Чорні списки рунета в дії. Як знизити ризик для свого сайту

    image
Законопроект № 89417-6, прийнятий 10 липня 2012 Державною Думою РФ, ознаменував нову епоху розвитку рунета. У влади нарешті з'явився механізм, що дозволяє блокувати неугодні сайти руками провайдерів доступу до інтернету. На жаль, як і у більшості законів прийнятих в останні 4 роки, реалізація виконання була продумана трохи менше ніж повністю, що призвело до блокування цілком невинних сайтів. Сьогодні, після трохи більше двох років, за даними сайту rublacklist.net незаконно блокується доступ до 58940 доменних іменах, що не містить ніякого протиправного контенту. Питання про те, чому це відбувається, і про способи уникнути такої ситуації ми і розглянемо в даній статті.
 
 
 

Ваш сайт потрапив під блокування — хто винен?

 
Вихідну інформацію про те, який сайт потрібно заблокувати, провайдери отримують відразу з декількох джерел:
 
     
  1. Єдиний реєстр забороненої інформації eais.rkn.gov.ru /
  2.  
  3. Реєстр порушників авторських прав nap.rkn.gov.ru /
  4.  
  5. Реєстру інформації, забороненої законом 398-ФЗ 398-fz.rkn.gov.ru /
  6.  
  7. Федеральний список екстремістських матеріалів minjust.ru / ru / extremist-materials
  8.  
  9. Рішення судів щодо окремих провайдерів (раз rospravosudie.com/court-proletarskij-rajonnyj-sud-g-rostova-na-donu-rostovskaya-oblast-s/act-101271803/ два rospravosudie.com/court-novgorodskij-rajonnyj-sud-novgorodskaya-oblast-s/act-107327437 / )
  10.  
  11. Приписи прокуратури стосовно окремих провайдерів forum.nag.ru / forum / index.php? showtopic = 95062
  12.  
 
Ваш сайт не містить забороненої інформації і, тим не менш, виявився заблокованим? Ласкаво просимо в компанію незаконно заблокованих сайтів. Швидше за все причиною тому є блокування за IP-адресою. Справа в тому, що це єдиний спосіб для провайдера реалізувати блокування без великих витрат. Але теорія хостингу передбачає розміщення безлічі сайтів за однією IP-адресі. І не тільки хостингу — від подібних блокувань вже страждали відомі «хмарні» сервіси (видають IP-адреса в тимчасове користування) та CDN-мережі (використовують гео-розподіл по одному або декільком IP-адресами).
 
 image
 
IP-адресу вашого сайту відсутній в реєстрі? Не біда — прокуратура цілком може знайти заборонений матеріал на одному з сайтів, які перебувають з вами на загальному IP, і виписати припис окремому транзитному провайдеру.
 
 image
 
Більше того, навіть формальна відсутність на хостингу сайтів, що не містять забороненого контенту не гарантує від попадання в блокування. Справа в тому, що відповідно до рекомендацій РКН eais.rkn.gov.ru / docs / Recomendation.pdf в цілях боротьби з частою зміною IP-адрес сайтів порушників провайдери самі повинні дозволяти доменне ім'я з реєстру в IP-адресу. І це дає можливість власнику такого доменного імені заблокувати будь-який сервер. РКН на таку можливість дивиться крізь пальці (www.dropbox.com/s/l4lk0uafordlvsi/%D0%98%D1%81%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B8%D0%B9%2030.08.2013.pdf ).
 
Як видно, джерел багато. І якщо за трьома реєстрами і списку матеріалів мін'юсту ще можна самостійно визначити, чи потрапив ваш сайт в них, то рішення судів і местячковие припису прокуратури відстежити не представляється технічно можливим.
 
 

Як це відбувається на рівні провайдера.

 
Для того щоб зрозуміти, як ефективно лавірувати в бурхливому потоці заборон, треба розуміти, що і навіщо робить і провайдер, і регулятор. Провайдеру все одно. Провайдер завжди йде по шляху найменшого опору. Регулятор, навпаки, хоче створити видимість бурхливої ​​діяльності, і, можливо, не зі зла розкладає пасьянси з нормативів. Залежність від безвідповідальних, ніким не контрольованих, що постійно змінюються нормативів є основним ризиком в сенсі доступності сайтів.
 
У загальному випадку усталена методика блокування на рівні провайдера така:
 
     
  1. Провайдер формує списки IP-адрес, доступ до яких повинен бути обмежений.
  2.  
  3. Якщо у реєстрах не міститься IP-адресу сайту, то провайдер отримує його, дозволяючи доменне ім'я. Окремі провайдери дотримуються рекомендацій РКН і завжди дозволяють доменне ім'я в IP-адресу, навіть якщо він явно вказаний в реєстрі.
  4.  
  5. Трафік на даний IP направляється на окремий сервер в мережі провайдера.
  6.  
  7. Якщо провайдер має у складі своєї мережі DPI, трафік аналізується, блокуються тільки запити на заборонені URL. Якщо ж DPI немає, блокується весь трафік.
  8.  
  9. Для протоколу HTTPS — якщо в реєстрі явно вказаний URL з HTTPS, намагаються блокувати тільки трафік на даний IP на порт 443 (оскільки з шифрованого трафіку неможливо виділити URL). Якщо в реєстрі фігурує URL з HTTP — HTTPS трафік не блокують.
  10.  
 
 image
 
 

Як від усього цього захиститися?

