Недостатки системы Ревизор могут привести к потере доступа к сайтам, не содержащим запрещенную в РФ информацию

Эксперты Ассоциации «Открытая сеть» обратили внимание на ряд критических недостатков системы контроля блокировки сайтов Ревизор.

Информационная система и технические средства контроля за соблюдением оператором связи требований, установленных статьями 15.1 – 15.4 ФЗ от 27.07.2006 г. №149 «Об информации, информационных технологиях и о защите информации» (далее Ревизор), «Порядок предоставления которых операторам связи и использования определяется Роскомнадзором, осуществляющим формирование и ведение Единого реестра доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» (далее — Реестр) имеют ряд критических недостатков.

Эксперты отрасли неоднократно публично отмечали, что эти недостатки могут приводить к потере доступа к сайтам, не содержащим информацию, распространение которой в РФ запрещено, к нарушению связности, целостности и устойчивости функционирования национального сегмента сети интернет.

К таким недостаткам можно отнести  следующие:

• Многофакторная уязвимость, ставшая следствием ошибок проектирования системы Ревизор и ошибок в порядке использования неполнофункциональной системы Ревизор, позволяет использовать Реестр в целях реализации угроз нарушения или полной недоступности произвольного ресурса в российском сегменте сети интернет.

• Механизм, позволяющий эксплуатировать названную уязвимость, характеризуется отсутствием какой бы то ни было идентификации злоумышленника. Организатор отказа в обслуживании не обязан находиться на территории Российской Федерации и в российской юрисдикции, при этом при использовании соответствующих средств анонимизации (таких, как приватная регистрация домена и/или покупка доменного имени посредством биткоинов) его личность может в принципе остаться невыясненной. Также организатор отказа в обслуживании не обязан быть совершеннолетним, дееспособным, отвечающим за свои действия.

• Механизм эксплуатации уязвимости в системе контроля и ограничения доступа позволяет заносить под блокировку произвольное количество IP-адресов, что в перспективе может привести либо к переполнению таблиц маршрутизации на оборудовании крупнейших операторов связи и к соответствующим сбоям в работе, либо к фактическому отказу систем реализации блокировок, либо к полному отключению Интернета в ряде операторов связи.

• Ревизор использует для служебных целей сервис Google Public DNS. Какого-либо рода договоры с разработчиком системы либо Роскомнадзором на использование Google Public DNS в служебных целях отсутствуют, следовательно, гарантии надёжной и безотказной работы нет.

• Google Public DNS позволяет оператору доменного имени идентифицировать IP-адрес пользователя, что, в свою очередь, даёт возможность оператору доменного имени в случае идентификации IP-адресов оборудования Ревизора (с использованием, например, методов активного сетевого фингерпринтинга) выдавать различные IP-адреса для оборудования Ревизора и конечных пользователей, что приведёт к фактическому отсутствию блокировок доступа.

• С другой стороны, использование для разрешения имён в автоматическом режиме на уровне оборудования Ревизора DNS-сервера оператора связи вместо Google Public DNS также даёт возможность оператору доменного имени выдавать различные адреса для DNS-сервера оператора связи и Google Public DNS. Это даёт оператору доменного имени возможность обходить блокировку, путём публичного оповещения в Интернете, блогах и СМИ либо таргетированного оповещения в почтовой и личной переписке указывая пользователям использовать для разрешения имён исключительно Google Public DNS.

• Для разрешения доменных имён в адреса пользователь может использовать не только Google Public DNS, но и иные DNS-ресурсы и механизмы, вплоть до таких, как файл hosts. Это также даёт оператору доменного имени возможность обходить блокировку аналогичным образом. Текущая реализация оборудования системы Ревизор, осуществляющая разрешение доменных имён самостоятельно, в принципе неспособна обрабатывать подобную ситуацию и контролировать ограничение доступа к ресурсам, однако наряду с этим создаёт угрозу функционирования произвольного ресурса национального сегмента Интернета.

• Возможность идентификации IP-адреса пользователя, осуществляющего доступ к ресурсу, также даёт возможность оператору доменного имени в случае идентификации IP-адресов оборудования Ревизора выдавать различные IP-адреса для оборудования Ревизора и DPI-оборудования оператора связи, что позволит оператору доменного имени провоцировать штрафы и даже, в конечном счёте, отзыв лицензии в отношении любого оператора связи на территории Российской Федерации.
• Также, согласно логике работы протокола DNS, оператор доменного имени может выбрать краткое время жизни DNS-ответа (DNS TTL – вплоть до нескольких секунд), что приводит к ситуации, когда DPI-оборудование оператора связи получает в ответ один IP-адрес ресурса (и блокирует доступ к нему), а оборудование Реестра спустя 1 минуту после этого получает в ответ от DNS-сервера ресурса другой IP-адрес, доступ к которому не блокируется.В принципе, согласно логике работы протокола DNS, оператор доменного имени фактически может выдавать произвольный IP-адрес (либо произвольный IP-адрес из определённого загруженного списка) в ответ на каждое обращение каждого пользователя за разрешением доменного имени, что обычно не несёт практического смысла в целях функционирования Интернет-ресурса, определяемого данным доменным именем, однако технически легко осуществимо и в сложившейся на сегодняшний день ситуации даёт возможность оператору доменного имени осуществлять веерную блокировку произвольных ресурсов, наряду с этим провоцировать штрафы и даже в конечном счёте отзыв лицензии в отношении любого оператора связи на территории Российской Федерации.
• Уязвимость, позволяющая эксплуатировать Реестр с целью организации сбоя и отказа в обслуживании произвольного сайта в Интернете на территории Российской Федерации, также может использоваться для организации информационных атак на социально значимые учреждения за счёт сочетания организации отказа в обслуживании для сайта учреждения и организации соответствующей информационной кампании в СМИ и блогах. Фактически, уязвимость даёт широкие возможности для дискредитации любого ресурса в рамках национального сегмента Интернета.

