Стоит задача по выгрузки реестра запрещенных сайтов и блокирование доступа к ним пользователей. Реестр запрещенных сайтов можно получить на сайте роскомнадзора по ссылке http://vigruzki.rkn.gov.ru/tooperators_form/, выгрузка должна производится не реже 2-х раз в сутки. Делать это вручную не совсем хочется, поэтому я решил этот процесс автоматизировать. В интернете много статей по автоматизации выгрузки, но вот как полностью автоматизировать процесс от выгрузки и до насройки оборудования мне не попадалось.
Весь процесс разбит на несколько этапов
Вся система по получению реестра и настройки маршрутизаторов будет находится на сервере с установленной системой Centos 6.4
Создание файл запрос и подпись файла запроса с помощью открепленной электронной подписи
1. Для начала вам нужна квалифицированная электронная подпись. Получить эту подпись можно в любом аккредитованном удостоверяющем центре, список можно скачать по ссылке http://minsvyaz.ru/common/upload/Perechen_akkreditovannih_UZ.xls. Выбираем ближайший, звоните туда, объясняете что вам нужна электронная подпись для zapret-info.gov.ru, и вам объясняют дальнейшие шаги. Собираете кучу бумаг, заполняете анкеты, оплачиваете, после чего получаете сертификат, при необходимости еще и покупаете e-Token.
2.Когда e-Token с сертификатом у вас уже на руках. вам нужен будет компьютер с установленным Windows и программой КриптоПро. Необходимо средствами КриптоПро скопировать ключевой контейнер в реестр с возможность экспорта. Затем с помощью утилиты P12FromGostCSP.zip выгружаем сертификат в формате PCKS#12
3.Подключаемся к нашему серверу с CentOS, и создаем в корне каталог gost-ssl.
Если в процессе установки появится ошибка:
То устанавливаем пакеты gcc и zlib-devel :
Правим конфиг /gost-ssl/ssl/openssl.cnf
В самом верху, первой строкой пишем:
Далее добавляем в конец:
Далее проверяем работоспособность и наличие GOST (полный путь до openssl обязателен)
Если вывод пуст, значит что то не так. Должны появится строчки типа:
И кидаем туда файл p12.pfx полученный в пункте 2.
Проверяем, что у нас нормальный (содержит сертификат и закрытый ключ) PKCS#12 командой:
конвертируем полученный на Windows PKCS#12 в PEM:
создаем XML файл запроса, согласно памятке оператора http://zapret-info.gov.ru/docs/description_for_operators_2012-11-09v1.4.pdf и конфертируем его при помощи icov в СP1251:
подписываем xml файл нашим сертификатом:
скидываем в Windows и проверяем валидность на http://www.gosuslugi.ru/pgu/eds/ если все впоряде, то идем дальше.
Для автоматизации получения файла запроса, создаем скрипт на python под названием request.py
Со следующим кодом:
Естественно Название компании, ИНН, ОГРН и e-mail указываем свои
Отправка подписанного файла на сайт http://vigruzki.rkn.gov.ru и получение реестра запрещенных сайтов
В интернете были найдены два скрипта на pyton для автоматической выгрузки реестра, скачиваете их и кладете в тот же каталог /gost-ssl/ssl/rzs/
Проверяем работу выгрузки:
Через 1-3 минуты каталоге /gost-ssl/ssl/rzs/ должен появится файл реестра запрещенных имен dump.xml
Извлечение доменных имен из реестра
Для извлечения из реестра доменные имена, создаем в каталоге /gost-ssl/ssl/rzs/ скрипт extract.py
ВНИМАНИЕ. перед первым запуском скрипта extract.py создайте пустой файл domains.txt
Настройка маршрутизаторов
При попытке получить доступ к запрещенному сайту, пользователь должен будет попасть на страницу с сообщением о запрещенном ресурсе, например как тут . Для этого в сети должен быть настроен http сервер, с html страницей на которой сообщается о запрещенном ресурсе.
На маршрутизаторах должно быть включен перехват dns запросов «Allow Remote Requests»
Исправляем на yes и сохраняем. Так же в качестве ДНС сервера у пользователей должен быть прописан ip адрес микротика.
Для автоматической настройки маршрутизаторов используется скрипт mikrotik_configure.py
10.10.10.10- ip адрес нашего http сервера.
