За что могут заблокировать сайт в россии
Для направления заявки о блокировке информации необходимо перейти по ссылке: http://eais.rkn.gov.ru/feedback/
2) Информации экстремистского характера
В соответствии с Положением о Министерстве внутренних дел Российской Федерации, утвержденным Указом Президента Российской Федерации от 1 марта 2011 г. № 248, МВД России принимает в соответствии с Федеральным законом от 25 июля 2002 г. № 114-ФЗ «О противодействии экстремистской деятельности» меры, направленные на выявление, предупреждение и пресечение экстремистской деятельности.
Согласно статье 280 Уголовного кодекса Российской Федерации (далее – УК РФ) за публичные призывы к осуществлению экстремистской деятельности предусматривается уголовная ответственность.
В силу статьи 151 Уголовно-процессуального кодекса Российской Федерации предварительное следствие по уголовным делам о преступлениях, предусмотренных статьей 280 УК РФ, производится следователями органов федеральной службы безопасности.
Официальный сайт Министерства внутренних дел Российской Федерации: http://www.mvd.ru
Официальный сайт Федеральной службы безопасности Российской Федерации: http://www.fsb.ru
3) Информация порнографического характера (кроме детской порнографии)
Если Вы располагаете сведениями о распространении материалов с нарушениями российского законодательства в сфере средств массовых информации (в том числе с признаками порнографии) на сайтах в сети «Интернет», зарегистрированных в качестве средств массовой информации, просим предоставить такую информацию с указанием конкретного адреса на страницу сайта в сети «Интернет», на котором, по Вашему мнению, распространяется противоправная информация. В случае наличия такой информации, Роскомнадзором будут приняты соответствующие меры реагирования в рамках имеющихся полномочий.
В соответствии со статьей 242 Уголовного кодекса Российской Федерации (далее – УК РФ) за незаконные изготовление и оборот порнографических материалов или предметов предусматривается уголовная ответственность.
В соответствии со статьей 151 Уголовно-процессуального кодекса Российской Федерации дознание уголовным делам о преступлениях, предусмотренных статьей 242 УК РФ дознавателями органов внутренних дел Российской Федерации
Официальный сайт Министерства внутренних дел Российской Федерации: http://www.mvd.ru
4) Клевета в сети «Интернет»
В соответствии со статьей 152 Гражданского кодекса Российской Федерации гражданин вправе требовать в СУДЕ опровержения сведений порочащих его честь, достоинство или деловую репутацию.
Органом, защищающим честь и достоинство гражданина, на основании статьей 46 Конституции Российской Федерации является суд.
Согласно со статьей 128.1 Уголовного кодекса Российской Федерации (далее – УК РФ) предусматривается ответственность за клевету, то есть за распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию.
Кроме того, согласно со статьей 5.61 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ) предусматривается ответственность за оскорбление, то есть унижение чести и достоинства другого лица, выраженное в неприличной форме.
В соответствии со статьей 28.4 КоАП РФ дела об административных правонарушениях, предусмотренных статьей 5.61 КоАП РФ, возбуждаются прокурором.
К основаниям ограничения доступа, определенным этими нормами, относятся: распространение материалов с порнографическими изображениями несовершеннолетних (на основании решения Роскомнадзора), информации о способах изготовления, использования и культивирования наркотических средств, психотропных веществ и их прекурсоров (на основании решения МВД России), информации о способах совершения самоубийств, призывов к совершению самоубийства (на основании решения Роспотребнадзора), а также информации с призывами к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка (на основании требования Генерального прокурора Российской Федерации или его заместителей).
Ограничение доступа к сайтам в сети «Интернет» в соответствии со статьей 15.1 Федерального закона № 149-ФЗ осуществляется также на основании решения суда о признании информации, содержащейся на интернет-ресурсе, запрещенной к распространению на территории Российской Федерации.
5) Защита авторских и смежных прав в сети «Интернет»
Для направления заявки о блокировке информации необходимо перейти по ссылке: http://nap.rkn.gov.ru/
6) Уточнение оснований блокировки интернете-ресурса
Для направления заявки о блокировке информации необходимо перейти по ссылке: http://blocklist.rkn.gov.ru/
7) Подать заявку о разблокировке интернет-ресурса
Для направления заявки о разблокировке информации необходимо перейти по ссылке: zapret-info@rkn.gov.ru
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 04.07.2014 09:21
Последнее изменение: 01.09.2021 19:37
© 2009-2021, Версия 2.15.19
Официальный сайт Федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций
Как работает блокировка доступа к страницам, распространяющим запрещенный контент (теперь РКН проверяет и поисковики)
Прежде чем перейти к описанию системы, которая отвечает за фильтрацию доступа операторами связи, отметим, что теперь Роскомнадзор займется и контролем над работой поисковых систем.
В начале года утвержден порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений об интернет-ресурсах, доступ к которым ограничен на территории Российской Федерации.
Соответствующий приказ Роскомнадзора от 7 ноября 2017 года № 229 зарегистрирован в Министерстве юстиции России.
Приказ принят в рамках реализации положений статьи 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая определяет обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.
Мероприятия по контролю проводятся по месту нахождения органа по контролю без взаимодействия с операторами поисковых систем.
