Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Бизнес Законодательство Интернет ИТ в госсекторе

В России появились сайты, которые запрещено блокировать. Список

В интернете появился «белый список сайтов», якобы составленный Роскомнадзором с целью недопущения их блокировок. В него вошли сайты органов власти, Google, «Яндекс», Facebook, Github и другие популярные ресурсы.

«Белый список» сайтов от Роскомнадзора

Автор Telegram-канала «IT уголовные дела СОРМ россиюшка» Владимир Здольников выложил копию письма, которое якобы рассылают региональные управления Роскомнадзора интернет-провайдерам. К письму приложен файл (документ Excel, сохраненный на файл-сервере CNews) со списком 2 тыс. доменов, которые Роскомнадзор рекомендует не блокировать.

Каким иностранными сайтами дорожат российские власти

В своего рода «белый список» вошли наиболее популярные российские и зарубежные интернет-ресурсы: «Яндекс», Google, Facebook, «ВКонтакте», «Одноклассники», «Лента.ру», Twitter, Instagram, YouTube. Также в список вошли сайты gstatic.com (используется Google для работы CDN-серверов), Github (репозиторий с исходными кодами ПО) и домены корневых серверов интернета (обеспечивают функционирование системы DNS, отвечающей за соответствие доменов и IP-адресов).

Большая же часть списка - адреса сайтов федеральных и региональных органов власти: Президента России, Правительства, МВД, ФСБ, Минобороны, Минкомсвязи, самого Роскомнадзора, большое число ресурсов региональных органов власти и др.

Кроме того, в «Белом списке» оказались сайты regulation.gov.ru (ресурс для общественного обсуждения проектов нормативных актов), РОИ (ресурс сбора подписей за общественные петиции) и ресурс Роскомнадзора, на котором размещается «черный список» запрещенных сайтов.

Фундаментальная «дыра» в системе блокировок
заставила Роскомнадзор выпустить список сайтов, которые нельзя блокировать

В отношении целого ряда доменов указаны их «маски» вида «*.kremlin.ru», «*.gov.ru», «*google*» и т.д. Это означает, что не рекомендуется блокировать любые поддомены в этих доменах.

Проблемы блокировок интернет-сайтов

Напомним, Роскомнадзор с 2012 г. ведет «черный список» сайтов, доступ к которым должен блокироваться всеми российскими интернет-провайдерами. В Реестре запрещенных сайтов в отношении каждого ресурса указывается его домен, IP-адрес и адрес конкретной страницы (URL) с противоправной информации. Провадер может сам выбирать тип блокировки: по URL и по IP адресу.

С конца 2015 г. для контроля блокировок Роскомнадзор стал внедрять автоматизированную систему (АС) «Ревизор»: провайдеров обязывают устанавливать у себя специальные «коробочки» (производства «МФИ Софт»), которые автоматически заходят из сети провайдера на запрещенные сайты.

Неисполнение требований о блокировках сайтов грозит интернет-провйдерам административной ответственностью. Недавно Госдума ввела штрафы за такого рода нарушения.

В то же время интернет-пользователи нашли способ своего рода «троллинга» Роскомнадзора. Владельцы доменов, внесенных в Реестр запрещенных сайтов, стали изменять настройки DNS, добавляя к этим доменам IP-адреса известных ресурсов.

У провайдеров нет обязанности автоматически определять IP-адреса запрещенных сайтов. Однако АС «Ревизор» сама определяет IP-адреса для доменов, включенных в Реестр запрещенных сайтов. Если какой-либо IP-адрес, определенный АС «Ревизор», не будет заблокирован, то система зафиксирует нарушение со стороны соответствующего провайдера.

Как заблокировать Telegram и сам Роскомнадзор

В результате некоторые провайдеры стали самостоятельно определять IP-адреса запрещенных сайтов. Это привело к тому, что на прошлой неделе дважды блокировались серверы Telegram у некоторых российских провайдеров: злоумышленники добавили к заблокированным доменам IP-адреса данного сервиса.

Помимо Telegram, злоумышленники добавляли к заблокированным доменам IP-адреса других популярных ресурсов: «Первого канала», «Одноклассников», «Вконтакте» и адреса самого Роскомнадзора.

В момент публикации этого материала появились сообщения о затруднениях у части пользователей с доступом к Facebook, Instagram, а также к популярным техническим сайтам mc.yandex.ru (счетчик «Яндекса») и code.jquery.com (облачное хранилище библиотек JavaScript). Оба эти сайта широко используются веб-мастерами, и их недоступность может привести к сбоям в работе большого числа ресурсов в Росии.

Владимир Здольников отмечает, что сформированный Роскомнадзором «белый список» содает новую почву для злоупотреблений. Например, в нем указана маска домена «*google*». Это означает, что злоумышленник сможет создать ресурс, в поддомене которого есть слово «google», и размещать на нем противоправный контент. Исходя из рекомендаций Роскомнадзора, провайдеры не должны будут такой ресурс блокировать.

Впереди новые проблемы

Координатор проекта «Роскомсвобода» Артем Козлюк отмечает, что история с «белым списком» демонстрирует неэффективность самого механизма блоикровок. Козлюк предупреждает, что в ближайшее время обострится еще одна проблема: число заблокированных сайтов уже исчисляется десятками тысяч, и оборудование интернет-провайдеров скоро не сможет справлять с обработкой этих списков.

Представитель Роскомнадзора к моменту публикации этого материала не смог ответить на запрос CNews.

Дополнение

Вечером в среду, 7 июня 2017 г. Роскомнадзор выпустил заявление, в котором признал проблему с блокировкой незапрещенных ресурсов. По мнению ведомства, она вызвана тем, что некоторые провайдеры самостоятельно определяют IP-адреса запрещенных сайтов по их доменам («резолвят DNS»), в результате чего заблокированными оказываются ресурсы, которые Роскомнадзор не включал в Реестр запрещенных сайтов.

В связи с этим глава Роскомнадзора Александр Жаров подписал технические рекомендации интернет-провайдерам по осуществлению блокировок. Провайдеры, имеющие системы DPI, должны осуществлять блокировку конкретных адресов страниц с запрещенной информацией. При отсутствии системы DPI провайдеру следует перенаправлять трафик пользователей на специальный сервер для осуществления фильтрации по IP-адресам. В случае же, если запрещенный сайт работает по защищенному протоколу https, то его следует блокировать по доменному имени.

Игорь Королев

Короткая ссылка