Как считает Роскомнадзор, ложные блокировки устроили активисты Фонда борьбы с коррупцией (ФБК, организован Алексеем Навальным) Александр Литреев и Владислав Здольников, рассказали «Ведомостям» человек, близкий к ведомству, и знакомый руководителя Роскомнадзора Александра Жарова. По их словам, Роскомнадзор попросил Министерство внутренних дел (МВД) провести расследование ложных блокировок.
На прошлой неделе часть ресурсов, не внесенных в черный список Роскомнадзора, оказались заблокированы, а произошло это из-за уязвимости в системе блокировок. Среди заблокированных были интернет-кинотеатр Ivi, панель управления хостингом в кабинете пользователей хостинг-провайдера Selectel, сайт «Медузы».
Суть уязвимости такова. Операторы блокируют некоторые сайты, попавшие в список Роскомнадзора, по IP-адресу, привязанному к этому имени (в частности, сайты, использующие шифрованные протоколы). Если владелец уже заблокированного ресурса добавляет в список своих адресов IP-адрес любого другого сайта или какой-то его страницы, то добавленный ресурс также рискует оказаться заблокированным (см. врез). Черный список Роскомнадзора содержит доменные имена и IP-адреса заблокированных сайтов, но проблема в том, что IP-адреса, соответствующие доменам, в списке меняются не так часто. А операторов штрафуют, если какой-то из заблокированных по решению суда ресурсов оказывается доступен.
Роскомнадзор использует для проверки доступности запрещенных сайтов комплекс «Ревизор», который сам выявляет текущие IP-адреса запрещенных сайтов из системы DNS (это система, в которой регистратор адреса сам прописывает IP-адрес, она есть в публичном доступе). Поэтому операторы тоже вынуждены выявлять такие IP-адреса самостоятельно, что в конечном итоге и приводит к ложным блокировкам.
Здольников – IT-консультант ФБК и директор компании Newcaster.tv, а Литреев – основатель Студии Александра Литреева, которая занимается разработкой сайтов и мобильных приложений, также он создал приложение «Красная кнопка», которое сообщает юристам о задержании их клиентов во время протестных движениях. Литреев и Здольников – авторы популярных каналов о кибербезопасности в Telegram (8200 и 14 000 подписчиков соответственно). Оба активно обращали внимание на уязвимость в системе блокировок Роскомнадзора, Здольников писал о ней еще в мае. Тогда он предупредил, что Роскомнадзор начал рассылать операторам связи письма с просьбой добавить адреса центра управления системы «Ревизор» в белый список, т. е. попросил их не блокировать. Действия ведомства оказались связаны с тем, что «Ревизор», который должен осуществлять мониторинг исполнения блокировок операторами, перестал выходить на связь с основным сервером, из-за того что его IP-адреса оказались привязаны к заблокированному ресурсу.
Как атаковали
В Ivi объяснили, что их IP-адрес присвоил владелец заблокированного в России сайта ww21.leonbet.me. В случае с «Ревизором» блокировка произошла благодаря привязке к сайту Ncsmedia.ru. Представитель Selectel говорит, что их ресурсы были блокированы при помощи сайта https://sdfgw.website. Здольников в телеграм-канале описал схему, по которой действовал владелец домена dymoff.space. Он добавил в DNS IP-адреса многих сайтов, в том числе некоторые IP-адреса мессенджера Telegram, «Первого канала», Badoo, «Одноклассников», РЖД, РБК, Booking.com, Mail.ru, Facebook и др. В системе whois владельцы всех этих ресурсов не отображаются.
По версии Роскомнадзора, рассказывают собеседники «Ведомостей», Литреев приобрел более десятка заблокированных, но уже не действующих ресурсов, не исключенных из черного списка Роскомнадзора, к которым, по мнению чиновников, «прикручивались» IP-адреса других, добросовестных сайтов. Литреев признает, что действительно приобретал ресурсы, которые ранее были заблокированы, но использовать со злым умыслом их не собирался, никаких других IP-адресов не указывал, да и не успел бы. Он объясняет, что приобрел адреса для того, чтобы проанализировать уязвимость на собственных, принадлежащих ему ресурсах. Но вновь купленные им адреса очень быстро были удалены из реестра Роскомнадзора.
О жалобах Роскомнадзора в МВД и кому бы то ни было ни Литрееву, ни Здольникову не известно.
По словам сотрудника одного из крупных операторов связи и чиновника федерального ведомства, проблема уязвимости на различных совещаниях по кибербезопасности обсуждается с весны. Тогда, по их словам, начались точечные ложные блокировки, но Роскомнадзор эту проблему никак не решал. По мнению последнего, найти ответственного за подобные вещи невозможно, им может быть кто угодно.
Проблему надо решать системно, а не путем поимки тех, кто указывает на недостатки существующего порядка блокировки, говорит он. Сотрудник крупного оператора сомневается, что за троллинг Роскомнадзора можно привлечь к ответственности.
Компания Qrator Labs, специализирующаяся на устранении DDos-атак, вчера уведомила клиентов об уязвимости в системе «Ревизор». За прошедшую неделю множество провайдеров сообщили о блокировке таким способом тысяч сайтов с разрешенной информацией, сотни тысяч пользователей столкнулись с недоступностью целевых сетевых ресурсов, указывает компания. «Мы вынуждены сообщить, что на сегодняшний день технического решения данной проблемы не существует <...> Из-за особенностей сетевой инфраструктуры и реализации системы «Ревизор» в случае, если ваш IP-адрес был добавлен к записи заблокированного ранее домена, единственным способом повлиять на недоступность ресурса является прямое обращение к провайдеру услуг или к вышестоящим провайдерам IP-транзита», – говорится в заявлении Qrator Labs. Заместитель генерального директора Ru-Center по продуктам Андрей Кузьмичев говорит, что пока процесс внесения IP-адреса очень прост. Пользователь делает это в своем личном кабинете у того регистратора, который обслуживает домен. Это операция, которую так или иначе совершают все владельцы доменов, – после регистрации доменного имени к нему необходимо привязать сайт, т. е. указать IP-адрес того сервера, на котором сайт размещен, говорит Кузьмичев. Соответственно, чтобы указать вместо одного IP-адреса другой, тоже не нужно никаких специальных знаний или ресурсов, заключает он.
Человек, близкий к Роскомнадзору, уверяет, что ведомство уже ищет способ оптимизировать систему блокировок.
Представители МВД не ответили на вопросы «Ведомостей». Представитель Роскомнадзора сообщил, что ведомство передает всю информацию о действиях лиц, причастных к атакам на законопослушные сайты, в компетентные органы. Информацию о Литрееве и Здольникове он комментировать не стал.
В организации ложных блокировок Роскомнадзором заподозрены политические активисты
Ведомство попросило МВД расследовать эту ситуацию.