Статья опубликована в № 4351 от 28.06.2017 под заголовком: Роскомнадзор латает дыры

Роскомнадзор латает дыры

Ведомство заявило, что его новые рекомендации помогут операторам решить проблему ложных блокировок. Эксперты называют инструкции бессмысленными
Прослушать этот материал
Идет загрузка. Подождите, пожалуйста
Поставить на паузу
Продолжить прослушивание

Роскомнадзор направил операторам обновленные рекомендации по ограничению доступа к заблокированным ресурсам, говорится на сайте ведомства. Операторам, использующим оборудование DPI (deep packet inspection, позволяет предоставлять доступ к части сайтов, блокируя или замедляя доступ к другим), служба рекомендует метод резолвинга – самостоятельного определения сетевого адреса ресурса, доступ к которому должен быть ограничен. Операторам связи, не использующим DPI, рекомендуется ограничивать доступ при помощи фильтрации запросов ко всем DNS-серверам (на этих серверах хранится информация о IP и доменах) и использовать только собственные.

Во вторник Владислав Здольников из ФБК в своем телеграм-канале назвал рекомендации Роскомнадзора технически неграмотными и бессмысленными.

Гендиректор поставщика сетевых решений RDP.RU Сергей Никулин согласен с такой оценкой рекомендаций регулятора. Он объясняет, что они составлены технически неграмотно.

Кто попадал под ложную блокировку

Сайт интернет-кинотеатра Ivi был заблокирован, после того как его IP-адрес присвоил владелец заблокированного в России сайта ww21.leonbet.me.
Система «Ревизор», которая проводит мониторинг исполнения блокировок операторами, сама подверглась блокировке благодаря привязке к сайту Ncsmedia.ru.
Провайдер интернет-хостинга Selectel был атакован при помощи сайта https://sdfgw.website.

DPI позволяет выделять в пакетах передаваемых данных URL (текстовый адрес интернет-страницы) и блокировать ресурс именно по нему, а не с помощью IP, объясняет эксперт. Резолвинг же, наоборот, предполагает фильтрацию контента не по URL, а по IP: операторы выделяют IP-адреса из хостов запрещенных ресурсов, а не URL, и блокируют их. Проблема в том, что Роскомнадзор почему-то по-прежнему рекомендует операторам все тот же резолвинг, хотя именно этот способ показал свою уязвимость при недавних атаках, недоумевает эксперт. Это абсолютно абсурдно, констатирует он.

Есть недостатки и у рекомендации ограничивать доступ при помощи фильтрации запросов ко всем DNS-серверам, считает специалист. Этот способ подразумевает, что операторы принудят своих абонентов не использовать внешние DNS-серверы, а использовать только DNS провайдера, объясняет Никулин. Сейчас каждый провайдер предоставляет DNS-сервер, но иногда пользователи используют сторонний, например для увеличения скорости загрузки страниц.

Оборудование для DPI, которое, в принципе, решает проблему уязвимости, установлено у операторов точечно, указывала директор по стратегическим проектам Института исследований интернета (ИИИ) Ирина Левова. Затраты на его разработку и внедрение для массового применения ИИИ оценивает в $5 млрд, а на его ежегодную поддержку – в $1 млрд. Из крупных операторов DPI нет у «Ростелекома» и «Транстелекома», знает Никулин.

Что случилось

В начале июня оказались заблокированы ресурсы, не внесенные в черный список регулятора: злоумышленники просто внесли их IP-адреса в DNS заблокированных сайтов. Роскомнадзор обвинил в ложных блокировках активистов Фонда борьбы с коррупцией (ФБК, организован Алексеем Навальным) Александра Литреева и Владислава Здольникова и пожаловался на них в МВД. В ответ сторонники Навального заявили в СКР о халатности и ложном доносе в отношении чиновников Минкомсвязи и Роскомнадзора, которые, по их мнению, не смогли предотвратить появление уязвимости в собственной системе блокировок.

Опубликованные рекомендации не вызывают необходимости в немедленном изменении применяемого в «Ростелекоме» алгоритма, говорит представитель госоператора. В «Ростелекоме» для фильтрации трафика DPI не используется, подтверждает он. Но вместо такого комплекса компания применяет специализированную систему фильтрации.

Наличие фальшивых DNS-записей приводит к перенаправлению большей части интернет-трафика на DPI-системы, предупреждает президент Ассоциации компаний связи Алексей Стуров. А это ведет к возрастанию нагрузки на решения в сотни раз, что практически гарантированно приводит к отказам этих систем, говорит он. При этом ни один из производителей аппаратно-программных комплексов не дает гарантий операторам связи, что их система обеспечивает 100%-ное ограничение запрещенных ресурсов.

Представитель «Мегафона» сообщил, что оператор изучает рекомендации Роскомнадзора и будет готов исполнять требования службы в соответствии с действующим законодательством. Представители «Вымпелкома» и МТС отказались от комментариев. Представитель ТТК не ответил на запрос «Ведомостей», а Роскомнадзора не прокомментировал претензии по существу, назвав их чушью.

Пока никто не прокомментировал этот материал. Вы можете стать первым и начать дискуссию.
Комментировать
Читать ещё
Preloader more