В феврале — мае 2017 года в различных регионах РФ незаметно прошла on-line конференция Роскомнадзора по теме: "проблемные вопросы ограничения доступа к информации, распространение которой на территории РФ запрещено". В данной статье попытка проанализировать результаты конференций и вынести на обсуждение сообщества спорные моменты.


Через поисковики можно найти "следы" этой конференции. Вот две ссылки на Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.


conf19.htm (157 вопросов)
conf17.htm (прошлогодняя) (89 вопросов)


Ниже две ссылки на условно прошедшие конференции в 2-х регионах.


По Уральскому ФО (21 вопрос)
По Тамбовской области (5 вопросов)


По ссылкам ниже нет ни одного сообщения. Тут либо у сообщества не возникло ни одного вопроса, либо что-то случилось и конференция не состоялась, несмотря на распоряжение сверху.


По Тульской области
По Северо-Кавказкому ФО
По Томской области
По республике Ингушетия
По Саратовской области
По Курганской области


Беглое прочтение первых 4-х ссылок позволило сформулировать 5 основных проблемных мест.


1. Как правильно блокировать ресурсы и будут ли санкции в случае если АПК "Ревизор" выявит не заблокированный ресурс если тот сменил IP адрес?

С одной стороны, в реестре РКН указаны URL и IP адреса. С другой стороны, есть ресурсы, которые регулярно меняют IP адреса и выявить это можно только резолвингом через DNS. Причем этот резолвинг должен выполняться строго по истечению времени "жизни" записи (TTL). Ну вот тут начинается "гонка" кто быстрее справится с резолвингом. Если система блокировки, то все хорошо. А что будет если быстрее окажется "Ревизор"?
Давайте разбираться. Вот что по этому поводу говорят сотрудники РКН:


Все нормально, пока IP адреса нет в реестре, претензий к оператору нет

Здесь, вроде, тоже все в порядке

А вот альтернативное мнение другого сотрудника РКН

Тут тоже все плохо. Поменялся IP - блокируйте по доменному имени

Разумеется, это нарушение. Запрещенный интернет-ресурс в таком случае будет доступен

Ну вот, приехали...


2. Оператор начинает блокировать ресурс, которого нет в реестре, но он есть в DNS. Как так случается? Да очень просто. У оператора нет DPI, который бы смотрел на SNI ресурса и блокировка в этом случае выполняется по IP адресу.


Ответ сотрудника РКН:


Накажем оператора

А вот, что мне на просьбу внести IP адреса habrahabr и geegtimes в "белый список" ответил мелкий подмосковный оператор, когда я к нему обратился:


Мы не имеем права вносить любые поправки, если нет официального письма от РКН. В ином случае, это будет самоуправством. АС Ревизор, который обязывают ставить на стороне ВСЕХ провайдеров, непрерывно проходится по списку блокировок, и если в какой-то момент всплывет доступ к запрещенному сайту, на нас тут же настучат и последует наказание в виде приличного штрафа.
В текущей реализации нет dpi.

Ручная корректировка неправомерна

Альтернативное мнение сотрудника РКН

Замкнутый круг (нужен DPI и не важно сколько он стоит)...


3. Возможно ли оператору избежать наказания в случае, если "Ревизор" оказался шустрее и какой-то ресурс ушел из по блокировки одним из условно "честных" способов? Сюда же попадают вопросы о возможности сигнализации со стороны "Ревизора" о том, что что-то лишнее открыто до передачи в карательные органы и есть ли время на устранение замечаний.


Тут мнение сотрудников РКН совпадают.


Мнение 1 (уведомление только в ЛК , а это уже наказание)

Мнение 2 (нарушил - отвечай, какие тут ожидания?)

Мнение 3 (про неисправности оборудование фильтрации)

Мнение 4 (сайт был доступен минуту - это нарушение)

Мнение 4 (время на устранение не предусмотрено)

Итог в том, что у оператора нет шансов избежать наказания (кроме как в судебном порядке). Это очень странно, ввиду того, что даже при возникновении проблем в СОРМ-ом, оператору связи выдается предписание на устранение замечаний и указывается срок устранения.


4. Есть ли технические требования к системе блокировки ресурсов и мониторинга, что все заблокировано, одинаковые и обязательные для всех операторов связи?


Нет. Единых требований нет и разработка их не планируется.

Способ блокировки оператор связи выбирает самостоятельно...

