Литреев и Здольников призывают привлечь чиновников Роскомнадзора к ответственности за халатность
Владислав Здольников (слева) и Александр Литреев (по центру). Фото: Александр Литреев
В мае стало известно об уязвимости в системе блокировок Роскомнадзора, которая позволяет заблокировать ресурс, официально не внесённый в чёрный список. Для этого нужно внести адрес ресурса жертвы (которую вы хотите заблокировать) в DNS-запись домена, уже внесённого в чёрный список. Там сотни доменов, и некоторые из них можно недорого купить.
В течение некоторого времени де-факто на территории РФ были заблокированы такие ресурсы как интернет-кинотеатр Ivi, популярное интернет-издание Meduza и другие. Возможно, и сейчас у кого-то заблокированы Steam, Instagram, игра World of Tanks или другие сервисы, которые точно отсутствуют в реестре. Ничего удивительного. Благодаря дырам в системе блокировок сегодня заблокировать в РФ можно что угодно, абсолютно произвольным образом. Даже Хабрахабр и Geektimes, это минутное дело.
Судя по всему, чиновники Роскомнадзора знали об этой уязвимости несколько месяцев или больше, но даже не подумали её устранять. В связи с этим несколько активистов — Александр Литреев (Студия Литреева) и Владислав Здольников (IT-консультант Фонда борьбы с коррупцией Алексея Навального), а также примкнувший к ним Александр Брусенцев — обратились в Следственный комитет. Активисты считают, что чиновники Минкомсвязи и Роскомнадзора должны быть привлечены к ответственности по трем статьям Уголовного кодекса (293, 285 и 306).
Статья 293 — халатность, статья 285 — злоупотребление должностными полномочиями, в том числе часть 3 — внесение в единые государственные реестры заведомо недостоверных сведений, статья 306 — заведомо ложный донос о совершении преступления.
Действия активистов даже нельзя назвать неким актом агрессии, это скорее самооборона. Роскомнадзор ранее обратился в МВД с просьбой провести расследование ситуации с несанкционированными блокировками ресурсов, которые происходили в РФ на прошлой неделе. В результате такой проверки на Литреева и Злотникова могут завести уголовное дело за то, что они покупали заблокированные домены и «прикручивали к ним адреса обычных сайтов» («Ведомости» цитируют слова человека, близкого к Роскомнадзору). Сам Литреев отрицает, что делал это, хотя действительно купил больше десяти заблокированных, но не действующих ресурсов, и вроде бы добавил к ним адреса каких-то добросовестных сайтов. Но исключительно в целях проверки. Собственно, предложение привлечь чиновников по статье 306 связано именно с тем доносом в МВД.
Литреев и Здольников являются авторами популярным Telegram-каналов, посвящённых информационной безопасности. У одного 8200 подписчиков, у другого 14 000. Они оба активно указывали на уязвимость на своих каналах, так что о ней всем было хорошо известно.
В то же время Роскомнадзор точно знал об уязвимости в марте 2017 года, об этом свидетельствуют письма о совещаниях, которые проводились по этой теме в то время. И даже в феврале уже знал, о чём свидетельствует письмо одному интернет-провайдеру от Минкомсвязи (письмо раздобыл Литреев).
У российских чиновников не принято ставить приоритеты информационной безопасности на первое место, следить за закрытием уязвимостей и т. д. Например, на прошлой неделе руководитель Роскомнадзора Александр Жаров сказал, что решением этой проблемы может быть «законопроект, дающий органам власти право самостоятельно определять порядок блокировки ресурсов». То есть проблему решат ещё не скоро.
