10 September 2021

Роскомнадзор начал «более лучше» ломать Рунет

НАСТОЯЩИЙ МАТЕРИАЛ (ИНФОРМАЦИЯ) ПРОИЗВЕДЕН, РАСПРОСТРАНЕН И (ИЛИ) НАПРАВЛЕН ИНОСТРАННЫМ АГЕНТОМ «РОСКОМСВОБОДА» ЛИБО КАСАЕТСЯ ДЕЯТЕЛЬНОСТИ ИНОСТРАННОГО АГЕНТА «РОСКОМСВОБОДА». 18+
Надзорное ведомство перешло от «IP-геноцида» к блокировке сервисов публичного DNS и даже отдельных протоколов, опираясь на закон «о суверенном Рунете» точно также, как на «резиновое» решение Генпрокуратуры в 2018 году при попытке заблокировать Telegram; естественно, главными жертвами снова стали совершенно рядовые интернет-сервисы.

Роскомнадзор начал новое наступление на запрещённые интернет-ресурсы с помощью Технических средств противодействия угрозам (ТСПУ), установленных на крупных операторах, но в этот раз его действия носят гораздо более изощрённый характер и, похоже, вывод, что власти научились ограничивать доступ к «крамольной» информации безболезненно для сторонних сайтов, было преждевременным.

 

Недавно с нами связался один из наших пользователей с Южного Урала, сообщив, что местный Ростелеком заблокировал для абонентов домашнего интернета файлообменный протокол BitTorrent. В реестре запрещённых сайтов, естественно, ничего такого он не обнаружил, но подключиться к DHT-сети стало невозможно.

«Также заблокированы анноунсеры торрент-трекеров, которых даже нет в выгрузке РКН (например, собственные различных дистрибутивов GNU/Linux), — рассказал он. — Техподдержка отвечает стандартно: „Торренты — это пиратство, а оно запрещено“. А то, что через BitTorrent распространяются ISO-образы практически всех дистрибутивов GNU/Linux, обновления игр Blizzard, им совершенно всё равно». Этот факт подтвердили пользователи форума OpenNet.

 

 

DHT — это распределенная хеш-таблица, применяемая в составе файлообменной сети BitTorrent для поиска пиров без использования трекеров и работы magnet-ссылок. «Таким образом, в настоящее время ни одна magnet-ссылка, если только в ней напрямую не указан URL конкретного торрент-трекера, не заблокированного в РФ, работать не будет из-за отсутствия соединения с серверами сети DHT», — заявляет наш подписчик.

«Сама сеть DHT ничего не нарушает и в данное время не запрещена Роскомнадзором или иными государственными ведомствами, — пишет он. — Техподдержка Ростелекома (а теперь и ТТК) уже третьи сутки пытаются придумать оправдание этой блокировки, хотя официально её не подтверждают».

 

«Под аббревиатурой DHT (Decentralized Hash Table) подразумевают сети, в которых нет каких-то конкретных узлов и общение участников в них идёт по mesh-принципу, — поясняет технический специалист «РосКомСвободы» Вадим Мисбах-Соловьёв. — Можно провести наполовину уместную аналогию с муравейником/ульем. В том числе, и торрент-клиенты используют DHT-сеть для поиска контента без обращения к трекерам — по хешу файлов/раздачи. Но это довольно-таки параллельная в контексте торрентов сущность: основная масса людей скачивают/раздают всякое через торрент-трекеры, когда есть некий центральный сервер который координирует общение клиентов и подсказывает, как им связаться друг с другом (ну и рейтинги заодно считает). Блокировка одной из сущностей не влияет на другую».

«Но справедливости ради про DHT стоит заметить, что это не специфичное для торрентов изобретение. Так же DHT-сети используются в IPFS (Intr-Planetary File System) и в мессенджере Tox. Собственно, оные через эти сети и работают», — добавляет Вадим.



Примерно в это же время во «ВКонтакте» стримингового сервиса для футбольных трансляций FlashScore сообщили, что у пользователей возникли проблемы с открытием приложения через некоторых провайдеров.

 

 

С похожей ситуацией столкнулись игроки World of Tanks и World of WarShips и пользователи Twitch и Avito.

Как пишет «Ъ», создатели World of WarShips связывают проблемы с доступом с блокировкой VPN-сервисов в России, для которой используют DPI-оборудование (Deep Packet Inspection). Согласно обращению на сайте компании, это привело к невозможности зайти в игру и отключению сервера во время боя:

«В процессе блокировок VPN-сервисов было затронуто множество UDP-портов, в том числе те, которые используются в нашей игре со старта самого первого альфа-тестирования. Данная ситуация затронула не только крупных магистральных провайдеров, но и множество местных, которых на территории России огромное количество».

