Роскомнадзор хочет ограничить сканирование Рунета на уязвимости из-за рубежа

Роскомнадзор анонсировал целый ряд мер по части усиления безопасности информационной инфраструктуры России.

После заседания «Научно-технического совета по вопросам информационной безопасности российских систем и ресурсов» на базе Главного радиочастотного центра (ФГУП «ГРЧЦ») надзорное ведомство рассказало о трёх главных направлениях в этом вопросе.

Сначала надзорное ведомство рассказало о планах по борьбе с кибератаками. По сведениям РКН, в 2022 году в 1,5 раза выросло количество и мощность DDoS-атак, а их продолжительность увеличилась с 1 до 10 часов. Для защиты от них в прошлом году начали применять технические средства Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора. По словам РКН, с их использованием отражено более 40 крупных атак на ключевые российские отраслевые и ведомственные сегменты.

Участники совета в ГРЧЦ пришли к выводу, что «необходимо оперативно создать национальную систему мер для защиты от DDoS-атак». Система должна обеспечить защиту российской инфраструктуры от всех видов такого рода атак из-за рубежа на трансграничных переходах. Помимо создания системы до конца года предстоит организовать обмен информацией об атаках и способах защиты между крупнейшими российскими компаниями в области кибербезопасности.

Далее Роскомнадзор поведал о планах по сканированию уязвимостей российских систем и сервисов. Ведомство хочет на базе своего ЦМУ создать отечественную доверенную систему сканирования, которая позволит выявить уязвимости российских информационных ресурсов, предоставляя возможность их оперативного устранения:

«С целью защиты российских систем одновременно планируется принять меры по ограничению сканирования зарубежными сервисами российского сегмента интернета».

Якобы «в зарубежном сегменте интернета функционируют более 10 сервисов, которые постоянно сканируют и выявляют уязвимости в том числе в Рунете», утверждает Роскомнадзор:

«Эта информация используется злоумышленниками для компьютерных атак на российскую инфраструктуру».

По словам одного из технических специалистов «Роскомсвободы», есть публичные сервисы, которые сканируют Сеть на предмет уязвимостей, а есть непубличные — чаще всего они принадлежат правительствам  разных государств. Принцип работы сканнеров примерно такой: берётся определённый диапазон IP-адресов, и «роботы лазят по всем этим айпишникам, проверяют компьютеры и сервера». После этого боты проверяют порты этих компьютеров и серверов, ищут — «какие там сервисы?» Затем пассивным способом, то есть - не взламывая эти сервисы, по некоторым характеристикам они пытаются понять, какие там есть уязвимости.

«Эта работа происходит постоянно, – отмечает наш технический специалист. – Роботы от нескольких десятков основных компаний и государств просто бесконечно «перебирают» интернет, отыскивая и фиксируя данные об уязвимостях. Есть публичные базы, которые можно посмотреть и увидеть — что и на каких айпишниках находится, какие сервисы там крутятся, какие проблемы там могут быть. Иногда этим занимаются специальные центры, и если они нашли какую-то проблему, то связываются с владельцами этих серверов (госорганизациями, банками, крупными компаниями, etc), и говорят: «Наши роботы нашли на ваших айпишниках сервер, на котором есть уязвимость. Наша задача — вас предупредить». Уже после этого специалисты той компании, в которую они обратились, делают какие-то выводы и работают над устранением проблемы».

Исходя же из пресс-релиза надзорного ведомства можно сделать вывод, что Роскомнадзор до сего момента ничем таким не занимался, рассуждает эксперт.

Препятствование же в том, чтоб позволить иностранным сервисам сканировать российский сегмент интернета может означать что угодно — от того, что власти не хотят позволить иностранным хакерам получить данные об уязвимостях до желания «сделать так, потому что могут».

«Или они могут рассуждать так…. Если мы напишем плохого робота, а у «частников» из-за границы будет хороший, все будут пользоваться их роботом. А мы-то хотим, чтоб пользовались нашим. Такая логика тут может быть... Ещё это может быть целесообразно на случай, если «враждебный мир отключит нас от интернета», а мы будем со своими роботами жить в нашем уютном Чебурнете», – иронизирует эксперт.

«Да тут, как обычно, с три короба наплетено. Этих «сканирующих сервисов» — сотни тысяч, и им, как правило, вообще наплевать на географию», – утверждает другой технический эксперт «Роскомсвободы».

Блогер и IT-специалист Илья Вайцман, в свою очередь, говорит следующее:

«Да ничего особенного. Внезапно™ оказалось, например, что пользователи облачных и сетевых 1С, например, не накатили апдейт, вышедший еще год назад — и их вот на днях сломали («Ашан» и другие). Подозреваю, что и остальные большие утечки имеют схожую природу.

Вот и решили на госуровне искать дыры, чтобы требовать (не понимаю, в каком порядке) их ликвидации. Идея понятная и, в целом, разумная, но пока нет правового механизма реализации».

Третьим направлением улучшения работы по кибербезопасности Роскомнадзор видит в предоставлении «достоверной информации о страновой принадлежности IP-адресов».

РКН заявил, что создаст «на базе ЦМУ российскую доверенную систему верификации страновой принадлежности сетевых адресов» под предлогом того, что она «позволит владельцам российских информационных систем использовать доверенный источник информации и обеспечит корректную работу российских информационных ресурсов и доступ к ним граждан».

«Что касается уточнения геолокации IP, то тут давно форменный всемирный балаган, – считает Вайцман. – Данные о распределении IP по сетям обновляются нерегулярно и некачественно. Некоторые пользователи «обратных VPN», которым надо в РФ, отмечали, что по данным российских и не только сервисов они находятся в ...Иране! Соответственно, «фиг им, а не госуслуги». Видимо (совершенно точно), такая же проблема есть и внутри РФ, когда условных воронежцев определяют иностранцами, вот и задергались. Раньше это никого не парило, а когда начали тотальное огораживание Рунета, то вылезла проблема».

Один из технических специалистов «Роскомсвободы» тоже считает, что это своего рода инвентаризация IP-адресов, поскольку до сего дня никто ничего в этом вопросе не изучал, не учитывал, и не всегда можно определить уже, кому в данный момент тот или иной IP принадлежит. Но, в то же время, эта инициатива может быть одним из звеньев работы по вышеобозначенному сканированию уязвимостей.

Другой наш эксперт говорит:

«По поводу «страновой принадлежности»... Это они хотят создать свой maxmind-db (aka geoip) «с нескучными обоями» (отсылка к истории с Bolgenos)».

На вопрос, могут ли потом базы IP использоваться для нарушения работы VPN-сервисов, которые подменяют сетевые адреса на иностранные, наши специалисты думают, что вряд ли. Об этом же говорит и Илья Вайцман:

«Я не думаю, что речь идет о блокировке IP узлов VPN, потому что в такой схеме проще сделать «по-туркменски»: обрубить внешний доступ вообще, оставив только белый список разрешенных сервисов».