Venemaa ehitab enda internetti. Mida Eestil sellest õppida oleks?
Eesti jaoks kerkib plaanist esile neli võimalikku ohtu
Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
1. mail, kui meie vabal päeval kevadet nautisime, tegi Venemaa president Vladimir Putin tööd ning allkirjastas Läänes vastuoluliseks ja isegi ohtlikuks peetava Venemaa suveräänse interneti seaduse. Mis see täpsemalt on, mida Venemaa internetiga teha püüab ja miks nad seda teevad? Ja miks ütlevad mõned Eesti internetiasjatundjad, et me võiksime sarnastele sammudele ka Eestis mõelda?
Geenius rääkis nädala jooksul kümnekonna Eesti spetsialistiga, kellest enamik nõustus siin loos oma nime all rääkima, aga mõned palusid oma ametist tulenevalt ka anonüümsust. Meie eesmärk oli aru saada, kas ja kuidas on võimalik üks riik internetist eemaldada, internet nii vormiliselt kui sisuliselt kontrolli alla võtta ning kas see kuidagi ka Eesti jaoks ohtlik on.
IXP ja DNS
Kuigi seadus on Venemaa parlamendi poolt vastu võetud ja nüüd ka Putini allkirja saanud, on detailides asi endiselt segane ning pole päris selge, kuidas täpselt nad üht või teist muutust tehniliselt ellu hakkavad viima. Mõnede inimeste jaoks on isegi kahtlane, kas nad seda kõike üldse teha suudavad.
Suures plaanis jaguneb Venemaa plaan kaheks ning puudutabki kahte interneti toimimiseks vajalikku kriitilist infrastruktuuri osa: internet exchange pointid ehk IXP-d ning DNS.
Plaani keskmes on asutus nimega Roskomnadzor, mille ülesannete hulka kuulub nii kommunikatsiooni, info kui massimeedia järele valvamine ning mis uue seadusega saab enda õlule kohustuse kogu asi kuidagi ära korraldada.
“Venemaa teeb internetti, mis on võimeline töötama, kui välisühendused maha võtta,” selgitab plaani internetiasjatundja Jaan Priisalu, kes on töötanud nii Swedbanki IT-riskijuhi kui riigi infosüsteemi ameti RIA juhina. “Nad tahavad suveräänsust laiendada küberruumi.”
Ainult Venemaa internet
Samamoodi kirjeldab Venemaa plaane Peeter Marvet, kes töötab hostingupakkuja Zone.ee juures.
“Kui mis iganes põhjusel loetakse Vene riik ohus olevaks, siis sellisel puhul on Roskomnadzoril voli võtta interneti juhtimine enda kätte üle,” ütleb Marvet. “Alustuseks tagada üleüldse see, et Venemaa-sisene liiklus liiguks ainult Venemaal, ei käiks riigist välja ja et oleksid olemas teenused, et Venemaa internet suudaks omal käel toimida.”
Selleks võtab Vene riik esiteks IXP-d oma kontrolli alla ning teiseks ehitab siseriikliku DNSi-süsteemi. IXP-d liidestatakse mingil moel Roskomandzoriga ja rajatakse oma DNS-infrastruktuur.
“Venemaa on juba mitu aastat rajanud üle terve riigi oma nimeserverite süsteemi, mis on mõeldud juhuks kui välisühendused peaksid kaduma või katkema,” räägib Telia Eesti IKT riskide ja turva grupi juht Aigar Käis. “Sellisel juhul jäävad kõik riigis paiknevad teenused tööle. Lisaks on internetiteenuse pakkujatele antud kohustus, et oma võrkudesse tuleb installeerida nn ründetõkestussüsteemid, mis on mõeldud kasutamiseks kohaliku internetiregulaatori poolt. Süsteeme kasutades saab regulaator liiklust piirata, nagu seda teeb näiteks Hiina suur tulemüür. Samuti oleks vajadusel võimalik kogu internetiliiklus välismaailmaga kinni keerata.”
Seega tekib Venemaal võimalus riiklikult otsustada, milliste punktide kaudu Venemaal internet üldse sisse-välja liigub, neid punkte jälgida, vajadusel sulgeda ning liiklust ümber ruutida ning tänu DNSi kontrollimisele tagada see, et isegi, kui välisühendused on maha võetud, toimib internet riigi sees endiselt edasi ning kodanikud pääsevad kõigile vajalikele teenustele ligi. Paremal juhul suur osa neist üldse ei märkagi, et tegelikult on internetist saanud Venemaal intranet.
