Очередная публикация доклада с КРОС, это переложение в текст выступления Фила Кулина – автора сайта и канала в Telegram о блокировках. Эксперт проанализировал сложности, с которыми сталкиваются операторы связи, при резких и не всегда логичных изменениях законов, и дал рекомендации по поводу того, какая тактика действий будет наиболее логичной безопасной и выгодной. Презентация тут.
У нас очень волатильное (постоянно изменяющееся) законодательство и, соответственно, волатильная нормативная база. Пока я готовился к этому выступлению, приняли закон о "сувенирном" интернете, который перечеркнул половину моего доклада.
Впрочем, этот документ не окажет на жизнь операторов связи особого влияния, поскольку ситуация будет, на мой взгляд, развиваться аналогично ситуации с "Законом Яровой". Когда он вступил в силу, помните? Прошёл уже год. Но напомните: хоть одна "железка", с помощью которой этот закон можно выполнить, появилась?
Я уверен, что и закон "О суверенном рунете" будет работать примерно так же. С 1 ноября закон вступает в силу, но на самом-то деле, когда это реально заработает и заработает ли это вообще в полном объёме – непонятно. А может быть, года через три, скажут: "ну не получилось" – как это было с законом о блогерах – и выкинут. Поэтому, скажем пока "сувенирному" интернету: "Не сегодня".
Проблем от этих блокировок у операторов связи достаточно много. Есть проблемы владельцев сайтов, есть проблемы хостеров. И ещё одна категория. Какие-то, ну слышали, наверное, "пользователи". Под словом "пользователи" я имею в виду не только ваших клиентов, но и всех, кто выходит в интернет, обращается к тем или иным сервисам.
Когда я изучаю нормативную базу, то меня удивляет такая вещь: авторы документов, которые издают и принимают государственные органы, всё время забывают, о том, что есть ещё какие-то участники процесса, под общим названием "пользователи".
То есть, они говорят: "Операторы связи должны, хостеры должны, мы их контролируем", но о том, что есть и другие участники процесса, пользователи различных сервисов, к примеру, госуслуг, чаще всего забывают.
И ещё важный момент. Нередко вам приходится блокировать ресурсы, которые создают не злоумышленники, не бандиты с улицы, а добросовестные пользователи интернета, которые размещают какие-то материалы. И в их юрисдикции, в стране, где они размещают те или иные материалы, это не запрещено.
Например, где-нибудь в США не запрещено показывать свастику или фильмы со свастикой, у них там есть даже реальные нацисты. И сотрудники тамошних телеканалов добросовестно делают репортаж с митинга этих нацистов. У них это не запрещено, и журналисты или блогеры совершенно спокойно размещают фотографии или ещё какие-то материалы. Но у нас такие публикации запрещены, как пропаганда нацизма.
Или ловля рыбы сетью. У нас она запрещена, но где-то же разрешена, а потому разрешено и выкладывать информацию на эту тему. А у нас всё это – запрещённая информация.
Эти примеры подтверждают сам факт: мы не всегда блокируем злодеев и граждан, которые умышленно нарушают российское законодательство.
Когда мы начинали делать Интернет, то думали: "будет весело". Но всё, как и на этой картинке, которую я украл у "ВАС Экспертс", оказалось не так легко и просто.
А начнём с того, что рассмотрим, как работают механизмы блокировок.
После решения органов власти, там какого-нибудь суда, Роспотребнадзора или самого Роскомнадзора, начинается работа.
Роскомнадзор вносит нежелательный ресурс в реестр. Затем, в зависимости от того, на каком основании решено заблокировать ресурс, делает или не делает предупреждение, а затем выносит решение о блокировке. Затем идёт выгрузка, получение выгрузки и, соответственно, ограничение. Ну и главное – проверка провайдеров.
Теперь о том, как выглядит схема фильтрации у нас, в России. Речь сейчас не о трансграничных маршрутизаторах как в Китае. У нас каждый провайдер ставит фильтр между абонентом и своим выходом.
Для того, чтобы ограничить доступ к нежелательным ресурсам приходится покупать коммерческие решения, или разрабатывать что-то своё.
Фильтры все ставят по-своему. К примеру, у вас стоит оборудование на 100 Gbit. Вы ставите фильтр в разрыв (разработчики на конференции HighLoad++ шутки не поняли и не засмеялись) и значит всё прекрасно.
Есть выборочная маршрутизация, когда мы ставим фильтр и фильтруем уже не сто, а один гигабит. Да, ещё DNS. Мне кажется, что это самая распространённая схема, хотя такой статистики ни у кого нет. То есть, это моё личное мнение, как его подтвердить, я не знаю даже теоретически.
А теперь перейдём уже к тому, о чём я хотел поговорить. О нормативной работе.
Большинство из вас, наверное, получает выгрузки. По выгрузкам есть ряд проблем в нормативах, но никто плотно нормативной работой не занимается.
Во-первых, нет регламента обслуживания сервиса выгрузок. То есть, как только выгрузка висит, не идёт, я вижу в панику в пяти чатиках: "Эй, операторы, а что случилось? А у вас тоже не работает? Точно не работает? А когда придёт? А штрафа не будет?".
