Po rozpoczęciu przez Rosję nieuzasadnionej i tragicznej w skutkach inwazji na Ukrainę pod koniec lutego świat z zapartym tchem obserwował, jak wojska rosyjskie próbujące posuwać się w głąb Ukrainy napotykają opór ludności ukraińskiej i zostają odparte. Jednocześnie w tym regionie zaczęto notować znaczącą aktywność związaną z cyberatakami. Stale pracujemy nad zabezpieczeniem rosnącej liczby ukraińskich witryn należących do instytucji rządowych i finansowych oraz organizacji medialnych i non-profit. Zapewniliśmy również ochronę ukraińskiej domeny najwyższego poziomu (.ua), aby utrzymać stałą obecność Ukrainy w Internecie.
Jednocześnie uważnie obserwowaliśmy znaczącą i bezprecedensową aktywność internetową w Rosji. Rosyjski rząd podjął kroki w kierunku zacieśnienia kontroli nad komponentami technicznymi i treściami rosyjskiego Internetu. Sami Rosjanie robią jednak coś zupełnie innego. Korzystając z różnych narzędzi, starają się zachować dostęp do globalnego Internetu i poszukują źródeł informacji medialnych innych niż rosyjskie. W ramach tego wpisu przedstawimy nasze obserwacje.
Rosyjski rząd przejmuje kontrolę nad Internetem
W ostatnich pięciu latach rosyjski rząd podjął działania mające na celu zacieśnienie kontroli nad niezależnym Internetem na terytorium Rosji, przyjmując, między innymi, przepisy wymagające od rosyjskich dostawców usług internetowych zainstalowania sprzętu umożliwiającego rządowi monitorowanie i blokowanie aktywności w Internecie oraz wymagające ustanowienia stricte rosyjskiego systemu DNS (poza jurysdykcją organizacji ICANN). Stworzono również mechanizmy pozwalające rosyjskiemu rządowi kontrolować sposób, w jaki Rosja łączy się z globalnym Internetem, i — w razie potrzeby — wyciągnąć wtyczkę.
Od czasu inwazji na Ukrainę rosyjski rząd wydał szereg oświadczeń związanych z wdrażaniem przepisów dotyczących niezależnego Internetu. Rosyjskie agencje rządowe otrzymały nakaz przełączenia się na rosyjskie serwery DNS, przeniesienia zasobów publicznych do rosyjskich usług hostingowych oraz podjęcia szeregu innych kroków mających na celu zmniejszenie zależności od dostawców spoza Rosji. Chociaż niektórzy odebrali te inicjatywy jako zapowiedź zamiaru odłączenia się Rosji od globalnego Internetu, jak dotąd nie wydaje się, aby Rosja wykorzystała te narzędzia do realizacji tego zamierzenia. Nadal obserwujemy skuteczne przetwarzanie połączeń w Rosji za pośrednictwem nierosyjskiej infrastruktury.
W międzyczasie władze Rosji wdrożyły szereg ukierunkowanych działań blokujących witryny internetowe i operatorów, którzy ich zdaniem budzą zastrzeżenia. Początkowo urzędnicy obrali za cel popularne serwisy społecznościowe, takie jak Facebook, Instagram i Twitter, a także rosyjskojęzyczne media mające siedzibę poza granicami kraju.
Wpływ niektórych z tych blokad na ruch kierowany przez rosyjskich użytkowników do różnych witryn informacyjnych w Rosji i Ukrainie można zaobserwować, porównując dane przed i po ich wprowadzeniu.
Wszystkie witryny tych serwisów informacyjnych zanotowały gwałtowny wzrost ruchu w okolicy 24 lutego, gdy rozpoczęła się inwazja na Ukrainę. Wzrost ten jednak spotkał się w ciągu kilku dni z działaniami mającymi na celu zablokowanie ruchu do tych witryn. W pierwszych tygodniach blokady miały różny stopień skuteczności, ale wydaje się, że każda z nich ostatecznie odniosła sukces, uniemożliwiając dostęp do tych źródeł informacji za pośrednictwem tradycyjnych kanałów internetowych.
Jest to jednak tylko początek historii. Gdy rosyjski rząd podjął kroki ukierunkowane na kontrolowanie tradycyjnych kanałów dostępu do globalnej sieci, nastąpiły zmiany w sposobie, w jaki wielu Rosjan korzysta z Internetu.