Теперь собираем все вместе в один скрипт который будет запускать выгрузку реестра и настраивать маршрутизаторы. Для этого создаем файл start_rzs.sh
И помещаем его в cron который будет его запускать, несколько раз в сутки, допустим каждые 10 часов, для этого в /var/spool/cron/root добавляем строку
zhutov.ru
Федеральный закон от 28.07.2012 N 139-ФЗ
«О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации» (PDF)
«О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях» (PDF)
Федеральный закон от 27 июля 2006 года № 149-ФЗ
Временный порядок функционирования Информационной системы взаимодействия (PDF)
«Об утверждении порядка взаимодействия оператора единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» с провайдером хостинга (PDF)
Приказ Роскомнадзора от 21.02.2013 № 169
Оператор связи может получить доступ к выгрузке информации о доменных именах, указателей страниц сайтов в сети Интернет, а также сетевых адресов, позволяющих идентифицировать сайт или информацию, распространение которой в Российской Федерации запрещено, либо распространение которой осуществляется с нарушением интеллектуальных прав, в ручном режиме круглосуточно, информация обновляется ежечасно.
Выгрузка осуществляется исключительно с использованием квалифицированной электронной подписи, выданной любым удостоверяющим центром, из числа аккредитованных Минкомсвязи России.
Форма подачи запроса
Время формирования последней актуальной выгрузки: 26.07.2018 09:00
Время, когда в выгрузку последний раз были внесены изменения,
требующие незамедлительного реагирования: 26.07.2018 08:45
Версия веб-сервиса: 3.1
Актуальная версия формата выгрузки: 2.3
Актуальная версия памятки оператору связи: 4.8
Для подачи запроса на получение выгрузки из реестра прикрепите файл запроса в формате XML и файл открепленной электронной подписи в формате PKCS#7
Проверка результата обработки запроса
Для получения результата обработки запроса и загрузки файла реестра укажите идентификатор запроса полученный на предыдущем шаге
Выгрузка реестра запрещённых сайтов
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ
Информационная система взаимодействия
Роскомнадзора с операторами связи
Федеральный закон от 2 июля 2013 года № 187-ФЗ
«Об информации, информационных технологиях и о защите информации» (PDF)
Постановление Правительства Российской Федерации от 26.10.2012 №1101 (PDF)
Приказ Роскомнадзора от 21.02.2013 № 170
«Об утверждении Порядка получения доступа к содержащейся в единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» информации оператором связи, оказывающим услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет»» (PDF)
Перечень аккредитованных удостоверяющих центров Минкомсвязи России (URL)
Памятка оператору связи о получении доступа к выгрузке (PDF)
Внимание! Изменяется формат файла выгрузки на версию 2.3 – для тегов content, url, domain, ip, ipSubnet добавляется необязательный атрибут с именем «ts», содержащий метку времени (timestamp) с указанием момента, когда произошли последние изменения данного объекта. В случае, если изменения произошли более 7 дней тому назад, данная метка времени будет отсутствовать. Эта информация необходима для определения того, какие изменения в ресурсах появились в выгрузке недавно.
Подробная информация по изменениям приведена в Памятке оператору связи.
Операторам связи необходимо доработать системы обработки файла выгрузки.
Формирование выгрузки с описанными изменениями в формате 2.3 будет производиться, начиная с 12.02.2018 12:00 МСК.
Информационная система взаимодействия представляет собой Интернет портал, созданный в целях обеспечения обмена информацией между Роскомнадзором и операторами связи для принятия мер по ограничению доступа к информации, распространяемой с нарушением требований законодательства Российской Федерации в информационно-коммуникационной сети «Интернет».
В силу Федерального закона от 02.07.2013 № 187-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях», а также Федерального закона от 28.07.2012 № 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации» оператор связи обязан ограничить доступ к информационному ресурсу в случае непринятия провайдером хостинга или владельцем информационного ресурса мер по удалению нелегального контента:
- — информации, распространяемой с нарушением исключительных прав;
- — материалов с порнографическими изображениями несовершеннолетних и (или) объявлений о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятий;
- — информации о способах, методах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсов, местах приобретения таких средств, а также о способах и местах культивирования наркосодержищих растений;
- — информации о способах совершения самоубийства, а также призывов к совершению самоубийства
Предоставление оператору связи информации о доменных именах, указателей страниц сайтов в сети Интернет, а также сетевых адресов, позволяющих идентифицировать сайт в сети Интернет, доступ к которым обязан ограничить оператор связи, осуществляется посредством информационной системы взаимодействия Роскомнадзора с операторами связи.