Под информационной системой понимается ФГИС информационных ресурсов информационно-телекоммуникационных сетей, доступ к которым ограничен.
По итогам мероприятия составляется акт, в котором указывается, в частности, информация о ПО, используемом для установления этих фактов, а также сведения, подтверждающие, что конкретная страница (страницы) сайта на момент контроля находилась в информационной системе более суток.
Акт направляется оператору поисковых систем посредством информационной системы. В случае несогласия с актом оператор в течение трёх рабочих дней вправе представить свои возражения в Роскомнадзор, который рассматривает возражения также в течение трёх рабочих дней. По результатам рассмотрения возражений оператора руководитель органа по контролю или его заместитель принимают решение о возбуждении дела об административном правонарушении.
Как сейчас устроена система фильтрации доступа для операторов связи
В России действует ряд законов, обязующих операторов связи фильтровать доступ к страницам распространяющим запрещенный контент:
Со своей же стороны, для проверки операторов связи Роскомнадзор стал выдавать клиента АС «Ревизор». Ниже немного о функционале агента.
Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:
В общем виде структура выглядит так:
Программные и программно-аппаратные решения для фильтрации интернет-трафика (DPI-решения) позволяют операторам блокировать трафик от пользователей к сайтам из списка РКН. Блокируют их или нет, это проверяет клиент АС Ревизор. Он по списку от РКН в автоматическом режиме проверяет доступность сайта.
Пример протокола мониторинга доступен по ссылке.
В прошлом году Роскомнадзор начал тестировать решения для блокировки, который может применять оператор для реализации данной схемы оператором. Приведу цитату по результатам такого тестирования:
«Положительные заключения Роскомнадзора получили специализированные программные решения «UBIC», «EcoFilter», «СКАТ DPI», «Тиксен-Блокировка», «SkyDNS Zapret ISP» и «Carbon Reductor DPI».
Также получено заключение Роскомнадзора, подтверждающее возможность использования операторами связи программного обеспечения «ZapretService» в качестве средства ограничения доступа к запрещенным ресурсам в интернете. Результаты тестирования показали, что при установке по рекомендованной производителем схеме подключения «в разрыв» и правильной настройке сети оператора связи, количество выявленных нарушений по Единому реестру запрещенной информации не превышает 0,02%.
Таким образом, операторам связи предоставлена возможность выбора наиболее подходящего для них решения по ограничению доступа к запрещенным ресурсам, в том числе из перечня программных продуктов, получивших положительное заключение Роскомнадзора.
Вместе с тем в ходе тестирования программного продукта IdecoSelecta ISP из-за длительной процедуры его развертывания и настройки некоторые операторы не смогли приступить к тестам в установленные сроки. У более чем половины операторов связи, участвующих в тестировании, срок тестовой эксплуатации Ideco Selecta ISP не превышал недели. Учитывая малый объем полученных статистических данных и небольшое число участников тестирования, Роскомнадзор в официальном заключении указал на невозможность получения однозначных выводов об эффективности продукта «Ideco Selecta ISP» как средства ограничения доступа к запрещенным ресурсам в интернете.»
Дополню, что в тестировании каждого программного продукта принимали участие до 27 операторов связи с различной численностью абонентов из разных федеральных округов Российской Федерации.
С официальными заключениями по результатам тестирования можно ознакомиться здесь. В этих заключениях практически ноль технической информации. Про продукт «Ideco Selecta ISP» можно почитать, чтобы знать, как не нужно делать.
В этом году тестирование продолжится и на данный момент, судя по новостям Роскомнадзора, взят уже один продукт и еще 2 в ближайших планах.
Что если блокировка произошла по ошибке?
В завершение, хотелось бы напомнить, что Роскомнадзор «не ошибается», что подтверждает Конституционный суд.
Постановление, фактически снимающее ответственность с Роскомнадзора за ошибочную блокировку сайтов, было принято в рамках рассмотрения жалобы в КС директора ассоциации интернет-издателей Владимира Харитонова. В ней говорилось, что в декабре 2012 года Роскомнадзор по ошибке заблокировал его интернет-библиотеку digital-books.ru. Как пояснял господин Харитонов, его ресурс располагался на том же IP-адресе, что и портал rastamantales(.)ru (сейчас rastamantales(.)com), который и был изначальным объектом блокировки. Владимир Харитонов попробовал в судебном порядке опротестовать решение Роскомнадзора, однако в июне 2013 года Таганский райсуд признал блокировку законной, а в сентябре 2013-го это решение оставил в силе Мосгорсуд.
В Роскомнадзоре «Ъ» заявили, что решением КС удовлетворены. «Конституционный суд подтвердил, что Роскомнадзор исполняет закон. Если у оператора нет технической возможности для ограничения доступа к отдельной странице сайта, а не к его сетевому адресу, то это ответственность оператора»,— сказал «Ъ» пресс-секретарь ведомства.
РКН: Что это такое, как работает ведомство, можно ли выйти из под блокировки
Разбираем, что такое РКН, как работает ведомство, какие способы блокировки есть, к кому они применяются, можно ли выйти из под блока с минимальными потерями трафика для бизнеса, ведь трафик режет до нуля! И самое главное, можно ли вернуть заблокированный домен.
