Чёрно-белые списки

Последние дни ознаменовались очередным витком своеобразного «киберсопротивления» блокировкам, будет ли это стимулом для госструктур технически «переписать» систему цензуры Рунета?.

Суть происходящего подробно описана в данном посте, и нет смысла заново описывать события. Адекватных способов противодействия «атаке на DNS заблокированного интернет-ресурса» у Роскомнадзора нет. И настолько нет, что Роскомнадзору приходится писать письма, в которых операторам связи региональные представители надзорного ведомства дают витиеватые указания о «запрете блокировки» определенных IP-адресов.

Роскомнадзор сам себя загнал в текущее состояние, о чем неоднократно, не раз, не два предупреждали специалисты по телекоммуникациям. 

Административно происходит же следующее:

1. По признакам нарушения законодательства ресурс-нарушитель вносится в реестр для блокировки.
2. Операторы связи скачивают реестр и отправляют на исполнение соответствующему оборудованию. Тут нужно особо отметить, что какого-либо регламента и/или стандарта по механизму блокировок не существует — сети у интернет-провайдеров разные, оборудование разное, подход к механизмам блокировок тоже разный.
3. И в связи с п.2 — Роскомнадзор, следуя букве названия ведомства, только надзирает исполнение предписаний блокировок. Для чего использует специальный АС «Ревизор», который «в автоматическом режиме» (закавычено нарочно) проверяет провайдеров на предмет реальной блокировки ресурсов из реестра.

Эдакая управленческая петля…

Так в чем проблема механизма блокировок, прописанная в регламентах by design?

Очень просто. Интернет это динамическая система, которая постоянно изменяется и адаптируется под условия.

Ну, к примеру — реестр запрещенных сайтов, как информационная база данных, содержит следующие поля — приведем скриншот:

1. Дата внесения в реестр
2. Статус (отдельная тема для исследования)
3. Домен или URL
4. IP-адрес
5. Административно-юридические данные, на основании чего производится блокировка — номер постановления, дата, орган.

Нас интересуют поля Домен/URL и IP-адрес.

Юридически, практически и технически между этими полями должен стоять логический операнд конъюнкции — «логическое И». Блокироваться должен ресурс, который имеет «И» указанный домен/URL, «И» указанный IP-адрес.

Но Роскомнадзор, суд, ФСКН, и даже МВД не может повлиять на технические характеристики соответствия «универсального указателя ресурса» IP-адресу. Система, напомню, динамическая — параметрами записи соответствия URL и IP-адреса управляет владелец домена. И сделано это совершенно обосновано — мало ли что может случиться с провайдером, владеющим блоком IP-адресов. Именно для этого и был изобретен DNS в далеком 1987 году (тридцать лет назад, между прочим!) в RFC-1034.

Можно ли как-то упорядочить и централизовать законодательно регистрацию DNS административным порядком? Думаю — нет. Потому что ни одна централизованная система не сравнится по производительности с  системами самообслуживания, которой, по сути, и является система DNS — владелец домена волен прописать в Resource Records что угодно, когда угодно и по любому поводу, который придет в голову владельцу.

И, что важно для РКН — вся система DNS находится не в ведении каких-либо органов государственной власти. И тем более — российских, которые к изобретению феномена «глобальной сети» не имеют ровным счетом никакого отношения.

Следовательно, записи в реестре по логике «И» не имеют практического смысла — владелец заблокированного ресурса тут же «организует переезд» на другой IP-адрес и станет вновь доступным.

Поэтому, в реестре и контролирующем аудиторе «АС Ревизор» сделаны расширительные толкования класса: “тут блокируем, тут не блокируем, но штраф все равно выпишем”. В телеграмм-канале «Я люблю АС «Ревизор»» (который, кстати, ведут сотрудники одного из подразделений РКН — ФГУП РЧЦ) эти практики очень бурно обсуждаются — рекомендую для изучения.

В то же время расширения практики блокировок в управленческой петле контроля «Ревизором» на логику «ИЛИ» приводит к совсем уж юридически (и тем паче — технически) ничтожным практикам «запрета блокировок», как, например, в указанном письме выше за подписью «и.о. заместителя руководителя».

Но на этом технические проблемы реестра не заканчиваются. Даже больше — они только начинаются! И великие проблемы идеи черного списка с текущей реализацией еще впереди.

