Американские корабли многоразового использования. Око планеты информационно-аналитический портал
Пользователи из России жалуются на недоступность мессенджера Telegram
Вчера некоторые пользователи русскоязычного сегмента Интернета обнаружили недоступность Telegram, пишет Коммерсант. Чуть позже в Сети появилась информация и о других сайтах, доступ к которым каким-то образом был заблокирован, хотя эти ресурсы никогда не попадали в «черный список» Роскомнадзора. После того, как в проблеме начали разбираться специалисты, выяснилось, что причина всему - уязвимость в системе блокировки сайтов , используемой Роскомнадзором.
Дело в том, что запись в реестре блокировок ведомства состоит из трех элементов: домен, URL, IP-адрес. Роскомнадзор лишь заносит какой-либо сайт в список запрещенных, а блокировать доступ к таким ресурсам должны уже провайдеры. Но из-за отсутствия нормативов по способам ограничения доступа к сайтам провайдеры выбирают метод блокирования самостоятельно, в основном по IP из реестра или по текущему IP из DNS.
О том, что такая система несовершенна и чревата неприятностями, Роскомнадзору не раз сообщали специалисты по информационной безопасности. Тем не менее, метод блокировки оставили в неизменном состоянии, что и привело к текущим проблемам.
Список IP, добавленных в DNS домена dymoff.space
Речь идет о том, что владелец заблокированного в РФ домена dymoff.space внес в DNS IP-адреса многих сторонних ресурсов. В числе прочих - IP-адреса серверов Telegram. В результате для некоторых российских пользователей ресурсы с этими IP оказались недоступными, как если бы они тоже были заблокированы. IP-адреса, внесенные владельцем заблокированного домена, принадлежат не только Telegram, но и другим сервисам и сайтам:
Сейчас специалисты по кибербезопасности предупреждают о возможности повторения инцидента. Дело в том, что некоторые из ранее заблокированных Роскомнадзором доменов находятся в свободном доступе и их можно зарегистрировать (правда, большую часть уже зарегистрировали после того, как о манипуляциях c DNS стало известно). Если после этого соответствующим образом модифицировать А-записи в зоне, которая контролируется владельцем заблокированного домена, то это может вызвать проблемы с доступом пользователей Рунета к гораздо большему количеству ресурсов. Высказываются предположения, что вскоре заблокированные домены станут даже продавать, поскольку, как оказалось, это достаточно мощный инструмент, позволяющий закрывать доступ к практически любым ресурсам.
«Это отличная иллюстрация того как неудачный дизайн системы блокировок может быть проэксплуатирован […]», - заявил Александр Лямин, генеральный директор компании Qrator, которая занимается защитой от DDoS-атак.
По статистике сервиса «Каждый сбой», с 13:00 до 22:00 4 июня часть пользователей не могла попасть на такие сайты, как Яндекс, ВКонтакте, Википедию, «Одноклассники» и другие ресурсы.
Операторы связи блокируют не только запрещенные в России сайты, но и вполне легальные ресурсы банков и ретейлеров, выяснил Роскомнадзор. Эксперты отмечают, что компании таким образом страхуются от штрафных санкций
Фото: Markku Ulander / Lehtikuva / ТАСС
Роскомнадзор обнаружил случаи избыточной блокировки сайтов в интернете, осуществленной операторами связи в различных регионах России. Об этом говорится в письмах, разосланных в конце января операторам управлениями Роскомнадзора по Тюменской области, Ханты-Мансийскому и Ямало-Ненецкому автономным округам, а также Мурманской области. Копии документов есть в распоряжении РБК, их подлинность подтвердили сотрудники двух региональных интернет-провайдеров.
Как говорится в документах, в ходе выборочной проверки Роскомнадзор обнаружил, что в сети одного из операторов связи не открываются официальные сайты ретейлера «М.Видео», Альфа-банка и ювелирного магазина Pandora, хотя эти ресурсы не вносились в Единый реестр запрещенной информации и блокироваться не должны были. В связи с этим Главный радиочастотный центр, подведомственный Роскомнадзору, проводит внеплановую проверку операторов, чтобы выяснить, какие компании избыточно блокируют ресурсы в интернете, говорится в письмах Роскомнадзора.
Представитель пресс-службы Роскомнадзора подтвердил, что ведомство периодически направляет подобные письма «в рамках профилактической работы», чтобы обратить внимание операторов на необходимость корректной работы с реестрами запрещенной информации, а также проводит «профилактические разъяснительные беседы». Случаи несанкционированной блокировки, по его словам, были выявлены в ряде регионов страны, в том числе по жалобам администраторов сайтов.
Ревизия «Ревизора»
Единый реестр запрещенной информации, в который попадают сайты с детской порнографией, пропагандой экстремизма, употребления наркотиков, совершения суицида и другим противоправным контентом, ведется в России с ноября 2012 года. При обнаружении сайта с подобной информацией Роскомнадзор определяет хостинг-провайдера, у которого расположен данный ресурс, и направляет ему уведомление о необходимости удалить противоправный контент. Если владелец сайта или провайдер хостинга не удаляют информацию в течение трех суток, сайт вносится ведомством в реестр, после чего операторы связи в течение суток должны ограничить к нему доступ пользователей.
