Офтоп
Никита Лихачёв

Кризис реестра запрещённых сайтов, или почему не у всех открывается TJ

Почему блокируются известные добропорядочные сайты, что делает Роскомнадзор и чем это может закончиться.

Глава Роскомнадзора Александр Жаров

Ситуация с незаконными блокировками развивается уже неделю, но до сих пор непонятно, чем она закончится. Неизвестные подставляют благонадёжные сайты, чтобы насолить им или чтобы Роскомнадзор таким образом отменил блокировку. Роскомнадзор перекладывает вину на интернет-провайдеров, а те оказались меж двух огней — штрафами за неблокировку и разъярёнными пользователями. Страдают в этой цепочке вообще все, и с недавних пор в список блокировки попал TJ.

Кризис — иначе это уже назвать нельзя — реестра запрещённых сайтов глубоко уходит корнями в то, как в принципе устроена система блокировок Роскомнадзора: от законов до архитектуры интернета.

Что именно происходит

В реестр запрещённых сайтов Роскомнадзора занесены URL-адреса, но обычно провайдеры блокируют их по IP. Это дешевле, а дорогое оборудование для более точной блокировки может позволить себе не каждый провайдер.

Спустя годы после начала работы реестра запрещённых сайтов многие попавшие в него домены перестали быть нужны своим владельцам и со временем освободились. Любой получил возможность зарегистрировать их снова.

У владельца домена есть возможность переадресовать его на «чужой» IP и даже сразу на несколько. В интернете нет никакого разделения на «свой-чужой IP»: у одного домена может быть много IP-адресов, а IP-адрес может быть доступен с разных доменов, и всё это может постоянно меняться. Через запись в DNS (системе, которая хранит данные об этих связях) владелец заблокированного домена может «приклеить» к себе адрес добропорядочного сайта и тем самым распространить на него блокировку.

Можно провести аналогию: полиция объявила, что нашла наркоторговца и сообщила, что он живёт на улице Ленина, 27. А наркоторговец написал на своей двери, что он переехал на проспект Революции, 14, где живёт мэр города. Это сейчас и происходит: неизвестные (скорее всего, не связанные вместе люди) подставляют другие сайты, потому что могут.

Когда появилась такая уязвимость

Она существовала всегда с момента запуска реестра запрещённых сайтов, и Роскомнадзор о ней предупреждали. В 2012 году владелец заблокированного сайта «Библиотеки Мошкова» таким образом перенаправил блокировку своего проекта на сайт Минюста.

Способ применяли и в 2014 году, когда администраторы сайтов Алексея Навального пытались создать распределённую систему зеркал navalny.fuckrkn.ru для противостояния блокировкам Роскомнадзора. Одним из этих администраторов был Владислав Здольников, сооснователь Newcaster.TV. В какой-то момент он решил использовать уязвимость, чтобы перенаправить блокировку одного из зеркал на сайт LifeNews. Сайт издания был некоторое время недоступен, но после обращения в Роскомнадзор IP-адрес navalny.fuckrkn.ru вручную убрали из реестра.

Что поменялось с тех пор

Чтобы провайдеры не блокировали благонадёжные сайты, Роскомнадзор стал вручную обновлять в реестре IP-адреса сайтов-нарушителей и рекомендовать провайдерам вести блокировку только по этим адресам. Однако всё поменялось в 2016 году, когда в целях проверки исполнения блокировок Роскомнадзор заставил операторов поставить у себя оборудование компании «МФИ Софт» под названием «Ревизор».

Это оборудование работает так: если оно видит, что доступ к находящемуся в реестре сайту можно получить из сети провайдера, то в Роскомнадзор отправляется уведомление о нарушении. Там на его базе составляют административный акт против провайдера, и суды штрафуют компанию за то, что доступ к запрещённому сайту не ограничивается. Для юрлиц штраф составляет от 50 до 100 тысяч рублей за каждый случай.

Провайдеры не хотят, чтобы их штрафовали, поэтому они блокируют все IP-адреса, которые ассоциируются с запрещёнными сайтами, и «Ревизор» доволен. Список этих адресов «Ревизор» не предоставляет, провайдеры составляют их сами, фактически нарушая рекомендации Роскомнадзора. Деваться им некуда: если сайт из реестра вдруг изменит IP-адрес и «Ревизор» увидит, что он доступен, им придёт штраф.

Почему ситуация стала быстро эскалироваться

В конце мая 2017 года администратор одного из сайтов, находящихся в реестре Роскомнадзора, перенаправил свою блокировку на IP-адреса «Яндекса» и «ВКонтакте». Чтобы обезопасить крупные сайты, Роскомнадзор направил операторам письмо с запретом блокировки этих IP-адресов.

Здольников, одним из первых заметивший эту уязвимость, стал публиковать в своём Telegram-канале списки свободных для регистрации, но всё ещё заблокированных доменов. Неизвестные воспользовались этим, начав их регистрировать и переадресовывать на популярные сайты, подводя их под блокировку. Общий посыл активистов таков: эскалируя ситуацию, они демонстрируют невежество Роскомнадзора и борются с ним его же собственной системой.