Сюда же подходит и последний ответ из первого пункта. На всякий случай дам ссылку еще раз.


...конкретные способы (методы) ограничения доступа операторами связи к интернет-ресурсам, содержащим запрещенную и (или) противоправную информацию, в законодательстве не указаны

...разработка такой методики не предусмотрена

Действующими нормативными правовыми актами не предусмотрена разработка подобных требований.

5. Если оператор получает трафик от вышестоящего, то обязан ли он устанавливать систему фильтрации и что будет, если "Ревизор" обнаружит нарушения? На мой взгляд — это одна из самых захватывающих историй. С одной стороны — блокировку осуществляет вышестоящий оператор, а ответственность с присоединенного оператора за отсутствие блокировки никто не снимает. В другой — если ставить и у присоединенного оператора свою систему, то трафик становится в 2-а раза "чище", но не без накладных расходов как финансовых, так и чисто технических (дополнительная задержка).
Посмотрим несколько примеров:


Пример 1

Пример 2

Пример 3

Пример 4

Итог в том, что — "Думайте сами как вы, как оператор связи, будете выкручиваться".


На этом, пожалуй, все. Тут сложно что-то дополнительное сказать. У нас в стране все как всегда...


UPD 1 (спасибо @BlackGorunuch)
В Обновленных рекомендациях Роскомнадзора операторам связи по ограничению доступа к запрещенной информации от 23 июня 2017 года действительно появилась фраза:


В случае, если оператор связи получает от всех вышестоящих операторов связи трафик, фильтрованный в соответствии с рекомендациями, решения о привлечении оператора к административной ответственности при неосуществлении блокировки противоправной информации будут приниматься с учетом условий договоров, заключенных между такими операторами связи.

Соответственно, нужно еще раз перечитать договора на присоединения для уточнения того, кто и что делает.


Прошу обратить внимание, что все описанное (не считая картинок с сайта РКН) является моим частным мнением. Ваши комментарии ожидаются под публикацией.


Также, прошу принять во внимание недопустимость оскорбительных высказываний вне зависимости от того, в чей адрес они направлены.

Комментарии (28)


  1. vagonovozhaty
    28.08.2017 21:34
    +5

    Подытоживая все вышесказанное
    image


  1. zenkz
    28.08.2017 21:54
    +1

    Сколько-же дармоедов сидит в РКН и мешает всем жить!
    Интересно, есть ли сравнительно законные способы борьбы с этим «министерством правды» — чтобы они там 24 часа в сутки работали, но не могли ничего заблокировать/чтобы у них ничего там вообще не работало…


    1. x67
      29.08.2017 14:47

      Им то что будет? У них 8 часовой рабочий день и отсутствие какой-либо ответственности. Перекладывай песок лопатой правильно и тебя никто не потревожит. А сложные вопросы их мало интересуют, личной ответственности за качественное и удобное всем исполнение законов, они не чувствуют и думать о таком даже и не хотят, судя по этой статье.


  1. DenMMM
    28.08.2017 21:59
    +4

    После введения этих фильтров стабильность доступа к WEB-ресурсам заметно снизилась.
    Откровенной х*ней занимаются законописаки. Только мешают работать, жить и радоваться.


  1. Canep7
    29.08.2017 06:48
    +2

    Очень показательная позиция РКН — "делайте что хотите, но чтоб в лесу было тихо, светло и медведь". Своей неграмотностью и непрофессионализмом они загоняют операторов в угол. Однажды операторы просто не смогут выполнять свои функции так, что не налететь на штрафы и т.п. Возможно сложится ситуация, что им в таком случае придется приостановить оказание услуг по причине форс-мажорных обстоятельств (действия властей — стандартный форс-мажор). Если они сделают это в один день, то страна останется без Интернета, без связи, могут встать предприятия, толпы молодежи, разозленной отключением любимых социалок и игр вывалит на улицы. Возможно захочет прогуляться по Манежке, сходить к Кремлю… Это может закончится новой властью и отправкой всех сотрудников РКН на лесоповал за сотрудничество с прошлым режимом. Или РКН сознательно готовит все это?


    1. x67
      29.08.2017 14:49

      Ну неет, опыт показывает, что они жесткой хваткой вцепятся в горло тем, кто не справится. А если не справившихся будет слишком много, они чуть ослабят хватку (законы то у нас резиновые, иногда и натянуть можно), пока не справившиеся сами все не разрулят.