“IXP-de haldamine pannakse suuresti Roskomnadzori peale ehk neil tekib olukord, kus nad on sees teenusepakkujate vahelises võrguliikluses,” räägib Marvet. “Kui kusagil on mingit informatsiooni, mida kodanikud võiksid mitte teada, siis võiks seda maha võtta. Nagu riikliku televisiooniga, et on olemas üks infokanal, mida kõik jälgivad, see on riigitelevisioon, sealt tulevad kohustuslikud käsulauad ja läbi selle on kõik kenasti kontrolli all.”
Vaatame pakettidesse sisse
Hea küll, aga mida neil selle teadmisega peale on hakata? Kui liiklus on lahtine, siis näeb muidugi sõnumite sisse ka, aga päev-päevalt on meie internetiliiklus järjest enam krüptitud ning selle massiline lahtivõtmine ei ole just eriti lihtne.
“Siis tehakse erinevaid analüüse ja uuritakse, mis seal tegelikult tundub toimuvat,” kirjeldab Marvet ühte võimalikku viisi. “Näiteks kas sinu arvutist tulevad paketid näevad välja nagu sa kasutaksid VPNi. Kui meile ei meeldi, et sa kasutad VPNi, siis me paneme sellele blokeeringu peale.”
Endine RIA turvaekspert, praegune CybExeri asepresident Klaid Mägi läheb veel sammu edasi ja ütleb, et põhimõtteliselt võib krüptitud pakettidele teha DPI-d (deep packet inspection) ja ka liikluse sisse näha.
“On olemas sellised tulemüürid, mis võtavad iga sinu paketi lahti ja vaatavad sinna sisse, et mida sa teed,” räägib Mägi. “On olemas lahendused, kus on võimalik SSLi lahti võtta. Kui sa lähed oma Gmaili, siis mitte lihtsalt ei nähta, et mingi arvuti läheb Gmaili lugema, vaid nähakse ka reaalselt, mis kirja ja kellele sa saadad.”
Samas ütleb ta, et tehniliselt on kogu Venemaa-suuruse riigi netiliikluse selline jälgimine äärmiselt keerukas.
“Minumeelest tänases maailmas pole sellist tehnoloogiat veel olemas, mis 140 miljoni inimesega riigis oleks võimeline pidevat DPId tegema,” ütleb ta. “See on röögatu investeering, mille sellisel juhul peab tegema.”
Priisalu aga ütleb, et see ei pruugi nii olla. “Miks võimatu, Hiina teeb ju selliseid asju, oma esimese süsteemi ostsid nad Netscreenilt. Venelased ka praegu vaatavad, kas nad ostavad riigist seest või väljastpoolt sellise,” lausub ta.
Kõike polegi vaja jälgida
Marveti sõnul pole vaja arvata, et eesmärk on kogu riigi internetiliikluse monitoorimine ja krüpto lahti võtmine.
“DPIga ei pea kogu aeg ja kõike monitoorima,” ütleb ta. “Ülesanne saab olema äriline ehk olla suuteline tuvastama kas konkreetsete isikute tegevust või mingit konkreetset sorti liiklust.”
CERT-EE juht Tõnu Tammer on Venemaa plaanide realistlikkuse suhtes veidi kahtlev, kuid ütleb samuti, et midagi võimatut ei ole. DPI või mitte, aga interneti kontrolli alla võtta saab tema sõnul teoreetiliselt küll.
“Arvestades Venemaa mastaape ja elanike arvu, siis see pole neil sugugi mingi viie aasta projekt,” räägib Tammer. “Teoorias on võimalik kõikvõimalikke piiranguid rakendada, aga mis see efektiivsus saab olema, on pisut kaheldav.”
Eesti võiks ka teha?
Mitmed Geeniusega rääkinud inimesed ütlevad, et põhimõtteliselt on Venemaa sammudes palju sellist, mis on suures plaanis mõistlik ja millele ka Eesti võiks mõelda. Küsimus on selles, kuidas tagada, et keegi neid võimalusi kurjasti ära kasutama ei hakkaks.
Klaid Mägi toob välja eelkõige selle, et riigis sees võiks internet toimida ka siis, kui välisühendused mingil põhjusel ei toimi, nagu see juhtus Eestis 2007. aasta küberrünnakute ajal. Kuna sideoperaatorite tüli tõttu tema sõnul enam Eesti suured ISP-d Eestis sees liiklust ei vaheta ehk Eesti jaoks asuvad IXP-d tihti välismaal, võib see rünnaku korral osutuda suureks probleemiks, sest näiteks Telia võrgus olev klient ei saa Elisa võrgus asuvale teenusele ligi ja vastupidi.
