Брешь в системе: Почему сайт Навального доступен россиянам, несмотря на блокировку

Безопасность Стратегия безопасности Госрегулирование Бизнес Законодательство Интернет Веб-сервисы ИТ в госсекторе
мобильная версия
, Текст: Игорь Королев
Фанатам Алексея Навального удалось нащупать «брешь» в системе блокировок интернет-сайтов в России. Его сайт, будучи заблокированным Роскомнадзором, по-прежнему доступен у более чем 60% пользователей. А YouTube не стал выполнять требование об удалении запрещенного ролика Навального.

Роскомнадзор не смог полностью заблокировать Навального

Страница оппозиционного блогера Алексея Навального, который в минувший четверг 15 февраля 2018 г., был внесен Роскомнадзором в Реестр запрещенных сайтов, продолжает открываться у большинства российских пользователей.

Например, как убедился корреспондент CNews, ресурс доступен в мобильных и фиксированных сетях «Вымпелкома», МГТС и «Онлайм» (в московской сети «Ростелекома»). Пользователи «Ростелекома» из регионов также сообщают о доступности сайта Навального из их сетей.

Сам Навальный указал, что в четверг днем уровень доступности его ресурса упал с 100% до 30%, но его сторонники заявили, что Роскомнадзор ждет «сюрприз». В результате мер, предпринятых командой блогера, уровень доступности ресурса к семи часам вечера 15 февраля 2018 г. вырос до 70%.

DDoS-атака на заблокированный ресурс

Затем показатель доступности вновь упал - до 37%. Навальный утверждает, что это стало следствием не блокировки Роскомнадзора, а запущенных на его ресурс «двух мощнейших DDos-атак». Свидетелем этому был и корреспондент CNews: в сети «Вымпелкома» в тот период сайт не открывался, но «страница-заглушка», извещающая пользователя о заходе на запрещенный сайт, не выводилась.

К вечеру четверга ситуация для Навального стала нормализовываться, и уровень доступности ресурса Навального достиг 65-70%. На нынешний момент по данным SimilarWeb, посещаемость сайта упала на 27%, причем большая часть посетителей ресурса, 63%, по-прежнему приходится на Россию. В Роскомнадзоре не ответили на запрос CNews относительно Навального.

Как команда Навального «перехитрила» Роскомнадзор

Опрошенные CNews технические эксперты говорят, что команда Навального нащупала уязвимости систем DPI, которые используются многими российскими интернет-провайдерами для обхода для блокировок.

Сайт Алексея Навального доступен большинству российских пользователей,
невзирая на блокировку Роскомнадзором

Напомним, провайдер может блокировать запрещенный ресурс по IP-адресу или с помощью системы DPI. Второй способ предпочтительнее: в этом случае блокируются только конкретные страницы (URL) с запрещенной информацией, а не весь искомый ресурс, а также не затрагиваются другие сайты, находящие на данном IP-адресе.

Но не у всех провайдеров установлены системы DPI. Кроме того, при использовании запрещенным сайтом протокола шифрования SSL система DPI не видит запрашиваемого пользователем адреса. В этом случае можно блокировать либо по IP-адресу, либо по домену.

Роскомнадзор рекомендует провайдерам использовать второй способ. Для этого DPI вычленяет из запрошенного адреса SNI (название домена - единственная видимая часть адреса) и блокирует при совпадении. Также возможно перехватывать все запросы к системе DNS (хранит соответствие доменов и IP-адресов) и фильтровать запросы с нужным доменом.

Гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин считает, что команда Навального воспользовалась особенностями стека протоколов TCP/IP. На базе этого стека работает сеть интернет, включая веб-приложения, работающие на протоколе http, который, в свою очередь, использует транспортный протокол TCP.

При установлении TCP-соединения происходит обмен пакетами данных, которые по умолчанию имеют стандартный размер. Но сервер Навального просит установить меньший размер: два байта. Имя сервера (SNI) в эти два байта не влезает, в результате чего блокировка перестает работать, говорит Кулин.

«Со своей стороны, провайдер может попытаться собрать пакеты на фильтре, но они не обязаны идти последовательно, и это будет крайне сложная задача», - отмечает Кулин.

«Гроза» Роскомнадзора: фрагментация пакетов и лишние проблемы в запросах

Ведущий Telegram-канал «За телеком» Михаил Климарев добавляет, что методы обхода блокировок DPI-системами путем использования стека TCP/IP еще в 2017 г. были описаны на ресурсе «Хабрахабр», и сейчас существует свободное ПО для этих целей.

Это ПО может использовать комбинацию из шести различных способов в зависимости от типов используемых провайдерами DPI. В частности, можно использовать фрагментацию TCP-пакетов. Также можно экспериментировать с форматами http-запросов.