Доступ к выгрузке указанной информации предоставляется операторам связи в ручном и автоматическом режимах круглосуточно, информация обновляется ежечасно.
Доступ к выгрузке осуществляется исключительно с использованием квалифицированной электронной подписи, выданной любым удостоверяющим центром, из числа аккредитованных Минкомсвязи России.
В случае принятия Уполномоченным органом решения о внесении в Единый реестр указателя страницы сайта — для каждой реестровой записи выгружается указатель страницы сайта, доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет.
В случае принятия Уполномоченным органом решения о внесении в Единый реестр доменного имени — Для каждой реестровой записи выгружается доменное имя и сетевой адрес (а), позволяющий (ие) идентифицировать сайт в сети Интернет. Никакие указатели конкретных страниц сайтов не выгружаются.
В течение суток с момента получения выгрузки оператор связи, оказывающий услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», обязан ограничить доступ к такому сайту в сети «Интернет».
vigruzki.rkn.gov.ru
Копия этого письма размещена на сайте Роскомсвободы.
Действия по блокировкам сетей Amazon, Hetzner и DigitalOcean не приводят к значимой деградации Telegram. Аудитория Telegram в России не уменьшается, приложение работает и без Proxy-серверов. Единственная заметная деградация — стикеры стали отображаться на 70% медленнее.
Из-за «ковровых блокировок» деградируют и блокируются многие сервисы, а Telegram продолжает работать.
Глюки корпоративного мессенжера Slack, сервиса видеоконференций Jitsi Meet и блокировка документации на DNS-сервер PowerDNS стали поводом написать этот текст. Мне было особенно неловко, когда пришлось просить коллег из команды Firefox использовать сервис видеоконференций от корпорации Google. Увы, привычный meet.jit.si опять был заблокирован РКН. Это стало последней каплей.
Я захотел понять масштабы разрушений от блокировок подсетей, узнать тот список «социально незначимых» сервисов, пострадавших от сопутствующих блокировок. С 28 июня по 1 июля я исследовал открытые данные от компании Rapid7, содержащие DNS-отображения 1.3 миллиардов доменов в IP адреса. В заблокированные сети попало более 4.5 миллионов поддоменов из миллиона доменов.
Число заблокированных доменов мало говорит о сути сайтов. Число — это не «трагедия», это «статистика». Для ранжирования этих «расстрельных списков» полезны рейтинги Alexa, Cisco Umbrella, The Majestic Million. В разделении на домены и поддомены поможет Public Suffix List. Без ранжирования осознание масштаба проблемы потребовало бы гораздо больше времени.
Больше сотни «деградировавших» и неправомерно заблокированных сервисов перечислены ниже.
Начну с неполного списка тех сервисов, блокировку которых я заметил в повседневности, ещё до изучения вопроса.
- Slack [1] . Один из лучших корпоративных мессенджеров
- Jisi Meet [2] . Веб-приложение для видеоконференций, вместе с используемой платформой обратной связи Discourse[3]
- IRC клиент WeeChat [4] . В мире разработки СПО этот архаичный вид связи ещё популярен
- DNS-сервер PowerDNS [5] вместе с документацией и другими доменами.
- API Twilio [6] , сервиса для отправки SMS и автоматизации звонков на ТФОП
- Doodle [7] , удобный способ согласования времени встречи или совещания для группы людей
- Сервер обмена PGP ключами от pgp.com [8]
- Kismet [9] , приложение для анализа безпроводных сетей
- Wireshark [10] , сниффер для отладки сетевых приложений
- Архив обсуждений разработки языка программирования Python [11]
- Сервис скриншотов [12] в Firefox и другие интегрированные в браузер веб-сервисы
- 7-Zip [15] , архиватор с высокой степенью сжатия
- netlify [16] , платформа для публикации сайтов
- imperialviolet [17] , блог Adam Langley (agl@), специалиста в области криптографии
- Evil32 [18] , сайт об атака на сеть доверия PGP
Под блок попали и другие сервисы для работников отрасли информационных технологий: TeamViewer [19] — ПО для удалённого доступа, база знаний производителя сетевого оборудования Juniper [20] , элементы API Upwork [21] — платформы для фрилансеров, wiki и сайт фреймворка для разработки QT [22] , сервис для подбора шрифтов Adobe Typekit [23] , утилиты для проверки SSL-серверов от DigiCert [24] , части платформы непрерывной интеграции и поставки ПО Travis CI [25] (развёрнутые на хостинге веб-приложений heroku), Plesk [26] — панель управления серверами и хостином, Nextcloud [27] — ПО для поддержки независимоого облачного хранилища, Learn X in Y Minutes [28] — краткие введения во многие аспекты разработки ПО, phpDocumentor [29] — система документирования исходных кодов на PHP, PHPoC [30] — парадоксальная платформа для интернета вещей PHP on Chip, ориентированный на интернет вещей GSM-оператор DataSIM [31] , образовательные ресурсы о разработке ПО для миникомпьютера Raspberry Pi [32] , форум обсуждения пакета для глубокого обучения PyTorch [33] , Phabricator [34] — набор веб-сервисов для совместной разработки ПО, проект по использованию дистрибутива Arch с ядром GNU/Gurd [35] , ReactOS [36] — совместимая с Windows операционная система с открытым исходным кодом, и даже сайт программистов-олимпиадников из Нижнего Новгорода [37] (как и сотни других сайтов на платформе heroku).
