моему так проще. Останется только стенография и подобное.
SolarW
12.07.2017 09:06Кстати о стеганографии.
Чисто теоретически, насколько реально засунуть VPN внутрь скажем какого-то онлайн видео?
Для не посвящённого идёт вроде как трансляция красивого пейзажа с веб-камеры а на самом деле внутри полноценный VPN.
vconst
11.07.2017 08:50-3SSH
wtigga
11.07.2017 08:54А мужики-то не знали…
vconst
11.07.2017 08:59+1Вы спросили, я ответил.
Проскроллил эксперименты на VPS, по моему человек не все способы исчерпал, но у них фаер рубит все шифрованные соединения, плюс есть connection probe и ещё куча живых китайцев, которые руками смотрят айпишники. Золотой щит все прочнее.
ValdikSS
11.07.2017 13:01+6Если вы будете гонять большое количество трафика через SSH, GFW снизит скорость соединения до нескольких десятков килобит на этот IP.
Mako_357
11.07.2017 06:46А что будет с openconnect или softether? Их трафики вроде не выглядит подозрительным, потому что выглядит, как обычный https.
wtigga
11.07.2017 06:52Но IP сервера ведь заблокировать не сложно
LifeIsDarkness
11.07.2017 07:39А если на своем VPS?
wtigga
11.07.2017 07:41+1Вот эксперименты человека со своей VPSкой.
Впрочем, даже если и будет она работать какое-то время, «своя VPS-ка» на порядок сложнее, чем покупка готового VPN, и работает по принципу неуловимого Джо.
sirocco
11.07.2017 08:26Кстати, как там сейчас обстоят дела с «купить спутниковый интернет с входящим\исходящим каналом»? Не отечественный, естественно.
UJIb9I4AnJIbIrUH
11.07.2017 08:46Может там надо в обязательный реестр приёмников/передатчиков спутникового интернете своё устройство вносить? Я не в теме китайских дел, просто идея та же, что и с VPN по разрешению властей.
TheDeadOne
11.07.2017 08:52+1Легко решается административно: Получаешь разрешение на покупку, покупаешь, регистрируешь. Без разрешения тебе его просто не продадут, а если у тебя обнаружат незарегистрированное телекоммуникационное оборудование, отправляешься за решётку.
iSergios
11.07.2017 09:10Мда? И по какой статье? Или Вы про Китай?
Ну и спутниковый приемник-передатчик, если Вы его как-то смогли ввезти в страну, у Вас найти будет очень сложно (если Вы сами не разболтаете). Это надо на вертолете летать над городом и пеленговать направленные спутниковые передатчики. Сдается мне, на такое даже китайцы махнут.vanyas
11.07.2017 10:24Достаточно будет показательно засадить пару человек, чтобы вам уже не захотелось так делать
sHaggY_caT
11.07.2017 15:38Я думаю, можно огранизовать цифровое подполье. Оборудовать точки аплинков в интернет в каких-нибудь сараях, в которых не оставлять никаких отпечатков пальцев и пр. Один раз там устанавливать что-то вроде LTE модемов, и далее членам цифрового подполья выдавать доступ к аплинку по очереди (на сколько хватит канала).
Как только сарай власти находят, оборудуется новый.
Доступ до сарая или через существующие сети(как обойти DPI?) или через wifi mesh
Alexmaru
11.07.2017 13:53если о россии, то статью у вас написать (или воспользоваться любой сова-на-глобус) — дело пары дней.
TheDeadOne
12.07.2017 10:29Я про любую страну озадаченную блокировкой интернета. Но не про сегодняшний день, а про завтрашний. Статья будет, когда понадобится. Конкретно в нашей стране не надо далеко ходить за примерами, ещё не так давно действовали постановления «О мерах активного противодействия враждебной радиопропаганде» и «Об ответственности за незаконное изготовление и использование радиопередающих устройств». Летать на вертолёте необязательно, достаточно периодически устраивать обыски у подозрительных и неугодных. А ещё могут доложить бдительные соседи.
sirocco
11.07.2017 10:36Я про Россию. Или Вы тоже? Сейчас есть относительно хорошие предложения, тот же триколор… Неужели нет провайдеров за бугром, которые не хотят предоставлять свой интернет канал абсолютно любому клиенту в мире? Это технически сложно? Или юридически? Хотя, некоторым странам и компаниям глубоко пофиг на юридические дела в России. Оборудование можно было бы унифицировать и продавать на том же али кому угодно, а подключаться чисто через интернет кабинет.
Видимо не пришло ещё время…oleg0xff
11.07.2017 12:51Достаточно заблокировать любые платежи за границу, не будет у вас не собственного vpn сервера ни тарелок спутниковых
Antoha-spb
11.07.2017 16:07+1в России спутниковая связь для частников уже много лет работает, и все необходимые НПА для работы СОРМа и т.д. давно написаны. Вкратце — выходить на связь с космосом можно из любого сарая от Калининграда до Владивостока, но точка приземления Вашего трафика должна быть в России, и на эту точку распространяются все те же правила, что на ОПСоСов и проводных операторов и провайдеров.
