Законопроект №89417-6, принятый 10 июля 2012 года Государственной Думой РФ, ознаменовал новую эпоху развития рунета. У властей наконец-то появился механизм, позволяющий блокировать неугодные сайты руками провайдеров доступа к интернету. К сожалению, как и у большинства законов принятых в последние 4 года, реализация исполнения была продумана чуть менее чем полностью, что привело к блокировке вполне невинных сайтов. Сегодня, по прошествии чуть более двух лет, по данным сайта rublacklist.net незаконно блокируется доступ к 58940 доменным именам, не содержащим никакого противоправного контента. Вопрос о том, почему это происходит, и о способах избежать такой ситуации мы и рассмотрим в данной статье.
Ваш сайт попал под блокировку — кто виноват?
Исходную информацию о том, какой сайт необходимо заблокировать, провайдеры получают сразу из нескольких источников:
- Единый реестр запрещенной информации eais.rkn.gov.ru/
- Реестр нарушителей авторских прав nap.rkn.gov.ru/
- Реестр информации, запрещенной законом 398-ФЗ 398-fz.rkn.gov.ru/
- Федеральный список экстремистских материалов minjust.ru/ru/extremist-materials
- Решения судов в отношении отдельных провайдеров (раз rospravosudie.com/court-proletarskij-rajonnyj-sud-g-rostova-na-donu-rostovskaya-oblast-s/act-101271803/ два rospravosudie.com/court-novgorodskij-rajonnyj-sud-novgorodskaya-oblast-s/act-107327437/)
- Предписания прокуратуры в отношении отдельных провайдеров forum.nag.ru/forum/index.php?showtopic=95062
Ваш сайт не содержит запрещенной информации и, тем не менее, оказался заблокированным? Добро пожаловать в компанию незаконно заблокированных сайтов. Скорее всего причиной тому является блокировка по IP-адресу. Дело в том, что это единственный способ для провайдера реализовать блокировку без больших затрат. Но теория
IP-адрес вашего сайта отсутствует в реестре? Не беда — прокуратура вполне может найти запрещенный материал на одном из сайтов, находящихся с вами на общем IP, и выписать предписание отдельному транзитному провайдеру.
Более того, даже формальное отсутствие на
Как видно, источников много. И если по трем реестрам и списку материалов минюста еще можно самостоятельно определить, попал ли ваш сайт в них, то решения судов и местячковые предписания прокуратуры отследить не представляется технически возможным.
Как это происходит на уровне провайдера.
Для того чтобы понять, как эффективно лавировать в бурном потоке запретов, надо понимать, что и зачем делает и провайдер, и регулятор. Провайдеру всё равно. Провайдер всегда идёт по пути наименьшего сопротивления. Регулятор, напротив, хочет создать видимость бурной деятельности, и, возможно, не со зла раскладывает пасьянсы из нормативов. Зависимость от безответственных, никем не контролируемых, постоянно изменяющихся нормативов является основным риском в смысле доступности сайтов.
В общем случае устоявшаяся методика блокировки на уровне провайдера такова:
- Провайдер формирует списки IP-адресов, доступ к которым должен быть ограничен.
- Если в реестрах не содержится IP-адрес сайта, то провайдер получает его, разрешая доменное имя. Отдельные провайдеры следуют рекомендациям РКН и всегда разрешают доменное имя в IP-адрес, даже если он явно указан в реестре.
- Трафик на данный IP направляется на отдельный сервер в сети провайдера.
- Если провайдер имеет в составе своей сети DPI, трафик анализируется, блокируются только запросы на запрещенные URL. Если же DPI нет, блокируется весь трафик.
- Для протокола HTTPS — если в реестре явно указан URL с HTTPS, стараются блокировать только трафик на данный IP на порт 443 (поскольку из шифрованного трафика невозможно выделить URL). Если в реестре фигурирует URL с HTTP — HTTPS трафик не блокируют.
Как от всего этого защититься?
Модерируйте свои сайты и следите за ними.
Пока практика «подстав» не сильно распространена, однако вполне возможна блокировка вашего сайта за материал незаконного содержания, оставленный на форуме или же опубликованный с использованием уязвимости вашего сайта.
В случае с материалом экстремистского содержания ваш
По возможности, размещайте сайты у российских хостинг-провайдеров.
