ENOG'14-インターネットインフラストラクチャに対するコンテンツブロックの影響

Qrator Labsは、配布が禁止されているコンテンツのブロックに特化したHabrのラウンドテーブルのデコードを公開する許可について、ENOGプログラム委員会に感謝します。 イベントは10月9〜10日にミンスクで開催されました。 注意！ テキストは長く、トピックはデリケートです-出版物の下に残したいコメントを真剣に受け止めてください。



ENOG （元の欧州ネットワークオペレータグループの「ユーラシアネットワークオペレータグループ」）は、インターネットの重要な側面に関与するインターネット専門家の地域フォーラムです。 フォーラムの枠組みの中で、ロシア連邦、CIS諸国、東ヨーロッパに固有の問題に関する経験と知識を交換する機会があります。



一連のスピーチとレポートのトピック：

1. ロックの技術面-Alexey Semenyaka、RIPE NCC
2. ロシアにおける錠前の技術的状況の概要-Philipp schors Culin、DIPHOST
3. トランスポートネットワークでのディープパケットインスペクションの問題-Artyom ximaera Gavrichenkov、Qrator Labs
4. インターネット技術のさらなる発展の文脈でコンテンツをブロックする見込み-アントン・バスコフ、AB建築局
5. ロックの管理上の問題-ユーニックカルガポロフ、UANIC

コンテンツのブロック、紹介

Yuri Kargapolov （ディスカッションのモデレーター）：



ENOGの非常に珍しいパネルディスカッションを始めましょう。 このパネルは、私たちが「ロック」と呼んでいるものと関連しています。これは、すでに感じていますが、ネットワークの品質、提供されるサービスの品質に影響を与えます。 最終的に、ロックは構築するネットワークのアーキテクチャに影響します。 特にロシアに関連する特定の問題が蓄積されています。 しかし、結局のところ、彼はウクライナ、ベラルーシ、そしてこの地域の他の多くの国々のために力を獲得し始めました。 私たちはまだこれに適切に反応する方法を理解していません。したがって、この議論は、ロックにどのように対応するか、どの戦略を選択するか、この課題に適切に対応する方法を理解する試みに専念します。

ロックの技術面、Alexey Semenyaka、RIPE NCC

私たちの仕事は、このようにロックを作成する方法、または技術的に最小限の害をもたらすような方法でロックを維持する方法を理解することです。 そして、私はこれが新しい問題ではないことを言わなければなりません-これはこの地域のみの新しい問題ですが、全世界でこのマフィンは何度も噛まれてきました。 かなり高いレベルでの最初の議論は15年以上前に登場しました。たとえば、英国のロックシステムは2003年頃に大規模に動き始めました。







特定のドキュメントを発行した国際機関のリストは次のとおりです。レポート、推奨事項、インターネットでのトラフィックのブロック方法に関するレビュー。 リストは国連総会で始まることがわかります。実際、世界のさまざまな国の水門に関する総会の文書があります。 欧州人権裁判所、欧州評議会、OSCEがあります。



インターネット組織があります。このテーマに関するRFC 7754全体をリリースしたISoC、IETF、および途中のドラフトもあります。 控えめに言っても、この問題は見過ごされません。 もちろん、EFFもありますが、これは脇に置いておくのではなく、重要で興味深いドキュメントもあります。



セッションの準備をしているときに、スライドに表示されているこれらの組織の文書を読みました。これらは約800ページです。 これはこれまでに蓄積された膨大な量の情報です。 世界では膨大な数の問題がすでに議論されています-今、私たちに転機が来ました。



私の仕事は、この議論で作業することに基づいて合意を表明することです。 私たちが今始めて、当然のことと考えているゼロ公理。





世界で受け入れられている用語には、ブロッキング、フィルタリング、検閲という3つの概念が含まれています。



ロックについて-静的な理由で話します。 これは、たとえばP2Pネットワークのトラフィックが署名によってフィルタリングされ、著作権で保護されたコンテンツを検出する場合のフィルタリングとは異なります。 また、法的な定義によれば、「情報を公開する前の予備的な承認」である検閲とは異なります。 つまり、これは情報の普及の自由に対する制限です。



この議論の前提条件は何ですか？





ロックは世界中で一般的な方法です。 それが存在しない国はほとんどなく、完全に存在しない多かれ少なかれ先進国は存在しません。 世界のすべての国で何らかの形で、ネットワーク環境に投稿された違法コンテンツにはいくつかの制限があります。



したがって、現時点では、国際法で普遍的であると見なされ、コンテンツを完全にブロックできる共通の機能が策定されています。 敵の第一は児童ポルノのography延であり、これがコンテンツがほぼどこでもブロックされる理由です。 これは差別的発言、憎悪、大量虐殺などです。 これも名誉def損です。 ヨーロッパおよびその他のいくつかの国では、主にヨーロッパで、欧州裁判所のレベルで、著作権侵害を監視しています。





現在のところ、定式化する場合-これが現在の議論を進める前提であり、ベストプラクティスまたは記述可能な最高の状況を定式化する場合、これは次のとおりです。

• たとえば法廷での敵対的手続きの結果として、ロックが閉じられた状態ではなく、開かれた状態で発生するシステム。 反対側がロックを実装するべきではない理由に異議を唱え、議論できる場合。
• ブロックの基準は事前に策定され、社会に存在するコンセンサスに対応しています。 これは社会に対する圧力ではなく、これが社会が受け入れられる生活水準として自ら策定したものです。
• この場合、裁判所は専門的なコミュニティの有能な専門知識に基づいて、技術的に危険な行動を防ぎます-深刻すぎる結果をもたらし、ネットワークコミュニティの専門的なコンピテンシーの理解に起因する行為。 さらに、法廷で決定できること、つまり、公判前の和解のためのすべての措置が取られています。 潜在的な犯罪者と潜在的な犯罪者との間には合意のシステムがあります。

これは、閉塞が正当で、合理的で、説明可能な場合があると考えるシステムです。そのようなシステムでは、これは議論でき、存在する可能性があり、生命権があります。 もう一度-私たちは完全にフィルターされていない透明なインターネットを見たいと思いますが、私たちは今日世界に存在する状況に住んでいます-私たちは最小限の害のポイントを見つけようとしています。 実際、このポイントは画面に表示されます-あなたが努力する必要がある状況です。





ECHRの司法慣行を見ると、ロシアを含む旧ソビエト連邦からさえも申し立てがありましたが、私たちの地域ではほとんど知られていなかった閉塞の場合の申し立てを定期的に考慮しています。 良い例は、実際にトルコをブロックすることに対するトルコ市民に対する2つの訴訟です。