Obywatele Rosji korzystają z narzędzi zapewniających dostęp do otwartego Internetu
Rosjanie zaczęli korzystać z aplikacji i narzędzi pozwalających na prywatne korzystanie z Internetu i unikanie niektórych mechanizmów wykorzystywanych przez rosyjski rząd do kontrolowania i monitorowania dostępu do Sieci. Podczas gdy w większości krajów świata najpopularniejsze aplikacje w sklepie Apple App Store nadal należały do obszaru mediów społecznościowych i gier, marcowa tabela liderów w Rosji wyglądała zupełnie inaczej:
Wszystkie aplikacje najpopularniejsze w marcu w Rosji były związane z prywatnym i bezpiecznym dostępem do Internetu albo szyfrowanym przesyłaniem wiadomości. Najczęściej pobieraną aplikacją było opracowane przez Cloudflare narzędzie WARP / 1.1.1.1 (rekurencyjny resolwer DNS ukierunkowany na prywatność). Ta lista popularnych aplikacji jest szokująco odmienna w porównaniu z każdym innym krajem na świecie.
Ze względu na wyraźną i mającą duże znaczenie popularność aplikacji WARP (1.1.1.1) mieliśmy szczegółowy wgląd w przebieg wydarzeń. Jeśli spojrzymy na początek lutego, zobaczymy, że narzędzie Cloudflare WARP nie było w Rosji powszechnie używane. Zmieniło się to w pierwszym tygodniu wojny, a najwyższy poziom użycia odnotowaliśmy dwa tygodnie później. Następnie, gdy wirtualna migracja użytkowników do bezpiecznych rozwiązań tego rodzaju stała się oczywista, zaobserwowaliśmy próby zablokowania dostępu do narzędzi zapewniających bezpieczne korzystanie z Internetu.
Chociaż poziomy użycia spadły w porównaniu ze szczytowymi, duża liczba Rosjan nadal korzysta z narzędzia Cloudflare WARP — znacznie częściej, niż miało to miejsce w Rosji przed wojną.
Oprócz tego, że Rosjanie częściej korzystają z Internetu w oparciu o prywatną i szyfrowaną komunikację, zaobserwowaliśmy również zmianę w treściach, do których próbują uzyskać dostęp. Oto wykres żądań DNS od rosyjskich użytkowników dotyczących witryny znanej amerykańskiej gazety. W ostatnim czasie ruch DNS dla tej witryny wzrósł pięciokrotnie w porównaniu z poziomem sprzed wojny, co wskazuje, że Rosjanie próbują uzyskać dostęp do tego źródła wiadomości.
A oto ruch DNS dla dużego francuskiego serwisu informacyjnego. Podobnie jak w poprzednim przypadku liczba wyszukiwań DNS ogromnie wzrosła, ponieważ Rosjanie próbują uzyskać do niego dostęp.
A tu gazeta z Wielkiej Brytanii.
Obraz wyłaniający się z tych trzech wykresów jest jasny. Rosjanie chcą mieć dostęp do nierosyjskich źródeł wiadomości, a biorąc pod uwagę popularność narzędzi zapewniających prywatny dostęp do Internetu i sieci VPN, są gotowi podjąć aktywne działania, aby go uzyskać.
Linia frontu w wojnie z cyberatakami
Oprócz usług, które byliśmy w stanie zapewnić zwykłym obywatelom Rosji, nasze brzegowe serwery internetowe w tym kraju pozwoliły nam również wykrywać i blokować pochodzące z niego ataki. Gdy ataki są blokowane na terytorium Rosji, nigdy nie opuszczają jej granic. To niezmienna cecha rozproszonej sieci Cloudflare — lokalna identyfikacja i blokowanie cyberataków (zwłaszcza ataków DDoS), zanim zdążą się rozprzestrzenić.
Oto jak wyglądała aktywność ataków DDoS pochodzących z Rosji i blokowanych tam przez Cloudflare od początku lutego. Przez cały luty zwykła aktywność ataków DDoS pochodzących z rosyjskich sieci i blokowanych przez tamtejsze serwery Cloudflare była stosunkowo niska, jednak w połowie marca gwałtownie wzrosła.