Задело также и «инфраструктурные» сервисы: «пробник» и «якорь» проекта RIPE Atlas [38] , NTP-сервера проекта pool.ntp.org [40] , сервер обновлений и API сетевого оборудования Netgear [41] , сотни серверов вендора VoIP решений 3cx [43] , сервера проверки скорости связи в датацентах DigitalOcean [45] , DNS-сервера Фонда Электронных Рубежей [47] и архиватора WinRAR [48] , почтовый сервер проекта «Сердитый гражданин» [49] , сервис коротких ссылок Tinycc [50] , тайл-сервер картографических изображений OpenStreetMap от geofabrik [51] , более сотни доменов картографического сервиса here.com [52] , некоторые сервисы sony.tv [56] .
Досталось и другим производителям оборудования: порталу гарантийной поддержки TP-Link [57] , сайту поддержки Epson [58] , сайтам Canon [59] и Duracell [60] .
Веб-сервисы отрасли транспорта и туризма: альянса авиаперевозчиков Skyteam [61] , журнала IATA [62] , авиакомпаний Transavia [64] и Etihad [65] , аренды автомобилей Sixt [66] , API немецких железных дорог [67] , API авиакомпании lufthansa [68] , сервисы покупки билетов trip.ru [69] и momondo [70] , и, предположительно, одну из корпоративных систем компании Газелькин [71] .
Деградировали и банковские сервисы от зарубежных Банка Канады [72] и украинского ПриватБанка [73] , до API российского банка Tinkoff [74] .
Некоторые СМИ тоже попали под «ковровые блокировки»: отраслевой Wire [75] , французкий Le Monde [76] , американский Politico [77] , внешние и внутренние сервисы The Guardian [78] , BBC [79] и других.
Среди заблокированных сайтов из индустрии моды особняком стоит бренд Иванки Мари Трамп [80] .
В тех же подсетях оказались сайты аудиторской и рейтинговой компаний Deloitte [81] и Moody’s [82] . Рядом — один из сайтов ООН [83] , Красного Креста [84] и греческого отделения Y.M.C.A. [85] Спасибо, Роскомнадзор, если бы не блокировки, я бы не узнал о сложных отношениях РПЦ и Y.M.C.A.
Развлекательные сайты — не исключение. В «списке» находятся netflix.com [86] и полсотни других доменов этого сервиса, видеосервис Twitch [89] , страница легендарных The Beatles [90] , комиксы о философах Existential Comics [91] , продолжающийся с декабря 2014 года «Российский дзен» [92] , набор специфических шуток программистов Говнокод.ру [93] .
Комиксами «дело философов» не ограничивается и в бан уходит страница Ноама Хомского [94] , вики о работах основателя Creative Commons Лоуренса Лессига [95] , стандарт де-факто для обмена ссылками на научные публикации DOI [96] , используемая биологами всего мира база данных по белка́м [97] , сотни страниц десятков зарубежных университетов, включая новый проект создателя WWW Тима Бернерса-Ли в MIT [98] . Российские университеты тоже блокировка не обошла, досталось как минимум проектам петербургского Политеха [99] и архивным проектам Сколково [100] .
Конечно, заблокировало и пару известных VPN-сервисов: Hotspot Shield [101] и hide.me [102] . И даже 1 (один) ресурс посвящённый Telegram — каталог Telegram каналов Узбекистана [103] !