ある裁判所は、ある種の違法なリソースがブロックされ、それに伴って一部のGoogleリソースが禁止された、良い用語の担保検閲によって説明されたものについてでした。 裁判所は市民に味方し、トルコにそうしないよう求めた。 これはごく最近のケースであり、公開されたケースの結果はまだ見ていません。



2番目のケースでは、著作権で保護されたコンテンツである音楽を含むリソースがブロックされました。 裁判所は州を支持し、この事件は人権の侵害ではないと述べた。 つまり、実際には、差別化されたアプローチが採用されています-これが遵守されるべき現実です。





2001年の欧州司法裁判所は、著作権侵害のリソースを無条件にブロックすることを決定しました。 過去16年にわたって、彼は人権を侵害しているという事実のために過度のブロックを行うことは容認できないという膨大な数の個人的な決定を行ってきました。これは明確に示されています。



同時に、欧州の国内裁判所向けのECJの定式化は非常にソフトであり、基準が何であり、このフレームワークを超えないようにする方法があまり明確ではないため、解釈に問題が生じます。 「ブロックするための合理的な手段を講じる」、「禁止されているリソースへのアクセスを十分に妨げる」、「正当な情報へのアクセスの可能性を必要なく奪い取らない」という表現を使用します。 つまり、定式化はかなりあいまいですが、多くの特定の定義があります。 このレベルでさえ、明確な言語の問題はまだ解決されていないと言っておきましょう。





オンラインコミュニティは何をすべきですか？ これは今日解決できることではなく、今日議論できることでもありません。 少なくとも、ホールにいる人の大部分は組織を公式に代表できないため、投票権（取締役会の意味で）または署名権を持っていません。



しかし、可能であれば、国家との相互作用の形を探す必要があることは明らかです。 常に可能とは限りませんが、可能であれば、それが必要です。



プレッシャーが一般的になるように専門家協会を形成します。 視点が統合されるように。 そして、立法プロセスのレベルと司法手続きへの参加レベルの両方で参加する。



可能であれば、国が異なること、状況も異なることを理解しているため、絶対的な義務はありません。







さて、簡単に、世界の練習を見て、どのように見えるかを説明します。 座標系を形成する3つのベクトルがあります。

1. ブロックの決定はどのように行われますか？
2. ブロッキングはどのように行われますか？
3. ブロッキングエリアとは何ですか？ つまり、コンテンツはブロックされます。

意思決定。



最も穏やかな状況は、法律でロックが説明されていない場合で、インターネットアクティビティはオフラインアクティビティの絶対的な類似物と見なされ、個人的な決定が下されます。



すべてがそのように機能する国の3つの異なる例は、日本、ラトビア、クロアチアです。 ラトビアではブロッキングの例はほとんどなかったと言わなければならない-私の意見では、映画は一箇所でブロックされたが、その時までにすでに約100万人が存在していたため、映画をブロックする裁判所の決定があっただけで、何にもつながりませんでした場所



しかし、これらの国の事業者は、いわば、これを行う方法について統一された規則がないため、いわば裁判所の判決の執行に関していくつかの問題を抱えています。 州レベルでも業界レベルでもありません。







2番目の状況は、法律でロックが説明されていないが、ロックの問題がオペレーターの専門家協会のレベルで解決されている場合です。 オペレーター同士は、独自にその方法に同意しています。 また、州機関または裁判所の提供を自主的に行う場合、事業者はコンテンツをブロックします。 ほとんどすべてのヨーロッパがこのように機能します。



英国の伝統的なヨーロッパなど、最も先進的な、悪い意味でのロック状況。 しかし、そこでも、このために特別に作成された協会によって決定が下されます。 これは、通信事業者の団体、非政府団体です。





次のタイプの意思決定は、ロックが存在し、法律に記載されているが、裁判所の決定によって、つまり母音と敵対的手続きの結果として実行される場合です。 スライドに例が示されていますが、ここでも「ねじれ」がないわけではないことは言うに値します。たとえば、ベルギーでは、エンドオペレーターだけでなく輸送にも解決策が必要です。 トランジットは、禁止されているコンテンツを送信しないようにする必要があり、これにより問題が発生します。 数年前から、ベルギーのネットワークコミュニティは、著作権で保護された映画を移動中に送信することはほとんど追跡不可能であり、機能しないことを州に説明しようとしてきました。 しかし、そのような場合があり、それは一定の緊張を引き起こします。 ベルギーは技術的に高度な国であり、優れた市民社会を持っています。







そして最後-ロックが法律で説明されており、敵対的な手順なしで実行される場合。 国のリストは大きく、さまざまな国を具体的に挙げました。ご覧の通り、トルクメニスタンがありますが、エストニア、トルコ、ウクライナ、インドがあります。 これも残念ながら、かなり一般的な方法であり、常に技術的な問題を引き起こしています。







ロックプラットフォームはどのように機能しますか？ 州が中央集中型プラットフォームの使用を必要とする場合があります-一部のセンターを介してトラフィックを促進するため。 鮮明な例：中国、サウジアラビア、トルクメニスタン。



国内の主要オペレーターが使用する標準ソリューションがあります。 これは予想外の例です-Clean Feedシステムを備えた英国は、British Telecomで最初にデバッグされましたが、現在ではすべての主要な英国のオペレーターによって使用されています。 私が言ったように、これは事実上の標準になった標準ソリューションであるという事実にもかかわらず、このソリューションのリソースは、通信事業者を含む公的組織の表現に基づいて表示されます。 つまり、ブラックリストに登録されるという最終決定は、州ではなく、公的機関によって行われます。



または、オペレーターによる独立した実装、または多くのソリューションの市場での存在など。







どんなメカニズムがありますか？



ウクライナが最近大量に使用した最も難しいメカニズム、つまり、ほとんどのオペレーターはこのようにして禁止されたリソースをブロックしました-これは自律システムによってブロックされています。 つまり、自律システムのすべてのリソースがブラックホールに送信されます。



次の方法はIPブロッキングです。 ロシアで非常に人気のある方法-多くの小さなオペレーターがそのように動作します。 これがトルコの働き方、パキスタンや他の多くの働き方、ブルンジ、コンゴなどのさまざまな例です。 つまり、アフリカの貧しい国々もまさにそのような阻止方法を非常に好んでいます。



DPIロック。 ここでは、HTTPヘッダーのホストまたはHTTPSのSNIフィールドの単純な分析から始めて、異なるレベルの分析が可能です。 そして、やや扱いにくいパケット分析で終わります。 当然のことながら、より多くのトラフィックが機能します。ここでは剣と盾の戦争です。トラフィックの量が暗号化されるため、英国と中国はこの道を進んでいます。