Я вижу минимум две технические проблемы, которые произойдут в самом ближайшем будущем:

1. Бамп-лимит на системах фильтрации по количеству обрабатываемых ресурсов.
   Достаточно просто: системы фильтрации — это обычные компьютеры, не сильно отличающиеся от обычных, которые проверяют каждый (подчеркну — каждый!) интернет-запрос пользователя в интернет. Если запрос не входит в список — пользователю дается ответ ОК. Если входит — блокировка. Достаточно просто, но это требует вычислительных мощностей. То есть, каждый из миллиарда миллиардов запросов должен быть обработан. И логично предположить, что чем длиннее список запрещенных ресурсов, тем больше операций поиска вхождений нужно произвести соответствующему оборудованию.
   То есть — время обработки каждого запроса растет. Пока это не так заметно — тысячные доли микросекунд занимает эта обработка. Но если умножить миллиарды миллиардов запросов на тысячные доли микросекунд, то это уже минуты, часы и сутки вычислительного времени. И это время будет расти.
   Но для некоторого типа оборудования и ПО фильтрации размер «черного списка» может стать очень серьезной проблемой. И даже уже стало — так у производителя оборудования Allot Communication был такой лимит в 60К записей. А в реестре уже 70К+ записей.
   Возможно, бамп-лимиты существуют и у других производителей. Это может быть 100К, например. Или даже миллион. Но лимиты существуют у всех в силу необходимости физически перемалывать много-много записей класса «поиск-вхождение».
   Одним словом, блокировки просто замедляют интернет. И чем дальше, тем сильнее.
   .
2. Неконтролируемые DNS-записи и практика расширительного толкования блокировок.
   Сейчас обиженные  блокировками вебмастера прописали в DNS IP-адреса довольно безобидных (технически не значимых) интернет-ресурсов, типа самого РКН или сайта kremlin.ru.
   Но что-то мне подсказывает, что последствия могут быть более катастрофическими, если в реестр попадут более распространенные веб-ресурсы. Нет, это не «Одноклассники» или ВК.
   Это чисто технические ресурсы, на которых сейчас строится подавляющее большинство интернет-сайтов вообще. Например — библиотеки bootstrap от Twitter. Или открытые шрифты от Google. Или под техническую блокировку может попасть великое множество сайтов на движке WordPress, которые обновляются из одного источника библиотек.

.

Да что там далеко ходить — вот сайт Президента России, который ссылается на безобиднейший schema.org, где описываются структуры данных:

.

Но никто не мешает «злодеям» внести «схемы» в список блокировок по IP и тем самым нарушить корректность работы «главного сайта страны».

Я лично уверен, что очень скоро с этим проблемами мы столкнемся практически.

Что со всем этим делать — не понятно. Точнее — понятно, но РКН и тем более Государственной Думе и всем кормящихся с «ведения реестра», это предложение не понравится. Предложение простое — прекратить заниматься ерундой с блокировками и заняться наконец своими прямыми обязанностями — ловить злодеев, наркоторговцев, экстремистов и прочих физических лиц, нарушающих законодательство, о котором так радеют.

Впрочем, горячие головы «за законность и правопорядок» выдвигают новую идею — раз нельзя корректно эксплуатировать «черные списки» — то есть логическое исполнение принципа «разрешено все, что не запрещено», то давайте введем практику «белых списков». То есть принцип: «запрещено все, кроме того, что явно разрешено».

Это технически выполнимый принцип. Так сделать можно. Технически. Но посмотрим, как это будет реализовано административно-юридически. По аналогии с пунктами, приведенными выше:

1. На основании некоего документа (заявления) исполнительный орган должен принять решение по внесению любого интернет-ресурса в реестр «белого списка». Пусть он будет называться «Реестр разрешенных сайтов» — РРС.
2. Для чего, ведомство должно проверить ресурс на предмет наличия отсутствия запрещенной информации — это же логично.
3. После чего — либо вносит в РРС запись с парой «URL — IP-адрес», либо пишет мотивированный отказ.
4. Включает «петлю обратной связи» на предмет внесения провайдерами ресурса из РРС в список «технически доступных».

Вам не кажется, что тогда процесс развития интернета чуточку замедлится? Мне — кажется. Кроме того, это, как говорится — «создаст предпосылки для коррупции». Ну действительно — почему бы не получить немного денег за то, чтобы посодействовать быстрейшему внесению в «белый реестр» определенного ресурса от «хорошего человека»? Или наоборот. Скажем, случайно потерять «заявление» от ресурса не очень хорошего.

Ну, или в «этих наших интернетах» будет несколько сотен сайтов, одобренных государственными органами (мечты Милонова и Мизулиной), что приведет к замедлению развития собственно интернета, а за ним и экономического развития вообще. Ибо, если нет новых интернет-проектов, то нет и развития — вполне понятная логическая цепочка.

Так и живем!

.

Михаил Климарёв, ЗаТелеком, специально для «РосКомСвободы»

Читайте также:

Владельцы заблокированных сайтов начали против Роскомнадзора «интернет-войну»
?
Роскомнадзор чуть было не заблокировал Яндекс, ВКонтакте и самого себя для россиян
?
Региональные операторы связи протестуют против «Ревизора»
?
Лига БезИнтернета подготовила законопроект, обязывающий провайдеров предфильтровать Рунет
?
Законотворческий тупик в целях «безопасности детей»

.