РКН — выстрел в ногу.

Posted: 2017-06-10 in Долбы, По жизни, IT
Метки:,

То, о чём IT-специалисты предупреждали деятелей роскомпозора несколько лет назад, таки случилось. Полная ебанутость системы блокировок «запрещОнных сайтоФФ», полный ваккум в законодательстве по технической части и исключительная кривизна системы «ревизор» привели к тому, что опасающиеся неадекватно высоких штрафов (100к рублей за хуйню типа пары незаблоченных урлов) провайдеры по прямому указанию действующих властей заложили самую натуральную атомную бомбу под действующую сетевую инфраструктуру.

Немного поясню техническую часть. Реестр сайтов — это такая огроменная таблица примерно на 80 000 строчек, содержащаяся в полном беспределе и хаосе. Там есть и http-урлы, и https-урлы, есть домены, есть просто IP-адреса, есть списки адресов и прочее. Иногда ркн делает ошибки, добавляя неожиданные данные, типа конечной точки корневой зоны для одной записи из 80000, вставляя в поле «домен» значение IP-адреса и прочую вакханалию. Парсеры таким давятся, и попутно периодически что-либо ломают в провайдерской инфраструктуре, пока админ не найдет и не напишет очередную защитную обертку против такой херни.

При этом записи туда в основном только добавляются. Для выкидывания записи из списка либо владелец сайта должен выиграть судебную тяжбу (биткоиновцы, вы молодцы!), либо сам РКН может удалить относительно свежую запись, если посчитает, что ресурс таки пошёл им на уступки.

Но владельцы очень и очень многих заблоченных сайтов, особенно торгующих наркотой сайтов-однодневок, заблоченные домены просто забрасывали и регали всё новые и новые. За их разделегированием и выкидкой из реестра несуществующих в глобальном ДНС имён никто не следил — за это премий не дают.
В итоге в реестре скопились десятки тысяч записей о несуществующих доменах, для которых провайдеры по-прежнему осуществляют применение фильтрации.

А поскольку промышленный провайдерский DPI — игрушка зело дорогая, да и в законе по технической части весьма негусто (есть только один документ такого плана, и то рекомендательный), очень многие провайдеры делают не только DNS-, но и IP-блокировку, но до появления «ревизора» блокировка средствами днс в основном считалась достаточной (что вообщем-то так и есть — она достаточна для того, чтобы отшить 99% наркоманов от онлайн-покупки наркоты, а против остальных мало что поможет). Потом в реестре появились и IP-адреса — ушлые наркоторговцы просекли, что поднятый прямо на голом IP сайт, без доменного имени, тоже вполне ОК.

А потом появился «ревизор». Проблема этой кривой блядской коробочки (даже не сертифицированной как измерительное средство), что она не просто проверяет доступность сайтов «как есть», но и пытается делать прямые запросы по IP в обход провайдерского резолвинга, причём как по IP-адресам из реестра, так и по текущим IP из DNS. Естественно, с попутной выпиской «предписаний», руганью, штрафами и многомесячными судебными тяжбами.

В итоге провайдеры либо купили системы DPI, либо начали блочить любые полученные адреса, что из реестра (как изначально и было у тех, кто одним ДНС не ограничился), что из динамически обрабатываемого ДНС. Но в отличии от реестра, составляемого цензорами РКН и хоть как-то доступного для управления, в динамический ДНС изменения владелец домена вносит сам по своему желанию.

Bomb has been planted.

Таймер на бомбе тикал долго — аж несколько лет. За это время недовольство деятельностью РКН, давно вышедшей за всякие разумные рамки, достигло пред-критической величины (вообще идея отбирать у народа зрелища при отсутствии хлеба зело не здравая и мaйдaно-опасная). Предположу, что наезд на торрент-трекеры и анонимайзеры стал той последней каплей, после которой противостояние перешло в действительно активную фазу.

