Роскомнадзор заподозрил политических активистов в организации ложных блокировок

Ведомство попросило МВД расследовать эту ситуацию
Чтобы закрыть доступ на вполне законопослушный ресурс, никаких специальных навыков не потребуется
Чтобы закрыть доступ на вполне законопослушный ресурс, никаких специальных навыков не потребуется / Andrey Rudakov / Bloomberg

Как считает Роскомнадзор, ложные блокировки устроили активисты Фонда борьбы с коррупцией (ФБК, организован Алексеем Навальным) Александр Литреев и Владислав Здольников, рассказали «Ведомостям» человек, близкий к ведомству, и знакомый руководителя Роскомнадзора Александра Жарова. По их словам, Роскомнадзор попросил Министерство внутренних дел (МВД) провести расследование ложных блокировок.

На прошлой неделе часть ресурсов, не внесенных в черный список Роскомнадзора, оказались заблокированы, а произошло это из-за уязвимости в системе блокировок. Среди заблокированных были интернет-кинотеатр Ivi, панель управления хостингом в кабинете пользователей хостинг-провайдера Selectel, сайт «Медузы».

Суть уязвимости такова. Операторы блокируют некоторые сайты, попавшие в список Роскомнадзора, по IP-адресу, привязанному к этому имени (в частности, сайты, использующие шифрованные протоколы). Если владелец уже заблокированного ресурса добавляет в список своих адресов IP-адрес любого другого сайта или какой-то его страницы, то добавленный ресурс также рискует оказаться заблокированным (см. врез). Черный список Роскомнадзора содержит доменные имена и IP-адреса заблокированных сайтов, но проблема в том, что IP-адреса, соответствующие доменам, в списке меняются не так часто. А операторов штрафуют, если какой-то из заблокированных по решению суда ресурсов оказывается доступен.

Роскомнадзор использует для проверки доступности запрещенных сайтов комплекс «Ревизор», который сам выявляет текущие IP-адреса запрещенных сайтов из системы DNS (это система, в которой регистратор адреса сам прописывает IP-адрес, она есть в публичном доступе). Поэтому операторы тоже вынуждены выявлять такие IP-адреса самостоятельно, что в конечном итоге и приводит к ложным блокировкам.

Здольников – IT-консультант ФБК и IT-директор компании Newcaster.tv, а Литреев – основатель Студии Александра Литреева, которая занимается разработкой сайтов и мобильных приложений, также он создал приложение «Красная кнопка», которое сообщает юристам о задержании их клиентов во время протестных движениях. Литреев и Здольников – авторы популярных каналов о кибербезопасности в Telegram (8200 и 14 000 подписчиков соответственно). Оба активно обращали внимание на уязвимость в системе блокировок Роскомнадзора, Здольников писал о ней еще в мае. Тогда он предупредил, что Роскомнадзор начал рассылать операторам связи письма с просьбой добавить адреса центра управления системы «Ревизор» в белый список, т. е. попросил их не блокировать. Действия ведомства оказались связаны с тем, что «Ревизор», который должен осуществлять мониторинг исполнения блокировок операторами, перестал выходить на связь с основным сервером, из-за того что его IP-адреса оказались привязаны к заблокированному ресурсу.

Как атаковали

В Ivi объяснили, что их IP-адрес присвоил владелец заблокированного в России сайта ww21.leonbet.me. В случае с «Ревизором» блокировка произошла благодаря привязке к сайту Ncsmedia.ru. Представитель Selectel говорит, что их ресурсы были блокированы при помощи сайта https://sdfgw.website. Здольников в телеграм-канале описал схему, по которой действовал владелец домена dymoff.space. Он добавил в DNS IP-адреса многих сайтов, в том числе некоторые IP-адреса мессенджера Telegram, «Первого канала», Badoo, «Одноклассников», РЖД, РБК, Booking.com, Mail.ru, Facebook и др. В системе whois владельцы всех этих ресурсов не отображаются.

По версии Роскомнадзора, рассказывают собеседники «Ведомостей», Литреев приобрел более десятка заблокированных, но уже не действующих ресурсов, не исключенных из черного списка Роскомнадзора, к которым, по мнению чиновников, «прикручивались» IP-адреса других, добросовестных сайтов. Литреев признает, что действительно приобретал ресурсы, которые ранее были заблокированы, но использовать со злым умыслом их не собирался, никаких других IP-адресов не указывал, да и не успел бы. Он объясняет, что приобрел адреса для того, чтобы проанализировать уязвимость на собственных, принадлежащих ему ресурсах. Но вновь купленные им адреса очень быстро были удалены из реестра Роскомнадзора.

О жалобах Роскомнадзора в МВД и кому бы то ни было ни Литрееву, ни Здольникову не известно.

По словам сотрудника одного из крупных операторов связи и чиновника федерального ведомства, проблема уязвимости на различных совещаниях по кибербезопасности обсуждается с весны. Тогда, по их словам, начались точечные ложные блокировки, но Роскомнадзор эту проблему никак не решал. По мнению последнего, найти ответственного за подобные вещи невозможно, им может быть кто угодно.

Проблему надо решать системно, а не путем поимки тех, кто указывает на недостатки существующего порядка блокировки, говорит он. Сотрудник крупного оператора сомневается, что за троллинг Роскомнадзора можно привлечь к ответственности.

Компания Qrator Labs, специализирующаяся на устранении DDos-атак, вчера уведомила клиентов об уязвимости в системе «Ревизор». За прошедшую неделю множество провайдеров сообщили о блокировке таким способом тысяч сайтов с разрешенной информацией, сотни тысяч пользователей столкнулись с недоступностью целевых сетевых ресурсов, указывает компания. «Мы вынуждены сообщить, что на сегодняшний день технического решения данной проблемы не существует <...> Из-за особенностей сетевой инфраструктуры и реализации системы «Ревизор» в случае, если ваш IP-адрес был добавлен к записи заблокированного ранее домена, единственным способом повлиять на недоступность ресурса является прямое обращение к провайдеру услуг или к вышестоящим провайдерам IP-транзита», – говорится в заявлении Qrator Labs. Заместитель генерального директора Ru-Center по продуктам Андрей Кузьмичев говорит, что пока процесс внесения IP-адреса очень прост. Пользователь делает это в своем личном кабинете у того регистратора, который обслуживает домен. Это операция, которую так или иначе совершают все владельцы доменов, – после регистрации доменного имени к нему необходимо привязать сайт, т. е. указать IP-адрес того сервера, на котором сайт размещен, говорит Кузьмичев. Соответственно, чтобы указать вместо одного IP-адреса другой, тоже не нужно никаких специальных знаний или ресурсов, заключает он.

Человек, близкий к Роскомнадзору, уверяет, что ведомство уже ищет способ оптимизировать систему блокировок.

Представители МВД не ответили на вопросы «Ведомостей». Представитель Роскомнадзора сообщил, что ведомство передает всю информацию о действиях лиц, причастных к атакам на законопослушные сайты, в компетентные органы. Информацию о Литрееве и Здольникове он комментировать не стал.