 

Роскомнадзор обвинения отрицает. В надзорном ведомстве сообщили, что «при реализации мероприятий по блокировке VPN указанные UDP-порты не блокировались». В FlashScore заявили «Ъ», что не знают, в чём причина сбоев.

Источники в «большой четвёрке» операторов объяснили, что считают причиной проблем с доступом работу оборудования ТСПУ (технические средства противодействия угрозам), которое Роскомнадзор установил в рамках закона об «автономном рунете». По данным «Вымпелкома», оборудование операторов работает в штатном режиме и сбоев в последнее время не фиксировали.

«Но на сети по закону установлены сторонние технические средства, деятельность которых мы не контролируем. Потенциально они могут оказывать воздействие на пропуск трафика», — заявил «Вымпелком», под «законом» имея в виду, видимо, «о суверенном Рунете» (90-ФЗ), который и принуждает операторов устанавливать такие устройства.

Сбои доступа на некоторых сервисах наблюдались и у проводных операторов. Это подтвердили в «Марте», который работает в Псковской области:

«Проблемы, с которыми столкнулись наши абоненты, по всей видимости, связаны с попыткам Роскомнадзора заблокировать некоторые сервисы VPN. Делается это при помощи ТСПУ. Именно таким способом блокировки можно объяснить то, что затруднения возникли не везде, а только на сетях части провайдеров, и то, что сами провайдеры оказались не в курсе того, что происходит, поскольку ТСПУ для нас „чёрный ящик“».

 

Создатель «Эшер II» Филипп Кулин, комментируя инцидент с нарушением работы игровых платформ, напомнил о крайне расширительном толковании норм при разработке всего пакета нормативов — от самого 90-ФЗ от 01.05.2019 до «подзаконки» и ненормативных актов: «Плюс принятие их всех с нарушениями. Репрессивная норма „всё, что наша левая пятка и любовница посчитает неприятным — угроза, а борьба с угрозами автоматом наделяет нас чрезвычайными полномочиями“ не отражает ни суть, ни дух даже самого драконовского и похожего на паэлью закона о суверенном Рунете. Законно? Да. Имеет правовую основу? Нет, если, конечно, мы не подразумеваем под этим правоблудие. Суверенный Рунет начал предсказуемо становиться сувенирным».

«Когда в 2018 году блокировали Telegram, тоже ломался доступ к многим сервисам, — напомнил техничесий специалист «РосКомСвободы» по безопасности Вадим Лосев. — Тогда „за компанию“ пострадал Viber, сервисы регистрации на авиарейсы, продажа полисов ОСАГО, сайты ВУЗов и еще много кто. Похоже, что сейчас происходит то же самое».

 

Одновременно с тем, когда «легли» игровые сервисы, стало известно о блокировке публичного DNS в России:

«Примерно 75% доступности по стране, — сообщил исполнительный директор Общества защиты интернета (ОЗИ) Михаил Климарёв. — Блокируют целиком протокол WireGuard. Тут, правда, лечится методом смены порта, но сам факт. А главное: теперь все эти блокировки абсолютно непрозрачны. Ну, то есть — даже если что-то блокируется, то теперь мы об этом даже не узнаем из официальных источников. Просто заблокируют и всё. Понятно, что „цифровую блокаду“ в XXI веке в 146-миллионной стране устроить невозможно. Но весь интернет в России стал работать сильно хуже. И будет ещё хуже».

К слову, многие эксперты, а также оппозиционные политики уверены, что текущие манипуляции Роскомнадзора связаны с намерением заблокировать «Умное голосование», созданное командой Алексея Навального. Напомним, недавно РКН обратился к популярным магазинам приложений удалить соответствующую программу, приравняв в своего риторике попытки предоставить к нему доступ к намерению повлиять на выборы в стране.

Поэтому Климарёв уверен, что в период выборов в Госдуму Россию ждут ещё более масштабные блокировки:

«Я ставлю 0.95 вероятность, что 15-19 сентября будет заблокирован YouTube. Ну, просто эти вот „единоросы“ так сильно боятся, что уже не остановятся ни перед чем. А блокировки Ютюба могут привести к катастрофическим последствиям. Я реально не знаю, чем всё это кончится, но по ощущениям — Страна катится в АДЪ».

«И тут важно понимать, что таки да — на 70% сетей можно устроить „холокост протоколов“. Но на 30% — НЕЛЬЗЯ. Выход тут довольно прост: уходить от операторов с установленными ТСПУ к операторам, где этой шняги нет», — резюмирует он.

«Миша не совсем прав, — возражает Кулин. — Он забыл, что скоропостижно принятый закон „о халявном Интернете“ вообще лишает маленьких операторов ТСПУ, но узаконивает ТСПУ на транзите. Т.е. „не пользоваться этим списком операторов“ в конечном итоге ничего не даст. Другой вопрос, что сейчас считать весь транзит „покрытым“ пока рано. Но это реальная перспектива».

