Роскомнадзор латает дыры
Ведомство заявило, что его новые рекомендации помогут операторам решить проблему ложных блокировок. Эксперты называют инструкции бессмысленными
Представитель «Мегафона» сообщил, что оператор изучает рекомендации Роскомнадзора и будет готов исполнять требования службы в соответствии с действующим законодательством. Представители «Вымпелкома» и МТС отказались от комментариев. Представитель ТТК не ответил на запрос «Ведомостей», а Роскомнадзора не прокомментировал претензии по существу, назвав их чушью.
Роскомнадзор направил операторам обновленные рекомендации по ограничению доступа к заблокированным ресурсам, говорится на сайте ведомства. Операторам, использующим оборудование DPI (deep packet inspection, позволяет предоставлять доступ к части сайтов, блокируя или замедляя доступ к другим), служба рекомендует метод резолвинга – самостоятельного определения сетевого адреса ресурса, доступ к которому должен быть ограничен. Операторам связи, не использующим DPI, рекомендуется ограничивать доступ при помощи фильтрации запросов ко всем DNS-серверам (на этих серверах хранится информация о IP и доменах) и использовать только собственные.
Во вторник Владислав Здольников из ФБК в своем телеграм-канале назвал рекомендации Роскомнадзора технически неграмотными и бессмысленными.
Гендиректор поставщика сетевых решений RDP.RU Сергей Никулин согласен с такой оценкой рекомендаций регулятора. Он объясняет, что они составлены технически неграмотно.
Кто попадал под ложную блокировку
Сайт интернет-кинотеатра Ivi был заблокирован, после того как его IP-адрес присвоил владелец заблокированного в России сайта ww21.leonbet.me.
Система «Ревизор»,
которая проводит мониторинг исполнения блокировок операторами, сама подверглась блокировке благодаря привязке к сайту Ncsmedia.ru.
Провайдер интернет-хостинга Selectel был атакован при помощи сайта https://sdfgw.website.
DPI позволяет выделять в пакетах передаваемых данных URL (текстовый адрес интернет-страницы) и блокировать ресурс именно по нему, а не с помощью IP, объясняет эксперт. Резолвинг же, наоборот, предполагает фильтрацию контента не по URL, а по IP: операторы выделяют IP-адреса из хостов запрещенных ресурсов, а не URL, и блокируют их. Проблема в том, что Роскомнадзор почему-то по-прежнему рекомендует операторам все тот же резолвинг, хотя именно этот способ показал свою уязвимость при недавних атаках, недоумевает эксперт. Это абсолютно абсурдно, констатирует он.
Есть недостатки и у рекомендации ограничивать доступ при помощи фильтрации запросов ко всем DNS-серверам, считает специалист. Этот способ подразумевает, что операторы принудят своих абонентов не использовать внешние DNS-серверы, а использовать только DNS провайдера, объясняет Никулин. Сейчас каждый провайдер предоставляет DNS-сервер, но иногда пользователи используют сторонний, например для увеличения скорости загрузки страниц.
Оборудование для DPI, которое, в принципе, решает проблему уязвимости, установлено у операторов точечно, указывала директор по стратегическим проектам Института исследований интернета (ИИИ) Ирина Левова. Затраты на его разработку и внедрение для массового применения ИИИ оценивает в $5 млрд, а на его ежегодную поддержку – в $1 млрд. Из крупных операторов DPI нет у «Ростелекома» и «Транстелекома», знает Никулин.
Что случилось
В начале июня оказались заблокированы ресурсы, не внесенные в черный список регулятора: злоумышленники просто внесли их IP-адреса в DNS заблокированных сайтов. Роскомнадзор обвинил в ложных блокировках активистов Фонда борьбы с коррупцией (ФБК, организован Алексеем Навальным) Александра Литреева и Владислава Здольникова и пожаловался на них в МВД. В ответ сторонники Навального заявили в СКР о халатности и ложном доносе в отношении чиновников Минкомсвязи и Роскомнадзора, которые, по их мнению, не смогли предотвратить появление уязвимости в собственной системе блокировок.
Опубликованные рекомендации не вызывают необходимости в немедленном изменении применяемого в «Ростелекоме» алгоритма, говорит представитель госоператора. В «Ростелекоме» для фильтрации трафика DPI не используется, подтверждает он. Но вместо такого комплекса компания применяет специализированную систему фильтрации.
Наличие фальшивых DNS-записей приводит к перенаправлению большей части интернет-трафика на DPI-системы, предупреждает президент Ассоциации компаний связи Алексей Стуров. А это ведет к возрастанию нагрузки на решения в сотни раз, что практически гарантированно приводит к отказам этих систем, говорит он. При этом ни один из производителей аппаратно-программных комплексов не дает гарантий операторам связи, что их система обеспечивает 100%-ное ограничение запрещенных ресурсов.