Открытое письмо Роскомнадзору от разработчика Tor Project

Роскомсвобода публикует открытое письмо разработчика проекта OONI из The Tor Project к Роскомнадзору об избыточных блокировках.

Дорогой Роскомнадзор!

Действия по блокировкам сетей Amazon, Hetzner и DigitalOcean не приводят к значимой деградации Telegram. Аудитория Telegram в России не уменьшается, приложение работает и без Proxy-серверов. Единственная заметная деградация — стикеры стали отображаться на 70% медленнее.

Из-за «ковровых блокировок» деградируют и блокируются многие сервисы, а Telegram продолжает работать.

Глюки корпоративного мессенжера Slack, сервиса видеоконференций Jitsi Meet и блокировка документации на DNS-сервер PowerDNS стали поводом написать этот текст. Мне было особенно неловко, когда пришлось просить коллег из команды Firefox использовать сервис видеоконференций от корпорации Google. Увы, привычный meet.jit.si опять был заблокирован РКН. Это стало последней каплей.

Я захотел понять масштабы разрушений от блокировок подсетей, узнать тот список «социально незначимых» сервисов, пострадавших от сопутствующих блокировок. С 28 июня по 1 июля я исследовал открытые данные от компании Rapid7,
содержащие DNS-отображения 1.3 миллиардов доменов в IP адреса. В заблокированные сети попало более 4.5 миллионов поддоменов из миллиона доменов.

Число заблокированных доменов мало говорит о сути сайтов. Число — это не «трагедия», это «статистика». Для ранжирования этих «расстрельных списков» полезны рейтинги AlexaCisco Umbrella, The Majestic Million. В разделении на домены и поддомены поможет Public Suffix List. Без ранжирования осознание масштаба проблемы потребовало бы гораздо больше времени.

Больше сотни «деградировавших» и неправомерно заблокированных сервисов перечислены ниже.

Начну с неполного списка тех сервисов, блокировку которых я заметил в повседневности, ещё до изучения вопроса: 

  • Slack[1]. Один из лучших корпоративных мессенджеров.
  • Jisi Meet[2]. Веб-приложение для видеоконференций, вместе с используемой. платформой обратной связи Discourse[3]
  • IRC клиент WeeChat[4]. В мире разработки СПО этот архаичный вид связи ещё популярен.
  • DNS-сервер PowerDNS[5] вместе с документацией и другими доменами.
  • API Twilio[6], сервиса для отправки SMS и автоматизации звонков на ТФОП.
  • Doodle[7], удобный способ согласования времени встречи или совещания для группы людей.
  • Сервер обмена PGP ключами от pgp.com[8]
  • Kismet[9], приложение для анализа безпроводных сетей.
  • Wireshark[10], сниффер для отладки сетевых приложений.
  • Архив обсуждений разработки языка программирования Python[11]
  • Сервис скриншотов[12] в Firefox и другие интегрированные в браузер веб-сервисы.
  • 7-Zip[15], архиватор с высокой степенью сжатия.
  • netlify[16], платформа для публикации сайтов.
  • imperialviolet[17], блог Adam Langley (agl@), специалиста в области криптографии
  • Evil32[18], сайт об атака на сеть доверия PGP.

.

Под блок попали и другие сервисы для работников отрасли информационных технологий:

  • TeamViewer[19] — ПО для удалённого доступа,
  • база знаний производителя сетевого оборудования Juniper[20],
  • элементы API Upwork[21] — платформы для фрилансеров,
  • wiki и сайт фреймворка для разработки QT[22],
  • сервис для подбора шрифтов Adobe Typekit[23],
  • утилиты для проверки SSL-серверов от DigiCert[24],
  • части платформы непрерывной интеграции и поставки ПО Travis CI[25](развёрнутые на хостинге веб-приложений heroku),
  • Plesk[26] — панель управления серверами и хостином,
  • Nextcloud[27] — ПО для поддержки независимоого облачного хранилища,
  • Learn X in Y Minutes[28] — краткие введения во многие аспекты разработки ПО,
  • phpDocumentor[29] — система документирования исходных кодов на PHP,
  • PHPoC[30] — парадоксальная платформа для интернета вещей PHP on Chip,
  • ориентированный на интернет вещей GSM-оператор DataSIM[31],
  • образовательные ресурсы о разработке ПО для миникомпьютера Raspberry Pi[32],
  • форум обсуждения пакета для глубокого обучения PyTorch[33],
  • Phabricator[34] — набор веб-сервисов для совместной разработки ПО,
  • проект по использованию дистрибутива Arch с ядром GNU/Gurd[35],
  • ReactOS[36] — совместимая с Windows операционная система с открытым исходным кодом,
  • и даже сайт программистов-олимпиадников из Нижнего Новгорода[37] (как и сотни других сайтов на платформе heroku).