На данный момент в Едином реестре запрещенной информации более 100 тыс. записей.
С декабря 2015 года Роскомнадзор стал требовать от операторов связи внедрения системы «Ревизор» — программно-аппаратного комплекса, который автоматически проверяет, блокирует ли оператор сайты из реестра запрещенной информации. Согласно ст. 13.34 Кодекса об административных правонарушениях штраф для юрлиц за неисполнение обязанности по блокировке запрещенных сайтов составляет до 100 тыс. руб. Согласно проведенному РБК , с июня 2016 года, когда было вынесено первое судебное решение по делу о нарушении оператором правил блокировки, по август 2017 года включительно было вынесено 836 судебных решений по таким делам. Почти половина судов закончилась для операторов вынесением предупреждений, 28% дел — штрафами, в остальных случаях иски были отклонены по формальным основаниям.
Как следует из последних писем Роскомнадзора, именно система «Ревизор» помогла выявить избыточную блокировку сайтов, не внесенных в реестр. При этом, говорится в документах, некоторые операторы связи «умышленно препятствуют штатной работе» системы.
За свободный Рунет
Операторы порой действительно занимаются избыточной блокировкой ресурсов в интернете. «Для предотвращения рисков получить штрафы от Роскомнадзора некоторые операторы создают системы, которые заведомо обрабатывают или даже полностью блокируют целые блоки IP-адресов, а не конкретный адрес из реестра. Это вызвано тем, что попавшие в реестр сайты часто меняют IP-адрес, чтобы избежать блокировок», — говорит гендиректор компании Diphost Филипп Кулин.
Он также отмечает, что в случае удаления сайта из реестра запрещенной информации его разблокировка в сетях операторов может задерживаться. Кроме того, по словам Кулина, не решена проблема так называемой DNS-атаки — в ходе нее злоумышленник, получивший доступ к управлению доменом, внесенным в реестр запрещенной информации, может прописать ему любой IP-адрес и в конечном итоге заблокировать таким образом любой сайт. В июне 2017 года из-за массовой эксплуатации данной уязвимости у пользователей на некоторое время возникли проблемы с доступом к сайтам крупнейших российских банков. Кроме того, по словам Филиппа Кулина, некоторые операторы, чтобы не получить штраф, делают специальный отдельный сегмент сети с более строгой фильтрацией, куда устанавливают систему «Ревизор», что позволяет им создать видимость выполнения требований регулятора.
Представитель компании «Комкор» (входит в группу «Акадо») сообщил, что хотя компания и не получала уведомлений от Роскомнадзора, но избыточная блокировка сайтов «теоретически возможна». «Это может быть связано с техническими неполадками, но в нашей практике подобных случаев не было. Также избыточная блокировка имеет место, когда оператор должен закрыть доступ к какой-то странице по протоколу https — он не позволяет блокировать отдельную страницу, которая внесена в реестр, блокируются все страницы сайта», — рассказал представитель компании.
Подобные инциденты действительно случались. В июне 2016 года в России был популярный облачный сервис Amazon S3, хотя в реестр по требованию Федеральной налоговой службы была внесена лишь расположенная на его платформе страница покер-рума 888poker. Блокировка всего ресурса была связана как раз с тем, что Amazon S3 использует защищенный протокол https, который не позволяет заблокировать отдельные страницы. Только после того как сам Amazon удалил страницу, к которой возникли претензии у российских властей, ресурс был исключен из реестра.
«В целом чем меньше оператор — тем меньше у него ресурсов разбираться с ошибками реестра, закупать системы, которые используются для фильтрации сетевого трафика. И, честно сказать, сваливать всю вину на этих операторов сложно. В работе реестра запрещенной информации и системы «Ревизор» много неразберихи», — говорит ведущий аналитик Российской ассоциации электронных коммуникаций Карен Казарян. Он отмечает, что в реестр вносится «много всего лишнего — разные технические адреса вроде CDN СloudFlare (система доставки контента. — РБК ), в результате чего страдают другие ресурсы» или IP-адреса, «на которых находится не только сайт с противоправным контентом, но и много других». «Система «Ревизор» при этом тоже работает не идеально», — подчеркивает Казарян.
В четверг днем российские провайдеры начали блокировать доступ к сайту google.ru. Информацию о блокировке агентству RNS сразу несколько интернет-операторов: ТТК, «МарьиноНет», «Наука и связь», «Максима телеком» и «Авакс». По словам представителей компаний, ограничение доступа связано с решением Роскомнадзора, который внес в реестр запрещенных ресурсов один из IP-адресов, принадлежащих Google.
При этом на сайте универсального сервиса для проверки ограничения доступа к сайтам появилось сообщение о том, что google.ru был внесен в Единый реестр заблокированных сайтов в июне 2016 года по решению Федеральной налоговой службы.