Не обошлось без курьёзов: заблокирован anus.com [104] (сайт американского подпольного сообщества нигилистов). А животноводство в списке излишне заблокированных сайтов представлено форум козоводов [105] .
Этот список случайно заблокированных сайтов далеко не полный. Его продолжают SurveyMonkey [106] , IFTTT [107] , 1C [108] .
Да вот только Телеграм продолжает работать.
Роскомнадзор, скажите, это действительно новая норма? Не могли бы компетентные сотрудники в рамках комплекса мер по исполнению решения суда в отношении Telegram снять с блокировки подсети ряда зарубежных хостинг-провайдеров с целью избежать ограничения доступа к добропорядочным интернет-ресурсам? Не могли бы они полностью установить и заблокировать при этом IP-адреса Telegram, находящиеся в составе данных подсетей? Подобную операцию уже проделали не единожды. paper.dropbox.com, accounts.firefox.com, strava.com и многие другие неправомерно заблокированные международные сервисы снова стали доступны.
Или пришла таки пора, когда ссылки в презентациях [РКН] на избыточно заблокированные ресурсы должны сопровождаться пометкой » [РКН] «? Неужели многомесячная хаотическая блокировка СМИ, международных организаций, образовательных и развлекательных проектов — это и есть новая реальность и начало создания «альтернативного интернета», о котором опять говорит МИД? Неужели это и есть планируемое «цифровое развитие» России?
05 июля 2018 года, Санкт-Петербург, Россия, Леонид Евдокимов, программист
Приложение 1:
Этот текст опубликован открытым письмом. Многочисленные попытки коллег обратится на горячую линию заканчивались неудачей. Почтовый сервер РКН отказывал в приёме писем с сообщением «554 Your access to this mail system has been rejected due to the sending MTA’s poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means» .
Указанные в сносках для доменных имён IP адреса были получены обращением к DNS с обычного клиентского подключения провайдера Ростелеком в последнюю неделю июня 2018. К моменту публикации часть доменных имён наверняка резолвится в другие IP адреса. И из других мест сети адреса могут быть другими из-за геобалансировки. Но все перечисленные домены попадали в заблокированные сети также и в момент сбора датасета серверами Rapid7.
Другая причина возможной доступности нижеуказанных сервисов в том, что некоторые провайдеры не блокируют крупные подсети, саботируя исполнение указаний РКН. Каждый читатель может оценить заблокированость сетей Amazon с помощью сервисов EC2 Reachability & RKN Test и оригинального EC2 Reachability Test. Публикация и/или сокрытие данных о саботаже действий РКН остаётся на совести читателя.
В ежеминутно меняющейся инфраструктуре облачных провайдеров сложно давать количественные оценки «деградации» сервисов без информации от команды пострадавшего сервиса, но можно подтвердить сам факт деградации. Запросы к международным сервисам о статистике трафика и количественная оценка потери трафика сознательно не проводились для предотвращения соответствующих дискуссий.
usher2.club
Кризис реестра запрещённых сайтов, или почему не у всех открывается TJ
Почему блокируются известные добропорядочные сайты, что делает Роскомнадзор и чем это может закончиться.
Ситуация с незаконными блокировками развивается уже неделю, но до сих пор непонятно, чем она закончится. Неизвестные подставляют благонадёжные сайты, чтобы насолить им или чтобы Роскомнадзор таким образом отменил блокировку. Роскомнадзор перекладывает вину на интернет-провайдеров, а те оказались меж двух огней — штрафами за неблокировку и разъярёнными пользователями. Страдают в этой цепочке вообще все, и с недавних пор в список блокировки попал TJ.
Кризис — иначе это уже назвать нельзя — реестра запрещённых сайтов глубоко уходит корнями в то, как в принципе устроена система блокировок Роскомнадзора: от законов до архитектуры интернета.
Что именно происходит
В реестр запрещённых сайтов Роскомнадзора занесены URL-адреса, но обычно провайдеры блокируют их по IP. Это дешевле, а дорогое оборудование для более точной блокировки может позволить себе не каждый провайдер.
Спустя годы после начала работы реестра запрещённых сайтов многие попавшие в него домены перестали быть нужны своим владельцам и со временем освободились. Любой получил возможность зарегистрировать их снова.