 

И вот недавно стало известно, что на фоне приближающихся выборов в Госдуму РФ, Роскомнадзор направил уведомления компаниям, предоставляющим услуги VPN, с требованием прекратить доступ к сайту и приложению «Умное голосование».

В ведомстве также подчеркнули, что «Умное голосование» запрещено на основании действующего российского законодательства, и что 10 иностранных компаний предоставляют услуги VPN, с помощью которых можно незаконно зайти на ресурс.

 

 

Роскомнадзор также предупредил, что в сентябре протестирует блокировку ряда иностранных интернет-протоколов, скрывающих имя сайта, включая DoH, который внедряют Mozilla и Google. Упоминалась в письме и Cloudflare.

Такие протоколы могут затруднить блокировку доступа к запрещенным ресурсам. Чтобы сохранить работоспособность сетей, ведомство рекомендует переходить на Национальную систему доменных имен (НСДИ), дав им время до 9 сентября. Блокировка современных протоколов шифрования приведет к снижению приватности и безопасности в рунете, говорят эксперты. Кроме того, может быть ограничен доступ к популярным ресурсам, например, браузеру Firefox.

Ведомство не заявляло прямо о тестировании блокировки, но обычно такие письма госструктуры получают незадолго до них, пишет «Ъ». По данным команды Навального, такая блокировка производилась 8 сентября с 21:00 до 22:00 на нескольких крупных провайдерах с использованием технических средств противодействия угрозам (ТСПУ).

Один из активистов команды Навального Иван Жданов сообщил, что Роскомнадзор повторил утверждение Михаила Климарёва о тестировании публичных DNS-сервисов Google и Cloudflare на крупных операторах связи, «положив при этом половину интернета разом». Он также уверен, что это происходит из-за никак не желающих блокироваться приложений оппозиционеров.

 

 

Основанный IT-экспертом Владиславом Здольниковым проект мониторинга блокировок GlobalCheck тоже зафиксировал блокировку DNS-сервисов Google и CloudFlare, и Владислав также уверен, «что блокировки происходят в рамках борьбы с приложением "Навальный", которое содержит "Умное Голосование"».

Кроме того, свою версию GlobalCheck подтверждает тем, что DNS-сервис Google доступен по нескольким именам, однако блокировался только по тому имени, которое используется приложением Навальный — dns.google. «Кратковременная блокировка была нужна для того, чтобы определить ущерб от нее для других ресурсов — DoH-резолверы используют некоторое количество сервисов и устройств, которые блокировать не планируется», — заключили в GlobalCheck.

Здольников назвал действия властей желанием «сломать интернет»:

«Что делает вандал-психопат, когда берёт в руки большую дубину? Правильно, начинает дубасить ей всех вокруг. Конечно, именно так поступил Роскомнадзор, когда они осознали, что поставили ТСПУ (то есть государственный DPI) на значительную часть интернет-трафика».

Блокировки VPN-протокола WireGuard, DHT, DoH-резолверов Google и CloudFlare он сравнил с актами вандализма, поскольку «пострадали обычные интернет-пользователи, которые используют DoH для безопасных DNS-запросов».

 

«Весь интернет они не положат, — считает Вадим Мисбах-Соловьёв, — однако текущие блокировки уже сейчас значительно портят работу Рунета. Заблокировать YouTube власти вряд ли решатся, поскольку в этом случае они могут "нарваться" уже на крупное недовольство населения, - вот они пока и блокируют то, что используют относительно небольшие группы пользователей».

Одной из причин падений сторонних платформ Вадим называет, кроме прочего, использование многими из них DNS-сервисов именно от Google и Cloudflare:

«Например, даже некоторые провайдеры у себя в „кешах“ прописывали 8.8.8.8 как источник, откуда брать данные для кеширования. А блокировка WireGuard — прямое следствие того, что куча „ширпотребных“ сервисов продажи доступа к VPN начала его "форсить". Если бы вышеупомянутые сервисы как и раньше, до появления WireGuard, использовали OpenVPN (до последнего являвшийся уже устоявшимся "стандартом" для таких сервисов) или предлагали свои проприетарные решения — РКН бы в жизни не узнал про WG».

 

Напомним, техническими специалистами «РосКомСвободы» было разработано расширение Censor Tracker для обхода блокировок и выявления сайтов, которые следят за вами. Установить его можно на браузеры Chrome и Firefox.

Contacts

For general questions

[email protected]

For legal questions

[email protected]

Contacts for media:

Telegram: moi_fee
Signal: moi_fee.13

18+

On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.