Уже здесь, на КРОС, видел, как кто-то переживал там: "Ой, что-то отвалилось".
Во-вторых, нет регламента действий в случае аварии с каналами. То есть, если канал между выгрузкой и оператором сломался, то каждый действует на свой страх и риск. Ну, грубо говоря, мы считаем, что у нас хорошие отношения с местным Роскомнадзором и он поэтому протокол нам не выпишет. А может, и выпишет.
То есть, операторы работают в условиях постоянных рисков для бизнеса. Мне вообще не очень понятно, как вы с этим живёте. Я с такими рисками бизнес бы бросил.
Теперь о "дельтах" выгрузки. Подключиться к дельтам можно, только если у вас установлено какое-то оборудование из утверждённого списка. То есть, это какой-то махровый протекционизм. Хотя, если вы знаете, "дельта" на самом деле работает лучше, быстрее.
Между тем, объёмы выгрузки постоянно растут. В подтверждение – вчерашняя (свеженькая) статистика. Два года назад было по три мегабайта в архиве, по восемь выгрузок в день. Сейчас – под 150 выгрузок в день, 11 мегабайт в архиве. Но это в среднем, иногда бывает по 80, иногда по 200.
Токсичность выгрузки – ещё одна проблема. Часто URL приводятся с ошибками, IP-адреса неактуальны. Потому блокировки всё чаще производятся по домену, и всё реже – по URL.
Актуальность выгрузки – это, собственно, количество совпадений IP-адресов, которые указаны в выгрузке, и реальных IP-адресов. Часто бывает, что IP-адреса не совпадают с реальными, то есть, никакой актуализации не производится. Получается, что точно указано только 54 процента, чуть-чуть больше половины адресов. За два года точность выросла с 49 до 54 процентов.
Зачем они вообще IP-адреса в выгрузку дают, я не знаю. Самое интересное, что есть два способа записи выгрузки, которые не имеют IP-адресов вообще. Как вы живёте с такой выгрузкой, я не знаю.
Главное же, размер штрафов. Если 50 тысяч рублей меня не убьёт, то сто тысяч может и убить. Если мне придёт штраф в сто тысяч рублей, я просто перейду границу и попрошу политического убежища, потому что мне просто нечем будет заплатить.
И есть у меня риторический вопрос: "Каким нормативом вы пользуетесь, когда ограничиваете доступ? Каким регламентом?"
Вся история блокировок в России, это на самом деле, история проверок. Когда не было "Ревизора", вся история блокировок основывалась на визитах прокурора. То есть, прокурор приходит к провайдеру, даёт указание, что заблокировать, а оператор уже блокирует.
Я думаю, что вы все лучше меня знаете, как работает "Ревизор".
Понятно, что сама коробочка ничего не делает. Ей даются какие-то задачи, она высылает данные в центр управления, а там уже что-то считают. У проверок есть куча проблем. Я вот тут ссылаюсь на сам ГРЧЦ.
Основная проблема, которую до сих пор не решили – как проверить домен по маске? Его не проверяют. То есть, этой проверки не существует даже в "Ревизоре". Это такой чит-код. Звёздочка *.fil.ru, к примеру. "Ревизор" не умеет это проверять.
Как вы живёте с этой методикой два года? Многие присылают мне решения судов, на основании которых платят до полумиллиона штрафов в месяц.
Вообще, это точка такого хорошего сопротивления, которое поможет сэкономить деньги. Но что делать без методики?
Основное на что можно давить, это как мы видим, описание сдачи метрологии "Ревизор". И вот тут я с метрологией поясню.
В соответствии с законом, на который мы ссылаемся на этом слайде, в России при осуществлении надзора должно быть единство метрологических измерений, должна пройти метрологическая поверка, по результатам которой выдадут сертификат, удостоверяющей точность измерений. Пока не проведена поверка, точность работы "Ревизора" можно оспорить, поставить под сомнение. В том числе, и в суде.
Теперь обсудим резолвинг домена. Я как только это слово слышу, так у меня просто глаз начинает дёргаться. Ни один норматив о нём не говорит. Делая резолвинг, вы себе соломку подкладываете, чтобы не ставить разрыв, это мне понятно. Ну и всё, собственно.
А во всём остальном вы только создаёте себе проблемы. Но есть ресурсы, у которых меняются IP-адреса. И если они меняются в процессе блокировки, то заблокировать ресурс не получится. А значит, оператор не выполнил указание Роскомнадзора, и того и гляди, попадёт под штраф. Все аспекты этой проблемы приведены в следующих слайдах.
Ещё одна моя любимая тема – "протухшие" домены. Существует как минимум 2100 доменов, которые никому не принадлежат. Их может купить любой человек.
2100 – это минимум, потому что у меня скрипт очень простой. Вчера я смотрел – их было 2122. А когда я готовил доклад, их было 2000.
DNS-атаки, подобные той, которая произошла летом 2017-го года, уже не работают. Я не считаю, что это заслуга Роскомнадзора, который стал рассылать предупреждения. Уверен, что заслуга принадлежит операторам связи, которым жаловались клиенты.
