Перейти к содержанию

Без гарантий

·5 минут·
Архитектура И Исследования Защитные Руны New Безопасность VLESS TLS VPN DPI
Содержание

Меня нередко спрашивают: насколько безопасна наша сеть? Какие гарантии вы даете?

Хочу ответить на это честно — и как можно проще, без технической душноты. Заранее предупреждаю: скорее всего, у меня не получится. Я смирился с этим уже давно.

То, что нужно принять как данность #

Начну с неприятного. Зато честного.

Любая частная сеть, в которую вы подключаетесь, — видит ваш трафик. Это не баг, не недосмотр, не уязвимость конкретного решения. Это фундаментальное следствие самой природы сети. Когда вы передаете данные через чужую инфраструктуру — вы автоматически принимаете риск того, что администратор этой инфраструктуры имеет к ним доступ. Первый в этой цепочке — ваш интернет-провайдер. Следующий — тот, кто управляет сетью, в которую вы только что вошли.

Когда два устройства устанавливают соединение через интернет, пакеты с данными проходят через десятки промежуточных узлов. Никто заранее не знает, через какие именно: правила маршрутизации в глобальной сети сложны и непредсказуемы. Именно это открывает возможность для атаки Man-in-the-Middle — когда кто-то встает между отправителем и получателем и читает всё, что между ними летит. Атаку впервые теоретически описал в 1980-х криптограф Уитфилд Диффи — тот самый, в честь которого назван алгоритм Диффи — Хеллмана, лежащий сегодня в основе TLS. Ирония в том, что человек, описавший одну из главных угроз, — и создал главный инструмент защиты от нее.

Подключаясь к частной сети, вы делаете путь своего трафика предсказуемым: он проходит через узлы сети, а маршрутизация внутри которой подчиняется политике администратора. Это дает администратору полный контроль над движением вашего трафика — и значит, повышает риск атаки Man-in-the-Middle именно с его стороны.

Говорю прямо: вступая в нашу сеть, вы принимаете риск того, что я — или любой другой администратор нашей инфраструктуры — технически способен перехватить ваш трафик. Это неизбежное зло, которое нужно принять как данность. Доверие к провайдеру — неотъемлемая часть любой VPN-схемы, и никакие технологии не могут убрать этот элемент уравнения.

Хорошая новость #

Но есть и хорошая новость.

Даже если ваш трафик перехвачен — прочитать его, как правило, нельзя.

Лучшая аналогия, которую я знаю: представьте, что вы разговариваете с собеседником в переполненном кафе — но на языке, которого больше никто вокруг не знает. Вас слышат все. Понять не может никто. Именно так работает современное шифрование: данные летят по сети открыто — но в зашифрованном виде, который без ключа расшифровки совершенно бесполезен.

Пару десятилетий назад данные в сети действительно передавались в открытом виде — что-то вроде разговора вслух на общепонятном языке, и перехватить что угодно было делом несложным. Сегодня картина принципиально другая. Стандартом де-факто стало сквозное шифрование: данные шифруются между вашим браузером или приложением и конечным сервером, и ни один промежуточный узел не может прочитать их содержимое. По данным за 2024 год, более 95% всего веб-трафика уже передается через TLS/HTTPS — а ещё в 2015-м эта цифра была ниже 40%. Одна из самых тихих, но значимых перемен в истории интернета.

Банк, мессенджер, стриминговый сервис — все они шифруют трафик прежде, чем отправить его в сеть. И браузеры теперь не просто поддерживают защищенный режим — они буквально заставляют вас в нем работать. Попробуйте зайти на незашифрованный сайт: браузер предупредит вас несколько раз подряд, а потом всё равно потребует явно подтвердить, что вы понимаете, на что идете.

Технология, которая за всем этим стоит, — TLS (Transport Layer Security). Это протокол криптографической защиты данных при передаче по сети — тот самый, что стоит за замочком в адресной строке, за HTTPS, за тем, что ваши пароли и номера карт не летят по сети открытым текстом.

Как устроена наша сеть #

Наша сеть работает на протоколе VLESS — и здесь важно понять одну ключевую вещь.

Существуют протоколы с более тяжелой криптографией: они обеспечивают теоретически более высокую стойкость ко взлому. Но у них есть оборотная сторона — они видны. Их трафик имеет специфические сигнатуры, по которым системы глубокого анализа трафика (DPI) на уровне провайдера умеют их детектировать и выделять из общего потока. Чем надежнее криптография — тем заметнее трафик.

VLESS использует те же принципы шифрования, что и обычный интернет-трафик — TLS. Именно это делает его неотличимым от стандартного HTTPS-соединения. Для внешнего наблюдателя, который захочет проанализировать ваш трафик, вы часами серфите какой-нибудь совершенно обычный сайт — и именно его сертификат безопасности обеспечивает TLS-шифрование ваших данных (будьте готовы объяснять, почему вы так залипаете на кошкодевочках).

Мы сознательно делаем ставку не на максимальную криптографическую сложность, а на невидимость и маскировку. Нельзя взломать то, чего нет — и в нашей философии это важнее, чем более тяжелый, но заметный шифр. Особенно в условиях, когда системы DPI с каждым годом становятся умнее и агрессивнее.

О том, почему это важно — я подробно писал здесь: что именно убивает VPN-сервисы — не взлом протокола, а обнаружение по паттернам поведения.

О гарантиях #

И последнее. Самое важное.

Если кто-то предлагает вам VPN-сервис и говорит о его надежности и «непотопляемости» — не верьте. Ни этому человеку, ни этой организации. В нынешних условиях гарантировать это не может никто. При целенаправленной атаке регулятора на конкретный сервис — не устоит абсолютно никто. Единственный реальный способ снизить этот риск — быть незаметным. Именно на это мы и делаем ставку.

Если говорить о рынке в целом — я думаю, нас ждет серьезное сокращение игроков. Это не значит, что сервисы исчезнут как класс: спрос будет только расти, а значит, будет и предложение. Но стабильность крупных коммерческих сервисов, скорее всего, станет заметно хуже — и я бы не советовал заключать долгосрочные контракты ни с кем на этом рынке. Слишком много прецедентов, когда сервис исчезал за один день вместе с оплаченными подписками своих пользователей.

Из того, что активно обсуждается в сообществе: возможно появление чего-то вроде «государственного VPN» — для доступа к сервисам, которые де-факто не запрещены, но не могут нормально работать в условиях текущих ограничений. Более прагматичным мне кажется другой сценарий: серия сделок между крупными игроками и государством, когда в обмен на сотрудничество — закрытые глаза на существование сервиса. Полуофициальные договоренности в серой зоне, назначение «уполномоченных операторов».

В любом случае, общий вектор здесь совпадает с тем, что мы уже видели в телекоме, банкинге и медиа: укрупнение, вытеснение мелких игроков и установление государственного контроля над несколькими крупными. Типовая история. Финал предсказуем.