Qrator Labs предупредил клиентов о неустраняемой дыре в «Ревизоре»

За разъяснениями по ситуации с уязвимостями системы контроля за блокировками сайтов компания советует звонить напрямую главе Роскомнадзора Жарову или пресс-секретарю ведомства Ампелонскому.

Компания Qrator Labs, занимающаяся защитой от DDoS-атак, анализом и фильтрацией трафика, и другими решениями в области интернета, обратилась к своим клиентам с предупреждением о неустранимой уязвимости в работе системы «Ревизор», которую в своё время навязал провайдерам и операторам связи Роскомнадзор.

Напомним, система «Ревизор», которой власти начали снабжать операторов с 2015 года, это программно-аппаратный комплекс, задача которого — в автоматическом режиме проверять операторов связи на предмет блокировки сайтов, внесенных в реестр запрещенных ресурсов Роскомнадзора. Если он обнаруживает, что есть доступ к заблокированному сайту, то отправляет соответствующее уведомление в территориальное управление Роскомнадзора. Чтобы подтвердить эту информацию, инспектор в ручном режиме делает запрос в систему, и если отсутствие блокировки подтвердится, то делается скриншот, на котором автоматически отпечатается дата, время и наименование оператора связи. Основываясь на этих данных, инспектор выписывает предписание на устранение нарушения, составляет протокол и выписывает штраф.

Региональные операторы уже выражали своё возмущение работой «Ревизора», которая чревата для них необоснованными штрафами. Дело в том, что «Ревизор» отслеживает блокировки запрещённых сайтов и по доменному имени, и по IP, но не у всех небольших региональных операторов есть необходимые технические возможности для корректного выполнения этого требования. Однако ведомство такие «мелочи» не интересуют, и с начала работы системы «Ревизор» к весне этого года у российских операторов накопилось уже около трёх тысяч протоколов об административных правонарушениях, с последующим назначением штрафов. Причем суд вынес уже около 500 решений по делам, 90% которых — не в пользу операторов. Более того, власти посчитали нужным ужесточить наказание за ненадлежащую блокировку, увеличив штрафы — соответствующий закон был принят Госдумой в феврале этого года.

Игнорирование очевидных проблем и правового, и технического характера не могло не привести к печальному итогу — неизвестные владельцы заблокированных сайтов в середине мая этого года нашли брешь в работе «Ревизора» и, естественно, ею воспользовались, внеся в DNS своего внесённого в реестр запрещенных сайтов домена IP-адреса технических доменов системы «Ревизор», отчего работа её оказалась парализована, поскольку самим операторам пришлось автоматически блокировать их во избежание штрафов Роскомнадзора. Дальше — больше. Явление уже стало массовым, и коснулось оно теперь не только самого надзорного ведомства, но и несколько государственных порталов, а также популярных сайтов. Готового решения со стороны Роскомнадзора для операторов не оказалось, и в состоянии, близком к панике, ведомство разослало им «белые списки» сайтов, которые нельзя блокировать (туда вошли государственные порталы, а также популярные интернет-сервисы), а затем пошло на беспрецедентный шаг — смягчило цензуру до окончания прямой линии с Путиным. Но на днях стало известно об отзыве «белых списков» региональными отделами Роскомнадзора, что говорит о непонимании ситуации и действиях ведомства скорее «методом тыка», чем прибегая к каким-то более обдуманным, системным решениям.

Многие компании, провайдеры и операторы связи до сих пор не знают, что им в итоге делать. Поскольку официальные письма надзорного ведомства сменяют друг друга, словно бойфренды скандальной поп-дивы, многие из них продолжают блокировать попадающие в список запрещённых IP, боясь налететь на штрафы.

Видимо, из-за подобной неопределённости Qrator Labs пришлось выпустить такую своеобразную памятку, в которой компания уведомила своих клиентов о ненадёжности системы «Ревизор»:

«Qrator Labs уведомляет клиентов об уязвимости в системе «Ревизор», контролирующей блокировку операторами связи ресурсов (https://eais.rkn.gov.ru/) с информацией, запрещенной к распространению на территории Российской Федерации.

Текущая реализация данной системы создаёт ситуацию, когда произвольные Интернет-пользователи, оставаясь анонимными, могут добавлять IP-адреса популярных интернет-ресурсов в A-записи DNS блокируемых доменов. За прошедшую неделю множество провайдеров сообщили о блокировке таким способом тысяч сайтов с разрешенной информацией, а также сотни тысяч пользователей столкнулись с недоступностью целевых сетевых ресурсов.

