Фото: Максим Поляков / Коммерсант
Утром 7 июня по телеграм-каналам разошлось сообщение о «белом списке» Роскомнадзора — реестре, насчитывающем более двух тысяч доменов, которые операторам запрещено блокировать. Среди них преобладают государственные ресурсы, но есть также поисковики, соцсети и три интернет-издания — «Российская газета», «Парламентская газета» и «Лента.ру». Вскоре выяснилась и причина появления перечня: владельцы заблокированных сайтов научились использовать уязвимость ведомственного программного комплекса для того, чтобы «нетривиальным образом побороться» с Роскомнадзором. «Медиазона» попросила IT-специалистов объяснить, зачем понадобился «белый список» и какие потенциальные риски несет в себе такая практика.
«Недавно начал работать "Ревизор" — программный комплекс Роскомнадзора, который в автоматическом режиме "ходит" по узлам операторов связи и смотрит, заблокирована ли какая-то информация. В случае обнаружения IP-адреса, который может принадлежать ресурсу из реестра, "Ревизор" выставляет штраф оператору за неблокировку. Под страхом получить административное наказание от Роскомнадзора большинство операторов начали блокировать все IP-адреса, которые получают от DNS-сервера. Эти адреса указываются самими владельцами доменных имен и могут не иметь отношения к сайтам, которые изначально были на этих сетевых ресурсах», — рассказывает участник проекта «Роскомсвобода», адвокат Саркис Дарбинян.
Примерно в начале июня владельцы заблокированных ресурсов начали массово эксплуатировать механизм, который позволяет заблокировать любой другой ресурс.
«Владельцы сайтов решили таким нетривиальным образом побороться с Реестром запрещенных сайтов и начали прописывать в настройки своих DNS-доменов IP-адреса сторонних интернет-ресурсов, в том числе государственных, интернет-сервисов или той же системы "Ревизор", которая может отдавать команды заблокировать саму себя, если сайт, который внесен в реестр, присвоил себе в том числе один из IP-адресов этой системы», — продолжает руководитель «Роскомсвободы» Артем Козлюк.
Эта уязвимость существовала и ранее, обратил внимание в разговоре с «Медиазоной» IT-консультант Владислав Здольников, автор телеграм-канала «IT уголовные дела СОРМ россиюшка», который одним из первых опубликовал информацию о «белом списке». В начале июня Роскомнадзор требовал от провайдеров разблокировать «ВКонтакте» и «Яндекс», доступ к которым был заблокирован из-за этой уязвимости.
Здольников рассказал, что использовал уязвимость еще в 2014 году, когда в реестр запрещенных сайтов было добавлено первое зеркало «Живого журнала» Алексея Навального (http://navalny.fuckrkn.me). «Тогда у людей, которые хотели бы сделать так же, просто не было домена в реестре запрещенных сайтов, — рассуждает он. — А сейчас в реестре оказалось достаточно уже освобожденных доменов, и эта атака стала доступна каждому».
В DNS блога Навального прописали адрес сайта издания Lifenews. Замруководителя Роскомнадзора Максим Ксензов говорил, что «сторонники Навального специально сделали так, чтобы пострадал [Lifenews]». Сотрудники ведомства убрали домен из реестра и позвонили крупным операторам с требованием прекратить автоматически обновлять IP-адрес для сайта http://navalny.fuckrkn.me, чтобы оттуда не подгружались данные сайта Lifenews.
«Думаю, просто время подошло», — отвечает Здольников на вопрос о том, почему массовая эксплуатация уязвимости началась именно сейчас, летом 2017 года.
«Роскомнадзор не нашел ничего лучше, чем создать "белый список" сайтов, который раздает вручную операторам связи, и он уже сейчас содержит ряд абсурдных моментов. Например, там есть такие маски, которые позволяют владельцам любых сайтов поставить ее на свой домен третьего или четвертого уровня, например — *.google.* — и попасть в "белый список" сайтов: в этом списке указано, что ресурс, содержащий *.google.* не может быть ни в коем случае заблокирован», — объясняет Козлюк.
Руководитель «Роскомсвободы» полагает, что Роскомнадзор со временем скорректирует список: «Будут закрывать косяки, делать какие-то заплатки, но это в очередной раз показывает ущербность системы со списками».
Он обращает внимание на то, что провайдеры оказались в абсурдной ситуации: один и тот же ресурс может попасть одновременно в «черный» и «белый» списки, то есть ведомство может одновременно потребовать заблокировать его и запретить это делать. При этом, если требования по блокировке регламентируются законодательством, то запрет на блокировку — нет; само требование ни в коем случае не блокировать определенные адреса Козлюк называет незаконным. Тем не менее, к ответственности за нарушение запрета на блокировку еще никого не привлекли: по информации Здольникова, Роскомнадзор направил провайдерам «белый» список только утром 7 июня.