У владельца домена есть возможность переадресовать его на «чужой» IP и даже сразу на несколько. В интернете нет никакого разделения на «свой-чужой IP»: у одного домена может быть много IP-адресов, а IP-адрес может быть доступен с разных доменов, и всё это может постоянно меняться. Через запись в DNS (системе, которая хранит данные об этих связях) владелец заблокированного домена может «приклеить» к себе адрес добропорядочного сайта и тем самым распространить на него блокировку.
Можно провести аналогию: полиция объявила, что нашла наркоторговца и сообщила, что он живёт на улице Ленина, 27. А наркоторговец написал на своей двери, что он переехал на проспект Революции, 14, где живёт мэр города. Это сейчас и происходит: неизвестные (скорее всего, не связанные вместе люди) подставляют другие сайты, потому что могут.
Когда появилась такая уязвимость
Она существовала всегда с момента запуска реестра запрещённых сайтов, и Роскомнадзор о ней предупреждали. В 2012 году владелец заблокированного сайта «Библиотеки Мошкова» таким образом перенаправил блокировку своего проекта на сайт Минюста.
Способ применяли и в 2014 году, когда администраторы сайтов Алексея Навального пытались создать распределённую систему зеркал navalny.fuckrkn.ru для противостояния блокировкам Роскомнадзора. Одним из этих администраторов был Владислав Здольников, сооснователь Newcaster.TV. В какой-то момент он решил использовать уязвимость, чтобы перенаправить блокировку одного из зеркал на сайт LifeNews. Сайт издания был некоторое время недоступен, но после обращения в Роскомнадзор IP-адрес navalny.fuckrkn.ru вручную убрали из реестра.
Что поменялось с тех пор
Чтобы провайдеры не блокировали благонадёжные сайты, Роскомнадзор стал вручную обновлять в реестре IP-адреса сайтов-нарушителей и рекомендовать провайдерам вести блокировку только по этим адресам. Однако всё поменялось в 2016 году, когда в целях проверки исполнения блокировок Роскомнадзор заставил операторов поставить у себя оборудование компании «МФИ Софт» под названием «Ревизор».
Это оборудование работает так: если оно видит, что доступ к находящемуся в реестре сайту можно получить из сети провайдера, то в Роскомнадзор отправляется уведомление о нарушении. Там на его базе составляют административный акт против провайдера, и суды штрафуют компанию за то, что доступ к запрещённому сайту не ограничивается. Для юрлиц штраф составляет от 50 до 100 тысяч рублей за каждый случай.
Провайдеры не хотят, чтобы их штрафовали, поэтому они блокируют все IP-адреса, которые ассоциируются с запрещёнными сайтами, и «Ревизор» доволен. Список этих адресов «Ревизор» не предоставляет, провайдеры составляют их сами, фактически нарушая рекомендации Роскомнадзора. Деваться им некуда: если сайт из реестра вдруг изменит IP-адрес и «Ревизор» увидит, что он доступен, им придёт штраф.
Почему ситуация стала быстро эскалироваться
В конце мая 2017 года администратор одного из сайтов, находящихся в реестре Роскомнадзора, перенаправил свою блокировку на IP-адреса «Яндекса» и «ВКонтакте». Чтобы обезопасить крупные сайты, Роскомнадзор направил операторам письмо с запретом блокировки этих IP-адресов.
Здольников, одним из первых заметивший эту уязвимость, стал публиковать в своём Telegram-канале списки свободных для регистрации, но всё ещё заблокированных доменов. Неизвестные воспользовались этим, начав их регистрировать и переадресовывать на популярные сайты, подводя их под блокировку. Общий посыл активистов таков: эскалируя ситуацию, они демонстрируют невежество Роскомнадзора и борются с ним его же собственной системой.
Даже появился сервис, в который можно ввести IP-адрес и заблокировать его по этой схеме. Итог: ситуация быстро вышла из-под контроля.
Кто оказался заблокирован таким образом
«ВКонтакте», «Одноклассники», Фейсбук, YouTube, «Яндекс» и его сервисы, Google, Mail.Ru, Telegram, онлайн-кинотеатр ivi.ru, HH.ru, сайты Первого канала, «Медузы», РБК, сервера Steam, World of Tanks и многие другие ресурсы, например, использующие систему дистрибуции контента CloudFlare (её адреса тоже заблокировали таким образом). Список ограничен лишь фантазией.