Прекрасно зная, что системы DPI стоят не у всех, а IP-блокировки весьма разрушительны, сетевые шутники массово начали заново регать те домены, которые были давно разделегированы регистраторами имён, но всё ещё оставались в блок-листах РКН, и в настройках DNS таких свежекупленных блоченных доменов прописывать IP-адреса враждебных или просто популярных ресурсов, чтобы даже самого ленивого хомячка хоть чуть-чуть, но зацепило.

Вышло классно — у ряда пользователей отвалился телеграм, онлайн-кинотеатр, новостные агентства и прочее и прочее.

Устроенная кибер-анархическая вакханалия вышла годной, и началось прописывание в заблоченные ДНС уже более важных адресов — служебных адресов самих систем РКН, банковских процессингов, и прочей мякотки.

Жутко обосравшись (и возможно даже получив серьёзный пропиздон от банкиров), ркн и даже один целый мвд начали нести полнейший бред, что сбои процессинга никак с днс-манипуляциями и кривыми блокировками не связаны, инфа типа ложная, а процессинг у сбербанка вообще самоубился без их участия, упав спиной на ножик 18 раз.

Tеrrоrists win.

Но самый прикол, что к участию в вакханалии присоединились даже дети.

Особый смак обнаружился, когда вспыла информация, что IP-блокировками занимались и транзитные операторы, из-за чего сбои многократно увеличили зону поражения.

Ркн в панике начал рассылать «белые списки» исключений, носящие, опять же, рекомендательный характер (в законе про такую муйню вообще ничего нет, как обычно), в попытках хоть как-то остудить оттраханную Сбербанком сраку (боюсь даже представить, какие претензии может вкатать Сбер за поблоченный карточный процессинг).

После этого читать тупые пафосные статьи про «доктрину информационной безопасности РФ», «цифровой суверинетет», «противодействие глобальным киберугрозам и кибершпионажу» — одновременно и грустно, и смешно.

Какое блять нахуй противостояние американской ИТ-разведке ?! Какие ещё нахуй доктрины безопасности ? РКН против вредоносных прошивок АНБ ? Яровая против закладок ЦРУ ?
Деревянные и некомпетентные в ИТ службы надзора в сфере связи против террористов из игил ?
Вы серьёзно ?!

Не смешите, нахрен, мои тапочки.

Уровень современного гос. управления ИТ в Роиссе — это повальные тупые блокировки, причём больше ради штрафов на ровном месте, чем ради реальной безопасности, и 14-летние восьмиклассники, простыми безобидными действиями ценой в 80 центов кладущие к хуям крупные банковские процессинги в масштабах страны руками самого ркн и самих же провайдеров.

Самое вкусное во всём этом — за такую «отаке» шутнику по закону даже предъявить ничего нельзя. Вообще.

Сайты регать можно ? Можно.
Запрещённого контента на сайте нет ? Нет.
Менять DNS на своём собственном домене можно ? Никаких проблем.

А что подложенная силами самого ркн бомба подорвала критически важную инфраструктуру (замечу, без всяких хакеров, хватило шутников из 8 класса) — вина исключительно самого ркн, и никого более. Профессионалы предупреждали.

Какая адская свистопляска может начаться в компьютерных системах РФ (до сих пор массово сидящих на старой винде) в случае реальной атаки силами АНБ или ЦРУ — можно пофантазировать самостоятельно. Думаю, что ванна-край и прочие безобидные конфикеры поблекнут весьма сильно.

P.S. И не надо пиздеть мне про Эльбрус — гос-органы файлы ODT до сих пор не научились принимать, просят ворд, причем 2003-й. Два компьютера на общем фоне погоды не делают.

- комментарии
  1. Вот и приехали.

    Спасибо вам за статью про reverse SSH кстати.

  2. Честный аннон:

    цитата из https://habrahabr.ru/post/282087/
    «Ревизор — программно±аппаратный комплекс для мониторинга доступа к сайтам из реестра со стороны провайдеров — берет свое начало в октябре 2015 года, когда компания «МФИ Софт», та же компания, что сделала СОРМы, выиграла тендер на разработку ПО за 84 миллиона рублей. Согласно условиям тендера, разработчик должен был предоставить работоспособное ПО под Windows и Linux и 700 аппаратных «Агентов» в срок до 14.12.2015, всего через 2.5 месяца, и, похоже, все было готово даже на пару недель раньше дедлайна.»

