Владислав Здольников (слева) и Александр Литреев (по центру). Фото: Александр Литреев
В мае стало известно об уязвимости в системе блокировок Роскомнадзора, которая позволяет заблокировать ресурс, официально не внесённый в чёрный список. Для этого нужно внести адрес ресурса жертвы (которую вы хотите заблокировать) в DNS-запись домена, уже внесённого в чёрный список. Там сотни доменов, и некоторые из них можно недорого купить.
В течение некоторого времени де-факто на территории РФ были заблокированы такие ресурсы как интернет-кинотеатр Ivi, популярное интернет-издание Meduza и другие. Возможно, и сейчас у кого-то заблокированы Steam, Instagram, игра World of Tanks или другие сервисы, которые точно отсутствуют в реестре. Ничего удивительного. Благодаря дырам в системе блокировок сегодня заблокировать в РФ можно что угодно, абсолютно произвольным образом. Даже Хабрахабр и Geektimes, это минутное дело.
Судя по всему, чиновники Роскомнадзора знали об этой уязвимости несколько месяцев или больше, но даже не подумали её устранять. В связи с этим несколько активистов — Александр Литреев (Студия Литреева) и Владислав Здольников (IT-консультант Фонда борьбы с коррупцией Алексея Навального), а также примкнувший к ним Александр Брусенцев — обратились в Следственный комитет. Активисты считают, что чиновники Минкомсвязи и Роскомнадзора должны быть привлечены к ответственности по трем статьям Уголовного кодекса (293, 285 и 306).
Статья 293 — халатность, статья 285 — злоупотребление должностными полномочиями, в том числе часть 3 — внесение в единые государственные реестры заведомо недостоверных сведений, статья 306 — заведомо ложный донос о совершении преступления.
Действия активистов даже нельзя назвать неким актом агрессии, это скорее самооборона. Роскомнадзор ранее обратился в МВД с просьбой провести расследование ситуации с несанкционированными блокировками ресурсов, которые происходили в РФ на прошлой неделе. В результате такой проверки на Литреева и Злотникова могут завести уголовное дело за то, что они покупали заблокированные домены и «прикручивали к ним адреса обычных сайтов» («Ведомости» цитируют слова человека, близкого к Роскомнадзору). Сам Литреев отрицает, что делал это, хотя действительно купил больше десяти заблокированных, но не действующих ресурсов, и вроде бы добавил к ним адреса каких-то добросовестных сайтов. Но исключительно в целях проверки. Собственно, предложение привлечь чиновников по статье 306 связано именно с тем доносом в МВД.
Литреев и Здольников являются авторами популярным Telegram-каналов, посвящённых информационной безопасности. У одного 8200 подписчиков, у другого 14 000. Они оба активно указывали на уязвимость на своих каналах, так что о ней всем было хорошо известно.
В то же время Роскомнадзор точно знал об уязвимости в марте 2017 года, об этом свидетельствуют письма о совещаниях, которые проводились по этой теме в то время. И даже в феврале уже знал, о чём свидетельствует письмо одному интернет-провайдеру от Минкомсвязи (письмо раздобыл Литреев).
У российских чиновников не принято ставить приоритеты информационной безопасности на первое место, следить за закрытием уязвимостей и т. д. Например, на прошлой неделе руководитель Роскомнадзора Александр Жаров сказал, что решением этой проблемы может быть «законопроект, дающий органам власти право самостоятельно определять порядок блокировки ресурсов». То есть проблему решат ещё не скоро.
Автор: alizar