    1. SchmeL
      29.08.2017 16:17

      Своей неграмотностью и непрофессионализмом они загоняют операторов в угол. Однажды операторы просто не смогут выполнять свои функции так, что не налететь на штрафы и т.п. Возможно сложится ситуация, что им в таком случае придется приостановить оказание услуг по причине форс-мажорных обстоятельств

      Скажут — ростелеком может, вот требования исполнять, а вы нет — закрывайтесь тогда.


    1. stanislavkulikov
      29.08.2017 17:01

      Ну РосТелеком то никто не будет штрафовать/закрывать. И вот тут и возникает подозрение, что от части весь этот хаос и генерируется, что бы в стране остался один провайдер.


    1. schors
      29.08.2017 20:04

      Ничего не сложится. Уже невозможно выполнять функции оператора без риска непредсказуемого штрафа. Технически невозможно. Операторы заняли выжидательную пассивную позицию


  1. skystart
    29.08.2017 06:51

    РКН ни при чем. А «писаками» движет желание выслужиться, или изобразить кипучую продуктивную деятельность. Кроме того, есть еще желание заработать очки на «борьбе» за или против чего угодно, будь то хоть дорожные знаки или банки из-под пива. Осталось еще заняться правкой календаря…


    1. eov Автор
      29.08.2017 06:59
      +1

      Это тоже позиция… В данном конкретном случае, в рамках одной конференции они не смогли договориться между собой о единой позиции по действительно спорным вопросам. Не приходится говорить о том, что на ряд вопросов можно было бы дать конкретные предложения, как с их точки зрения правильнее поступить. Вместо этого — «это нарушение», «за это накажем», «наша система Ревизор самая честная и очень быстрая», а «это будете отстаивать в суде», «единых правил игры нет и делать не будем».


      1. firk
        29.08.2017 16:39

        конкретные предложения, как с их точки зрения правильнее поступить.

        Тогда у кого-то, кто, руководствуясь этими советами, что-то случайно нарушит, будет повод сказать что "это ркн посоветовал, претензии туда и направляйте". Гораздо проще переложить бремя решения технических проблем на тех, кто всю эту систему обслуживает (т.е. на провайдеров) и спрашивать по результату.


    1. schors
      29.08.2017 20:07

      Прошу прощения, а кто причем? Не, вот Минаков говорит, что это Кулин во всем виноват. «Тоже позиция» ©


  1. BlackGorunuch
    29.08.2017 17:11
    +1

    По 5 пункту есть дополнение.
    Согласно новым рекомендациям по фильтрации трафика, приблизительно от 23.06.2017, если есть договор на фильтрацию с вышестоящим провайдером, то наказание будет применятся согласно условиям договора.
    Раньше винават был всегда провайдер, в чьей сети было нарушение, сейчас, согласно официальной бумаге, виноватый тот, кто указан в договоре, так что сейчас есть смысл покупать «фильтрованный трафик».
    Думаю будет полезным дополнением.


    1. eov Автор
      29.08.2017 17:12

      Спасибо, добавил.


    1. schors
      29.08.2017 20:05

      Ага, прекрасно. Документ, который сами РКН говорят «ненастоящий», конечно же будет принят во внимание в суде. Это они всех подставить хотят?


      1. eov Автор
        29.08.2017 20:54

        Откуда дровишки (про «ненастоящий»)?

        Документ реально странный…

        Вот то, что меня смущает:

        1. «Ограничение доступа к информации, распространяемой посредством сети „Интернет“, сайтам в сети „Интернет“ и информационным ресурсам (далее — ограничение доступа) операторами связи рекомендуется осуществлять на основании выгрузки.
        — почему „Интернет“ с большой буквы и в кавычках?
        — ключевое слово „рекомендуется“. Я представляю себе ответ моего мелкого подмосковного оператора, если я предложу им больше не заморачиваться опросом DNS, что позволит не блокировать ресурсы, которые совсем не виноваты, что их IP адреса внесли в A-записи запрещенных сайтов.

        2. Выгрузка осуществляется раз в час, но оператор может применять его не реже каждых 12 часов. Это что, послабление? Что, „Ревизор“ не зафиксирует нарушение? Или он переспросит через 12 часов? Верится с трудом.