Мы вынуждены сообщить, что на сегодняшний день технического решения данной проблемы не существует. Помимо самостоятельного мониторинга по списку ресурсов с запрещенной к распространению информацией, возможно ориентироваться лишь на косвенные признаки доступности ресурса.
Из-за особенностей сетевой инфраструктуры и реализации системы «Ревизор» в случае, если ваш IP-адрес был добавлен к записи заблокированного ранее домена, единственным способом повлиять на недоступность ресурса является прямое обращение к провайдеру услуг и/или к вышестоящим провайдерам IP-транзита.

Qrator Labs отдельно сообщает, что замена IP-адреса ресурса — нетривиальная задача и имеет высокий TTL (Time to live), поэтому обращаться с просьбой о замене текущего IP-адреса на неизвестный злоумышленнику стоит лишь в самом крайнем случае. Также эффект от данного действия легко сводится к нулю изменением в A-записи заблокированного домена вашего старого IP-адреса на новый.

В настоящее время сохраняется запрет блокировок, который продлится до 16 июня. Магистральные операторы связи РФ устранили на своих сетях данную уязвимость, однако она остаётся актуальной для многих локальных провайдеров».

.

За информацией о планируемых решениях данной проблемы компания посоветовала обращаться непосредственно к главе Роскомнадзор Александру Жарову и пресс-секретарю Вадиму Ампелонскому, разместив телефоны, электронные и почтовые адреса в той же публикации.

Тем временем, по информации «Ведомостей», в самом Роскомнадзоре считают, что «ложные блокировки» устроили активисты Фонда борьбы с коррупцией Александр Литреев и Владислав Здольников, которые на самом деле всего лишь сделали достоянием гласности факт уязвимости блокировок. О том, что Роскомнадзор попросил Министерство внутренних дел провести расследование ложных блокировок, журналистам рассказал источник в надзорном ведомстве.

Здольников – IT-консультант ФБК и директор компании Newcaster.tv, а Литреев – основатель Студии Александра Литреева, которая занимается разработкой сайтов и мобильных приложений, также он создал приложение «Красная кнопка», которое сообщает юристам о задержании их клиентов во время протестных движениях. Литреев и Здольников – авторы популярных каналов о кибербезопасности в Telegram (8200 и 14 000 подписчиков соответственно). Оба активно обращали внимание на уязвимость в системе блокировок Роскомнадзора, Здольников писал о ней еще в мае. Тогда он предупредил, что Роскомнадзор начал рассылать операторам связи письма с просьбой добавить адреса центра управления системы «Ревизор» в белый список, т. е. попросил их не блокировать. Действия ведомства оказались связаны с тем, что «Ревизор», который должен осуществлять мониторинг исполнения блокировок операторами, перестал выходить на связь с основным сервером, из-за того что его IP-адреса оказались привязаны к заблокированному ресурсу.

По версии Роскомнадзора, Литреев приобрел более десятка заблокированных, но уже не действующих ресурсов, не исключенных из черного списка Роскомнадзора, к которым, по мнению чиновников, «прикручивались» IP-адреса других, добросовестных сайтов. Литреев признает, что действительно приобретал ресурсы, которые ранее были заблокированы, но использовать со злым умыслом их не собирался, никаких других IP-адресов не указывал, да и не успел бы. Он объясняет, что приобрел адреса для того, чтобы проанализировать уязвимость на собственных, принадлежащих ему ресурсах. Но вновь купленные им адреса очень быстро были удалены из реестра Роскомнадзора.

По словам сотрудника одного из крупных операторов связи и чиновника федерального ведомства, проблема уязвимости на различных совещаниях по кибербезопасности обсуждается с весны. Тогда, по их словам, начались точечные ложные блокировки, но Роскомнадзор эту проблему никак не решал. По мнению последнего, найти ответственного за подобные вещи невозможно, им может быть кто угодно. Проблему надо решать системно, а не путем поимки тех, кто указывает на недостатки существующего порядка блокировки, говорит он. Сотрудник крупного оператора сомневается, что за троллинг Роскомнадзора можно привлечь к ответственности.

Представитель Роскомнадзора сообщил, что ведомство передает всю информацию о действиях лиц, причастных к атакам на законопослушные сайты, в компетентные органы. Информацию о Литрееве и Здольникове он комментировать не стал.

Чем закончится дело Литреева и Здольникова, прогнозировать сложно, но публичное фиаско Роскомнадзора, судя по всему, будет ещё продолжаться, и проблемы у ведомства только начались, поскольку не признающий ошибок обязательно будет находить их на свою голову ещё и ещё.

Читайте также:

Роскомнадзор обязал провайдеров смягчить цензуру до окончания прямой линии с Путиным
?
Роскомнадзор составил «белый список» из более чем 2000 интернет-ресурсов, которые нельзя блокировать
?
Роскомнадзор чуть было не заблокировал Яндекс, ВКонтакте и самого себя для россиян
?
Роскомнадзор напомнил операторам об усилении ответственности за «ненадлежащие» блокировки
?
Региональные операторы связи протестуют против «Ревизора»