Даже появился сервис, в который можно ввести IP-адрес и заблокировать его по этой схеме. Итог: ситуация быстро вышла из-под контроля.

Кто оказался заблокирован таким образом

«ВКонтакте», «Одноклассники», Фейсбук, YouTube, «Яндекс» и его сервисы, Google, Mail.Ru, Telegram, онлайн-кинотеатр ivi.ru, HH.ru, сайты Первого канала, «Медузы», РБК, сервера Steam, World of Tanks и многие другие ресурсы, например, использующие систему дистрибуции контента CloudFlare (её адреса тоже заблокировали таким образом). Список ограничен лишь фантазией.

Под раздачу попал и TJ: сначала его заблокировал читатель сайта, но потом использовавшийся им домен был удалён из реестра Роскомнадзором. В ночь с 7 на 8 июня кто-то внёс наш сайт снова с помощью другого домена: на недоступность жалуются абоненты «Транстелекома» и других менее крупных провайдеров, чей трафик идёт через него.

Что в этой ситуации делает Роскомнадзор

В ведомстве вручную рассылают провайдерам требования не блокировать добропорядочные сайты. Помимо этого, Роскомнадзор удаляет из реестра освободившиеся домены — прямо по спискам, публикуемым Здольниковым.

Сначала «белый список» был небольшим, позднее он вырос до более двух тысяч сайтов. В основном это государственные порталы и крупные ресурсы, в том числе некоторые СМИ. Однако один из адресов в списке — маска вида «*.google.*» — подразумевает, что запрещено блокировать вообще все адреса, в названии которых есть строка «.google.». Фактически это позволяет сайтам вида porno.google.vasya.com избежать блокировки.

То, что эта маска действительно работает так, подтвердил TJ пресс-секретарь Роскомнадзора Вадим Ампелонский. В разговоре с РБК он уточнял, что такой список сайтов рассылается с 2016 года, чтобы «небольшие операторы не осуществляли сопутствующую блокировку социально значимых ресурсов», однако в кругах операторов говорят, что это не соответствует действительности. Другие издания жаловались на то, что в течение недели Ампелонский был полностью недоступен для комментариев и отключал телефоны.

При этом «белый список» составлен в виде документа Excel с раскрашенными разными цветами строчками. Провайдерам придётся вручную переносить его в свои системы и обновлять, если им будут присылать новые версии. Однако компании опасаются, что «Ревизор» будет считать неблокировку сайтов из «белого списка» за нарушение и им будут приходить штрафы, хотя требования Роскомнадзора будут исполнены.

Само ведомство винит в случившемся провайдеров, подчиняющихся системе «Ревизор», хотя Роскомнадзор и имеет к ней непосредственное отношение: её разработкой занимается подведомственное предприятие. Более того, как утверждает совладелец хостинговой компании «Дремучий лес» Филипп Кулин, в ведомстве ещё в марте обсуждали то, как расходятся рекомендации «Ревизора» и Роскомнадзора, то есть они знали о назревающем кризисе.

Как узнать, что сайт блокируется, и что делать

Для владельцев сайтов: реагируйте на жалобы, которые пишут пользователи, даже если они немногочисленны. Сайт может блокироваться у одних провайдеров и не блокироваться у других. Точный ответ можно получить, только если выгрузить весь реестр запрещённых сайтов и проверить, переадресуют ли какие-то из доменов на IP-адрес вашего сайта (это очень сложно сделать — реестр огромен). Сейчас Здольников работает над инструментом для проверки, хозяин какого домена перенаправил на сайт свою блокировку.

Если вы подозреваете, что ваш сайт блокируется, стоит обратиться в Роскомнадзор: пока другого способа избежать блокировки нет. Однако нет никакой гарантии, что в ведомстве быстро ответят и примут меры: на обращение TJ там не среагировали даже спустя четыре дня.

Для пользователей: если привычный для вас сайт или сервис не загружается (появляется плашка об ограничении доступа или сайт просто ведёт себя так, как будто он «упал»), используйте VPN и другие популярные способы обхода блокировок. Пока это ещё разрешено, хотя 8 июня в Госдуму и внесли законопроект об их запрете.

К чему приведёт кризис

Есть несколько возможных сценариев.

Первый, маловероятный: Роскомнадзор временно перестанет выписывать штрафы на основе уведомлений из «Ревизора». Либо ситуацию удастся решить (хотя неизвестно, как именно), либо ведомство смирится с тем, что часть сайтов из реестра у некоторых операторов не будет блокироваться.

Второй, более вероятный: Роскомнадзор продолжит расширять «белый список» сайтов и создаст API для провайдеров, фактически превратив российский интернет в китайский.

Третий, самый вероятный: операторы законодательно или принудительно начнут пропускать весь трафик через оборудование DPI, которое расшифровывает пакеты и определяет, на какие сайты заходят пользователи. При этом сайты, использующие соединение https, придётся продолжить блокировать по IP. В любом случае, для выполнения этих требований провайдерам придётся тратить больше денег на DPI. В результате мелкие провайдеры или обанкротятся, или взвинтят цены, или продадутся более крупным, и на рынке останется лишь монополист (например, «Ростелеком») или несколько олигополистов.