Владельцы заблокированных Роскомнадзором сайтов наносят ответный удар

Изображение Луиса Прадо для Noun Project. Коллаж Татьяны Локоть.

Когда 3 июня в России начались проблемы с доступом к мессенджеру Telegram, второй раз за менее чем неделю, некоторые предположили, что приложение было заблокировано властями. Telegram испытывает давление [анг] со стороны Роскомнадзора, который не один месяц пытается вынудить компанию к исполнению закона, по которому интернет-приложения должны регистрироваться в правительстве и передавать ему данные пользователей.

Но в этот раз Роскомнадзор был в проблемах неповинен. Telegram стал жертвой партизанской кампании заблокированного в России домена dymoff.space. Благодаря «дыре» в реестре заблокированных сайтов Роскомнадзора, владелец dymoff.space смог изменить его технические настройки и выдать IP-адреса других сайтов за свои.

Поэтому, когда интернет-провайдеры добавили IP-адреса dymoff.space в свой «черный список», они, сами того не зная, заблокировали в России Telegram и ещё несколько сайтов.

Лазейка

Роскомнадзор знал об этой уязвимости до атаки и указывал провайдерам брать IP-адреса сайтов прямо из его реестра заблокированных сайтов, а не с самих сайтов. Недавно, однако, интернет-провайдеры вновь перешли к самостоятельной проверке IP-адресов заблокированных сайтов, из-за чего оказались заблокированы несколько крупных сервисов — и даже программа самого Роскомнадзора.

Эти атаки напоминают об отдельных попытках подорвать государственного цензора после решения заблокировать блог Алексея Навального в 2014 году. В то время редактор «Эха Рунета» Андрей Целиков таким образом описал [анг] их действие:

Because Roskomnadzor requires ISPs to constantly check if a resource is trying to circumvent a ban by changing its IP address, blocked resources can introduce code that redirects some of these IP queries to a different website. Eventually, goes the theory, ISPs will pick up on this redirect and block the secondary website as well. So if a blocked site is savvy enough to redirect to a government site, say Kremlin.ru, ISPs will ultimately block Kremlin.ru, a block that obviously can't stay in place for long.

Поскольку Роскомнадзор требует от интернет-провайдеров постоянно проверять, не пытается ли ресурс обойти цензуру путём изменения своего IP-адреса, заблокированные ресурсы могут добавлять код, который перенаправляет некоторые из этих запросов IP на другой сайт. В конце концов, согласно теории, интернет-провайдеры попадут на редирект и заблокируют и вторичный сайт. Так что если заблокированный сайт достаточно хитёр, чтобы поставить перенаправление на правительственный сайт, например, Kremlin.ru, провайдеры в конце концов заблокируют Kremlin.ru; такая блокировка, очевидно, долго не продержится.

Когда Роскомнадзор в 2012 году создал реестр, ведомство записывало доменные имена и IP-адреса каждого попавшего в «черный список» сайта и передавало данные провайдерам, чтобы они могли заблокировать эти сайты. С 2015 года Росокмнадзор использует систему «Ревизор» для автоматической проверки того, действительно ли заблокированы сайты из списка; если доступ к сайту получить удаётся, провайдерам грозят административные штрафы.

В ответ некоторые провайдеры начали вручную перепроверять IP-адреса, чтобы избежать подобных взысканий. По словам Филиппа Кулина, генерального директора хостинга diphost.ru, именно из-за этих самостоятельных проверок провайдеры добавили в свои блок-списки ошибочные IP-адреса.

Серия атак

Что касается последней атаки, dymoff.space включил в свои DNS-настройки IP-адреса сайтов государственного «Первого канала», социальных сетей «Одноклассники» и «ВКонтакте» NTV.ru, Booking.com, Facebook, «РЖД», Mail.ru и некоторых других, хотя доступ к большинству сайтов не был прерван полностью, поскольку они используют большое количество IP-адресов.

Однако к одному сайту пользователи в результате троллинга dymoff.space потеряли доступ полностью: это nag.ru, сайт аналитической информации о российских провайдерах.

Изображение: Pixabay и пресс-служба Кремля, отредактировано Кевином Ротроком.

Леонид Волков из «Фонда борьбы с коррупцией» оппозиционного лидера Алексея Навального подвёл итоги в длинном посте на своём личном канале в Telegram:

Случилось то, что должно было случиться: владелец одного из ресурсов, попавших под блокировки, воспользовался очевидной ошибкой в самой системе блокировок, и сделал так, чтобы провайдеры, исполняющие решение РКН о блокировке его ресурса, одновременно блокировали еще кучу сайтов, от “Первого канала” до Телеграма, от наг.ру до “СКБ Контур” (чувак, руки прочь от Наг.Ру и от “СКБ Контур”!).

При этом РКНу все говорили много раз и много лет, что в их системе блокировок есть такая дыра и проблема, но РКНу же виднее, они там больно умные.

Dymoff.space не единственный заблокированный сайт, недавно решивший нанести ответный удар. В четверг основатель [анг] Lurkmore («сатирическая Википедия» [анг]) Дмитрий Хомак опубликовал скриншот письма Роскомнадзора провайдерам с запросом на удаление из «чёрных списков» IP-адресов, принадлежащих «ВКонтакте» и «Яндексу». Их IP-адреса, судя по всему, также были добавлены доменами, недавно заблокированными Роскомнадзором.

А в середине мая владелец домена ncsmedia.ru тайно добавил на свою DNS-страницу IP-адрес роскомнадзоровского «Ревизора». Роскомнадзор отправил провайдерам следующее письмо с запросов на исключение IP-адресов «Ревизора» из «чёрных списков».

Текст сообщений, отправленного интернет-провайдерам для удаления из «чёрных списков» IP-адресов Роскомнадзора.

Начать обсуждение

Авторы, пожалуйста вход в систему »

Правила

  • Пожалуйста, относитесь к другим с уважением. Комментарии, содержащие ненависть, ругательства или оскорбления не будут опубликованы.