Это касается и глобальных систем типа Иридиума, Глобалстара и Турайи, для которых лишняя точка сопряжения наземной и космической инфраструктуры — это огромный и дорогущий геморрой. Но таковы правила: хочешь легально работать — соответствуй.Alexey2005
11.07.2017 18:08У спутников есть любопытная недокументированная возможность: спутниковая рыбалка (граббинг), когда пользовательское оборудование работает только на приём. Отследить такое в принципе невозможно, разве только ходить по домам с обыском, изымая аппаратуру.
Да, отписываться на форумах и в комментариях через эту фичу нельзя. Но вот читать иностранную прессу, запрещённые ресурсы, качать терабайтами порнуху и вообще слушать «голос загнивающего буржуя» можно без проблем, а ведь именно этого власть и не хочет.
Yngvie
11.07.2017 18:17+4Я так понимаю, что с распространением https граббинг все менее и менее юзабелен.
mimoprobegal
14.07.2017 05:06При условии, что кто-то по соседству качает всю эту запрещенную иностранную литературу, а не смотрит Первый канал через спутник.
CreFroD
12.07.2017 09:55+2А что же у Иридиума есть наземная станция в юрисдикции РФ?
a5b
13.07.2017 02:18http://www.cnews.ru/news/line/2016-11-18_iridium_zapustil_rossijskuyu_stantsiyu_sopryazheniya Iridium запустил российскую станцию сопряжения наземного и космического сегментов в Ижевске — 18.11.2016
«С сегодняшнего дня весь трафик, который мы получаем с территории России, как местными абонентами Iridium, так и роумерами, проходит через станцию сопряжения в Ижевске», — отметил Виктор Глушко, генеральный директор «Иридиум Коммьюникешенс».… «Наши инвестиции в создание ижевской станции сопряжения составляют десятки миллионов долларов — отметил Мэтт Деш, генеральный директор Iridium Communications Inc. — Это важный стратегический шаг для развития бизнеса Iridium. В планах — усиление позиций компании на российском рынке».
https://www.vedomosti.ru/technology/articles/2016/11/18/666124-iridium-v-rossii Iridium полностью легализовался в России. Компания подключилась к СОРМ, будет продвигать спутниковый интернет для госструктур и крупных компаний — 18 ноября 2016
Станция, в частности, позволит оператору соблюдать российское законодательство об оперативно-розыскных мероприятиях (СОРМ), отмечает гендиректор «Иридиум комьюникейшенс» (продает услуги оператора в России) Виктор Глушко.… В 2012 г. по временной схеме оборудование Iridium было подключено к узлу связи ФГУП «Морсвязьспутник», рассказывает Глушко.
https://en.wikipedia.org/wiki/Iridium_Communications#Earth_base-stations
The pre-bankruptcy corporate incarnation of Iridium built eleven gateways, most of which have since been closed.[61] Gateways were also built in Pune (India), Beijing (People's Republic of China), Moscow (Russia), Nagano (Japan), Seoul (South Korea), Taipei (Taiwan), Jeddah (Saudi Arabia) and Rio de Janeiro (Brazil). The company is seeking to reactivate gateways in several countries to comply with national laws in those countries.
http://www.spaceref.com/news/viewpr.html?pid=22230 "China Space Mobile Satellite Telecommunications Co. Ltd. (China Spacecom) has announced that it is planning to open an Iridium gateway earth station in 2007."
Stillgray
11.07.2017 10:23-1Что будет делать Китай, если его начнёт блокировать весь остальной мир?
geher
11.07.2017 10:40+3Это будет проблемой не только для Китая, но и для всего остального мира. По крайней мере до тех пор, пока именно В Китае сосредоточена значительная часть мирового высокотехнологичного производства.
А если это производство (точнее его отображение в сети) блокировать не будут, то Китаю оно будет по барабану, даже спасибо скажут, если заблокируют доступ к внешней относительно Китая сети всяких диссидентов.
jamakasi666
11.07.2017 16:07Недавно читал новость о том что многие европейские и американские организации тупо полностью блочат все подсети Китая\России и многих стран азии. Так что это уже есть.
konchok
11.07.2017 10:47Взялись за VPN, потому что в Китае им пользуются не только «иностранцы и бизнесмены» а вообще каждый второй, особенно среди молодежи.
engine9
14.07.2017 04:43А чем власть промотивирована? Боится тлетворного влияния запада? Хочет тотального контроля над мыслями и действиями народа?
swelf
11.07.2017 11:10Последний абзац мне не совсем понятен, по аналогии с нами «СОРМируйте нас, но откройте пожалуйста доступ везде»? как то слишком хорошо звучит.
wtigga
11.07.2017 11:14Много компаний работает на заграницу. Например, разработчики игр, или тот же AliExpress. Им по работе нужен доступ к иностранным сайтам, а не шифрование. Поэтому слежка никак не противоречит полноценному доступу.
swelf
11.07.2017 12:25Китайский фаервол это уже имя нарицательное, а тут из последнего абзаца вроде как следует, что можно просто заявление написать и тебе доступ откроют.