P.S.: Текст вычитали и дополнили эксперты
Статью вычитали и дополнили: Артем Абловацкий, Алексей Степанов, Александр Букреев, Игорь Шулежко и еще несколько специалистов, которые предпочли остаться в тени)
Всем привет. На связи Толстенко Александр. Сегодня, мы с коллегами по цеху, подготовили для вас информацию про работу Роскомнадзора. В работе ведомства очень много нюансов, которые порождает множество вопросов, на которые в сети ответов почти нет.
Если вы занимаетесь продвижением сайта, рано или поздно, по различным причинам Роскомнадзор может заблокировать ваш сайт, и не важно, какая у вас тематика сайта. Блокировки прилетают на различные виды ресурсов: онлайн казино, сайты про букмекеров, новостные сми, блоги, интернет магазины, порталы, онлайн кинотеатры и тд.
Итак, разберемся же, что это за страшные три буквы РКН, чем занимается ведомство, с кем сотрудничает, как блокируются сайты и что делать, если пришло письмо на почту с требованием устранить нарушение (абузоустойчивые хосты, как правило игнорируют).
P.S.: Статью пишу исходя из собственного опыта, т.к. когда столкнулся с проблемой пришлось изучить немало информации в сети, где не везде она была раскрыта полностью, из-за чего возникало непонимание, как работает ведомство и что происходит при блокировке сайта на практике.
P.S.: P.S.: Данная статья, носит больше обзорный характер, в ней будет минимум технических моментов. Технические нюансы и наблюдения за ресурсом подробнее опубликовал в опросе про блокировку со стороны хостингов и в наблюдении за заблокированным сайтом.
РКН является федеральным органом власти. В его полномочия, входит довольно таки большой список функций. Вот несколько самых важных:
P.S.: С полным списком полномочий ведомства можно ознакомиться на официальном сайте https://rkn.gov.ru/about/credentials/
Проще говоря, РКН производит контроль за тем, как исполняются Федеральные законы в Интернете. Если органы управления выявляют случаи нарушения, ресурс попадает в черный список на блокировку.
Запретный сайт сладок: какие онлайн-сервисы недоступны из России и что они думают про VPN?
На фоне шквала новостей о запрете «недобросовестных» VPN-сервисов (которые и дальше не будут блокировать запрещенные РКН сайты) и волны разбирательств о том, кого и что еще заблокировать в России, в этой публикации мы в HideMy.name решили выдохнуть и успокоиться. И составили подборку сайтов, которые недоступны не потому, что их заблокировали, а потому что для себя Россию они заблокировали сами. То есть просто недоступны для российских юзеров.
А ведь могли бы составить конкуренцию местным музыкальным сервисам и кинотеатрам или показать юзерам контент, который нигде больше не увидеть.
На «сладкое» мы спросили зарубежные и российские сервисы, включая Яндекс.Музыку, ВКонтакте и Pornhub, о том, что они думают про пользователей, которые заходят к ним через VPN. Поехали.
Как борется с блокировкой ВК в Украине Ивангай
Beats 1
Радиостанция, входящая в экосистему Apple Music. У руля стоят легендарный американский продюсер Джимми Айовин и рэпер Dr. Dre. Они же выпускают наушники Beats. В 2014 году Apple купила это все за 3 млрд.
Плюсы Beats: это полноценное live-шоу с известными диджеями, эксклюзивными интервью и анонсами новых треков. Например, там давал интервью Eminem, а Элтон Джон ведет передачу Rocket Hour.
Россиянам прямой эфир пока недоступен, можно слушать только в записи. Чтобы получить доступ к Beats 1, нужно быть подписчиком Apple Music (при этом вы также получаете доступ к миллионам треков в их базе).
Что еще?
Есть 3 месяца триала для владельцев iOS и ПК, после которых подписка обойдется в 169 рублей в месяц. Правда Beats 1 слушать вы сможете только в записи.
Steam
Крупнейший сервис дистрибуции игр. Пока работает :), но уже был прецедент, когда Роскомнадзор заблокировал одну из страниц форума Steam, где обсуждали марихуану.
О Steam мы, к слову, писали в апреле: «Разбираемся с юристом: законно ли скачивать торренты, покупать игры в бразильском Steam и не только». Ну и да, некоторые игры в Steam «разлочены» только для Европы и США.
Spotify
Крупнейшее музыкальное хранилище и стриминговый сервис (можно качать песни, а можно слушать онлайн). В 2015 году компания планировала запуститься в России, но не вышло.
Для жителя РФ
Раз в 2 недели желательно один раз снова забегать через VPN (запомните, гражданином какой страны вы притворялись!), чтобы сервис не думал, что вы сменили место жительства, и не отключил вас.
Сидим в Spotify через нью-йоркский сервер HideMy.name
За скачивание треков, кун-фу с плейлистами и отсутствие рекламы уже придется заплатить. Сейчас, например, предлагают 3 месяца премиума за 1$, но только до 26 июня. Потом — 10 долларов в месяц. Здесь актуальная на 2017-й год инструкция, как оплачивать без геморроя, особенно обладателям Apple.
Pandora
Интернет-радио с крайне сложным (и благодаря этому, особенно точным) алгоритмом подбора рекомендуемых композиций.