• Описанная уязвимость также может использоваться для вымогательства. Злоумышленник может требовать денег от Интернет-ресурса или управляющей им организации за удаление IP-адреса ресурса из параметров доменного имени, содержащегося в Реестре, либо может использовать механизмы блокировки для ограничения и регулирования конкуренции на рынке. Это дискредитирует и делает невозможным работу малого и среднего бизнеса в национальном сегменте Интернета в целом.

• Наличие уязвимости, позволяющей эксплуатировать Реестр с целью организации сбоя и отказа в обслуживании произвольного сайта в Интернете на территории Российской Федерации, ставит под угрозу и делает фактически невозможным использование любого ресурса национального сегмента Интернета как надёжного, бесперебойного источника данных. Это, в свою очередь, приводит к фактической невозможности реализации целого ряда инициатив в области информационных технологий и смежных областях, а также к компрометации целого ряда уже реализованных инициатив, таких, как информационный обмен между ведомствами, Единый государственный экзамен, прямые видеотрансляции выборов.

• Концепция использования так называемых «белых списков» для организации бесперебойной работы к ряду важнейших ресурсов Интернета не соответствует законодательству, не может быть реализована технически в ряде решений по организации блокировок на уровне операторов связи, нарушает права не занесённых в «белый список» предпринимателей (как правило, категории малого и среднего бизнеса), ограничивает конкуренцию.

• Уязвимость, позволяющая эксплуатировать Реестр с целью организации сбоя и отказа в обслуживании произвольного сайта в Интернете на территории Российской Федерации, известна Роскомнадзору, по крайней мере, с 21 марта 2017 г. (как следует из ответа Минкомсвязи России № П19-1-200-7219 от 30.03.2017 г.), однако до сих пор остаётся неисправленной. Публичная реакция Роскомнадзора поступила лишь 7 июня 2017 года, спустя 2,5 месяца после обнаружения уязвимости и спустя 3-4 дня после попадания информации об уязвимости в публичный доступ. При этом сама по себе уязвимость по-прежнему, спустя почти 3 месяца после её обнаружения, остаётся незакрытой.

• Также при этом с 21 марта 2017 г. и по сей день отсутствуют даже какие бы то ни было механизмы распределённого мониторинга ситуации с блокировками и доступностью Интернет-ресурсов на территории Российской Федерации, механизмы оценки и мониторинга текущего уровня угроз и проблем. Причины подобного отношения к фундаментальной критической уязвимости остаются неясными.

• Отчёты о времени нарушения, выпускаемые Ревизором, зачастую не учитывают или неверно учитывают разницу между часовым поясом, в котором произошло занесение информации о ресурсе в Реестр, и часовым поясом, в котором установлен и функционирует данный конкретный экземпляр оборудования Ревизора.

• Временной период, в рамках которого установлен временный режим бессанкционной приостановки разрешения доменных имён на стороне оператора связи, ограничен 16 июня 2017 года. Неясны технические предпосылки для выбора именно такого временного периода. На момент подготовки данного документа (14 июня 2017 г.) какие бы то ни было предпосылки к исправлению ситуации отсутствуют, реализация каких бы то ни было эффективных мер по борьбе с уязвимостью в оставшиеся сроки представляется затруднительной либо вообще невозможной.

• Неясны также причины, по которым на данный момент в принципе предполагаются какие бы то ни было санкции для оператора связи за отсутствие механизмов разрешения доменных имён, содержащихся в Реестре, в то время как в законодательстве в явном виде прописана возможность для оператора связи самостоятельно выбирать удобный для него метод блокировки доступа к ресурсам.

• Фактически, текущая реализация механизмов разрешения имён в оборудовании Ревизора противоречит законодательным и нормативным предписаниям. Использование некорректных механизмов для определения фактической ответственности операторов перед законом нарушает права операторов связи.

• Предположение о необходимости нормативного закрепления за Роскомнадзором права определять способ осуществления блокировки оператором связи вызывает обоснованные сомнения ввиду показанной неэффективности использования автоматического разрешения доменных имён на стороне оператора связи в целях блокировки доступа к ресурсам Интернета, а также сложностей с реализацией тех или иных методов блокировки в условиях инфраструктуры ряда операторов связи.