そして興味深い例は、DNSブロッキングです。 これはどういう意味ですか？ これは、注意、プロバイダーDNSのみがユーザーをスタブに誘導することを意味します。 同時に、ユーザーはDNSホストに4つの8を登録できることを誰もが理解しており、すべてが機能します。これは、この場合は許容できる妥協案と見なされます。 大陸ヨーロッパのほぼすべてが、このようなソフトな方法でブロックしています。







そして最後-ブロッキングの領域。



これは、すべてのネットワークユーザー、またはいくつかの個別のグループのいずれかです。 これらのグループがどのように記述されているかを確認できます。たとえば、英国では「デフォルト」のユーザーグループです。 つまり、ユーザーは、たとえばすべてのポルノを含むリソースグループからロックの削除を要求できます。 しかし、デフォルトでは無効になっています-これは現在実装中のシステムです。



米国では、これらは図書館と学校です-そこにフィルタリングがあり、非常に厳しいです。 クロアチア、リトアニア、ポーランドは唯一の学校です。 フランスでは、公共の場所、公共のインターネットでのフィルタリングに関する法律がありました。 つまり、自宅では、私が話したことまで、フィルタリングされていないインターネットを取得できますが、公共の場所ではインターネットをフィルタリングする必要があります。



これで私の部分は終わりました。

一般的なブロック手法の概要

ユーリ・カルガポロフ ：



Alexey、世界でロックがどうなるかについて特定の座標系を設定してくれてありがとう。 これに加えて、特定の国（ロシア連邦）で発生している状況もお知らせします。 Philip Culinの助けを借りてこの状況を分析します。PhilipCulinは、この件に関する彼の経験について詳細に、そして詳細に語ります。

ロシアのロックの技術的状況の概要、フィリップ・クーリン、DIPHOST

監督者によって記入された禁止サイトのレジストリがあることが法的に確立されています：検察官、消費者監督、裁判所、著作権所有者など。 法律は絶えず補足されており、その議論のほとんどすべてのセッションで、新しい政府機関がそこに何かを提案することができます。 そして、これらはすべて監督者-Roskomnadzorに提供されます。Roskomnadzorは、禁止されているリソースの登録を保持しています。 決定の結果によれば、Roskomnadzorは通信事業者にレジストリを提供します-プロバイダーは、それをブロックに使用します。 法律は少し技術的であり、ブロックする目的はないことに注意してください-プロバイダーは自分でそれを行うようであり、いくつかの推奨事項があり、自分で遊ぶことができます。







禁止サイトのレジストリはどのように見えますか？ 禁止サイトの登録は、規制当局の裁量または勧告に基づき、プロバイダーが実行しなければならない一連の機能です。 したがって、URL、ドメイン、およびマスク、つまりパターンがブロックされます。 同時に、ドメイン名とIPの両方を提供する静的エントリがあります。 プロトコルが暗号化されている場合、オプションがあります：プロバイダーがサーバー表示、つまりTLSヘッダーを解析するか、IPによってブロックします-そのようなプロバイダーがあり、それらの多くが存在するか、真のDNSです。 ここで、DNSが完全に傍受され、回答がレジストリからのものである場合、目的の回答を置き換えると想定していることに再び注意します。



IPによる完全なフィルタリングとIPブロックによるフィルタリングもありますが、実際には多くはありません。







現在、通信事業者がレジストリでフィルタリングすることは一般にどのように受け入れられていますか 推奨事項およびいくつかの独自の考慮事項によると。



1つ目は、レジストリからの選択的なIPフィルタリング、またはDNSの完全なインターセプトと応答の置換、またはチャネル全体のギャップへのフィルタリングです。 チャネルは完全に表示およびフィルタリングされます。 最初の2つの方法は、さまざまな理由で組み合わせることができます。







フィルタリングはどのように制御されますか？



2016年末以降、州は通信事業者向けに特定のデバイス「The Inspector」を無料で提供しています。 これは、RIPE Atlasに苦痛に似た、まったく同じベースで作られた箱です。 サブスクライバー側にインストールされます。つまり、サブスクライバーを模倣し、パスの数によってブロックの品質を制御します。 つまり、彼女は、禁止されたサイトに何回アクセスできたかを単純に考慮します。



この制御の副作用は、このポイント自体がIPアドレスを取ることです。 チェックする前に、彼女はどこかにレジストリ内のリソースのアドレスを取得します。 レジストリに書き込まれている内容と一致する場合と一致しない場合があります。 繰り返しになりますが、DNSは全員に同じIPアドレスを与える必要はありません。したがって、通信事業者はこれに問題があります。 2番目の問題点は、オペレーターがアクセスを制限する責任があり、禁止リソースのリストに含まれるドメインを管理するためのアクセス権を持つユーザーは、ロックがIPを介していない場合に通信が低下するIPアドレスを管理できることです。



初夏には、誰かがIP処理センターを指定したため、銀行の支払いをブロックするまで、多くの関連する問題がありました。







レジストリには数字で何が見えますか？



たくさんの数字がありますが、興味深いのは、今日では90,000を超えるレコードがあり、それらは毎日変化し、昨夜見たときに92,000、今日はおそらく93-94千だったということです。 これらはすべてレジストリエントリです。



これらのうち、マスクロックが最も興味深い-これは、プロバイダーが各ドメインの後に実行し、テンプレートを作成する必要がある場合です。 1000個のドメインが逃げ出し、Roskomnadzorはこれに気付き、それらにマスクブロッキングを適用しました。 IPブロックによるブロックは8つのケースで、Blackberryサービスはレジストリでブロックされています。







レジストリの毒性は、それが何であるかです。 13％のレジストリの冗長性、それは何ですか？ ドメインごとにブロックがあり、URLごとにブロックがあります。 また、ドメインごとにブロックがある場合、URLを保持することは意味がありません。プロバイダーがURLを参照しないため、ドメイン全体を参照するためです。 つまり、レジストリにはそのような追加エントリの13％があります-必要以上にふっくらしています。



レジストリには60,000の一意のIPがありますが、ドメインに変わる本当に一意のIP-35,000です。レジストリはこの点で非常にずさんであり、現実に対応しない不要な情報がたくさんあります。



もう1つの興味深い事実は、レジストリに標準を満たさないURLが含まれていることです。 つまり、誰かが手作業でURLを作成しましたが、それを何らかの形で解釈する必要があるかどうかを判断します。 レジストリにはこのようなURLが2つありますが、それらは半年間存在しており、私の意見では、そこに登録されています。







レジストリの関連性。 レジストリの51％は正しくありません-IPアドレスは何にも対応していません。つまり、レジストリの半分以上が完全な詰め込みです。

私を賄briするか、ラップトップを盗むか、拒否できない申し出をすることで、あなたのそれぞれが登録可能なドメインのリストを取得し、その目的のいくつかでそれを使用して、ロシアの任意のリソースをブロックできます。 このようなドメインは2000以上ありますが、昨日、私たちのために特別に数えました。