А вот авария подобной той, что произошла у ТТК, я считаю, может и повториться.
Тогда у ТТК в резолве оказалось 460 000, по-моему, IP-шников, и ТТК взял – и упал. Ну, наверное, 500 000 сейчас не уронит никого, а миллиона два, я думаю, уронит, потому что резолвинг вы все делаете. И, скорее всего, у половины из вас нет мониторинга на то, что всё кончилось. А что делать, если память под маршруты закончилась? Вот я, например, не знаю. Вернее знаю – "Ревизор" выключить и переждать.
А это – моя шутка с посланием на графике и азбукой Морзе весной 2018 года. Тогда примерно с часу до полуночи 5 мая были удалены и добавлены в реестр запрещённых сайтов тысячи IP-адресов. В результате на графике выгрузки появилось набитое азбукой Морзе словосочетание "Digital Resistance" или "Цифровое сопротивление". Некоторые эксперты усмотрели в этом сообщении призыв к акции и указание на то, где и когда она произойдёт.
А теперь поговорим о новых векторах DNS-атак, совершенно свеженьких. Оказывается, далеко не все о них знают. Первый – был домен, который отвечал тем IP-шником, который его спрашивал. То есть, резолвер, на который было направлено обращение, отвечает записью вот этого резолвера. В результате, фильтр и резолвер, установленные на одной машине, замкнули компьютер на самого себя. Сеть зависла и пришлось выяснять, что же, собственно, случилось.
И второй способ. Я кстати, не знаю, может сейчас "Ревизор" уже смог этот метод заблокировать. Смотрите, я покупаю домен, создаю сайт, и сайт при наличии TCP-коннекта сразу выдаёт ответом редирект HTTP для запроса. Соответственно, вы запрос HTTPS можете блокировать сколько угодно, ответ всё равно придёт. И ладно абоненту он придёт, то есть абонент там увидит редирект и пойдёт на сайт со своей порнухой или что он смотрит, а проблема в том, что он придёт в "Ревизор". И "Ревизор" скажет: "Окей".
А теперь, собственно, вопрос: что делать-то?
Самое главное – это понимать отличие территориального управления от центрального аппарата, понимать, что существуют различные инстанции. Все выгрузки, все законы разрабатывает центральный аппарат. Вы общаетесь с территориальным управлением Роскомнадзора, это люди выписывают вам протокол и, собственно, это вся их деятельность. Никакого отношения к блокировкам они вообще не имеют. И если вы, например, скажете им: "А у вас норматив плохой", то никакой реакции не будет.
То же самое и в спорных случаях. Вы можете обратиться в Мировой суд, и если проиграете, обращайтесь в вышестоящую инстанцию. И не бойтесь доказывать свою правоту. Если дело будет выиграно, никакой мести со стороны Роскомнадзора не будет.
Министерство цифрового развития – это регулятор. То есть, Роскомнадзор контролирует исполнение, регулятор устанавливает требования. А операторам можно аккуратно начинать писать: у всех органов есть красивые формы обращения на сайте, они все очень хорошо отвечают.
Одна из лучших форм на сайте – у Генеральной Прокуратуры. Они сразу квиточек дают с номерком. Самая плохая форма – у Минцифры. Просто написал какую-то в трубу, через месяц тебе приходит какой-то ответ без электронной подписи.
Можно писать сразу в два места. Когда пишете в два места, отвечают почему-то быстрее и чётче.
Я судился с Роскомнадзором, мне никто не мстил. Вообще никак. Я судился за клиента. Я, как хостер, имею право не в интересах клиента, а от своего лица опротестовывать решения Роскомнадзора. Я суд проиграл. Но до Верховного Суда дошёл. Мести нет никакой. Никто не приходил, не звонил, не намекал.
Какие перспективы? Пока никаких перспектив. Но если мы будем что-то делать, возможно они даже появятся. Не надо революцию, не надо, как я, бежать, делать сайты, бороться, выходить с плакатами. Но если вы видите, что в "Ревизоре" нет методики, пишите в Минцифру: "А почему нет методики?" Метрологии нет – пишите Роскомнадзору: "А как же метрология?" А не ответили, пишите дальше. Есть и более высокие инстанции.
И по поводу закона "О суверенном Интернете". Буквально вчера Минцифра начала клепать основные документы по именно "сувенирному" Интернету. Это, собственно, центральное управление маршрутизации, у них есть документ, вчерашним вечером датированный, и документ об учениях.
Я рекомендую вам прямо зайти на regulation.gov.ru и поучаствовать, внести свои предложения, потому что это впрямую вас касается.
&description=Проблем от блокировок у операторов связи много. Есть проблемы владельцев сайтов, есть проблемы хостеров. И ещё одна категория. Когда я изучаю нормативную базу, то меня удивляет вот что: авторы документов всё время забывают, о том, что есть ещё какие-&image=https://nag.ru/uploads/material/images/35727/social_cover.png)
&imageUrl=https://nag.ru/uploads/material/images/35727/social_cover.png)