Для жителя РФ
Многие компании сегодня пытаются разобрать понятие «нравится/не нравится» на атомы, найти математическое определение личных предпочтений. Pandora влезли в эту тему очень глубоко.
Pandora через VPN
Сервис использует алгоритм Music Genome, который делит каждый трек на кучу параметров или «генов» — от подробностей о вокалисте и аранжировки до технических особенностей звукозаписи. Утверждается, что поп- и рок-композиции имеют около 150 «генов», рэп — 350, джаз — 400, классика — 300-450.
(Но, конечно, это среднее по больнице и надо рассматривать каждый пример отдельно. Есть сомнения, что рэпчик соседа Васи по музыкальному богатству и насыщенности обгоняет, скажем, «Nothing Else Matters» Металлики.)
В бесплатной версии есть реклама и ограничение по пропускам и прокруткам треков. Платные тарифы с более высоким качеством звука, настройками персонализации и скачиванием треков просят от 5 до 10$ в месяц. Можно попробовать триал.
Легендарный канал, который выпустил «Секретные материалы», «Доктора Хауса» и десятки других сериалов и шоу. А еще закрыл научно-фантастический вестерн «Светлячка» (Firefly) Джосса Уидона 🙁
Для жителя РФ
У нас работает русскоязычный «филиал» foxtv.ru, но у оригинального вещания набор сериалов и live-передач предсказуемо больше.
американский Fox через VPN
Большой блок эпизодов и передач в записи можно смотреть бесплатно, только периодически вам будут крутить рекламу. Самая «свежатина» доступна только при наличии подписки на американского ТВ-провайдера.
Конкурент Netflix. Свежие эпизоды South Park и «Фарго», свои сериалы, Disney и Cartoon Network для детей.
Hulu крутит контент того же FOX (например, сериал «Люцифер» по мотивам комикса Нила Геймана), только в этом случае вам не нужен ТВ-провайдер. Месячный доступ без рекламы стоит 12$. Есть 30 дней триала.
Оплатить подписку (или подписаться на триал) российским PayPal-аккаунтом или картой не получится — для оформления подписки придется воспользоваться сайтами-посредниками или попросить заплатить друга с иностранной кредиткой.
Мы заморочились, оформили всё на американскую карту и уже предвкушали просмотр видео. Но нет, без VPN вы получите только вот такой Screen of Death:
Что думают онлайн-сервисы о VPN?
Мы отправляли запросы во все известные своими «блокировками» западные сервисы. Письма с просьбой прокомментировать свою позицию насчет использования их услуг через VPN из «запретных» стран получили пресс-службы Hulu, Pandora, VEVO, FOX, Spotify, Tidal, Now TV. Но ни один из западных сервисов нам не ответил — возможно, потому что мы сразу сказали, что их позиция по вопросу VPN будет опубликована в статье. Ну или потому что Россия и российские медиа им просто не интересны.
Зато ответили Pornhub, которые хоть и сами никого не ограничивают, но еще недавно были заблокированы в России. Ответили они следующее:
У нас нет проблем с пользователями, которые используют VPN для конфиденциальности. Тем не менее, мы надеемся, что такие пользователи соблюдают законы и правила, установленные их правительствами. Не нарушайте законы!
(картинку Pornhub не присылали, но мы не удержались)
После этого мы пошли к Яндекс.Музыке и «ВКонтакте»: можно ли ходить к ним под видом граждан другой страны? Запрещают ли они такое поведение или нет, и почему? У многих российских онлайн-сервисов тоже есть гео-ограничение. Например, Яндекс.Музыку можно бесплатно слушать только в России, Белоруссии, Украине и Казахстане.
Представитель «ВКонтакте» отослал нас к официальной позиции компании:
ВКонтакте всегда позиционировал себя вне политики, наш сайт — это прежде всего удобная площадка для общения, где каждый может выразить свою точку зрения вне зависимости от страны и национальности. Мы понимаем, как важно оставаться на связи с родными и близкими. Если Ваш провайдер по каким-либо причинам заблокировал доступ к ВКонтакте, Вы можете получить доступ к сайту с помощью следующих инструкций.
Представитель Яндекс.Музыки ответила коротко и ясно:
— Мы не можем запретить пользоваться VPN 🙂
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Начнем сразу с дисклеймера: ниже принципиально не будет политических вопросов. Административные и юридические вопросы тоже будем обходить настолько, насколько сможем, чтобы полностью не вырывать техническую часть из остальных плоскостей.
Блокировки интернета в России уже есть — это данность, с которой мы живем и должны жить дальше. А раз так, нужно разбираться, как это устроено технически, что может и не может провайдер. Филипп Кулин (schors) давно начал собирать информацию по этому поводу, участвовал в нормативной работе, ходил на разные совещания. В итоге сейчас больше него о блокировках в России знает только Роскомнадзор, но это не точно. Под катом краткая сводка актуального состояния дел.
Сплошной клубок проблем
Казалось бы, есть блокировки и есть. Не нравятся они нам, но, может быть, ничего плохого в них нет?
На самом деле, блокировки — это сплошной клубок проблем.
Сопутствующий ущерб — самая большая проблема блокировок. Самый яркий пример, иллюстрирующий это, произошел в апреле 2018 года, когда были заблокированы большие блоки IP-адресов облачных сервисов, соответственно, многие сервисы не работали и понесли большой ущерб.