ロックから抜け出しているドメインはありますか？ はい、そのようなドメインがあります。 千を超えるものがありますが、実際には、それらのドメインの種類とそれらが逃げた理由を見ると、ドメインの30％がTTL 60秒のCDNの一部のドメインのCNAMEレコードであることがわかりました。 つまり、これは特別な暴走ではありませんが、いくつかのCDNの場合、何らかの理由でこのようになります。



また、これは、これらのドメインを追いかけることを余儀なくされる通信事業者にとって問題になります。 さらに、これについては誰も知らない-私はこれについて公に話す最初の人である。







したがって、結論。 レジストリは有毒で、無関係です。 誰かが効果的にロックを実行したい場合、効率が低下します。 通信の低下に問題があります-銀行支払いの経験があります。 また、レジストリを維持するためには、エネルギー、時間、お金を費やす必要がありますが、残念ながら、監督者にはそのような資金がありません。







私は状況を説明しました-現在、状況はどのように発展していますか？ ENOGの数日前に、監視機関の下に特別な部門が作成されました。この部門は、ブロッキングの問題とアクセス制限に対処します。つまり、これに資金が費やされました。 現在、すべてのDNSトラフィックをインターセプトし、レジストリと一致するときに対応する回答を置き換えるソリューションを備えたアクティブな推奨事項があります。



決定は疑わしいです。すぐに別の方法を使用することになります。しかし、監督当局を含め、誰もがこれを認識しているため、チャネルの幅全体にDPIが課されているため、レジストリにIPアドレスのリストを保持して更新する必要はありません。つまり、彼らはこれは難しいと考えており、サービスの問題をプロバイダーにシフトします。これは、すでに公開されている規制文書の草案ですでに聞こえています。



このメモでは、マイクを次のスピーカーに渡します。



ユーリ・カルガポロフ：



, . , . , , . , . , — .

deep packet inspection , , Qrator Labs

開始しようとしているレポートで説明するのは、dpiソリューションの開発および実装中に発生する問題です。つまり、レポートの目的は、おそらく、輸送中継ネットワークに導入されたときのdpi機器のチェックリストを作成することです。



このレポートは経験に基づいています。どんな経験？ 8年間、グローバルエニーキャストネットワークを構築する従業員のチームに参加してきました。そのタスクは（そしてこれが一般的なタスクである）ディープパケットインスペクションであり、これはddos攻撃に対する保護です。







グローバルネットワークは、世界中の多数のプレゼンスポイントを表します。北米から東南アジア、CIS、ヨーロッパを通り、各プレゼンスポイントはある種の鉄、および市場で購入できる鉄を表しています。つまり、このハードウェアにはカスタムはありません。







そこにカスタムソフトウェア、まさにDPIソリューションがあります。これは私たちが完全に開発したものです。このプロセスは8年間続いています。これは、ハードウェアの選択からソフトウェアのセットアップまでの8年間の設計です。つまり、企業の顧客を含む事業者のネットワークを含む、設計、調査、展開。







ソリューションの主な目的は、あらゆる意味でのアクセシビリティです。つまり、トラフィック分析であり、さまざまなサービスの可用性、パフォーマンスを監視します。最終的に、これはDDoS攻撃から保護するためのソリューションです。







今日のDDoS保護ソリューションとは何ですか？

これは分析であり、ディープパケットインスペクションという用語に戻り、すべてのレベルでのトラフィック分析です。 IPアドレス、ポートなどによる基本的な分析から、トラフィックフロー、セッション、接続の監視、さらにはさまざまなビッグデータツールを使用した個々のユーザーの動作の分析まで。







このようなソリューションを構築した経験から、私たちは何を学びましたか？



あなたの多くは、おそらくこのスライドのタイトルに表示される用語について聞いたことがあるでしょう。この用語は、「第7レベルでのパケットフィルタリング」のように聞こえます。この言葉遣いでは、多くの場所で聞くことができます。この定式化にはいくつかの仮説があり、これはいくつかのソリューションのアーキテクチャにもあります。



次の仮説は、パケット分析、つまり個々のパケットの分析です。これは、7番目のレベル、つまり3番目から7番目までを含む、トラフィックの問題を特定するのに十分な尺度です。この仮説は、まず、構築に非常に便利であるために現れました。







DPIソリューションを構築する場合、多くの問題に直面することを理解する必要があります。まず、TCPセッション、TLSセッションを再構築し、パケットからその中の何かを分析する場合、この問題のために大量のRAMを割り当てる必要があります。個々の接続を見つけるのは非常に難しいタスクです。計算の複雑さが増しており、これはすべてのパケットが通過するたびに行う必要があります。



さらに、ホールには多くの人がいて、私に嘘をつかないようにするネットワークエンジニアは、「ギャップにある」と言われるように、ネットワークに配置されたソリューションを本当に嫌います。すべてのトラフィックがセキュリティソリューションを経由する場合、ネットワークエンジニアはこれらのソリューションのすべてがほとんどの場合信頼できないことを十分に認識しているためです。ネットワークエンジニアの主なタスクは継続的な可用性です-彼にはSLA、サービスの継続的な運用に対する顧客の責任、セキュリティソリューションがサーバーの可用性に悪影響を及ぼします：再起動中、問題が発生している間などです。



したがって、基本的にセキュリティソリューション、特にDPIは、トラフィックのコピー（ミラーポートのどこか）で機能します。そして、Netflow / IPFIXに限定され、他に何もしないことが絶対に望ましいです。







これは構築に非常に便利なアプローチです。問題は、ネットワークのレベルシステムがそのようなものではないことです。これは誰かの気まぐれではありません。ネットワークのレベル構造は機能するために基本的に重要です。ネットワークはレベルで機能し、パケットは3番目のレベルであるIPプロトコルレベルのデータの単位です。すでにTCPプロトコルのレベルでは、「パッケージ」という概念はありません。「セグメント」という概念があります。これらは2つの異なるもので、mssclampingに出会った人なら誰でも知っています。



実際、TCPレベルでは、セッション、つまり接続があります-TLSセッションが上にあり、さらに上にはすでに7番目のレベルのデータストリームがあります。したがって、ネットワークのレベル構造を無視すると、ソリューションは理論的に脆弱になります。インターネット上のすべてが平文で送信された場合でも、そのような決定は脆弱になりました。しかし、なぜ「理論的に」。







