«К нынешней ситуации привела вопиющая некомпетентность»
Почему разделегированные домены и система «Ревизор» Роскомнадзора спровоцировали блокировку ivi, «Медузы» и других сайтов, которые не нарушали закон.
Онлайн-кинотеатр ivi 7 июня заявил о проблемах с доступом из-за уязвимости в системе блокировки сайтов Роскомнадзора. В компании объяснили, что владелец заблокированного в России сайта ww21.leonbet.me присвоил в DNS этому адресу несколько IP-адресов ivi.
Проблемы с доступом возникли у всех клиентов как минимум одного из операторов большой тройки, отметили в онлайн-кинотеатре.
Как выяснилось позже, жертвами подобной атаки стали и другие сайты. В частности, редактор издательства «Кабинетный ученый» Владимир Харитонов написал в своем Facebook об ограничении доступа к «Википедии» провайдером RiNet.
Недоступны из-за уязвимости в системе блокировки оказались и IP-адреса российского IaaS-провайдера Selectel, рассказали vc.ru в компании.
Директор по распространению технологий Григорий Бакунов в своем Telegram-канале написал, что оказались заблокированы некоторые CDN-решения (распределенные сети для доставки и дистрибуции контента), содержащие основополагающие для большинства сайтов файлы.
В частности, доступ ограничен к code.jquery.com. По словам Бакунов, JQuery использует до 60% популярных сайтов.
Генеральный директор компании Mobile Education Александр Матвеев в своем Facebook написал, что не может открыть сайт «Медузы», так как из-за уязвимости были заблокированы IP-адреса хостинг-провайдера CloudFlare, услуги которого использует издание.
Конфликт «Ревизора»
Владельцы заблокированных доменов получили возможность «перенаправлять» блокировку на любые сайты благодаря системе «Ревизор», которая с 2016 года в обязательном порядке устанавливается на сетях операторов связи для мониторинга исполнения требования Роскомнадзора по блокировке сайтов из «Черного списка».
Сам реестр запрещенных сайтов был запущен в 2012 году. Одним из первых уязвимость в процессе блокировок в октябре 2012 года обнаружил владелец сайта «Библиотека Мошкова». Он в добавил в DNS IP-адреса Министерства юстиции.
Основатель и совладелец хостинговой компании «Дремучий лес» Флипп Кулин в разговоре с vc.ru пояснил, что Роскомнадзор закрыл уязвимость и рекомендовал операторам использовать при блокировке исключительно тот IP-адрес, который указан в реестре запрещенных сайтов.
Распоряжения ведомства не закреплены в законе, но благодаря этим рекомендациям, по словам Кулина, процесс блокировки приобрел «состояние, со скрипом устраивающее всех». Большинство явных брешей в алгоритмах при этом были закрыты.
За «Ревизора», по словам ИТ-специалиста, отвечает Радиочастотный центр (подведомственное предприятие Роскомнадзора). Система не учитывает рекомендаций Роскомнадзора и просто проверяет доступность IP-адреса сайта на сети оператора.
Провайдеры пытаются оспорить штрафы, но практически безуспешно. Поэтому фактически на рекомендации Роскомнадзора перестали обращать внимание, а используют алгоритм «Ревизора». Как раз зимой 2017 года устройство стало принудительно внедряться операторами связи. Вот так мы пришли к этой ситуации.
— Филипп Кулин, основатель «Дремучего леса»
Кулин уверен, что Роскомнадзор знал об этой ситуации. В качестве подтверждения своих слов он продемонстрировал документ Министерства связи и массовых коммуникаций. В нем говорится, что по итогам совещания, прошедшего 21 марта 2017 года, были обнаружены расхождения между алгоритмом работы «Ревизора» и рекомендациями Роскомнадзора.
Подставные домены
Одним из первых об уязвимости в механизме блокировок сайтов ещё в мае 2017 года рассказал в своем Telegram-канале ИТ-консультант «Фонда борьбы с коррупцией» и совладелец компании Newcaster.TV Владислав Здольников.
Тогда ИТ-специалист обратил внимание, что Роскомнадзор начал рассылать операторам связи письма с просьбой добавить адреса центра управления системы «Ревизор» в «белый список», то есть попросил их не блокировать.
Действия ведомства оказались связаны с тем, что «Ревизор», который должен осуществлять мониторинг исполнения блокировок операторами, перестал выходить на связь с основным сервером. Таким образом устройства для мониторинга отключили от своей же системы.
Здольников пояснил, что владелец Ncsmedia.ru, оказавшегося в реестре запрещённых сайтов, прописал в системе DNS IP-адреса доменов Роскомнадзора, к которым обращается «Ревизор». Тем самым операторы ограничили доступ к самой системе.
ИТ-специалист указывает, что техническая реализация блокировок устроена таким образом, что хозяин заблокированного домена может нарушить работу любой другой площадки.
2 июня в Telegram-канале Здольникова появилась информация о распоряжении Роскомнадзора, которое запрещает провайдерам блокировать несколько IP-адресов, принадлежащих «ВКонтакте» и «Яндексу».
4 июня 2017 года пользователи пожаловались на недоступность мессенджера Telegram в России. Выяснилось, что это также было связано с уязвимостью в системе блокировок, о которой Здольников рассказал в мае.
Совладелец Newcaster.TV описал схему, по которой действовал владелец домена dymoff.space, заблокированного в 2016 году. Он добавил в DNS IP-адреса многих сайтов, в том числе некоторые IP-адреса мессенджера Telegram.