Это утверждение только выглядит «рекламным». Российские хостеры в курсе реалий законодательства и прикладывают определенные усилия для защиты своих клиентов — своевременно реагируют на запросы РКН, имеют доступ к реестрам и отслеживают их изменения. Мы после первых же блокировок разнесли пользовательские сайты по сотне различных IP-адресов, стремясь минимизировать количество клиентов, которые могут «влететь» под блокировку заодно с одним из незаконных сайтов. Скорее всего никто из зарубежных хостинг-провайдеров таких усилий прикладывать не станет.
Выделенный IPv4 адрес.
Постарайтесь вынести ваш сайт на отдельный IP-адрес. Это обезопасит вас от блокировки «за компанию». Многие
Отдельный IPv6 адрес.
Хостинги, которые внедрили на своей сети стек IPv6 уже сегодня выдают выделенный IPv6 адрес для каждого сайта. К сожалению, число их пока невелико, но из-за дефицита IPv4 адресов количество таких провайдеров увеличивается. А это значит, что шанс попасть под блокировку невинному сайту уменьшается. Отдельно стоит упомянуть, что в большинстве своем проверяющие органы пока не освоили доступ к сайтам по IPv6 адресам.
Использование шифрования и SSL-сертификатов
В отличие от обычного протокола HTTP, HTTPS осуществляется по защищённому каналу SSL и его невозможно просмотреть, а значит и выделить из шифрованного трафика конкретный URL. Из-за непонимания работы протоколов усложнённый вопрос защищённого канала пока стараются обходить. В большинстве случаев, если нет прямого указания, провайдеры стараются игнорировать блокировку протокола HTTPS. Это будет продолжаться, пока использование HTTPS не станет массовым.
Кажется что-то пошло не так..
Отдельного внимания заслуживает история о блокировке блога Алексея Навального.
Наверняка многие из вас слышали о том, что блог Алексея Навального на платформе LiveJournal находится в реестре (несмотря на то, что до сих пор ведомство так и не определилось в причинах блокировки). Сторонники Алексея не стали мириться с блокировкой и создали целую систему динамических доменных имен и IP-адресов для организации свободного доступа к блогу. Неделями сотрудники РКН только и делали, что блокировали данные домены. И вот в один момент заблокированные домены стали указывать на IP-адреса самого реестра. Провайдеры, которые последовали рекомендациям РКН по самостоятельному разрешению доменных имен, в автоматическом режиме заблокировали доступ к реестру. И далее уже не могли к нему обращаться. После чего РКН рекомендовал все-таки не разрешать доменные имена самостоятельно, а блокировать именно IP-адреса, указанные в реестре.
Как шла борьба сторонников Алексея с Роскомнадзором можно почитать в блоге Руслана Левиева: ruslanleviev.livejournal.com/34401.html
Кстати, результатом этой же борьбы стало появление своего реестра — реестра подсетей государственных органов: github.com/AntiZapret/AntiZapret
У нас был еще один подобный случай. Владелец некого доменного имени, находящегося в списке экстремистских материалов минюста решил перенести к нам свой сайт и изменил A-запись своего домена на IP-адрес нашего сервера. В результате доступ к данному серверу в течение суток был отрезан одним из транзитных операторов. Причем только одним, так что доступ к серверу пропал лишь у некоторого числа пользователей. Мы смогли определить проблему только эскалацией заявки через цепочку операторов.
Какие будут перспективы?
К сожалению, перспективы достаточно безрадостные. Заполучив в руки вожделенный механизм цензуры, деятели от законотворчества не хотят останавливаться и чуть ли не ежедневно выдвигают новые идеи запретов. В ближайшее время нас ждет запрет доступа к сайтам, хранящим персональные данные вне территории РФ, запрет доступа к крупным блогам (более 3000 посетителей), не зарегистрированным в МинКомСвязи, а также возможность блокировки не отдельных ip-адресов, а сразу подсетей ( habrahabr.ru/post/229431/ ). Ситуация усугубляется тем, что у провайдеров доступа в интернет своих проблем хватает, и бороться с цензурой они не будут — пойдут по самому легкому пути — пути непротивления «инновациям». О том, как будут с этой напастью бороться
Автор: schors