3か月前、GithubにGoodbyeDPIという名前のリポジトリが登場しました。このリポジトリには、クライアントのWindowsマシンにインストールされるように設計されたソフトウェアが含まれています。つまり、次のような、多くの基本的で巧妙な、しかし単純なテクニックを使用するネットワークユーザーです。

• IP識別フィールド分析
• TCPフラグメンテーション
• HTTPSヘッダーを使用した一部の演習（大文字と小文字の変更、ヘッダーの文字の大文字小文字の変更など）。

つまり、これは非常に単純な手法であり、オペレーターのネットワークに既に実装されているDPIソリューションの大部分を回避するために、複雑な全体ではなく、1つまたは2つの組み合わせで十分であることが判明しました。



これは、HTTPヘッダーなど、クリアテキストに渡されるものについて話すときです。 しかし、現在は2017年であり、HTTPSプロトコルがあります。







統計によると、2015年末に開始された無料のTLS証明書プロバイダーLet's Encryptは、すでに約6,000万件の証明書を発行しています。







Mozilla Foundationが公開しているFirefoxのテレメトリによると、60％以上-サイトの総質量の3分の2がこのブラウザーのユーザーがHTTPS経由でのみアクセスしています。







したがって、7番目のレベルでのパケットフィルタリングの概念は、クリアテキストがあったとしても脆弱でした。 TLSの現在のレベルと展開の程度、および完全転送秘密などのメカニズムの展開により、パケットごとのトラフィック分析は、DDoS攻撃に対する保護である目的にも使用できません。



ところで、PFSとは何ですか。 Perfect Forward Secrecyは、Diffie Hellman暗号のはかないバリエーションに実装された概念です。 現在は動作していますが、SSLで動作し、もう存在しないプロトコルであり、TLSで動作します。また、TLS 1.3の新しいバージョンでは必須であり、現在リリースの準備が整っています。







完全転送秘密の本質は、暗号化されたTLS接続（たとえば、Diffie Hellmanの一時的なバリエーション）は、秘密鍵を使用しても解読できないことです。 トラフィックのコピーを見るとこれを行うことはできません-クライアントとサーバーは暗号を相互に調整します、ここで秘密鍵はこの暗号の署名として排他的に使用されます、したがって、何も実際には暗号化されておらず、解読できません これにより、3か月間または3年間トラフィックを記録し、それを解読してそこに何があるかを確認したい場合、このような美しい状況は不可能になります。完全な秘密のおかげでこれは不可能です。



また、完全な前方秘匿のパスに沿って、エンタープライズレベルを含むさまざまなセキュリティ目的に使用される一連のDPIソリューション全体を破壊します。







1年前に収集した統計によると、ネットワーク内のhttps要求の70％がpfsを使用しています。 したがって、これを考慮しないdpiが使用されるようなネットワークでは、https要求の70％が分析なしで通過します。 そして、これは要求の70％だけではなく、正当なユーザーの60％が完全転送秘密とDiffie Hellmanを使用することが重要です。 また、ボットの90％は、攻撃者がpfsサポートのある暗号を使用すると、誤った、または誤って実装されたdpiソリューションを回避する可能性が非常に高くなることをよく知っているためです。







現在、DPIソリューションのどのタスクが存在しますか？



さて、私はすでにDDoS保護について十分に述べたので、これにはもう戻りません。 他にどんなタスクがありますか？ これは一般に、サービスの品質、つまり、検査からのパラメータに基づいた特定のトラフィックフローの優先順位付けです。 何らかの形で整形。 次はペアレンタルコントロール、つまりコンテンツへのアクセスのコンセンサス制限です。 さらに、これは、加入者がこのオペレーターの顧客でない場合に利用できる広告ではなく、オペレーターのネットワークに加入者向けの広告を導入することです。 さらに、著作権の執行、つまり、著作権で保護されて違法に配布されたコンテンツをブロックします。 そして最後に、合法的傍受。



これはすべてトランスポートネットワークで実行する必要があり、現時点ではセッションレベルでの分析が必要であることに留意する必要があります。 つまり、DPIソリューションでは計算の複雑さの概念を考慮する必要があり、この複雑さは非常に高くなります。







単純な例で、私が住まないでリンクを提供します。 多くのDPIソリューションは、各パケットを正規表現と照合するなどの便利な機能を提供します。 非常に便利-正規表現を書いたが、すべてがブロックされ、すべてが機能する。



正規表現には多くの問題点があり、そのうちの1つがリンクとともにスライドに表示されます。壊滅的なバックトラッキングという名前で、問題のレベルを理解できます。 特定の種類の正規表現と特定の文字列が送信されると、文字列との一致が2次的に複雑になります。文字列が長いほど、2次実行速度が向上します。



当然、これを使用する多くのDPIソリューションは、複雑な正規表現を作成するときに警告を出しません。 そして、ここで私たちは次のジレンマに直面しています-個々のパケット/ストリームと比較してマシン時間を1秒まで費やす必要があります。つまり、接続速度、トラフィック速度が劇的に低下します。 または、ある時点で、パケットの分析をカットオフで停止して渡す必要があります。 それは私たちが直面しているタスクに依存します。







これは私たちに何をもたらしますか？ 多くの人がDPIソリューションは一種の特効薬であると信じているという事実に-それは非常に良い、深いパケット検査に聞こえます。 冷蔵庫のように、私はそれを買ってセットアップしました-それは問題を解決します。たぶんそれは何らかの形でセットアップする必要があります。 これは実際にはそうではありません。







今日、DPIは製品ラインではなく分類ではなく、完全に異なる問題を解決する多数のソリューションの一般的な特性であり、それぞれが1つ、最大2つの問題を解決するように設計されています。 あなたがそれにかけるタスクが多ければ多いほど、それはそれらに対処します。



そして、もちろん、単一のソリューションがすべてのDPIタスクでうまくいくわけではありません。 ペアレンタルコントロールで適切に機能する場合、DDoS攻撃から十分に保護されていないことを意味します。







さらに、たとえ1つの問題を解決するように設計されていても、パケットの処理速度（壊滅的なバックトラッキングの場合のように）と機能の間には常にトレードオフ、いくらかのトレードオフがあります。 したがって、機能性と速度が低下するか、速度を優先して機能性が低下します。







DPIソリューションのもう1つの問題は、ネットワーク、特に中継ネットワークが現在、アプリケーションに対して独自の透過性を想定していることです。 アプリケーションはこの透明性に依存しています-訪問者の音声とビデオの送信、および月に3つの新しいゲームプロトコル、オーバーレイネットワーク、企業ネットワーク内のデータ転送。 最新のWebでは、RFCで記述されているとおりにネットワークが機能することも期待しています。 ネット上の奇妙な非標準化された外観の分析はありません。 プロトコルHTTP / 2、MPTCP、QUIC-すべてがすべてこれに依存しています。