Под раздачу попал и TJ: сначала его заблокировал читатель сайта, но потом использовавшийся им домен был удалён из реестра Роскомнадзором. В ночь с 7 на 8 июня кто-то внёс наш сайт снова с помощью другого домена: на недоступность жалуются абоненты «Транстелекома» и других менее крупных провайдеров, чей трафик идёт через него.
Что в этой ситуации делает Роскомнадзор
В ведомстве вручную рассылают провайдерам требования не блокировать добропорядочные сайты. Помимо этого, Роскомнадзор удаляет из реестра освободившиеся домены — прямо по спискам, публикуемым Здольниковым.
Сначала «белый список» был небольшим, позднее он вырос до более двух тысяч сайтов. В основном это государственные порталы и крупные ресурсы, в том числе некоторые СМИ. Однако один из адресов в списке — маска вида «*.google.*» — подразумевает, что запрещено блокировать вообще все адреса, в названии которых есть строка «.google.». Фактически это позволяет сайтам вида porno.google.vasya.com избежать блокировки.
То, что эта маска действительно работает так, подтвердил TJ пресс-секретарь Роскомнадзора Вадим Ампелонский. В разговоре с РБК он уточнял, что такой список сайтов рассылается с 2016 года, чтобы «небольшие операторы не осуществляли сопутствующую блокировку социально значимых ресурсов», однако в кругах операторов говорят, что это не соответствует действительности. Другие издания жаловались на то, что в течение недели Ампелонский был полностью недоступен для комментариев и отключал телефоны.
При этом «белый список» составлен в виде документа Excel с раскрашенными разными цветами строчками. Провайдерам придётся вручную переносить его в свои системы и обновлять, если им будут присылать новые версии. Однако компании опасаются, что «Ревизор» будет считать неблокировку сайтов из «белого списка» за нарушение и им будут приходить штрафы, хотя требования Роскомнадзора будут исполнены.
Само ведомство винит в случившемся провайдеров, подчиняющихся системе «Ревизор», хотя Роскомнадзор и имеет к ней непосредственное отношение: её разработкой занимается подведомственное предприятие. Более того, как утверждает совладелец хостинговой компании «Дремучий лес» Филипп Кулин, в ведомстве ещё в марте обсуждали то, как расходятся рекомендации «Ревизора» и Роскомнадзора, то есть они знали о назревающем кризисе.
Как узнать, что сайт блокируется, и что делать
Для владельцев сайтов: реагируйте на жалобы, которые пишут пользователи, даже если они немногочисленны. Сайт может блокироваться у одних провайдеров и не блокироваться у других. Точный ответ можно получить, только если выгрузить весь реестр запрещённых сайтов и проверить, переадресуют ли какие-то из доменов на IP-адрес вашего сайта (это очень сложно сделать — реестр огромен). Сейчас Здольников работает над инструментом для проверки, хозяин какого домена перенаправил на сайт свою блокировку.
Если вы подозреваете, что ваш сайт блокируется, стоит обратиться в Роскомнадзор: пока другого способа избежать блокировки нет. Однако нет никакой гарантии, что в ведомстве быстро ответят и примут меры: на обращение TJ там не среагировали даже спустя четыре дня.
Для пользователей: если привычный для вас сайт или сервис не загружается (появляется плашка об ограничении доступа или сайт просто ведёт себя так, как будто он «упал»), используйте VPN и другие популярные способы обхода блокировок. Пока это ещё разрешено, хотя 8 июня в Госдуму и внесли законопроект об их запрете.
К чему приведёт кризис
Есть несколько возможных сценариев.
Первый, маловероятный: Роскомнадзор временно перестанет выписывать штрафы на основе уведомлений из «Ревизора». Либо ситуацию удастся решить (хотя неизвестно, как именно), либо ведомство смирится с тем, что часть сайтов из реестра у некоторых операторов не будет блокироваться.
Второй, более вероятный: Роскомнадзор продолжит расширять «белый список» сайтов и создаст API для провайдеров, фактически превратив российский интернет в китайский.
Третий, самый вероятный: операторы законодательно или принудительно начнут пропускать весь трафик через оборудование DPI, которое расшифровывает пакеты и определяет, на какие сайты заходят пользователи. При этом сайты, использующие соединение https, придётся продолжить блокировать по IP. В любом случае, для выполнения этих требований провайдерам придётся тратить больше денег на DPI. В результате мелкие провайдеры или обанкротятся, или взвинтят цены, или продадутся более крупным, и на рынке останется лишь монополист (например, «Ростелеком») или несколько олигополистов.
tjournal.ru