Dla jasności warto przypomnieć, że możliwość zidentyfikowania miejsca pochodzenia ruchu związanego z cyberatakami to nie to samo, co możliwość ustalenia lokalizacji ich autora. Przypisanie cyberataków konkretnym sprawcom jest trudne, a teraz szczególnie musimy zachować ostrożność w tym zakresie. Cyberprzestępcy stosunkowo często przeprowadzają ataki z odległych lokalizacji na całym świecie. Dzieje się tak zwykle, gdy uda im się przejąć urządzenia w innych krajach, na przykład poprzez zhakowanie sprzętu IoT (Internet of Things).
Jednakże nawet przy uwzględnieniu tej niepewności nadal obserwujemy znaczny wzrost liczby zablokowanych ataków docierających do naszych serwerów w Rosji.
Kilka tygodni temu, gdy inwazja na Ukrainę była na wczesnym etapie, stwierdziłem, że „Rosja potrzebuje więcej Internetu, a nie mniej”. W warunkach bezprecedensowych sankcji gospodarczych nałożonych przez Stany Zjednoczone i Europę pojawiły się wezwania kierowane do wszystkich zagranicznych firm, aby poszły dalej i całkowicie opuściły Rosję, a dostawcy Internetu odłączyli ten kraj od Sieci. Dla jasności warto wspomnieć, że Cloudflare prowadzi w Rosji jedynie minimalną sprzedaż i działalność handlową — nigdy nie mieliśmy tam podmiotu korporacyjnego, biura ani pracowników, a do tego podjęliśmy kroki w celu zapewnienia, że nie płacimy podatków ani opłat rosyjskiemu rządowi. Biorąc jednak pod uwagę znaczący wpływ naszych usług na dostępność i bezpieczeństwo Internetu, uważamy, że ich całkowite usunięcie z Rosji przyniosłoby więcej szkody niż pożytku.
Głęboko szanujemy motywację stojącą za wezwaniami przedsiębiorstw do opuszczenia Rosji, jednak wycofanie się firm internetowych może mieć niezamierzony skutek w postaci wzmocnienia i ułatwienia działań rosyjskiego rządu w zakresie kontroli Internetu w tym kraju. Wysiłki mające na celu odcięcie Rosji od globalnego Internetu za pośrednictwem organizacji ICANN i RIPE pozbawią jedynie Rosjan dostępu do informacji na temat wojny w Ukrainie, które rosyjski rząd chce przed nimi ukryć. Po tym, jak wiele amerykańskich urzędów certyfikacji zaprzestało wydawania certyfikatów SSL dla rosyjskich witryn internetowych, Rosja zareagowała na początku marca, zachęcając rosyjskich obywateli do pobrania certyfikatu rosyjskiego głównego urzędu certyfikacji. Jak zauważyła fundacja EFF, „tymczasowy środek zastosowany przez państwo rosyjskie w celu utrzymania działania usług umożliwia również szpiegowanie Rosjan, teraz i w przyszłości”.
Dlatego eksperci są niemal zgodni co do tego, że rosyjski Internet musi pozostać jak najbardziej otwarty dla Rosjan. Dziesiątki organizacji społecznych wezwało rządy do przeciwdziałania autorytarnym zapędom „oraz zapewnienia, że sankcje i inne kroki mające na celu odrzucenie nielegalnych działań rosyjskiego rządu nie przyniosą odwrotnego skutku, wzmacniając wysiłki Putina na rzecz przejęcia kontroli nad informacją”. Rosyjscy działacze na rzecz praw cyfrowych zaapelowali do dostawców usług o zaoferowanie Rosjanom bezpłatnego dostępu do sieci VPN, tak aby nie byli odizolowani od globalnych źródeł wiadomości. Również Departament Stanu USA jasno stwierdził: „Niezwykle ważne jest utrzymanie przepływu informacji do obywateli Rosji w jak najszerszym zakresie”.
Wspierając misję budowania lepszego Internetu, nasz zespół przez sześć tygodni intensywnie monitorował rozwój sytuacji i pracował przez całą dobę, aby zapewnić ochronę ukraińskim zasobom internetowym, a zwykłym Rosjanom — dostęp do globalnego Internetu. Jesteśmy pełni podziwu dla odważnych Ukraińców, którzy stanęli w obronie swojej ojczyzny, i wierzymy, że pokój w końcu zwycięży.