• Рассылка уведомлений и предписаний операторам связи Роскомнадзором происходит не централизованно, неравномерно, со значительными задержками. Известны случаи, когда лишь часть операторов связи получила то или иное уведомление, что, в свою очередь, нарушает равноправие участников рынка услуг связи в регионах и в Российской Федерации в целом. При этом осуществляющаяся в период существования уязвимости рассылка уведомления и предписаний операторам связи выглядит хаотичной и бессистемной.

• Отсутствуют какие бы то ни было предписанные меры и механизмы по исключению из Реестра ресурсов в случае, если информация, распространение которой в Российской Федерации запрещено, на этих ресурсах более не располагается, однако владелец ресурса не выслал соответствующий запрос в Роскомнадзор. В том числе отсутствуют предписанные меры и механизмы по автоматическому исключению из Реестра ресурсов в случае, если соответствующее доменное имя было разделегировано и потеряло либо поменяло владельца.

• Отсутствие механизмов обслуживания и очистки Реестра также, в свою очередь, потенциально грозит вышеописанными проблемами, приводящими либо к переполнению таблиц маршрутизации на оборудовании операторов связи и к соответствующим сбоям в работе, либо к фактическому отказу систем реализации блокировок, либо к полному отключению Интернета в ряде операторов связи.

При этом за скобками данного обзора остаются вопросы, связанные с надёжностью и защищённостью системы DNS в принципе, включая производимый эффект от атак типа DNS cache poisoning и пр.

Заметим, что при этом оборудование Ревизора на практике оказывается неспособно обнаружить доступ к информации, расположенной на заблокированном ресурсе, в случае, если эта информация отдаётся с нетипичным кодом ответа (таким, как 403 или 404). Такое поведение Интернет-ресурса в принципе не соответствует логике протокола HTTP и предписаниям IETF, однако легко реализуемо и интерпретируется браузерами как обычная передача данных для отображения на экране устройства пользователя.

Для исправления текущей ситуации считаем необходимым принять следующие меры:

Меры правового характера:

• Продлить временный режим бессанкционной приостановки разрешения доменных имён на стороне оператора связи до момента полного разрешения текущей ситуации с блокировками.
• Запретить операторам самостоятельно разрешать доменные имена из Реестра в IP-адреса в целях использования полученных IP-адресов для блокировок доступа к ресурсам.
• Приостановить использование Ревизора до полного исправления всех недостатков, критических для функционирования инфраструктуры и отдельных сайтов национального сегмента сети Интернет.
• Обязать разработчиков Ревизора, ФГУП «РЧЦ ЦФО» и Роскомнадзор оперативно реагировать на информацию о новых уязвимостях, ввести нормативный срок (не более 2 календарных дней) после поступления либо опубликования информации о новой уязвимости, в течение которого такая уязвимость должна быть исправлена либо использование Ревизора или иных уязвимых механизмов и систем должно быть приостановлено.
• Обязать разработчиков Ревизора, ФГУП «РЧЦ ЦФО» и Роскомнадзор реализовать механизмы оперативного оповещения операторов связи об обнаруженных проблемах и уязвимостях, а также рекомендациях по их исправлению.
• Обязать Роскомнадзор проводить регулярное (не реже, чем 1 раз в месяц) обслуживание Реестра с целью удаления из него неактуальных данных и обновления IP-адресов заблокированных ресурсов (с соответствующими проверками на наличие либо отсутствие запрещённого контента на соответствующих IP-адресах).
• Обязать Роскомнадзор проводить проверку наличия либо отсутствия запрещенного контента по каждому IP-адресу, который добавляется или исключается из перечня заблокированных ресурсов.

Меры технического характера:

• В кратчайшие сроки демонтировать соответствующий функционал оборудования Ревизора по самостоятельному автоматизированному разрешению доменных имён ввиду принципиальной концептуальной непригодности такого функционала для блокировки доступа к ресурсам Интернета, а также из-за проблем, создаваемых таким функционалом.
• Реализовать инфраструктуру для оперативного обновления и управления оборудованием Ревизора. Не учитывать при определении штрафов и иных санкционных мер данные от оборудования, не имеющего последних обновлений, включая обновления безопасности.
• Реализовать и установить системы мониторинга Ревизора и доступности ключевых сайтов и элементов критической инфраструктуры Интернета с целью оперативного обнаружения аналогичных проблем в дальнейшем.
• Обеспечить периодическое разрешение IP-адресов по доменным именам, внесенным в реестр, с целью обновления IP-адресов, содержащихся в Реестре, при обязательной верификации наличия либо отсутствия запрещенного контента по добавляемому либо исключаемому IP-адресу.
• Для верификации ответов DNS-сервера использовать систему распределения запросов по различным IP-адресам источника запроса из различных сетей при разрешении имён в системе DNS и реализовать проверку фактического наличия либо отсутствия запрещенного контента по проверяемому IP-адресу.