Волатильность нормативов и практик, которые все время изменяются. Год назад этот рассказ был бы абсолютно другим, а два года назад он, скорее всего, противоречил бы сегодняшнему. Через год снова все будет по-другому. Сегодня это так, через месяц — немножко не так, а через полгода вообще не так. За этим надо следить, но и успевать работать тоже надо.
Блокировки трудно диагностировать. Если какой-то ресурс попал в блокировку именно по реестру — это самый простой случай. В случаях, которые мы рассмотрим дальше, отличить реальную блокировку от технических проблем достаточно сложно. Яркий пример — в октябре у Яндекса падал DNS часов на пять, за это время многие успели решить, что это блокировка Роскомнадзора. Определить точно, действительно, трудно, а ситуации такие уже бывали, поэтому люди сразу думают о блокировке.
Невозможно предсказать, когда вас заблокируют и заблокируют ли вообще. Вы спокойно работаете, а работа у вас вдруг закончилась.
Уверяю, большинству из вас так не повезет! Такие документы не будут по счастливой случайности утекать вам в руки. Когда ваш бизнес закончится, вы узнаете об этом постфактум.
В простых случаях известно, почему ваш сайт заблокировали. Например, на форуме разместили информацию, которую какой-то суд признал запрещенной, а вы не успели среагировать. Но общение с надзорным органом имеет неприемлемые сроки — например, сутки. В интернете за это время вы можете потерять пятую часть бизнеса.
Все это приводит к некой безысходности. Можно с иронией рассуждать над, например, Дэвидом Хомаком и блокировкой Лурка. Но совсем другое дело, когда это происходит с вами, как один раз произошло со мной. Клиент указал IP-адреса моих серверов у домена, которым я не управлял — я сижу, а телефон просто не умолкает. Клиенты говорят, что они уходят, требуют вернуть деньги, а я сделать ничего не могу! И никто не может мне в этом помочь. Это реально ощущение полной безысходности.
Группы риска
Принцип работы блокировок
Сначала кратко обсудим, как происходит блокировка, чтобы понимать полную картину.
Важно понимать, что трафик фильтруется каждым провайдером. То есть не где-то на трансграничных маршрутизаторах или государственным фильтром, а каждый провайдер ставит себе фильтр между интернетом и абонентами в каждой своей подсети. На схеме выше устройство проверки рядом с абонентами, потому что оно изображает из себя абонента — это важно.
Инструменты фильтрации
Провайдеры могут покупать фильтрованный трафик у вышестоящего провайдера. Но тут есть проблема — покупая трафик у вышестоящего провайдера, провайдер-покупатель не может определить техническая проблема или блокировка. Он не имеет никакого инструмента, потому что получает уже порезанный трафик, и это не очень хорошо сказывается на его бизнесе.
Либо можно использовать:
Есть следующие варианты реализации.
Например, у вас есть небольшой канал в 100 Гбит, вы поставили фильтр в разрыв.
Некоторые зеркалируют трафик, но с зеркалированием трафика проблема в том, что работает это как бы на опережение. То есть фильтр пытается ответить быстрее нормального ответа, соответственно, если фильтр начал тормозить, — штрафы (напомню, 50-100 тысяч рублей).
Выборочная маршрутизация — когда трафик на IP-адреса, среди которых может быть что-то из «выгрузки», проходит через отдельный фильтр.
К сожалению, точных цифр нет, но судя по косвенным признакам и тестам, это сейчас самый распространенный способ фильтрации трафика.
Выборочная маршрутизация может дополняться тем, что наборы IP-адресов для фильтрации агрегируются в большую сторону. То есть блокируется не просто несколько адресов, а вся сразу сеть /24 попадает на фильтр. Плюс у крупных провайдеров, например, в МТС, есть специальные службы безопасности, которые специально ищут блоки IP c риском, которые тоже попадают в фильтрацию.
Также выборочную маршрутизацию можно комбинировать с фильтрацией DNS-запросов. Это популярный метод, которым пользуется, например, Дом.ru.
Разберем поэтапно проблемы, которые все это приносит.
Принятие решения о блокировке
Роскомнадзор принимает решение — это сразу вызывает проблему связанную, так скажем, с организацией службы поддержки. В ряде случаев он должен уведомить владельца сайта или хостера, но при этом адресат уведомления не точен (он берется из публичных данных, а не все поддерживают актуальные адреса), уведомления теряются, открытой информации нет.
Из-за этого происходят всякие плохие вещи. Хостер или владелец сайта не может контролировать, какие запросы к нему ведутся, никакой открытой информации нет. Например, у Google есть база сайтов с вирусами, где вы можете себя зарегистрировать как автономную систему, как-то подтвердить, что вы автономная система, и действительно самому смотреть, какие сайты по мнению Google в вашей автономной системе распространяют «зловреды». С блокировками такого нет — вы рассчитываете только на то, что уведомление до вас дойдет, и вы его вовремя успеете прочитать.