.

Задело также и «инфраструктурные» сервисы:

  • «пробник» и «якорь» проекта RIPE Atlas[38],
  • NTP-сервера проекта pool.ntp.org[40],
  • сервер обновлений и API сетевого оборудования Netgear[41],
  • сотни серверов вендора VoIP решений 3cx[43],
  • сервера проверки скорости связи в датацентах DigitalOcean[45],
  • DNS-сервера Фонда Электронных Рубежей[47] и архиватора WinRAR[48],
  • почтовый сервер проекта «Сердитый гражданин»[49],
  • сервис коротких ссылок Tinycc[50],
  • тайл-сервер картографических изображений OpenStreetMap от geofabrik[51],
  • более сотни доменов картографического сервиса here.com[52],
  • некоторые сервисы sony.tv[56].

.

Досталось и другим производителям оборудования:

  • порталу гарантийной поддержки TP-Link[57],
  • сайту поддержки Epson[58],
  • сайтам Canon[59] и Duracell[60].

.

Веб-сервисы отрасли транспорта и туризма:

  • альянса авиаперевозчиков Skyteam[61],
  • журнала IATA[62],
  • авиакомпаний Transavia[64] и Etihad[65],
  • аренды автомобилей Sixt[66],
  • API немецких железных дорог[67],
  • API авиакомпании lufthansa[68],
  • сервисы покупки билетов trip.ru[69] и momondo[70],
  • и, предположительно, одну из корпоративных систем компании Газелькин[71].

.

Деградировали и банковские сервисы: от зарубежных Банка Канады[72] и украинского ПриватБанка[73], до API российского банка Tinkoff[74].

Некоторые СМИ тоже попали под «ковровые блокировки»: отраслевой Wire[75], французкий Le Monde[76], американский Politico[77], внешние и внутренние сервисы The Guardian[78], BBC[79] и других.

Среди заблокированных сайтов из индустрии моды особняком стоит бренд Иванки Мари Трамп[80].

В тех же подсетях оказались сайты аудиторской и рейтинговой компаний Deloitte[81] и Moody’s[82]. Рядом — один из сайтов ООН[83], Красного Креста[84] и греческого отделения Y.M.C.A.[85]

Спасибо, Роскомнадзор, если бы не блокировки, я бы не узнал о сложных отношениях РПЦ и Y.M.C.A.

Развлекательные сайты — не исключение. В «списке» находятся:

  • netflix.com[86] и полсотни других доменов этого сервиса,
  • видеосервис Twitch[89],
  • страница легендарных The Beatles[90],
  • комиксы о философах Existential Comics[91],
  • продолжающийся с декабря 2014 года «Российский дзен»[92],
  • набор специфических шуток программистов Говнокод.ру[93].

Комиксами «дело философов» не ограничивается и в бан уходит страница Ноама Хомского[94], вики о работах основателя Creative Commons Лоуренса Лессига[95], стандарт де-факто для обмена ссылками на научные публикации DOI[96], используемая биологами всего мира база данных по белкам[97], сотни страниц десятков зарубежных университетов, включая новый проект создателя WWW Тима Бернерса-Ли в MIT[98].

Российские университеты тоже блокировка не обошла, досталось как минимум проектам петербургского Политеха[99] и архивным проектам Сколково[100].

Конечно, заблокировало и пару известных VPN-сервисов: Hotspot Shield[101] и hide.me[102]. И даже 1 (один) ресурс посвящённый Telegram — каталог Telegram каналов Узбекистана[103]!

Не обошлось без курьёзов: заблокирован anus.com[104] (сайт американского подпольного сообщества нигилистов). А животноводство в списке излишне заблокированных сайтов представлено форум козоводов[105].

Этот список случайно заблокированных сайтов далеко не полный. Его продолжают SurveyMonkey[106], IFTTT[107], 1C[108]

.

Да вот только Телеграм продолжает работать.

.

Роскомнадзор, скажите, это действительно новая норма?

