Джеймс Гриффитс - Великий Китайский Файрвол

На международном уровне Великий файрвол, по сути, представляет собой обычный файрвол, то есть программное оборудование, которое блокирует определенный контент и пропускает все остальное. Для этого файрвол проводит анализ всех входящих пакетов данных. В основном входящий контент пропускается, но все, что можно отнести к запрещенной информации, блокируется. Иногда это довольно простая процедура: например, пользователь вводит в адресную строку адрес twitter.com, который заблокирован на территории Китая. В этом случае файрвол прерывает соединение и перенаправляет пользователя на страницу с сообщением об ошибке. То же самое происходит и при обращении к любым IP-адресам, связанным с сервисом, то есть адресам, соответствующим физическим компьютерным серверам, на которых работает Twitter. Аналогичным образом фильтруются и адреса внутри сайтов. До 2015 года Википедия была доступна на территории Китая, заблокированы были только отдельные страницы с неугодным властям содержанием. В западных странах пользователи чаще всего имеют дело с файрволами в локальных сетях школ и университетов: блокируют страницы с ненадлежащим содержанием. Такой же принцип применяется во многих компаниях.

Великий файрвол – гораздо более продвинутая система, чем файрволы в школах или на рабочих местах. Иначе его можно было бы легко обойти самыми простыми способами, например, созданием зеркал запрещенных сайтов на незаблокированных адресах или серверах (хотя это быстро сведется к игре в кошки-мышки с цензорами) или заходом на заблокированные страницы через прокси-серверы, которые перенаправляют трафик через другой сайт и маскируют изначальный запрос. Как показала практика, Великий файрвол практически невозможно обойти такими способами: он анализирует сам трафик, а не только исходящий запрос и адрес назначения. Например, если пользователь попытается зайти на ранее не заблокированный сайт с информацией о запрещенном религиозном движении «Фалуньгун», файрвол по ключевым словам отследит этот запрос и перекроет соединение, после чего отметит сайт для повторной проверки. В некоторых случаях остановить анализ удается с помощью шифрования трафика или использования прокси в сочетании с более совершенными методами вроде виртуальных частных сетей (VPN), но эти способы отнюдь не панацея для борьбы с цензурой. Если пользователь из Пекина постоянно шифрует свой трафик и перенаправляет его через VPN-сервер в Калифорнии, ему наверняка есть что скрывать от цензоров. В этом случае файрвол не может заблокировать сайты, на которые заходит этот пользователь, потому что не видит его трафик. Однако файрвол может снизить скорость подключения к интернету или полностью перекрыть соединение, так чтобы пользователь при следующем выходе в Сеть не смог подключиться к VPN-серверу. Гораздо серьезнее то, что такого пользователя могут вызвать на беседу, его могут навестить спецслужбы с целью выяснить, что он пытается скрыть. Когда на политическом фронте особенно неспокойно, цензоры блокируют сами протоколы, на которых работают VPN. Тогда подключиться к ним нельзя вообще никому, хотя эти сервисы часто используют коммерческие предприятия для вполне законных целей вроде подключения к локальной сети или обеспечения безопасности конфиденциальных сделок 34.

Великий файрвол действует сразу на нескольких уровнях. Он распределен по множеству маршрутизаторов и коммутаторов, составляющих основу всего китайского интернета. На пользовательском уровне его поддерживают местные интернет-провайдеры 35. Когда пользователь на территории Китая загружает страницу, его провайдер проверяет запрос на совпадение со списком запрещенных адресов и видов информации. Если страницы нет в этом списке, запрос передается дальше, на пункт доступа в интернет (IAP), где трафик перенаправляется на серверы по всему Китаю и по всему миру. На этом этапе происходит анализ пакетов по ключевым словам и подозрительным маркерам. Трафик, который сервер-адресат возвращает пользователю, снова анализируется. Только в случае успешного прохождения всех этих барьеров пользователь сможет что-то увидеть в окошке браузера. Именно поэтому сайты с совсем невинным содержанием загружаются целую вечность, если у них хостинг на серверах вне Китая.

Постоянно анализировать и фильтровать трафик непросто. Файрволы в школах не годятся для такой работы, ведь они просто блокируют адреса. Великий файрвол обязан своим существованием самой структуре китайского интернета, огромным государственным расходам на его цензуру. Почти все соединения между китайским сегментом и мировым интернетом сосредоточены в трех узловых точках, где мощные коммутаторы отправляют трафик к сотням километров оптоволокна, опорной сети мирового интернета. Затем этот трафик перенаправляется на сайты и серверы в других странах. Эти узловые точки находятся на севере – в Пекине, на восточном побережье – в Шанхае, а также на юге – в городе Гуанчжоу, рядом с Гонконгом. На этом уровне блокировку целенаправленно маскируют: при загрузке запрещенного сайта выдается сообщение об ошибке, как если бы сайт был просто недоступен или же соединение отсутствовало, то есть пользователям сложно определить однозначно, что их трафик подвергается цензуре. Это все важные компоненты системы, однако они не являются определяющими. Сердце Великого файрвола – сложная система внутренней цензуры внутри самого Китая. Пользователи из Китая редко заходят на иностранные сайты: информация там представлена не на китайском. Например, у китайских и российских СМИ есть англоязычные версии, но вряд ли кто-то из, скажем, Айовы пойдет на эти сайты, чтобы получить информацию, которую скрывает официальный Вашингтон. Пограничные фильтры следят за тем, чтобы никто не попытался выбраться за пределы внутреннего интернета, а самая важная работа по вычистке нежелательной информации ведется внутри.

Своей бесперебойной работой система отчасти обязана американским корпорациям и усилиям американских инженеров. Например, Cisco, одна из крупнейших компаний Кремниевой долины, поставляет Китаю оборудование для фильтрации контента и интернет-слежки еще с начала 1990-х. Согласно подсчетам канадского Международного центра развития демократии и прав человека за 2001 год, объем закупок телекоммуникационного оборудования Китаем составил 20 млрд долларов в год 36. Это 25 % мирового рынка. Основными партнерами КНР по этим сделкам были американские компании. По образному выражению историков интернета Тима Ву и Джека Голдсмита, Великий файрвол возведен из американских кирпичей 37.

Среди американцев, которые помогали Китаю строить Великий файрвол, был и Майкл Робинсон 38. Он работал системным инженером в Калифорнийском университете в Беркли, а в 1993 году попал под сокращение. «Мне в прямом смысле слова было нечем больше заняться, – рассказывал он мне. – Так что я уехал на год в Китай работать учителем английского». За первым годом последовал еще один, а потом и работа в одной пекинской научной лаборатории. Начальник попросил Робинсона провести в лабораторию интернет, который только-только появился в Китае. «В местной англоязычной газете я прочитал, что управление связи запускает экспериментальную программу по подключению к интернету и выдает бесплатные клиентские номера. Вот я и подключил нашу лабораторию», – рассказывает он. С самого начала с этим сервисом возникло много проблем. Робинсон решил сам разобраться с подключением. Выяснилось, что многие настройки в системе были заданы неправильно. Робинсон узнал, как можно связаться с администратором сети, и начал присылать свои предложения. «Например, нужно изменить то-то и то-то в файле конфигурации, тогда заработает. А сюда добавьте вот эту строку… Здесь вот это неправильно». Сам того не подозревая, он прошел собеседование и получил новую работу.