        3. Рекомендуется блокировать DPI-ем, но его использование не обязательно. Зато, если нет DPI, то блокировка делается строго по выгрузке. Означает ли это, что „Ревизор“ для операторов, у которых нет DPI не осуществляет резолвинг через DNS? Сомневаюсь…

        4. Что означает загадочная фраза „Если указатель страницы сайта в сети “Интернет» содержит сетевой протокол, поддеживающий шифрование, допускается ограничение доступа ко всему доменному имени, в том числе и путем фильтрации запросов ко всем DNS-серверам"? Нужно DPI-ить все DNS запросы ко всем DNS серверам и блокировать (перенаправлять) ответ по конкретному ресурсу? Или тут что-то еще?

        5. Дальше для операторов, у которых нет DPI вообще рекомендуется заблокировать все внешние DNS-сервера. Под «раздачу» попадут в том числе и Яндекс.DNS (у меня они выдаются на устройства в детской комнате)? А как же DNSSEC? С ним тоже прощаемся?


        1. schors
          29.08.2017 21:00

          Для понимания источника дровишек достаточно посмотреть номер регистрации в Министерстве Юстиции этого документа.


  1. amarao
    29.08.2017 17:16
    +1

    Почему информация о «технических сложностях» в реализации цензуры в России подаётся так нейтрально? Разве цензура не является нарушением Конституции?

    5. Гарантируется свобода массовой информации. Цензура запрещается.


    Таким образом, в силу прямого действия конституции, обсуждаемые меры являются антиконституционными.

    И это спокойно принимается? Удивительно, да и только.


    1. dimmount
      29.08.2017 19:23

      С точки зрения закона противоречия нет. Все записи в реестр вносятся на основании суда. Внесенное через суд цензурой не является


      1. powerman
        29.08.2017 20:55

        По-моему недавно пробегала новость, что какие-то ресурсы уже вполне можно и во внесудебном порядке блокировать. Зеркала заблокированных ресурсов вроде бы (а кто имеет экспертизу принимать решение, это зеркало или нет?), может ещё что-то, не помню.


        1. schors
          29.08.2017 21:01

          ГенПрокуратура может без суда


        1. dimmount
          29.08.2017 21:07

          government.ru/activities/selection/301/26515
          внесен в думу, но вроде еще не приняли


      1. amarao
        30.08.2017 10:57

        Досудебная блокировка?


    1. dimmount
      29.08.2017 19:30

      В уездном городе N есть несколько операторов связи. Четыре местных, четыре федеральных. Ревизоры у федералов стоят «где-то там» на центральных узлах. Соответственно жалобы на блокировку местному РКН будут приходить только на местных операторов, у которых и так клиентов все меньше в связи с давлением федералов.
      Ну и бабло… Честный бюджетный фильтр (сквид с ssl-бампингом и прозрачным проксированием) превращает трафик в «улиткен ползен» (С), не считая ругани браузеров на поддельный сертификат. DPI будет стоить мелкому оператору как пара его годовых бюджетов (помним, что еще и по «яровой» скоро придется раскошелиться).
      В общем мелочь плавно подводят к уходу с рынка.

      Ведь в принципе, достаточно установить фильтры только в точках обмена с зарубежным трафиком и все. Если правонарушение осуществляется на территории РФ, то этим должны заниматься правоохранители, а не операторы связи.


    1. schors
      29.08.2017 20:02

      Ну потому что это кот. Серый. Он уже есть.


  1. dimmount
    29.08.2017 19:32

    В уездном городе N есть несколько операторов связи. Четыре местных, четыре федеральных. Ревизоры у федералов стоят «где-то там» на центральных узлах. Соответственно жалобы на блокировку местному РКН будут приходить только на местных операторов, у которых и так клиентов все меньше в связи с давлением федералов.
    Ну и бабло… Честный бюджетный фильтр (сквид с ssl-бампингом и прозрачным проксированием) превращает трафик в «улиткен ползен» (С), не считая ругани браузеров на поддельный сертификат. DPI будет стоить мелкому оператору как пара его годовых бюджетов (помним, что еще и по «яровой» скоро придется раскошелиться).
    В общем мелочь плавно подводят к уходу с рынка.

    Ведь в принципе, достаточно установить фильтры только в точках обмена с зарубежным трафиком и все. Если правонарушение осуществляется на территории РФ, то этим должны заниматься правоохранители, а не операторы связи.


  1. askv
    30.08.2017 00:04

    Обезьяны с гранатой…