В «Роскомсвободе» прогнозируют, что крупные провайдеры будут неукоснительно следовать требованиям Роскомнадзора, однако более мелкие операторы едва ли последуют их примеру.
«Кто-то может игнорировать эти письма (с требованием запретить блокировку сайтов из "белого" списка — МЗ) и продолжать использовать исключительно выгрузки из Реестра запрещенных сайтов, и это будет законно. А потом идти в суд, если Роскомнадзор будет пытаться давить на них или как-то штрафовать. Есть такие операторы связи, которые не гнушаются идти в суд, когда система "Ревизор" требует от них больше, чем заложено в Реестре. Есть такой момент, что сама система требует от операторов не только непосредственно ограничивать доступ, но и самим следить за тем, что домены переезжают на другие IP-адреса: как бы вылавливать их и ограничивать доступ мимо реестра. Это считается незаконной практикой, ряд операторов это пытаются оспорить в судах», — рассказывает Козлюк.
Он обращает внимание и на неизбежное повышение нагрузки на оборудование, с которым по мере разрастания реестров Роскомнадзора столкнутся провайдеры. «Когда Роскомнадзор вносит в реестр не только даже IP-адреса, а еще целые маски, и если в одном реестре будет содержаться одна маска, а в другом — маска другого уровня… Сами системы фильтрации могут давать существенный сбой, тем более, сейчас они подходят к своему технологическому пределу по обработке записей: слишком их много содержится в реестре запрещенных сайтов. А к этому будет прибавляться реестр разрешенных сайтов, это еще большая нагрузка на системы фильтрации. Что будет происходить, когда добавится несколько десятков тысяч адресов — вопрос открытый», — рассуждает Козлюк.
Руководитель «Роскомсвободы» и Дарбинян солидарны в резко критическом отношении к самой идее «белого списка».
«Здесь, конечно, есть большая угроза: от политики блокировки по "черным спискам" мы можем перейти к "белым спискам" — идее, которую давно предлагает "Лига безопасного интернета": сделать список разрешенных сайтов, а все остальное для российских пользователей заблокировать. Когда эта опасная идея обсуждалась, ее, понятно, высмеивали, потому что концепция причинит огромный урон российскому интернету. Теперь, манипулируя той тупиковой ситуацией, которая возникла, Роскомнадзор и лоббисты могут перейти на эту систему. И то, что было раньше, покажется цветочками — по сути, российский интернет потеряет доступ к миллионам сайтов в глобальной сети», — считает адвокат.
Козлюк называет действующую модель переходной: от той, при которой разрешено все, что не запрещено, к запрету всего неразрешенного. Он также обращает внимание на то, что «белым» списком могут воспользоваться, например, мошенники — зарегистрировав сайт, который провайдеры не смогут заблокировать.
«Чтобы изменить эту ситуацию, необходимо полностью пересмотреть законодательство, и как минимум приостановить работу программного комплекса "Ревизор" до того момента, пока не будет найдено какое-то адекватное решение, которое не будет причинять такого большого массового ущерба», — продолжает Дарбинян.
Оперативно получить комментарий Роскомнадзора «Медиазоне» не удалось: пресс-секретарь ведомства Вадим Ампелонский не отвечал на звонки. При этом в июне он подтверждал, что Роскомнадзор рассылал провайдерам письма «с целью недопущения ошибочной блокировки законопослушных ресурсов из-за попыток манипуляций с IP-адресами администраторов сайтов, внесенных в реестр запрещенной информации». После публикации данных о «белом» списке Роскомнадзора Здольников в своем телеграм-канале констатировал «массовые жалобы на работу ресурсов» и предположил, что «кто-то снова зарегистрировал свободный домен из реестра (запрещенных сайтов — МЗ) и добавил туда IP-адреса других ресурсов». О проблемах с доступом сообщил, в частности, онлайн-кинотеатр ivi.ru.
При этом вечером 7 июня на сайте Роскомнадзора появилось сообщение, в котором ответственность за некорректные блокировки перекладывалась на провайдеров.
«Некорректный DNS-резолвинг, который осуществляют отдельные операторы связи при блокировке интернет-страниц с противоправной информацией, возникает, когда оператор связи самостоятельно определяет IP-адрес запрещенного интернет-ресурса. В таком случае в результате действий злоумышленников под избыточную блокировку у отдельных провайдеров могут попасть добропорядочные сайты, данные о которых отсутствуют в выгрузке Роскомнадзора операторам связи», — отметили в ведомстве. «В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса», — пояснили в Роскомнадзоре.
«Системное решение проблемы заключается в нормативном закреплении за Роскомнадзором права определять способ осуществления блокировки оператором связи», — говорил Ампелонский «Известиям» в январе.
Оформите регулярное пожертвование Медиазоне!
Мы работаем благодаря вашей поддержке