Например, можно заменить в запросе служебное поле «Host» (определяет имя узла, к которому идет обращение) на «hosT» - некоторые DPI могут пропустить такие запросы. Можно в строке запроса можно удалить пробел между символом «:», который идет после поля «host» и перед именем хоста, либо, наоборот, добавить там лишний пробел, что тоже в некоторых случаях поможет избежать блокировки.

Роскомнадзор не спешит штрафовать провайдеров за пропуск запросов к сайту Навального

Впрочем, все зависит от используемой провайдером DPI-системы. Некоторые провайдеры не только смогли заблокировать ресурс Навального, но и заблокировали его поддомен «2018.navalny.com», где размещен сайт с призывом бойкотировать выборы. Однако после шума, который поднял в Сети соратник Навального Леонид Волков, ряд крупных провайдеров (Yota, «Дом.ру», «Транстелеком») отменили блокировку данного поддомена.

Описанные методы помогают с обходом блокировок при использовании провайдерами DPI-систем, но непригодны для блокировок по IP-адресам. Однако для обхода этих случаев владелец ресурса может менять свои IP-адреса.

С недавних пор Роскомнадзор стал использовать систему «Ревизор» для контроля исполнения интернет-провайдерами требований о блокировках. Для этого у провайдеров устанавливается специальное устройство, которое пытается заходить из их сетей на заблокированные сайты. В случае выявления «Ревизором» факта доступности какого-либо запрещенного сайта провайдеру выписывается штраф об административных правонарушениях.

По данным Филиппа Кулина, полученных путем опроса представителей провайдеров в Telegram-чатах, Роскомнадзор не стал включать адрес сайта Навального в список проверки для «Ревизора». Кулин объясняет это тем, что запрещенный ресурс доступен у многих провайдеров, включая «Ростелеком».

Из-за чего блокируют Навального

События вокруг сайта Навального стали развиваться с пятницы, 9 февраля 2018 г. Тогда Алексей Навальный опубликовал на своем сайте и на видеохостинге расследование о связях олигарха, владельца компаний «Русал» и «Базовый элемент» Олега Дерипаски с девушкой под псевдонимом Настя Рыбка.

Согласно фото- и видеозаписям, сделанным Рыбкой на своей страницы в Instagram, она была на яхте Дерипаски. На этих материалах был виден и человек, похожий на вице-премьера и куратора внешней политики России Сергея Приходько. На одном из видео он обсуждал российско-американские отношения с Дерипаской.

В субботу 10 февраля 2018 г. Роскомнадзор потребовал от ресурса Навального и других сайтов, разместивших данное расследование, его удаления. Основанием стали обеспечительные меры, вынесенные Усть-Лабинским районным судом Красноярского края по иску Дерипаски к Анастасии Вашукевич (настоящее имя Насти Рыбка) и ее «тренеру» Алексу Лесли (настоящее имя - Александр Кириллов).

Основанием для иска стало нарушение ответчиками права истца на неприкосновенность частной жизни. Сам Навальный фигурантом иска не является, его юристу в суде не дали возможности получить текст определения о блокировки.

Тем не менее, Роскомнадзор отвел ресурсу положенные законом три дня на удаление спорных материалов. Навальный, со своей стороны, не согласился с этими требованиями и подал иск к Роскомнадзору в Таганский районный суд Москвы. Но поскольку требование надзорного ведомства не было исполнено, Роскомнадзор приступил к блокировке ресурса оппозиционера.

YouTube не спешит удалять ролик Навального

Претензии Роскомнадзора об удалении расследования Навального об Олеге Дерипаске и Насте Рыбке касались не только ресурса самого оппозиционера, но и целого ряда интернет-СМИ, написавших об этом: Newsru.com, «Радио Свобода», «Сноб», The Village, znak.com, «Медиазона».

Все эти сайты полностью или частично скрыли свои материалы о расследовании Навального. Журналу «Максим», также по требованию Роскомнадзора, пришлось удалить подборку шуток о Навальном и Рыбке.

Наиболее интересной была судьба запросов аналогичных запросов Роскомнадзора, направленных ведомством в Instagram и YouTube. Настя Рыбка сама удалила со своего аккаунта в Instagram большую часть фото- и видеоматериалов о Дерипаске. Оставшиеся фото удалил Instagram.

YouTube же направил Навальному требование об удалении ролика о Дерипаске и Рыбке. Оппозиционер отказался подчиняться этому требованию. В середине прошлой недели Роскомнадзор говорил, что находится «в диалоге с YouTube».

Ролик Навального на текущий момент продолжает быть доступен в России. В Google, владеющем сервисом YouTube, отказались от комментариев по данной ситуации. Зато когда Навальный разместил на YouTube ролик о блокировке своего сайта Роскомнадзором, то он был заблокирован администрацией YouTube из-за нарушения авторских прав «Первого канала» (его материалы использовались в этом ролике).