Сроки взаимодействия с Роскомнадзором не соблюдаются, и в целом немного странные, несмотря на то что есть нормативы — за сутки отправить уведомление, за сутки ответить, за сутки принять решение. Когда вам приходит уведомление, а вы говорите, что у вас нет такой информации и просите разъяснений, то можете получить ответ и через несколько недель. А, может, вас заблокируют, а потом ответят, что информация у вас таки есть. Такие ситуации у меня были, но мало кто подает в суд — я вообще не знаю таких случаев.
Опять же, если пришло уведомление, вы не всегда можете понять, о чем оно. В большинстве случаев Роскомнадзор нормально описывает, что имеет в виду. Но даже в нашей практике микро-хостера было три случая, когда по описанию было непонятно, о какой информации речь. Я даже не знал, что клиенту написать — протоколы и тексты решения Роскомнадзор выдает только по суду, хотя у них есть такие документы.
Время применения «выгрузки»
Итак, решение приняли, провайдер скачал «выгрузку» и дальше должен с ней что-то сделать. Есть два варианта, насколько быстро: сутки или незамедлительно.
Важно, что сутки отведены и на блокировку ресурса, и на разблокировку, если вдруг принято решение о разблокировке. У многих это сделано, как ночные обновления коммутатора. Из моего опыта: не вовремя принял уведомление, ресурс заблокировали, вопрос решили, но сутки ждешь, пока разблокируют. А бизнес не ждет, появляются потери.
Чтобы понимать, как все фильтруется, надо знать, что находится внутри «выгрузки». Там список записей в XML одного из четырех типов по видам блокировки и реквизиты решения:
Важно: всего 139 тысяч записей, а самый популярный тип блокировки — это блокировка «по домену». Это HTTP и HTTPS протоколы.
Токсичность «выгрузки»
Перед тем, как блокировать ресурс, провайдер должен разобрать «выгрузку». С этим тоже есть проблемы. Я специально обратил внимание, что «выгрузка» — это не реестр, а некий технический документ, который провайдеру выдается для того, чтобы он на его основе принимал решения. Но несмотря на это, провайдеру приходится проводить очень большую обработку «выгрузки».
Например, в «выгрузке» есть избыточность, записи перекрывают друг друга. Если взять какой-то URL, это не значит, что не будет блокировки по домену, который содержится в этом URL. Таких сейчас не так много, правда, — чуть более трех тысяч.
В «выгрузке» содержатся URL с фрагментами (#) и сессиями. Это вообще ужас, потому что надо понимать, как проходит проверка.
Провайдер должен приводить «выгрузку» в нормальный вид, потому что в ней встречаются неправильные URL и домены. В основном сейчас встречаются только обратные слеши. Бывают пробелы, но их быстро убирают, а к обратным слешам почему-то особенная «любовь». Ну ладно, с обратными слешами вопрос решили, а если появится какой-нибудь плюсик? Поэтому всегда должен быть мониторинг, всегда надо что-то делать.
Еще раз обращаю внимание, что проблема провайдера — это наша проблема. Что делает провайдер? Мотивация в 100 тысяч рублей — это хорошая мотивация сделать так, чтобы вообще при любой проблеме, даже при любом намеке на проблему, рубить сразу, а потом разбираться.
Актуальность в «выгрузке» тех IP-адресов, которые не «блокировка по IP-адресам», а всех остальных (блокировки по домену, по URL, по маске) выглядит примерно так. 
Буквально чуть больше половины актуально, а остальные полный фарш.
Проверка блокировок
Вся история реализации блокировок в России это история проверок этих блокировок.
Я не знаю, как заграницей, у нас это абсолютно точно именно история проверок. Все блокировки делаются не так, как написано, как их делать, а так, как проверят, потому что никому не нравится платить штрафы, особенно 100 тысяч.
До реестра запрещенных сайтов существовал список экстремистских материалов Минюста (он и сейчас существует, просто сейчас он в реестре, а тогда был отдельным) и прокурорские проверки блокировок по этому списку. Я микро-хостер и то умудрялся попадать на блокировку у меня таких ресурсов.
Существующие виды проверок:
«Ревизор» стоит за фильтром и полностью прикидывается абонентом. Но сам прибор ничего не делает, он получает задачи и отдает ответы в некий центр управления, т.е. это такой удаленный shell внутрь сети провайдера. Действует он очень похоже действует на RIPE Atlas.
Центр управления автоматизированной системы — это настоящий highload-сервис, потому что у нас 4 тысячи операторов связи, у них не по одной сети, а коробочка должна стоять в каждой сети. То есть не у каждого провайдера, а в каждой сети каждого провайдера. Соответственно, у центра управления есть определенные проблемы.
Вопрос: есть ли проблемы у самой проверки? Конечно, есть.
Проблемы проверки
На СПЕКТР-2017 (форум под эгидой самого Роскомнадзора) один из начальников ФГУП главного радиочастотного центра (ГРЧЦ) Вэклич А.А. сделал целый доклад о том, какие есть именно технические проблемы с проверкой «Ревизором» провайдеров.
Методика работы АС «Ревизор»
В соответствии с этими проблемами создана методика работы «Ревизора».
И да, слайд ваше исчерпывающе иллюстрирует данную методику. Я не очень понимаю, как чисто логически с этим можно жить. Для нас это все выливается в то, что провайдеры пытаются как-то эту проблему решить, и делают это удобным для себя способом, и не всегда удобным для нас.
