Роскомнадзор опубликовал на своем сайте документы, в которых содержится анализ и предложения по новому методу осуществления блокирования интернет-ресурсов в России. Документов всего три, и они важны для понимания того, как будет производиться госрегулирование Рунета.
В них содержится анализ и предложения по новому методу осуществления блокирования интернет-ресурсов в России:
— ;
— ;
— , которые предлагается обсуждать с профессиональным и экспертным сообществами.
Ключевые моменты из данных документов, которые я считаю необходимым выделить:
1) ни один из известных методов блокирования не является на 100% эффективным, те кому надо смогут найти способ обойти блокировку — поэтому наращивание дополнительных барьеров бессмысленно, оно приведет лишь к «гонке вооружений»;
2) отказ от блокирования защищенного трафика (т.к. в обратном случае — обесцениваются бизнес-приложения, персональные и другие защищенные данные);
3) при любом методе блокировки будут финансовые издержки со стороны того, кто ее непосредственно осуществляет, операторы, готовьтесь к дополнительным расходам;
4) осознание факта «хронической нехватки IPv4-адресов» и того, что применяемый на данный момент в России является очень грубым методом блокирования интернет-сайтов и из-за того, что 80-90% всех сайтов в интернете расположены не на выделенном только им IP-адресе, то под блокировку за одно попадает огромное число добропорядочных интернет-ресурсов;
5) метод блокирования с использованием DNS-сервера тоже не является точным блокированием, поскольку блокируется домен целиком или сеть доменов следующих уровней, а не отдельная запрещенная страница;
6) недопустимость магистральной блокировки интернет-ресурсов за пределами национальной юрисдикции: сейчас пользователи сопредельных с Россией государств (Армения, Азербайджан, Молдова, Украина, Белоруссия) получают “заглушки” от Ростелекома и Вымпелкома, поскольку компании блокируют по IP-адресу ресурсы из черного списка и для пользователей из этих стран на магистральном уровне;
7) необходимость проведения дискуссии с максимально широким кругом заинтересованных сторон (с подозрительной оговоркой «по крайней мере, формально»):
“Учитывая сложившуюся практику управления использованием сети Интернет, членство Российской Федерации в ряде авторитетных международных организаций и «клубов» развитых стран, а также перспективу вступления в другие подобного рода объединения, рекомендуется сделать, — по крайней мере, формально — вопросы возможности, допустимости, адекватности и пропорциональности реализации тех или иных методов блокирования предметом широкой общественной дискуссии с учетом всех ключевых заинтересованных сторон: государства, бизнеса, гражданского общества, науки и интернет-пользователей.”
8) сюрприз: отказ от внедрения нового метода блокирования на основе , об опасности повсеместной реализации которого говорили многие, аргументируя примерно так: «если не будет блокировки по IP, внедрят DPI, оно вам надо?»;
9) Оказалось, госорганами избран третий путь — блокирование на основе комбинированного метода IP+URL.
Итак, Роскомнадзор предлагает сделать основным методом ограничения доступа к запрещенным интернет-ресурсам «блокирование с предварительным выделением по IP адресам и дальнейшей фильтрацией по URL (IP+URL)».
Обоснование, почему был выбран именно такой метод, а не великий и ужасный Deep Packet Inspection такое:
— массовое использование DPI несет существенные риски,
— является спорным с точки зрения соблюдения права на неприкосновенность частной жизни,
— приводит во многих случаях к ничем не компенсируемому удорожанию сети,
— вносит технические ограничения на развитие сети.
Согласимся. При повсеместном внедрении DPI плохо будет всем, кроме спецслужб.
А вот что примерно будет — показано на картинке:
Модель «прозрачного» прокси-блокирования с помощью URL:
1 — Трафик для сайта x, отделяется от остального трафика и пересылается через блокирующий прокси-сервер
2 — Обычный путь следования интернет-трафика
3 — Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий проверку URL на принадлежность к заблокированным значениям
4 — Совпадение отсутствует, трафик пропускается
5 — URL совпал, трафик блокируется
Другими словами: весь трафик/запросы от пользователя будет проходить через некий аппаратно-программный комплекс, который будет анализировать IP-адреса тех ресурсов, которые хочет посетить пользователь и если IP-адрес совпадет с таким же в черном списке, то он попадает на анализ в некий proxy-сервер и если идет запрос на запрещенный URL, то proxy его не пропускает, а весь остальной траффик с/на данный IP свободно проходит.
При этом, Роскомнадзор допускает комбинированную схему, когда в список запрещенных ресурсов попадает не только URL, а сам домен, тогда «возможно, дополнительно, проводить блокировку на уровне DNS, обязав DNS-оператора производить замену записей в соответствующей доменной зоне записью, указывающей либо на недоступность данного ресурса, либо перенаправляющей запросы на специальный ресурс, уведомляющий о факте блокировки»
Предварительный вывод: то, что вместо широкомасштабного внедрения технологии DPI избран вышеописанный метод — это относительно хорошо, но требуется подробная спецификация предлагаемого к внедрению варианта аппаратно-программного комплекса (дабы избежать возможности избыточного анализа траффика к пользователю и от него), а также наличие варианта так называемого DNS-блокирования внесет неоднозначное толкование исполнения блокировок.
Также настораживает тот факт, что согласно закону 149-ФЗ в “Реестр запрещенных сайтов” должны включаться сетевые адреса, то есть, фактически, IP-адреса из Реестра никуда не исчезнут и де-юре операторы несмотря на рекомендации Роскомнадзора по блокировке будут иметь право продолжать блокировать интернет-ресурсы именно по IP-адресу. Ответственность не обозначена.
Еще один важный, но упущенный момент: в представленных документах не обозначен единый механизм представления информации пользователю при попытке зайти на заблокированный ресурс. На наш взгляд это необходимо прописать, поскольку выскакивающие “заглушки” не несут адекватной для пользователя информации и возникают например такие ситуации, когда пользователь хочет зайти на сайт детского садика «Солнышко», а ему выскакивает окошечко от провайдера, что ресурс заблокирован по одной из причин: или попал в Реестр запрещенных сайтов или в список экстремистских материалов. Пишите письма госорганам.
Занавес.