Несовершенство системы блокировки сайтов «уронило» домены CNews и «Яндекса»

Безопасность Стратегия безопасности Интернет Веб-сервисы Интернет-ПО ИТ в госсекторе
мобильная версия
, Текст: Игорь Королев
Пользователи ряда крупных интернет-провайдеров испытывали трудности с доступом к ресурсу CNews. Этот инцидент стал продолжением истории с «троллингом» Роскомнадзора, в результате чего трудности с доступом уже испытывали пользователи Telegram, счетчика «Яндекса», игр от Wargaming и других популярных ресурсов.

Проблемы с доступом к CNews

В четверг 8 июня 2017 г. и накануне вечером пользователи ряда крупных интернет-провайдеров столкнулись с проблемами с доступом к сайту СNews. В частности, жалобы поступали от пользователей оператора «Вымпелком» (торговая марка «Билайн») и «Ростелеком», причем из разных городов России. Кроме того, проблемы с доступом к CNews испытывали пользователи на Украине.

Как удалось выяснить CNews, издание стало жертвой владельцев домена «ww25.leonbet.me». Этот поддомен относится к букмекерскому ресурсу leonbet.me, и незадолго до этого был включен Роскомнадзором в Реестр запрещенных сайтов.

Как домен букмекерского ресурса используется для блокировки популярных сайтов

В июне 2017 г. домен leonbet.me был разделегирован, после чего обрел новых владельцев. Они стали указывать в системе DNS (отвечающей за соответствие доменов IP-адресам) IP-адреса известных ресурсов, не имеющих отношения к этому букмекерскому сайту.

Всего к различным поддоменам из домена leonbet.me было приписано более 300 различных IP-адресов, включая и IP-адрес CNews. Недоступность ресурса из-за рубежа может быть связана с блокировкой CNews на магистральной сети «Ростелекома».

В результате CNews сменил свой IP-адрес, после чего проблемы с доступом были разрешены. В технической поддержке «Вымпелкома» сообщили CNews, что IP-адрес издания был добавлен в «белый список» ресурсов, которые впредь не будут блокировать.

Владельцы букмекерского домена в борьбе за его разблокировку «уложили» CNews,
«Яндекс», сервера «танчиков» и много кого еще

Автор Telegram-канала «IT уголовные дела СОРМ россиюшка» Владимир Здольников отмечает, что существуют две категории лиц, которые таким образом «троллят» Роскомнадзор. Первая - «идейные», которые пытаются подставить ненавистные им сайты. Вторая категория более опасна: это владельцы коммерческих ресурсов, попавших под блокировку (например, ресурсов с азартными играми). Они в качестве жертв выбирают наиболее популярные ресурсы, чтобы из-за «масштабов бедствия» добиться исключения своих ресурсов из-под блокировки, предупреждает Здольников.

К этой категории он относит владельцев букмекерского сайта leonbet.me, подчеркивая, что они первыми смогли использовать фундаментальную дыру в роскомнадзоровской системе блокировки сайтов в своих коммерческих интересах - в попытке разблокировать собственный домен. В пресс-службе «Ростелекома» говорят, что оператор знает о данной «провокации» и сейчас ищет пути решения проблемы.

Кто еще пострадал от лазейки в системе блокировки

Проблема с блокировкой незапрещенных сайтов в России начала нарастать с прошлой недели. За это время несколько раз отмечались проблемы с доступом к серверам мессенджера Telegram. Также сообщалось о проблемах с доступом к Facebook, Instagram, mc.yandex.ru (счетчику «Яндекса»), code.jquery.com (облачному хранилищу библиотек JavaScript), серверам Wargaming (издатель игры Word of tanks) и др.

По аналогичной процедуре злоумышленники подставляли к заблокированным доменам IP-адреса «Первого канала», «Одноклассников», «Вконтакте», корневых серверов DNS (обеспечивающих работу DNS на глобальном уровне) и самого Роскомнадзора.

Откуда возникла «лазейка» в блокировках»

Напомним, в Реестре запрещенных сайтов в отношении каждого запрещенного ресурса Роскомнадзор указывает его домен, URL (адрес конкретной страницы с противоправной информацией) и IP-адрес. Провайдер может блокировать ресурсы по IP-адресу либо по URL (такая блокировка предпочтительнее, но она требует наличия у провайдера системы DPI).

С конца 2015 г. Роскомнадзор стал внедрять у провайдеров автоматизированную систему (АС) «Ревизор»: у провайдеров устанавливается специальное устройство производства МФИ «Софт», которое автоматически заходит на запрещенные ресурсы и проверяет их доступность из сети конкретного провайдера.

В случае обнаружения доступности какого-либо из запрещенных ресурсов, Роскомнадзор составляет акт об административных правонарушениях. Буквально недавно Госдума ввела штрафы для интернет-провайдеров и их должностных лиц за невыполнение требований о блокировках запрещенных ресурсов.

При этом АС «Ревизор» стала сама определять IP-адреса («резолвить DNS») для доменов, включенных в Реестр запрещенных сайтов. В связи с этим ряд провайдеров также стали самостоятельно «резолвить DNS», дабы избежать санкций со стороны Роскомнадзора.

Такая ситуация и привела к появлению «дыры», позволяющей заблокировать, по сути, любой добросовестный интернет-ресурс. Злоумышленники стали скупать домены, ранее попавшие под блокировку и разделегированные, с целью создать проблемы для популярных ресурсов.

Роскомнадзор создал «белый список» сайтов

По данным Владимира Здольникова, в среду 7 июня 2017 г. Роскомнадзор разослал по интернет-провайдерам «белые списки» сайтов, которые не рекомендуется блокировать.

В их числе популярные российские и зарубежные ресурсы - «Яндекс», Mail.ru, Google, Facebook, Twitter, Instagram, «Одноклассники», «ВКонтакте», «Лента.ру», YouTube, Github и другие. Также в «белый список» попали несколько тысяч сайтов федеральных и региональных органов исполнительной власти.

Сам Роскомнадзор признал проблемы с блокировками ресурсов, которые не внесены в Реестр запрещенных сайтов. Надзорное ведомство считает, что в этом вина лежит на провайдерах, которые самостоятельно «резолвят DNS».

Глава Роскомнадзора Александр Жаров выпустил новые рекомендации для интернет-провайдеров по осуществлению блокировок интернет-сайтов. Также ведомство считает, что необходимо законодательно закрепить право Роскомнадзора на определения типа используемых блокировок. Собеседник CNews в одном из операторов связи говорит, что сегодня в Роскомнадзоре прошло совещание по данному вопросу.

Представители «Яндекса» напомнили, что еще в 2012 г. во время принятия первого закона о блокировках интернет-сайтов, предупреждали о возможных негативных последствиях. «Блокировка по доменным именам и IP-адресам может привести к блокировке добросовестных интернет-ресурсов и негативно сказаться на российской интернет-индустрии в целом» – заявили в «Яндексе». - Все упиралось и упирается в возможности технологической инфраструктуры. Надеемся, что «белые списки» – временные рекомендации. Нельзя, чтобы такая практика была закреплена на системном уровне».