У нас же и слежка полноценная и реестр который никак не отключить законно.
wtigga
11.07.2017 12:41Так в России и не заблокировано столько сайтов ещё, вполне можно работать.
И я говорю, что слежка не отменяется. Наверное, она ещё более интенсивная. Просто это позволяет китайским комапаниям, к примеру, разрабатывать мобильные игрушки для Гугл плея и приносить деньги в казну в виде налогов.
Блокировки в Китае это не только идеология, но и протекционизм.
cyber_ua
11.07.2017 13:39Мне интересно как с технической стороны можно блокировать vpn? Как Vpn трафик можно отличить от обычного трафика? Или они в тупую будут банить vpn сервисы? Т.е я по сути могу поднять свой vpn сервер и спокойно им пользоваться?
Alexmaru
11.07.2017 14:00+299% трафика трафика идёт на один адрес, больше часа, зашифрованный, с одинаковыми заголовками. Некоторые «пульсы» трафика объёмом выглядят, как загрузки популярных сайтов (типа google.com). Если таких пульсов-совпадений много, то это 100% VPN.
cyber_ua
11.07.2017 14:29Т.е если я подниму 6 серверов в 6 разных странах (например) и буду подключатся рандомно к этим серверам, то скорее всего фильтр не заметит что это vpn?
P.s Какие есть способы обойти подобные фильтры кроме vpn? Tor ноды тоже можно перекрыть поидее…Alexmaru
11.07.2017 14:33+1Я просто предположил самый простой фильтр, если б не заморачивался с ресурсами, и использовал бы машинное обучение.
Ну а тор там глушится.
kogemrka
12.07.2017 09:10+1Т.е если я подниму 6 серверов в 6 разных странах (например) и буду подключатся рандомно к этим серверам, то скорее всего фильтр не заметит что это vpn?
Для того, чтобы достоверно ответить на этот вопрос, нужно знать, как конкретно устроен GFW. А это не очень понятно.
Допустим там внутри хитрая машинка с хорошим anomaly detection'ом.
Может быть заметят.
Может быть не заметят.
Может быть заметят, но не заблокируют, а обратят на вас пристальное внимание.
Uirandir
11.07.2017 14:44Для того, что бы заблокировать VPN им придется просто отрубить страну от инета. В противном случае есть SoftEther, который неотличим от https, есть SoftEther работающий через icmp, да есть greшные туннели, которые вы только с отрубанием IP заблокируете, в конце концов. Я уж молчу про ssh и прочее.
Нельзя заблокировать выход не перекрыв совсем выход наружу.wtigga
11.07.2017 14:5199% не заметят, что им «отрубили интернет»: в отличие от России, Китай на иностранные сервисы не завязан. Под удар попадёт тот самый 1%, которому иностранный интернет нужен. А они все пользуются VPN даже сейчас. Потому что без VPN каждый первый сайт, где есть кнопка «поделиться в Facebook» или аналитика от гугла будет тормозить безбожно.
wtigga
От себя добавлю:
Не смотря на то, что это Блумберг и анонимный источник, я таки склонен доверять ему. Техническая возможность блокировать протоколы VPN у Китая уже есть, вот тут интересная статья на тему предполагаемого машинного обучения великого файервола.
Осталось сделать ещё пару шажков: 1. Заставить юридических лиц подключаться к Большому Интернету официально через провайдера, а не покупкой всяких частных VPN-сервисов, 2. Заблокировать все крупные VPN-сервисы и включить распознавание vpn-трафика на полную катушку.
Простым китайцам будет пофиг, китайским компаниям придётся повозиться, иностранным компаниям в Китае будет тяжко, иностранцам в Китае (тем, кто поддерживает связь с заграницей) будет очень плохо. Но китайцам пофиг.
zuborg
Uirandir
> все, кроме некоторых протоколов
Дык фишка-то в том, что надо блокировать IP. Без этого никак. Без этого дырки останутся. Как я уже писал есть те же грешные туннели, которые просто неотъмлемая часть IP.
petropavel
ну, если там «предполагаемое машинное обучение великого файервола», то IP-over-HTTP все-таки сильно от обычного серфинга отличается, отловить можно. Там же не просто порты закроют.
Vilgelm
OpenVPN можно отследить по хендшейку. SoftEther SSL VPN нельзя, но можно по большому количеству трафика на определенный хост. По идее тут нужно решение на основе SoftEther, которое будет рандомно подключаться к различным хостам.
9uvwyuwo6pqt
-tls-crypt