さらに、最新のネットワークは、暗号化プロトコル、TLS 1.3、DNSSECなどを実装しています。これらはすべて、一般に通過ネットワークが透過的であるという事実に依存しています。 DPIの導入の場合、これはそうではなく、無駄になりません。







結果は次のとおりです-多くのアプリケーションがこれらの問題に苦しんでいます。 これは、プラハのIETFのEric Rescorlaのスライドです。 CloudflareネットワークでTLS 1.3の実装をテストすると、間違えなければ深刻な問題が発生しました。TLS1.3のトラフィックの1％から10％が、方法を知らずサポートしていない「一部の」ミドルボックスにより失われました。 したがって、TLS 1.3はネットワークの不透明性のために故障します。これは、一般にネットワークとユーザーのセキュリティに影響します。 TLS 1.3が完成し、多くのアプリケーションが苦しんでおり、他のアプリケーションも適応します。







この適応はどのように行われますか？ サンクトペテルブルクでの前回のENOGで行われたセキュリティラウンドテーブルで、脆弱性が発見された瞬間からパッチの展開まで、セキュリティの問題がある場合でも、更新されたファームウェアの実装、展開、つまりこのセキュリティ更新が費やされることがわかりました4〜6か月。 この時間は何に費やされましたか？



最初に、デジタルセキュリティのこの例のCiscoのように、2〜3か月でこの修正を記述します。 実際にこれを高速化することは不可能であることが判明しました-私はそのようなプロセスに参加しましたが、残念ながら、2か月未満に高速化することは不可能です。 次に、ネットワークでの展開にさらに2〜3か月（合計6か月）かかります。既に述べた主なことは、オペレーターが作業の継続性を維持するためです。 更新は機器の動作に悪影響を与える可能性があり、再起動する必要があります。技術的な作業-これを台無しにしたくありません。 合計6か月です。







さらに、DPIソリューションがある場合は、ネットワークが第7レベルでどのように進化するかに適応する必要があります。 最新のアプリケーション：ゲーム、ボイスオーバーIP、モバイルアプリケーション、マルウェアを含むIoTは、最新のCIおよびCDアプローチを使用しており、1日に何度も新しいリリースを展開できます。



これは何につながりますか？ さらに、DPIソリューションがある場合、何らかのマルウェアまたは特定の種類のトラフィックをサポートできないことは脆弱性とは見なされず、新しい機能と見なされ、機器の更新が必要になる場合があります。 同時に、このブロックを回避しようとするリソースは、6か月に1回ではなく、1日に数回更新を展開します。







これは何ですか これは、DPIソリューションのベンダーまたは実装者が必然的に失うことになる軍拡競争です。







私たちは何に来ますか？ さらに、各パッケージを個別に検討するDPIソリューションでは、一般的な問題を解決するには不十分です。 なぜそれがうまく機能するかは、パレートの原則、法律80/20の満足です。 問題の80％を解決するために20％の労力を費やすことに同意する場合、これが解決策です。 ペアレンタルコントロール、サービスの品質、同じ広告、および一般的に、Alexeyが以前に述べたパターンによる何らかの種類のトラフィックブロッキングなどのアプリケーションの領域。



したがって、これを回避したいユーザーは回避することを完全に理解しています。 特定のコンテンツの100％のブロックを実装することがタスクである場合、（ネットワークインタラクションに関して）クライアントまたはサーバーを制御できない状況では、クライアントサーバーが任意のゲームをプレイできることを理解する必要があります。 特に、接続を確立しているふりをして、DPIソリューションのリソースをこのセッションに割り当てることができますが、これは忘れてしまいます。 クライアントもサーバーもこれにリソースを費やしません-DPIソリューションはそれがどのように機能するかを知らないため、メモリが割り当てられます。したがって、そのようなクライアントを多数使用すると、DPIソリューションは単純に失敗する可能性があります。 中断するように設定されている場合、この時点でネットワーク全体で障害が発生します。これは多くのエンジニアが避けたいものです。







セキュリティの問題について-DPIソリューションを選択して実装するときに考慮する必要があるもう1つのポイントは、このソリューションが複雑であることです。 設計も構築も難しく、実装も容易ではありません。 同時に、さまざまなベンダーのセキュリティアプローチについて考えてみましょう。私はそれらのベンダーについて話す準備ができていません。たとえば、ベンダーがどれだけの決断を更新したか、何らかのセキュリティ監査/分析を行うかわかりません。



確かに言えることは、世界中にソリューションがあることです。たとえば、FinFisherはそのデータシートに、オペレーターのネットワークのさまざまな「技術的な穴」を通して、オペレーターの知識や分析なしにインストールの目的を示しています。によるトラフィック。 これは既に存在する解決策です。その仕組みについては詳しく説明していませんが、ここでは、サイバー犯罪者から特定の企業まで、そのようなことをする人々がオペレーターのネットワークに複雑なことがあることをよく知っていることが重要です。



そして、これらがネットワーク全体で展開し始めたら、そこを見て、穴を探します。 ある種のスヌーピングであれば、オペレーターにとっては重要ではないかもしれませんが、オペレーターのネットワーク全体のギャップに展開されたDPIソリューションを制御するのが侵入者である場合、結果を想像することは困難です。 これらは、ハリウッド映画または未来会議のレベルの結果です-何が起こるか、彼らができること、ほとんどすべてのことです。







これはすべて私たちに何をもたらしますか？ さらに、この文脈における透明性とネットワークセキュリティの問題は基本的な問題です。 また、ネットワークコミュニティまたはネットワーク構造によってIPトランスポートネットワークに不透明なソリューションをインストールする場合、そのようなソリューションを展開する主なタスクは、まず標準化です。 これらの活動、コミュニティ、標準化に取り組んでいる委員会へのアクセス。これにより、すべてのネットワーク参加者は、途中で何が起こっているのか、移動中に何が起こっているのかを十分に認識できます。 これらはRIPE、IETF、ICANN、IEEEおよびその他のコミュニティで、要件を調整し、すべてのネットワーク参加者の要件を考慮します。ゲームプロトコルから、DPIソリューションを展開する際に考慮されないことが多い独自の要件を持つ通信事業者までです。 それらを考慮に入れなければなりません、あなたがそれをしたいなら、あなたは真剣にそれをする必要があります。



唯一の代替手段は信頼性の低いIPトランスポートであるため、アプリケーションは信頼性の低いIPトランスポートをバイパスし、途中で中断し、重要なネットワークインフラストラクチャ全体を不安定にします。