«Мы знаем о том, что некоторые пользователи испытывают проблемы с доступом к сайту Google.ru. На стороне Google технических проблем нет. Мы разбираемся в ситуации», — рассказала «Новой газете» представитель компании Google в России Светлана Анурова.
Пресс-секретарь Роскомнадзора Вадим Ампелонский узнал о блокировке google.ru от журналистов, которые обратились к нему за разъяснениями. Спустя некоторое время уже глава ведомства Александр Жаров «Ведомостям», что «у Google стоял редирект с сайта букмекерской компании», поэтому операторы начали его блокировать.
По его словам, Google уже убрал редирект, проблема была решена. Позднее Роскомнадзор удалил адрес google.ru из реестра.
По мнению главы движения Роскомсвобода Артема Козлюка, ситуация странная и продолжает оставаться странной, несмотря на заявление главы Роскомнадзора о том, что она разрешилась.
В реестр запрещенных сайтов www.google.ru внесла ФНС. С недавних пор налоговая служба может принимать решения о блокировке интернет ресурсов азартной направленности: покер, казино, тотализаторы и т.д.
«И ФНС сразу стала активным игроком на рынке интернет-блокировок, обогнав сразу множество ведомств. И вносит туда все подряд без разбору, в том числе всякие технические домены, которые напрямую не имеют отношения к таким сайтам, но через которые может проходить обработка каких-то движков, и так далее. Жаров не совсем прозрачно объясняет, что был какой-то редирект со стороны азартного сайта. Что это значит — непонятно, тут вопрос к нему», — объясняет Козлюк.
Обычно это происходит следующим образом: государственный орган, (например, налоговая) выносит решение, которое добавляется в закрытую часть реестра. Затем РКН отправляет уведомления хостеру или владельцу сайта, дав ему несколько дней на устранение нарушений. Если информацию не удаляют, то РКН переносит этот сайт в открытую часть реестра, то есть в выгрузку операторам связи для блокировки.
По словам Козлюка, это рутинная процедура, но в отдельных случаях, некоторые ресурсы там висят годами. Например, некоторые страницы Википедии туда были внесены еще в 2012 году, и находятся там до сих пор, также с некоторыми ссылками «Вконтакте».
«Эту закрытую часть видят только РКН, и для чего он их там хранит — непонятно», — отмечает он.
В данном случае Роскомнадзор выступал исполнителем решения, но как исполнитель допустил, что www.google.ru оказался в реестре запрещенных сайтов.
«И вот получилось так, что сайт из закрытой части по вине какого-то конкретного исполнителя - кто-то кнопу нажал или код сбойнул - попал вдруг в открытую часть. Возможно, вместе с ним там оказались и другие ресурсы. Операторы связи по сути получили указания от Роскомнадзора о блокировке google.ru, при этом сам РКН не ведает об этом. Это просто его недопущение. Скорее всего, это вышло случайно. Мы просто можем делать такие предположения», — добавил Козлюк.
Что происходило раньше
В начале июня из-за аналогичной проблемы у пользователей не было доступа к некоторым сайтам, в их числе — онлайн-кинотеатр Ivi и издание «Медуза». Механизм блокировки Роскомнадзора работает по доменным именам (Domain Name System — DNS), владелец заблокированного сайта может в базе данных доменных имен привязать к своему ресурсу любые IP-адреса. У тех провайдеров, которые не предусматривали эту уязвимость, автоматически блокировался доступ к разрешенным сайтам.
Позднее, 9 июня, возникли перебои в работе некоторых банков. В частности, не работали платежные терминалы «Сбербанка», клиенты других банков жаловались на сбои при оплате картами. Автор Telegram-канала «Сайберсекьюрити и Ко» Александр Литреев опубликовал список из сотен IP-адресов, которые могли использовать для блокировки адресов банков.
После этого региональные управления Роскомнадзора попросили провайдеров при блокировке не пользоваться базой доменных имен (DNS-резолвинг). Telegram-канала «Сайберсекьюрити и Ко» опубликовал письмо ведомства в Уральском федеральном округе. «до 16 июня 2017 года необходимо осуществлять ограничение доступа к интернет-ресурсам только по тем IP-адресам, которые указаны в Реестре (не осуществлять DNS-резолвинг)», — сказано в документе.
«Если говорить тактически, то это ошибка в действиях Роскомнадзора. Если стратегически, то это просто очередная дыра — каких до этого уже было много — в ментальной системе ограничения доступа к информации в целом, и в России в частности. Надзорному ведомству и законодателям не перестают говорить об этих проблемах, но никто не прислушивается к IT-отрасли. Эта система дырявая и ее нельзя продолжать латать заплатками из закона. Эти дыры ничем не закроешь, потому что эффективности в ограничениях нет никакой. И то, что происходит сейчас, будет со временем выпячиваться еще сильнее, и расти как снежный ком», — считает Козлюк.