В DNS dymoff.space были указаны некоторые IP-адресы «Первого канала», Badoo, «Одноклассников», РЖД, РБК, Booking.com, Mail.Ru, Facebook и других сайтов и сервисов. Так как в DNS были прописаны не все адреса проектов, то сайты пострадали незначительно.
Позже Здольников опубликовал список доступных для регистрации доменов, которые находятся в реестре запрещённых сайтов, и предложил их зарегистрировать и прописать в DNS адреса любых других сайтов.
В Роскомнадзоре не стали комментировать ситуацию, но Здольников обратил внимание, что ведомство начало чистить реестр запрещенных сайтов от разделегированных доменов. Однако потом ИТ-специалист сказал, что Роскомнадзор удалил из перечня только часть доступных для регистрации адресов.
«Белый список» Роскомнадзора
7 июня Роскомнадзор опубликовал на своем официальном сайте рекомендацию для операторов связи о необходимости проверять, не попадут ли под блокировку популярные и общественно значимые площадки и их IP-адреса в случае ограничения доступа к сайту из «черного списка».
В сообщении говорится, что системное решение проблемы заключается в нормативном закреплении за ведомства права определять способ осуществления блокировки оператором связи.
«Получается, что нормативной базы для способов блокировки и, соответственно, их проверки за более чем четыре года действия существования реестра так и не появилось. Но штрафы за нарушение несуществующих нормативов, выявленные несуществующими алгоритмами, поставлены на поток», — прокомментировал рекомендации Роскомнадзора Кулин.
Кроме того, 7 июня Роскомнадзор составил «белый список» адресов, которые не рекомендуется блокировать, и разослал его операторам связи.
В своем Telegram-канале Здольников утверждает, что письмо отправлено от имени руководителя управления Роскомнадзора по Владимирской области Владимира Никонорова.
О существовании такой рассылки сообщила «Роскомсвобода», источник vc.ru в местном управлении ведомства тоже подтвердил факт отправки «белого списка».
В разговоре с vc.ru сооснователь Newcaster.TV заявил, что операторы получили аналогичное письмо не только от владимирского Роскомнадзора, но и других управлений ведомства.
В разосланной операторам таблице Excel представлено 2257 позиций. В нем присутствуют сайты Кремля, правительства, государственных учреждений и ведомств, адреса популярных сервисов вроде google, yandex.ru, instagram.com, twitter.com, youtube.com, vk.com и odnoklassniki.ru, а также крупных СМИ.
Технический директор издания «Медуза» Самат Галимов в своем блоге указал на «детскую ошибку» в виде наличия в перечне адреса »*.google.*». Он пояснил, что, используя домен, можно вывести из-под действия блокировки абсолютно любой сайт, если у него появится адрес вроде xxx.google.yyy.ru
На это в разговоре с vc.ru также обратил внимание руководитель «Роскомсвободы» Артем Козлюк. «Любой человек теперь может прописать домен третьего, четвертого, пятого уровня с использованием google.com и публиковать на нем противоправную информацию. Например, о наркотиках или свержении конституционного строя», — пояснил он.
Основатель «Роскомсвободы» называет действия Роскомнадзора неправомерными с точки зрения нынешнего законодательства, в котором указаны требования о блокировке сайтов из реестра.
Непонятно, как дальше будет развиваться ситуация, так как операторы только недавно получили эти разнарядки с соответствующими доменами и IP-адресами. Непонятно, подвергнутся ли они наказаниям в случае, если не будут принимать меры для того, чтобы эти адреса и домены не попадали под блокировку. Также неясно, носит этот перечень рекомендательный или обязательный характер.
— Артем Козлюк, руководитель «Роскомсвободы»
По данным Козлюка, «Ревизор» провел проверку по «белому списку», анализируя, не блокируют ли провайдеры внесенные в него сайты. Пока штрафные санкции к ним не применялись, добавляет глава «Роскомсвободы».
Бывший сетевой архитектор «Яндекса» Даниил Гинсбург в разговоре vc.ru выразил мнение, что большая часть вины за сложившуюся ситуацию лежит на Роскомнадзоре.
Вопиющая некомпетентность привела к нынешней ситуации, а их нерешительность и озабоченность сохранением лица мешает им выпутаться из этой ситуации. Кроме того, значительную роль играет несовершенство законодательства. Закон разрешает много разных режимов блокировки, и этот документ интерпретируется Роскомнадзором весьма произвольно.
— Даниил Гинсбург, ИТ-специалист, бывший сетевой архитектор «Яндекса»
Гинсбург допускает, что произошедшее повлечет изменения в подзаконных актах, касающихся механизма блокировки сайтов. Также он прогнозирует изменения в регламенте ведения реестра запрещенных сайтов.
«На отмену блокировок я не надеюсь, хотя это было бы наилучшим выходом. Но некомпетентность Роскомнадзора не позволит каким-либо изменениям случиться еще довольно долгое время и атака будет продолжаться», — полагает Гинсбург.
В свою очередь, Филипп Кулин предполагает, что Минкомсвязи, Роскомнадзору и Радиочастотному центру удастся наладить коммуникации между собой и доработать рекомендации для операторов.
По сведениям совладельца «Дремучего леса», у ведомств уже есть «неплохой» проект. «В то, что «Ревизор» временно прекратит свое существование до доработки, я не верю», — заключил он.
В течение дня 7 июня пресс-секретарь Роскомнадзора Вадим Ампелонский не отвечал на звонки и сообщения редакции vc.ru. В Минкомсвязи также не ответили на запрос vc.ru.
© vc.ru