Не могли бы компетентные сотрудники в рамках комплекса мер по исполнению решения суда в отношении Telegram снять с блокировки подсети ряда зарубежных хостинг-провайдеров с целью избежать ограничения доступа к добропорядочным интернет-ресурсам? Подобную операцию уже проделали не единожды. paper.dropbox.com, accounts.firefox.com, strava.com и многие другие неправомерно заблокированные международные сервисы снова стали доступны.

Или пришла таки пора, когда ссылки в презентациях[РКН] на избыточно заблокированные ресурсы должны сопровождаться пометкой «[РКН]»?

Неужели многомесячная хаотическая блокировка СМИ, международных организаций, образовательных и развлекательных проектов — это и есть новая реальность и начало создания «альтернативного интернета», о котором опять
говорит МИД?

Неужели это и есть планируемое «цифровое развитие» России?

.

Леонид Евдокимов,
программист проекта OONI / The Tor Project


.

Приложение 1:

Этот текст опубликован открытым письмом. Многочисленные попытки коллег обратится на горячую линию заканчивались неудачей. Почтовый сервер РКН отказывал в приёме писем с сообщением «554 Your access to this mail system has been rejected due to the sending MTA’s poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means».

Указанные в сносках для доменных имён IP адреса были получены обращением к DNS с обычного клиентского подключения провайдера Ростелеком в последнюю неделю июня 2018. К моменту публикации часть доменных имён наверняка резолвится в другие IP адреса. И из других мест сети адреса могут быть другими из-за геобалансировки. Но все перечисленные домены попадали в заблокированные сети также и в момент сбора датасета серверами Rapid7.

Другая причина возможной доступности нижеуказанных сервисов в том, что некоторые провайдеры не блокируют крупные подсети, саботируя исполнение указаний РКН. Каждый читатель может оценить заблокированость сетей Amazon с помощью сервисов EC2 Reachability & RKN Test и оригинального EC2 Reachability Test.

В ежеминутно меняющейся инфраструктуре облачных провайдеров сложно давать количественные оценки «деградации» сервисов без информации от команды пострадавшего сервиса, но можно подтвердить сам факт деградации. Запросы к международным сервисам о статистике трафика и количественная оценка потери трафика сознательно не проводились для предотвращения соответствующих дискуссий.