コンテンツブロック方法を適用する見込み

ユーリ・カルガポロフ ：



アルテムありがとうございます。 あなたの報告書は私たちの議論に楽観的な見方を加えました。 私たちはパネルを計画し、アントン・バスコフが未来のビジョン、つまりどの技術ソリューションを展開できるかを示しました。 この未来を一緒に見てみましょう。

インターネット技術のさらなる発展の文脈でコンテンツをブロックする見込み-アントン・バスコフ、AB建築局

時間の経過とともに状況が良くなったとします。 レジストリは100,000エントリではなくなり、そのサポートはほぼ通常のレベルで実行されます。 現在の状況で条件付きで機能するソリューションを見つけたとします。 次は？ 状況は時間とともにどのように変化しますか？







違法コンテンツをブロックするアプローチを開発する場合、効率、コスト、およびネットワークでのブロックがもたらす追加の付随的損害との間の適切なバランスを常に選択する必要があります。 ロックを実装するための比較的単純な方法の境界を越えて残っているものは何ですか？ どのような状況を考慮する必要がありますか？



たとえば、コンテンツを非表示にできる場合、つまり、アドレス、識別子を変更したり、奇妙なリダイレクトを行ったりする場合を考慮する必要があります。さまざまなオプションがあります。 ターゲットの非表示、隠れネットワーク経由のアクセス、コンテンツの一部が1人のオペレーターのネットワーク内にある場合の分散コンテンツの状況が存在する場合があります-この場合、そのようなトラフィックは動的にブロックするのが難しくなり、フィルタリングポイントに送信して返される必要があります。



また、国内でグローバルなソリューションを作成することに伴うリスクも考慮する必要があります。 たとえば、場合によっては特別に誘発される誤検知。 たとえば、Philippe Culinから、彼が語った素晴らしい2000ドメインのリストを取得し、それらを使用して重要なインフラストラクチャをブロックできます。 また、ブロックに対処するソリューションの数が限られているという事実を利用して、1つまたは複数のソリューションの脆弱性を見つけて個々のネットワークセグメントで恐ろしい問題を取得するか、原則として、重要なインフラストラクチャの運用をブロックすることができます。



また、コンテンツをブロックする方法だけでなく、ブロックするもの、目的によって正確に意味するものも重要であることに注意してください。 ブロッキングの目的を理解するために、ライブトラフィック、ユーザーの行動を調べ、RIPE Atlasアーキテクチャに類似した分散インターネット監視インフラストラクチャも必要です。





機密性と包括的な監視はIETFの長年にわたるトピックであり、ロックと密接に関連しています。 同時に、ロックに関するドキュメントが現時点で1.5ある場合、ドキュメントの数で判断して、機密性と監視に関連するトピックがより適切であると見なされます。 この傾向は2011年に明らかになり、現在まで積極的に発展しています。



この分野の個々の文書と決定の概要を説明したいと思います。





HTTPSトラフィックをブロックする多くのソリューションは、SNI（サーバー名表示）に焦点を当てています。 現在、SNIはホスト名をプレーンテキストに転送した後、提示された証明書に基づいて必要なキーネゴシエーションが実行されます。 このレベルでは、どのリソースにアクセスするかを決定できます。 SNIに基づいて、TLS上で動作するリソースのポイントフィルタリングが実行されます。 上記のドキュメントでは、SNI暗号化の2つの方法について説明しています。分析の可能性を除外するために、その後を含めて-トラフィックを記録したため、関心のあるユーザーがアクセスしたリソースを見つけることができません。



興味深いことに、このドキュメントでは、最終リソースにアクセスするために、指定された中間ノードにアクセスする必要があるアプローチを検討しています。指定された中間ノードは、暗号化されたトラフィックを必要なホストに転送し、実際には、チェーン内のリンクの1つであるトラフィッククロスポイントとしてのみ機能します。 したがって、間接データから追加の分析を行わないと、中間ノードの背後に実際に隠れているリソースを見つけることができません。







DNSについて話すと、オープンデータベースの「イメージ」にもかかわらず、ユーザークエリに関する情報は、広範囲にわたる監視に非常に役立ちます。これは、アクセスするリソースに関する簡単にアクセスできる情報だけでなく、通信相手に関する情報でもあります。電子メールを送信するとき、一部の最新の顧客は、たとえば、電子メールアドレスのハッシュを含むリクエストを送信することにより、受信者に関する追加情報を取得しようとします。



DNS分析を可能な限り排除するために何が行われましたか？まず、TLSおよびDTLSのフレームワーク内のDNS暗号化であるため、個々のパターンに従って、どのリソースにアクセスしたかを間接的に理解することさえできません。次に、これはクエリ名の最小化アプローチです。その主なタスクは、リゾルバーを使用して中間の権限のあるサーバーに転送される情報の量を最小化することです。現時点では、再帰サーバーは、ルートを含む中間の権限のあるサーバーにユーザーリクエストを変更せずに送信します。これにより、ユーザーがリクエストするアドレスとリクエストを把握できます。現時点では、この情報は入手可能であり、分析のために簡単に取得できます。



現時点では、再帰サーバーレベルではすべてが同じままです。チャネルは暗号化されていますが、再帰サーバー自体はすべてのユーザーリクエストを認識しています。ただし、DNSSECによって署名されたDNS情報をアプリケーション層の別のプロトコルに含める計画があるため、状況も変化しています。サイトページに移動し、サーバーが外部リソースの要求が引き続き実行されることを認識し、既に署名済みの回答を事前に提供しているとします。 DNSにアクセスする必要はありません。現在の接続内で必要な情報を取得して後で使用できるため、再帰サーバーへのアクセスを最小限に抑えることができます。したがって、再帰サーバーの負荷が軽減されるため、ユーザーがどこにアクセスしたかを把握できるリクエストの一部がアプリケーションレベルで提供されます。







Opportunistic IPSecと呼ばれる絶対に素晴らしいものがあります。それは多かれ少なかれ以前に開発されたものであり、最新の実装はすでに元のRFCとは異なっています。この場合、DNSSECはキーが登録されるトリガーとして機能し、ネットワークノード間のすべての接続はトランスポートレベルで暗号化されます。したがって、中間ノードはデータにアクセスできるだけでなく、最終ノードで使用するプロトコルを直接理解することもできます。さらに、このメカニズムにより、レガシープロトコルの暗号化されていない接続を保護できます。