 
 
модеруються свої сайти і стежте за ними.
 
Поки практика «підстав» не сильно поширена, однак цілком можливе блокування вашого сайту за матеріал незаконного змісту, залишений на форумі або ж опублікований з використанням уразливості вашого сайту.
У випадку з матеріалом екстремістського змісту ваш хостинг-провайдер навіть не отримає попереднього повідомлення — сайт буде внесений до реєстру та повідомлення ви отримаєте вже постфактум.
 
 
По можливості, розміщуйте сайти у російських хостинг-провайдерів.
 
Це твердження тільки виглядає «рекламним». Російські хостери в курсі реалій законодавства і прикладають певні зусилля для захисту своїх клієнтів — своєчасно реагують на запити РКН, мають доступ до реєстрів і відстежують їх зміни. Ми після перших же блокувань рознесли користувальницькі сайти по сотні різних IP-адрес, прагнучи мінімізувати кількість клієнтів, які можуть «влетіти» під блокування заодно з одним із незаконних сайтів. Швидше за все ніхто з зарубіжних хостинг-провайдерів таких зусиль прикладати не стане.
 
 
Виділений IPv4 адресу.
 
Постарайтеся винести ваш сайт на окремий IP-адресу. Це убезпечить вас від блокування «за компанію». Багато хостинг-провайдери пропонують послугу виділеного IP-адреси за окрему плату. На жаль, дефіцит IPv4 адрес позначився на її розмірі, але втрати від блокування можуть бути набагато більше.
 
 image
 
 
Окремий IPv6 адресу.
 
Хостинги, які впровадили на своїй мережі стек IPv6 вже сьогодні видають виділений IPv6 адресу для кожного сайту. На жаль, число їх поки невелика, але через дефіцит IPv4 адрес кількість таких провайдерів збільшується. А це означає, що шанс потрапити під блокування невинному сайту зменшується. Окремо варто згадати, що в більшості своїй перевіряючі органи поки не освоїли доступ до сайтів по IPv6 адресами.
 
 image
 
 
Використання шифрування і SSL-сертифікатів
 
На відміну від звичайного протоколу HTTP, HTTPS здійснюється по захищеному каналу SSL і його неможливо переглянути, а значить і виділити з шифрованого трафіку конкретний URL. Через нерозуміння роботи протоколів ускладнений питання захищеного каналу поки намагаються обходити. У більшості випадків, якщо немає прямої вказівки, провайдери намагаються ігнорувати блокування протоколу HTTPS. Це буде тривати, поки використання HTTPS не стане масовим.
 
 

Здається щось пішло не так…

 
Окремої уваги заслуговує історія про блокування блогу Олексія Навального.
 
Напевно багато хто з вас чули про те, що блог Олексія Навального на платформі LiveJournal знаходиться в реєстрі (незважаючи на те, що досі відомство так і не визначилося в причинах блокування). Прихильники Олексія не стали миритися з блокуванням і створили цілу систему динамічних доменних імен та IP-адрес для організації вільного доступу до блогу. Тижнями співробітники РКН тільки й робили, що блокували дані домени. І ось в один момент заблоковані домени стали вказувати на IP-адреси самого реєстру. Провайдери, які послідували рекомендаціям РКН за самостійним вирішенню доменних імен, в автоматичному режимі заблокували доступ до реєстру. І далі вже не могли до нього звертатися. Після чого РКН рекомендував все-таки не дозволяти доменні імена самостійно, а блокувати саме IP-адреси, зазначені в реєстрі.
Як йшла боротьба прихильників Олексія з Роскомнадзором можна почитати в блозі Руслана Левієва: ruslanleviev.livejournal.com/34401.html
До речі, результатом цієї ж боротьби стала поява свого реєстру — реєстру підмереж державних органів: github.com / AntiZapret / AntiZapret
 
У нас був ще один подібний випадок. Власник нема кого доменного імені, що знаходиться в списку екстремістських матеріалів Мін'юсту вирішив перенести до нас свій сайт і змінив A-запис свого домену на IP-адресу нашого сервера. В результаті доступ до даного сервера протягом доби був відрізаний одним з транзитних операторів. Причому тільки одним, так що доступ до сервера пропав лише у деякої кількості користувачів. Ми змогли визначити проблему тільки ескалацією заявки через ланцюжок операторів.
 
 

Які будуть перспективи?

 
На жаль, перспективи досить безрадісні. Здобувши у руки жаданий механізм цензури, діячі від законотворчості не хочуть зупинятися і мало не щодня висувають нові ідеї заборон. Найближчим часом нас чекає заборона доступу до сайтів, що зберігають персональні дані поза території РФ, заборона доступу до великих блогам (більше 3000 відвідувачів), не зареєстрованим в Мінкомзв'язку, а також можливість блокування не окремих ip-адрес, а відразу підмереж (habrahabr. ru/post/229431 / ). Ситуація посилюється тим, що у провайдерів доступу в інтернет своїх проблем вистачає, і боротися з цензурою вони не будуть — підуть найлегшим шляхом — шляхи непротивлення «інновацій». Про те, як будуть з цією напастю боротися хостинг-провайдери, ми напишемо в наступній статті.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.