Работая без методики, многие провайдеры получили экзистенциальный опыт. Вообще вся методика блокировки — это эмпирический путь, который стоит денег, нервов, падений, даже сейчас, когда какая-то методика уже немного устоялась.
Есть неофициальный чатик (что примечательно — в Telegram, где же еще), где провайдеры общаются с сотрудниками Радиочастотного Центра. Самое интересное, что там можно получить реальную помощь, сотрудники ГРЧЦ помогают провайдерам решать их проблемы, и рассказывают, как работает «Ревизор». Но это все неофициально, нет никаких документов.
Есть норматив Роскомнадзора о способах и методах ограничения доступа, который зарегистрирован в Минюсте. Он специально идет в конце, потому что имеет самый низкий приоритет. Провайдеры действуют не так, как написано в нормативе, а так, как работает способ проверки.
Методика работы с «выгрузкой»
По нормативу и по накопленному опыту, расскажу, как работают с «выгрузкой», то есть как наши ресурсы блокируются.
По URL:
По домену:
По домену с маской теоретически провайдеры фильтруют просто как по домену без звездочки. Поскольку опять же проверок нет, то и проблем тоже пока нет.
По IP-адресу и блоку IP-адресов фильтруют, как умеют, — прямо на пограничном маршрутизаторе иногда.
Добросовестные участники
Мы знаем, что блокируются не тольк «злые» люди, но и добросовестные участники интернета. Например, когда человек не имел умысла держать запрещенную информацию у себя на хостинге, но не прочитал письмо или не получил уведомление.
Вторая группа — это зарубежные участники. Они живут в своем правовом поле и не нарушают законодательство. У них можно посмеяться, например, над взятками, они не видят в этом ничего плохого. Например, хостеры даже не имеют права удалить эту информацию, потому что на них законы не распространяются. Они не злые люди, но блокировки бьют и по ним.
Проблемы фильтрации
Давайте разберем проблемы, поговорим о фильтрации DNS, которая рекомендуется нормативом.
Первый вопрос: а причем тут DNS? Действительно, может быть размещена запрещенная информация, но DNS представляет нужный людям сервис, именно как DNS, например, IP-адреса. При подделке DNS получается все не очень хорошо, и не понятно, почему так.
Второй момент — реализация перехвата DNS. На самом деле перехватывают весь трафик (просто ставят свой кэширующий сервер — самая распространенная практика), и соответственно встает вопрос качества обслуживания. Например, в своем офисе я специально сделал обход Дом.ru только для DNS, потому что невозможно работать, когда приходится ждать ответа от их DNS.
Все это можно ускорить, создав свою систему подмены ответов. Тогда провайдер должен разработать систему и поддерживать ее. Так тоже делают, но это редкость.
При распространении технологии шифрования запросов DNS (DNSCrypt, DoT, DoH) неизвестно останется ли тип блокировки по DNS.
С фильтрацией доменов по маске проблема в том, что домены могут быть на разных IP, то есть вам придется сканировать всю полосу HTTP/HTTPS. Но что делать с остальными протоколами? Вы сканируете всю полосу, а, например, запретили только Telegram по маске (по домену) — что с этим делать? А проверки всё равно нет!
Следующий очень важный момент — кстати, это наше будущее — что делать, если на порту 443: нет SNI, SNI шифрованный (ESNI) или вообще другие протоколы, например, QUIC, DNSCrypt, VPN, MTProto-proxy?
Крупные компании, например, Google, уже поддерживают шифрованный SNI, а у Яндекса DNSCrypt на 443 порту. Сейчас этот вопрос каждый решает по-своему. Некоторые провайдеры, особенно мобильные, если не могут опознать трафик как HTTPS, просто его вырубают. Точно статистики на эту тему я привести не могу, но сам подход не внушает оптимизма.
Резолвинг домена
Ставить фильтр на всю полосу, например, в 100 Гбит малореально. Вместо этого провайдеры берут домены, их IP-адреса, и уже этот трафик сканируют. Это делают и крупные, и мелкие провайдеры, в основном крупные, кстати говоря.
В нормативе этого нет, но «вы же понимаете!». «Ревизор» проверяет по реальным адресам и по тем, что в «выгрузке», то есть и так, и так. Резолвинг используется, потому что провайдерам это выгодно. Он дает им возможность фильтровать все-таки не 100 Гбит, а гораздо меньше исходящего трафика.
Проблема фаз при проверке известна давно — все плачут, колются и продолжают так делать. Провайдер взял IP, обновил фильтры, но до проверки «Ревизора» IP изменился. Время, за которое ресурс сменил IP (желтая стрелка на схеме), может измеряться миллисекундами, но этого достаточно, чтобы провайдер получил штраф.
Второй вариант: после смены IP ресурса, провайдер и «Ревизор» имеют одинаковый IP, все всё сделали вовремя, только провайдер обновил фильтры на миллисекунду позже, чем «Ревизор» проверил — с соответствующим ущербом. Понятно, что провайдер в такой ситуации постарается подложить столько соломки, что это может нам не понравиться.