“Kui Venemaa need endale koju toob, valmistumaks kriisideks, et siseriiklikud ühendused töötavad, see on niivõrd kuivõrd okei. Sellega tegelevad paljud riigid,” räägib Mägi.
Sama räägib ka ühe Eesti sideoperaatori juures töötav inimene, kes ametikoha tõttu oma nime siin artiklis avaldada ei saa. Tema sõnul on Eesti kui väikse ja e-lahendustest sõltuva riigi jaoks oluline, et internet välisrünnaku puhul täiesti maha ei kukuks ning 2007. aastal oli meil sellega probleeme.
Jaan Priisalu on eelkõnelejatega nõus.
“Kui riiklikul tasemel vaadata, siis see asi pole loll, vaid täiesti arusaadav, mida nad teevad,” ütleb ta. “Samas on ka selge, et Vene riik on väga korrumpeerunud ja kes teab, mis eesmärkidel neid võimalusi kasutatakse. Kindlasti inimesed kardavad.”
Veelgi enam, Eestis on tegelikult üks osa Venemaa praegustest plaanidest juba aastaid tagasi ellu viidud, nagu Priisalu osutab.
“Meie juurutasime enda juures tsensuuri sellega, kui tegime kasiinode regulatsiooni. Kui me tehniliselt vaatame, siis osad asjad on meil sarnaselt, kuigi mitte nii hullusti, et keegi sunniks ostma rakendustaseme tulemüüre. Aga ega me ka päris puhtad ei ole,” ütleb ta.
Marvet aga ütleb, et sellel, mida Eesti teeb ja võiks teha ning sellel, mis Venemaal toimub, on ikkagi suur vahe. Ka Eestis võib RIA tema sõnul äärmisel vajadusel kuhugi sisse marssida ja võrke või servereid üle võtta.
“See on piisavalt dramaatiline vahelesekkumine ja sellest jääb jälg maha, et käidi ja võeti mõne teenusepakkuja võrk üle,” ütleb ta. “See on ühekordne ja nõuab piisavalt kõrge paberiga asju. See, mida Venemaa ehitab, on pigem süsteem, et võtta riigiameti kontrolli alla suur hulk punkte ja tekitada olukord, kus see, et keegi istub ja klõpsib internet on/off nuppu, oleks pigem normaalsus. Seal on vahe.”
Mida see Eesti jaoks tähendab?
Eesti jaoks läheb asi huvitavaks siis, kui me hakkame mõtlema, kas sellisel ülimalt mastaapselt interneti kontrolli alla võtmisel ja muust maailmast eraldamisel saab ka meile mingi mõju olema. Kas Eestile tekib sellest mingi oht?
Geeniusega rääkinud spetsialistide jutust koorub välja hulk erinevaid võimalusi.
Esiteks on küsimus, kas ja kuidas kavatseb Venemaa konflikti korral kaitsta internetis välismaal elavate kaasmaalaste õigusi ehk kui nad oma interneti kinni keeravad, siis kuidas saavad näiteks Eestis elavad venelased “õigele” infole ligi. Sellele praegu kellelgi veel vastuseid pole, aga üks võimalik ohuallikas siin kindlasti peitub.
Teiseks on oluline küsida, kas nende inimeste suhted ja suhtlus Venemaal elavate inimestega läheb nüüd rohkem Venemaa kontrolli alla ning kas nendest vestlustest ja suhetest võivad Eestile üles kerkida uued julgeolekuohud. Kui Eestis elavad inimesed agaralt Venemaa teenuseid kasutavad, siis asjaolu, et meie internet on vaba ja siin keegi kasutajate vestlusi ei jälgi, ei oma ju tähtsust, kui teisel poolel see ei kehti.
Kolmandaks, nagu Marvet välja toob, on Eestis olemas Peterburi IXP peeringupunkt ja vähemalt tema jaoks kerkib üles küsimus, et kas osa Eesti internetiliiklusest ühendubki siis edaspidi otse Roskomnadzoriga ja mida see meie jaoks tähendab.
Ja neljandaks, kui seni on Venemaa võimud sealt lähtuvate küberrünnakute puhul väitnud, et nad ei saagi ründe allikaid uurida ning on võimalik, et keegi on Venemaa süsteemides sees, siis uuenduste elluviimisel pole see väide enam usutav.
Üks meiega rääkinud spetsialist ennustab, et Venemaalt tulevate küberrünnakute allikaid hakatakse tulevikus varjama ning rünnakute metoodikat muutma ning selleks peavad Eesti vastavad inimesed valmis olema.