    цитата из http://www.mfisoft.ru/direction/filtratsiya-trafika/perimetr-f/
    «Решение «Периметр-Ф» позволяет операторам связи ограничивать доступ к интернет-ресурсам по IP-адресу, домену или URL-адресу страницы. Такой подход актуален при необходимости блокировки запрещенного контента на крупных легитимных интернет-ресурсах (блог-площадках, библиотеках, социальных сетях и т.д.).Решение «Периметр-Ф» разработано в соответствии с требованиями регуляторов:»

    Т.е. кто придумал проверку незаблокированности, тот и блокировку пишет. Что характерно, алгоритм детектирования нигде не указан. Бадабум-тсс. TrollFece. reki.ru.

    Кто кого трахнул тут еще посмотреть.

  3. Лука:

    Пиздеж. Терминалы падали не из-за этого. Да и список банковский рассылался до, а не после.

  4. Amin:

    Честный аннон,

    Вопрос не в том, когда «ревизор» был разработан, а когда был внедрён и начал причинять существенный геморрой на ровном месте, внезапно сразу после новогодних праздников приняв втихую кривущщие апдейты и начав обнаруживать якобы «нарушения», хотя до этого обновления считал, что всё ОК и блокируется как надо.

    Что касается всех этих «решений» типа периметра, карбон-редуктора, ската и прочих dpi разной степени продвинутости — нет никакой уверенности и никаких гарантий, что завтра опять чего-нить не поменяется со стороны прошивки «ревизора» и кривая система опять не насчитает левых сомнительных «нарушений», несмотря даже на наличие тройного комбо-фаталити в лице DPI, DNS-заглушек и доп-фильтров у вышележащего аплинка. Когда у РКН кривой софт, и по отчетности с этого софта штрафы выписываются — это аллес.

    Более того скажу — алгоритм проверки в ас ревизор вытащить из представителей ркн не удалось даже в суде. На это вообще нет никаких ни законов, ни указов, ни примечаний, ни сертификации. Типа проверяю что хочу, как хочу, когда хочу, обновляюсь хз чем и хз откуда, от балды шлю штрафы.

    Лука,

    а от чего же тогда ? Хакер был не из 8а, а из 9б ?

    И это, ДО рассылались адреса самих сервисов РКН, потому что сами модули-агенты Ревизора оказались отстрелены от центральных серверов, https://rublacklist.net/29048/.
    Большой список с банковскими адресами и прочим крупняком пришёл весьма сильно позже. Кстати, он предсказуемо утёк в интеренеты, и теперь недоброумышленникам адреса критических узлов инфраструктуры даже искать не надо. Офигенно поработали, да уж…

    Списков рассылалось несколько. Юридический статус этих рассылок весьма, кхм, интересный. Я не проверял каждый IP-адрес из более чем 3000 записей, и уж тем более не занимаюсь ручной проверкой внутренней жизни ДНС в 80к заблоченных доменов, но мне лично падение процессингов в связке динамические-IP-блокировки + DNS-манипуляции кажется наиболее вероятной версией причины случившегося, чем что-либо иное.

    медуза хоть и считается ресурсом «желтушным», но их факты в данной статье логичны и непротиворечивы.

    Секурити-лаб тоже не возражает:
    http://www.securitylab.ru/news/486660.php
    http://www.securitylab.ru/news/486602.php

    Вероятность сбоя карточного процессинга сразу у нескольких банков, один из которых Сбер (учитывая, что доступность процессинга возложена на сами банки, а не на посредников) — крайне низка, и мне очень слабо верится, что сразу в нескольких банках одновременно неудачно что-то обновили, взломали или порвали оптику.