  1. mpmulti-7g1u.lb.slack-msgs.com и everything.lb.slack-msgs.com — 13.230.65.47 и 13.231.156.136 (13.230.0.0/15)
  2. meet.jit.si — 34.253.161.198 (34.248.0.0/13)
  3. discourse.jitsi.org — 13.56.14.126 (13.56.0.0/14)
  4. weechat.org — 178.63.40.67 (178.63.0.0/16)
  5. powerdns.com, www.powerdns.com — 188.166.104.92 (188.166.0.0/17)
  6. cds.twilio.com — 18.204.154.114 (18.204.0.0/14)
  7. doodle.com — 34.251.113.142 и 34.254.38.154 (34.248.0.0/13)
  8. keyserver.pgp.com — 18.206.36.226 (18.204.0.0/14)
  9. kismetwireless.net — 165.227.176.149 (165.227.0.0/16)
  10. 1.as.dl.wireshark.org — 128.199.176.14 (128.199.0.0/16)
  11. mail.python.org — 188.166.95.178 (188.166.0.0/17)
  12. send.firefox.com — 52.32.253.160 (52.32.0.0/16)
  13. fhr.data.mozilla.com — 54.213.88.215 (54.212.0.0/15)
  14. screenshots.services.mozilla.com — 54.213.37.242 (54.212.0.0/15)
  15. 7-zip.org — 159.65.89.65 (159.65.0.0/16)
  16. www.netlify.com — 167.99.231.242 (167.99.0.0/16)
  17. www.imperialviolet.org — 159.203.111.115 (159.203.0.0/16)
  18. evil32.com — 159.203.118.147 (159.203.0.0/16)
  19. trust.teamviewer.com — 13.58.128.219 и 18.218.93.240 (13.56.0.0/14, 18.218.0.0/16)
  20. kb.juniper.net — 52.32.250.172 (52.32.0.0/16)
  21. webhooks.upwork.com — 13.56.108.74 (13.56.0.0/14)
  22. www.qt-project.org, wiki.qt.io — 54.229.165.195 (heroku, 54.228.0.0/15)
  23. typekit.com — 18.205.175.162 (18.204.0.0/14)
  24. ssltools.digicert.com — 54.213.205.41 (54.212.0.0/15)
  25. github-apps.travis-ci.com — 54.229.165.195 (54.228.0.0/15)
  26. plesk.com — 13.58.22.227 (13.56.0.0/14) и 52.57.152.184 (52.57.0.0/16)
  27. www.nextcloud.com — 165.227.162.232 (165.227.0.0/16)
  28. learnxinyminutes.com — 159.203.37.167 (159.203.0.0/16)
  29. phpdoc.org — 159.89.105.163 (159.89.0.0/16)
  30. www.phpoc.com — 13.125.72.59 (13.125.0.0/16)
  31. www.datasim.com — 54.229.98.217 (54.228.0.0/15)
  32. helloworld.raspberrypi.org, hackspace.raspberrypi.org — 54.229.165.195 (54.228.0.0/15), 34.246.94.179 и 34.243.188.61 (34.240.0.0/13), 34.249.85.24 с 34.253.18.118 и 34.248.164.131 (34.248.0.0/13).
  33. discuss.pytorch.org — 159.203.172.63 (159.203.0.0/16)
  34. www.phacility.com — 13.57.88.196 (13.56.0.0/14)
  35. archhurd.org — 128.199.32.197 (128.199.0.0/16)
  36. reactos.org — 178.63.204.104 (178.63.0.0/16)
  37. olympiads.nnov.ru — 54.229.165.195 (54.228.0.0/15)
  38. p2442.probes.atlas.ripe.net — 195.154.45.244 (195.154.0.0/17)
  39. ca-tor-as14061.anchors.atlas.ripe.net — 159.203.27.37 (159.203.0.0/16)
  40. например, ntp-sin-02.no-such-agency.net — 167.99.64.239 (167.99.0.0/16)
  41. updates1.netgear.com — 34.241.19.122, 34.243.216.129 (34.240.0.0/13)
  42. api.netgear.com — 34.247.117.155 (34.240.0.0/13)
  43. например, spb.3cx.ru — 91.108.25.42 (91.108.24.0/23)
  44. например, itppbx.3cx.eu — 51.136.48.173 (51.136.0.0/15)
  45. speedtest-nyc3.digitalocean.com — 174.138.51.137 (174.138.0.0/17)
  46. speedtest-fra1.digitalocean.com — 46.101.218.147 (46.101.128.0/17)
  47. ns2.eff.org — 206.189.70.183 (206.189.0.0/16)
  48. ns2.win-rar.com — 174.138.9.247 (174.138.0.0/17)
  49. relay.angrycitizen.ru — 178.63.93.73 (178.63.0.0/16)
  50. tinycc.com — 159.203.160.179 (159.203.0.0/16)
  51. tile.geofabrik.de — 178.63.30.115 (178.63.0.0/16)
  52. например, datalens.api.here.com — 34.251.83.54 (34.248.0.0/13)
  53. например, navigation-voice.data.here.com — 34.250.165.170 (34.248.0.0/13)
  54. например, geocoder.cit.api.here.com — 54.213.191.53 (54.212.0.0/15)
  55. например, query.data.api.platform.here.com и metadata.data.api.platform.here.com — 34.240.126.204 (34.240.0.0/13), 34.249.137.16 и 34.253.29.242 (34.248.0.0/13)
  56. ssm.internet.sony.tv — 52.32.16.43 (52.32.0.0/16)