以前に、禁止コンテンツを含まないものを含め、隠す必要のない「良いリソース」がHTTPを介して、つまりプレーンテキストで機能すると考えた場合、現時点ではそうではありません。ブラウザーとHTTPサーバーのソフトウェアの更新により、日和見セキュリティなどのメカニズムが表示されます。代替サービスメカニズムを使用して、ユーザーは多かれ少なかれTLSサポート付きのHTTP / 2に強制的にリダイレクトされます。また、もともとプレーンテキストHTTPとして送信されたトラフィックは、すぐに暗号化されます。 Firefoxは2015年からこのテクノロジーをサポートしています。バグトラッカーによると、近い将来（1〜2か月以内）にChromeは日和見的なセキュリティメカニズムもサポートします。サーバーによるこのメカニズムのサポートが「デフォルトで」組み込まれるのを待つことは残っていますが、突然、暗号化されていないトラフィックのほとんどが暗号化されます。







情報へのアクセスをブロックする機能に何らかの影響を与えるテクノロジーについて以前に説明した場合、ユーザーの監視を妨げるこのような変更は他のプロトコルでも発生することを理解する必要があります。ここで、サンプルのメールを送信できます。以前にメールサーバー間の接続が日和見セキュリティメカニズムを使用していた場合、その時点でDNSにトリガーが表示され、TLS接続の使用が必須であり、どの証明書を信頼する必要があるかが明確に示されます。



同じことは、SMTPサーバーを介して送信される文字自体にも当てはまります。今では、受信者に暗号化されたメッセージを送信できる場合を簡単に見つけることができます。組織のメールサーバーに配置できる特別なフィルターは既に開発されており、ユーザーが気付かないうちに、可能な限りすべての送信メールを暗号化します。







上記のすべての暗号化プロトコルの実装の影響は何ですか？ブロックの有効性、つまり禁止コンテンツへのアクセスを検出する能力は低下します。また、良いコンテンツと悪いコンテンツを区別できないため、ブロックの精度も低下します。付随的な損害は成長するだけです。



たとえばロシアで、コンテンツをブロックしてからそれを忘れてしまった場合に、現在人気のあるアプローチは機能しません。コンテンツをブロックするだけでなく、違法な情報のソース自体にも対処する必要があり、そのようなコンテンツは原則として存在しません。







法執行機関にはどのような方法が残っていますか？



トラフィックを分析できるメタデータの量が最小限に抑えられているという事実にもかかわらず、統計的および行動分析の方法が残っています-個々のインジケータを観察したり、ユーザーの行動をまとめて観察すると、違法コンテンツの新しいソースの出現を予測できます例を挙げましょう：ゲーム中毒に苦しんでいる人は、オンラインカジノに入るためにロックをバイパスしようとし続けます。同時に、行動および統計分析の方法は、ブロックバイパス方法の実装にあまり敏感ではありませんが、作業にかなりのリソースを必要としますが、プロトコルの上記の変更を考慮すると、これらのアプローチを使用して包括的な監視を行うことはできません。



また、違法コンテンツをブロックするために正確に何が必要かを判断するために改善される外部監視ツールもあります。間接的な損害を最小限に抑えるために、このコンテンツの場所とコンテンツを正しくブロックする方法を決定します。



RFCでさらに数年が予測されたこと、そしておそらく業界が将来期待することを忘れないでください-これは情報提供者の可用性です。大規模およびインフラストラクチャサービスと法執行機関間の協力。彼らは、電気通信事業者、Google Analytics、Google Adwords、Yandex Metrikaなどの大規模な分析および広告サービス、CDN事業者、より多くのメタデータにアクセスできるソフトウェア開発者などです。残念ながら、これらのサービスがアクセスできるデータは、違法コンテンツと戦い、包括的な監視を続けるのに十分すぎるほどです。







現在の状況について話すと、ほとんどの場合、アクセスを制限する簡単なメカニズム（法的性質を含む）で、ユーザーの違法コンテンツへのアクセスが複雑になります。アルテムが述べたパレートの原則に違反する意味はありません。すべてをブロックすることは非現実的なタスクです。



単純なアクセス制限メカニズムが機能しない場合、運用作業ははるかに効率的になります。もちろん、必要な運用開発ツールが提供されていれば、上記で説明しました。これは、情報をブロックし、ネットワーク上で完全なフィルタリングシステムを編成する無駄な試みよりもはるかに効果的です。



また、犯罪が違法行為を調整するためにますます積極的にネットワークを使用し、それらのほとんどが、ブロッキングシステムが対処するように設計されている従来の利用可能な違法コンテンツに直接関係しないことも考慮する価値があります。したがって、上記のすべてからの結論は単純です-ブロックが違法コンテンツと戦う唯一の方法である場合のアプローチは有望ではありません。価値のないインフラストラクチャに数十億ドルを投資する価値はありませんが、法執行機関が現代のテクノロジーの世界で効果的に機能するのに役立つソリューションの開発に集中する必要があります。

ロックの管理上の問題、ユーリ・カルガポロフ、UANIC

スライドなしで、私が言いたかったこと。



私がウクライナから来たこと。この国でブロッキング戦略を実施し始めました。彼らは2つの大統領令に基づいてそれを実装し始めました。つまり、私たちは既存の法律の意味で立法の枠組みを持っていません、さらに、電気通信法に興味深い革新があり、それはオペレーターがそのネットワークを介して送信されるコンテンツの内容に責任を負わない。



しかし、一方、従わない人は処罰されるでしょう、そして明白な例はこれでした-Yandexが私たちからブロックされ、Yandexに関連するすべてのサービスをブロックする必要があると彼らが言ったとき。 Yandexは2日後にCloudflareを去り、すべてのCloudflareをゼロに送信して、BGP経由で世界に提供した賢い仲間がいました。世界はチェックせずにそれを食べ、さらに与えました。



気付いたとき、私たちはロールバックし始めましたが、このウクライナのアップリンクはすべての人から切断され、1日の3分の1の間、多数の無効なチャネルに座っていました。



もう一つ言いたいことがあります。 90年代にIPテレフォニーに関与したのは誰ですか？すべてのルーターに適切なソフトウェアとコーデックが備わっているわけではないため、この動物園は可能なすべてのものであるため、この状況を覚えていますか？うまくいかなかった？これから起こるのは、IPテレフォニーを使用してその状況を人為的に繰り返すことです。これは直接のアナロジーではありませんが、あるべき場所があるので、私たちがいる瞬間を実感します。



私たちがどこにいるかを理解したら、次に取る価値のあるステップは、通常は急いで問題を専門的に議論できるワーキンググループを作成することです。複数回踏み込んだ熊手から私たちを保護するアプローチを開発する。



このパネルディスカッションを準備し、私たちの話を聞いた他の専門家をつなぎ、それを進めたとき、ワーキンググループを作成する提案を完了する必要があるという結論に達しました。RIPE、ICANN、ISOCの下で-一般的に、これらの問題について慎重に議論し始めるワーキンググループ。



したがって、私たちは彼らが念頭に置くために、それぞれの組織のリーダーシップに目を向けています-私たちは彼らに行きます。



ありがとう