    Было бы интересно получить развернутые объяснения от представителей тех-службы Сбера и прочих пострадавших банков, а не скупые отписки от мвд, что «они там нашли какой-то источник недостоверной информации» или скупые заявления ркн, что «а мы тут не причём». Такая крупная авария должна быть изучена (хотя бы для того, чтобы не повторять фатальные ошибки ЦБ Бангладеш), и отписки в таких делах, как банковские процессинги, на веру не принимаются.

  5. Amin:

    РКН продолжает жечь:

    В частности, при самостоятельном определении оператором связи IP-адреса запрещенного интернет-ресурса, провайдерам рекомендовано проверять, не попадут ли под блокировку популярные и общественно значимые сайты и их IP-адреса.

    Ага, щазз, два раза, разбежались. Если зарезолвить все остальные сайты, кроме 80к заблокированных, то случится следующее:

    а) полноценный скан такого типа посадит на жопу не один сервер, и сожрёт тонны памяти.
    б) даже крутая железка таким длинным списком и подавиться может.

    Уже были жалобы, что 80к записей — это как-то мягко скажем перебор, некоторые DPI начинают плохо себя вести на таких размерах правил обработки.

    Единственное разумное решение — выбросить разделегированные домены из реестра нафиг, нет их в интернете, и таки довести до ума чертов «ревизор», чтобы он не поднимал панику на ровном месте почём зря на основе непротестированных апдейтов.

    P.S. Не зная, как ещё отжечь и на кого свалить свои косяки с разрушительными IP-блокировками, РКН попробовали свалить косяк на оппозицию:
    http://nag.ru/news/newsline/31869/roskomnadzor-zapodozril-politicheskuyu-oppozitsiyu-v-lojnyih-blokirovkah-saytov.html

    Ага, там мы и поверили, как же.

  6. Karman:

    РКН выложил новую редакцию рекомендаций. Какое Ваше мнение?
    https://rkn.gov.ru/news/rsoc/news46956.htm

  7. Amin:

    Моё мнение остается прежним — дармоедов стоило бы разогнать. Они сделали возможным атаки на банковские процессинги ценой в два бакса, и ни одной серьезной проблемы так и не решили, и вообще жгут метан впустую.

    Что касается их новых рекомендаций — там та же вода, только дважды перемешанная в ступе и «структурирования Петриком».

    «Фильтрацию трафика рекомендуется производить готовыми аппаратно-программными комплексами DPI, свободно-распространяемыми программными комплексами анализа и фильтрации сетевого трафика, а также путем приобретения услуги по получению фильтрованного трафика от вышестоящего оператора связи.»

    Угу, только DPI не всякий подходит. Cisco SCE, например, полноценно не справляется.
    Покупка «очищенного» траффика тоже имеет мало смысла, если у вас есть пиринговые стыки. Я сам очень удивился, но многие ресурсы из реестра, даже торгующие наркотой, вполне себе беспалевно хостятся в российское зоне, а их адреса доступны через пиринговые стыки.

    «Операторам связи, использующим DPI (или иные системы фильтрации, позволяющие исключить возможность неправомерного ограничения доступа к отсутствующим в выгрузке Роскомнадзора информационным ресурсам), рекомендуется самостоятельное определение актуального сетевого адреса («резолвинг») информационного ресурса, доступ к которому должен быть ограничен. В иных случаях ограничение доступа операторами связи осуществляется в соответствии с выгрузкой из единого реестра запрещенной информации.»

    Самостоятельное определение кладёт к хуям сайты банков и прочих непричастных.

    «Операторам связи, не использующим DPI и осуществляющим ограничение доступа к доменному имени при помощи иных программных, аппаратных или программно-аппаратных средств, рекомендуется ограничивать доступ к доменному имени посредством фильтрации запросов ко всем DNS-серверам.»

    Угумс, только упоротая коробочка «ревизора» в этом случае прошибает блокировку и инициирует штрафы, с последующими взаимными претензиями, судебными разбирательствами по полгода и очередями в арбитражных судах.

    Имхо, деятельность по фильтрации сайтов себя не оправдала, не оправдывает, и вряд ли оправдает в будущем, никакие реальные задачи решены не были.