С резолвингом есть еще проблемы:
«Протухшие» домены
Домен «протухает», когда у него закончился срок регистрации, но он остаётся в «выгрузке», потому что, естественно, никто за этим не следит. Новый владелец домена получает контроль над тем типом блокировки, которая в «выгрузке». В «выгрузке» могут быть и поддомены, а когда вы купили домен, вы получаете контроль над всеми поддоменами.
Я нашел в «выгрузке» около 200 «протухших» доменов, но на самом деле их там больше. Мы не знаем, сколько доменов уже куплено людьми, которые решили пошутить. Может, их нет, может есть.
К чему это приводит?
На картинке сбои сайтов Яндекса, ВКонтакте, Википедии. Справа график MSK-IX, который сам MSK-IX отрицает и говорит, что это был внутренний сбой. Но внутренний сбой почему-то по времени точно совпадал с DNS-атакой.
DNS-атака заключалась в том, что кто-то купил «протухший» домен, кинул туда тысячи IP-адресов и начал поливать все, что хочет, то есть на эти IP-адреса кидать Яндекс, ВКонтакте и т.д. Кто-то поигрался, и так до сих пор и неизвестно, кто.
Все, конечно, надували щеки и говорили, что такого быть не может. Но несмотря на это, на графике справа внизу, который показывает количество доменов в «выгрузке», видно, что 5 июня 2017 года Роскомнадзор провел основательную чистку.
Одной из целей атаки были платежи через банковские карты. Банки этого не признают, поскольку тогда их акции упадут. Но по факту некоторые банки действительно подверглись DDoS, в результате чего у них целый вечер не работала оплата картами.
Вы думаете, что кто-нибудь что-нибудь сделал?
14 марта 2018 год: другой вектор атаки, но тоже с «протухших» доменов. Кто-то купил 4 домена, получил контроль над 400 поддоменов, и залил туда 4 000 IP-адресов. У ТрансТелеКома, у которого по заверениям Роскомнадзора все в порядке, где-то на 600 тысячах переполнилась таблица на маршрутизаторах, и 20% сетей ТTK по всей стране прилегло.
Не прошло и года:
Это график резолвинга, то есть IP-адреса из доменов из «выгрузки». 5 мая я говорю Леониду Евдокимову: «А не пошутить ли нам — не написать ли на графике что-нибудь морзянкой?» Через час он это сделал. По цифрам видно, что мы по нескольким тысячам IP подкалибровались под мой резолвинг и под мое время (я постоянно опрашиваю домены), чтобы пики было видно, и начали писать: DIGITAL RESISTANCE.
На втором графике была большая надпись: «Воистину Попов!», потому что был День Радио. Я привожу его, потому что на нем видно, как Роскомнадзор наконец-то начал чистить домены. Там где ступенька, там они 2 домена уже нашли, а 2 еще нет, но они довели чистку до какого-то ума. На момент генерации надписи «протухших» поддоменов в «выгрузке» было около 4 000, а к ноябрю стало стабильно, то есть Роскомнадзор проводил регулярные чистки. Но, к сожалению, к времени выхода статьи количество доменов опять возросло — сейчас их 1538.
Кстати говоря, это единственный результат моей деятельности за несколько лет — реально начали хоть что-то делать!
Кстати, об авариях и сбоях. Дело в том, что оборудование и программы фильтрации почему-то не хотят ходить строем: где-то тормозят, случаются сбои и ошибки. Чуть возрастает нагрузка, и качество обслуживания становится никаким. Можно, например, использовать DNS-атаку — в простом случае сайт не упадет, потому что все нормально фильтруется, но качество его работы для пользователя будет очень низким. Можно так скажем «полудедосить» сайты, чтобы снизить качество их работы.
Например, прошлым летом у Ростелекома в нескольких регионах фильтр выдавал почему-то один чанк HTTP протокола неправильно, и соответственно на экран валился мусор. Владелец сайта Motobratan.ru был в отпуске и сказал, что ему все равно. Сайт все выходные так проработал, пока в понедельник с утра инженер не пришел и не починил.
Проблемы провайдера
По-хорошему должен быть регламент техобслуживания на случай, если:
Кстати говоря, когда была авария на ТТК, многие просто выключили фильтрацию и «Ревизора», на всякий случай.
Фантазии
Любимая фантазия о том, что с этим всем можно сделать, — белые списки. Но есть но:
Еще одна фантазия — давайте сделаем единый государственный DNS для резолвинга, и все будет нормально.
Отвечу на полном серьезе, без иронии: да. Заблокировать Telegram можно, если немного изменить нормативную базу, законы, поставить волшебные DPI и пренебречь сопутствующим ущербом. Мы, это видим на примере Ирана, в котором заблокированы тысячи сайтов, но зато относительно хорошо блокируется и Telegram.
Надеемся, этот рассказ помог составить общее представление о технической составляющей блокировок интернета в России.
Некоторые подробности можно узнать из ответов на вопросы после доклада, на сайте Филиппа Кулина, в Telegram-канале о регулировании интернета в России @usher2 и в профиле schors
Эта статья основана на одном из вызвавших самый большой интерес слушателей докладе HighLoad++ 2018. Узнать о новых материалах и открытых видео удобно из рассылки — она нечастая, и исключительно по делу. Например, её получатели точно в курсе, что вовсю идет заявочная кампания на апрельский Saint HighLoad++.