  57. warranty.tp-link.com — 18.236.19.227 (18.236.0.0/15)
  58. support.epson.com — 52.32.144.146 (52.32.0.0/16)
  59. canon.com — 13.230.249.17 (13.230.0.0/15)
  60. duracell.com — 52.32.71.17 (52.32.0.0/16)
  61. www.skyteam.com — 34.240.37.142 (34.240.0.0/13)
  62. rtsm.iata.org — 34.241.236.142 (34.240.0.0/13) и 34.248.198.97 (34.248.0.0/13)
  63. airlines.iata.org — 35.176.100.141 (35.176.0.0/15)
  64. www.transavia.com — 35.178.38.9 (35.178.0.0/15), 52.56.151.73 (52.56.0.0/16)
  65. etihad.com — 159.122.132.244 (159.122.128.0/18)
  66. www.sixt.ru — 34.241.173.157 (34.240.0.0/13)
  67. open-api.bahn.de — 52.57.39.7 (52.57.0.0/16)
  68. api.lufthansa.com — 54.228.226.174 (54.228.0.0/15)
  69. trip.ru — 54.229.13.87 (54.228.0.0/15)
  70. momondo.ru — 34.240.145.244, 34.240.69.154 (34.240.0.0/13)
  71. corp.gazelkin.ru — 52.32.51.172 (52.32.0.0/16)
  72. bankofcanada.ca — 34.243.56.93 (34.240.0.0/13)
  73. login.privat24.ua — 34.248.197.223 (34.248.0.0/13)
  74. 2018-api.tinkoff.ru — 34.251.46.176 (34.248.0.0/13)
  75. wire.com — 34.251.18.112 (34.248.0.0/13)
  76. lemonde.fr — 195.154.120.129 (195.154.0.0/17)
  77. www.politico.eu — 35.177.248.225, 35.177.52.163 (35.176.0.0/15)
  78. например, advertising.theguardian.com — 35.177.35.0 (35.176.0.0/15)
  79. например, buzz-cms.int.tools.bbc.co.uk — 34.249.84.78 (34.248.0.0/13), 54.229.156.84 (54.228.0.0/15)
  80. www.ivankatrump.com — 13.58.182.215, 13.58.123.170 (13.56.0.0/14)
  81. eu.deloittedigital.com — 52.56.133.15 (52.56.0.0/16), 35.176.22.107 (35.176.0.0/15)
  82. credittrends.moodys.com — 18.204.177.175 (18.204.0.0/14)
  83. la.one.un.org — 128.199.219.71 (128.199.0.0/16)
  84. redcross.eu — 188.166.13.131 (188.166.0.0/17)
  85. www.ymca.gr — 195.154.107.162 (195.154.0.0/17)
  86. netflix.com — 34.241.244.104, 34.246.137.168, 34.246.63.0, 34.247.120.239 (34.240.0.0/13) и 34.249.125.167, 34.251.239.113, 34.253.1.11 (34.248.0.0/13)
  87. например, cache.netflix.com — 13.56.120.65 (13.56.0.0/14)
  88. например, api-global.latency.prodaa.netflix.com — 34.240.74.208, 34.241.96.206, 34.242.190.16 (34.240.0.0/13) и 34.248.216.204, 34.252.142.248, 34.253.108.210 (34.248.0.0/13)
  89. id.twitch.tv — 54.213.207.101 (54.212.0.0/15)
  90. www.thebeatles.com — 34.253.52.82 (34.248.0.0/13)
  91. existentialcomics.com — 159.203.149.160 (159.203.0.0/16)
  92. zenrus.ru — 128.199.51.180 (128.199.0.0/16)
  93. www.govnokod.ru — 46.101.246.194 (46.101.128.0/17)
  94. chomsky.info — 159.89.234.242 (159.89.0.0/16)
  95. wiki.lessig.org — 165.227.176.23 (165.227.0.0/16)
  96. doi.org — 34.240.74.155 (34.240.0.0/13)
  97. www.uniprot.org — 35.178.50.247 (35.178.0.0/15)
  98. solid.mit.edu — 46.101.166.89 (46.101.128.0/17)
  99. 3dprocess.spbstu.ru, pointcloud.spbstu.ru, tatlin.spbstu.ru — 46.101.166.181 (46.101.128.0/17)
  100. projects.skoltech.ru — 46.101.166.206 (46.101.128.0/17)
  101. www.hotspotshield.com — 159.89.100.215 (167.99.0.0/16)
  102. hide.me — 174.138.52.82 (174.138.0.0/17)
  103. uztelegram.com — 188.166.74.165 (188.166.0.0/17)
  104. anus.com — 18.218.11.105 (18.218.0.0/16)
  105. forum.kozovod.com — 159.89.24.42 (159.89.0.0/16)
  106. www.surveymonkey.ru — 13.57.116.88 (13.56.0.0/14)
  107. mobile-api.ifttt.com — 18.204.197.86 (18.204.0.0/14)
  108. releases.1c.eu — 52.57.147.198 (52.57.0.0/16)

Читайте также:

Блокировки Роскомнадзора не отвернули пользователей от Telegram
?
Telegram подал вторую жалобу в ЕСПЧ
?
Более 50 правозащитных центров выступили в защиту Telegram
?
Сервис TgVPN и юристы РосКомСвободы подали иск на Роскомнадзор
?
В ООН представлен доклад о давлении на интернет со стороны России

.

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.