Брешь в системе: Почему сайт Навального доступен россиянам, несмотря на блокировку

Роскомнадзор не смог полностью заблокировать Навального Страница оппозиционного блогера Алексея Навального, который в минувший четверг 15 февраля 2018 г., был внесен Роскомнадзором в Реестр запрещенных сайтов, продолжает открываться у большинства российских пользователей. Например, как убедился корреспондент CNews, ресурс доступен в мобильных и фиксированных сетях «Вымпелкома», МГТС и «Онлайм» (в московской сети «Ростелекома»). Пользователи «Ростелекома» из регионов также сообщают о доступности сайта Навального из их сетей. Сам Навальный указал, что в четверг днем уровень доступности его ресурса упал с 100% до 30%, но его сторонники заявили, что Роскомнадзор ждет «сюрприз». В результате мер, предпринятых командой блогера, уровень доступности ресурса к семи часам вечера 15 февраля 2018 г. вырос до 70%. DDoS-атака на заблокированный ресурс Затем показатель доступности вновь упал - до 37%. Навальный утверждает, что это стало следствием не блокировки Роскомнадзора, а запущенных на его ресурс «двух мощнейших DDos-атак». Свидетелем этому был и корреспондент CNews: в сети «Вымпелкома» в тот период сайт не открывался, но «страница-заглушка», извещающая пользователя о заходе на запрещенный сайт, не выводилась. К вечеру четверга ситуация для Навального стала нормализовываться, и уровень доступности ресурса Навального достиг 65-70%. На нынешний момент по данным SimilarWeb, посещаемость сайта упала на 27%, причем большая часть посетителей ресурса, 63%, по-прежнему приходится на Россию. В Роскомнадзоре не ответили на запрос CNews относительно Навального. Как команда Навального «перехитрила» Роскомнадзор Опрошенные CNews технические эксперты говорят, что команда Навального нащупала уязвимости систем DPI, которые используются многими российскими интернет-провайдерами для обхода для блокировок. http://filearchive.cnews.ru/img/news/2018/02/20/novalne600.jpg"> Сайт Алексея Навального доступен большинству российских пользователей, невзирая на блокировку Роскомнадзором Напомним, провайдер может блокировать запрещенный ресурс по IP-адресу или с помощью системы DPI. Второй способ предпочтительнее: в этом случае блокируются только конкретные страницы (URL) с запрещенной информацией, а не весь искомый ресурс, а также не затрагиваются другие сайты, находящие на данном IP-адресе. Но не у всех провайдеров установлены системы DPI. Кроме того, при использовании запрещенным сайтом протокола шифрования SSL система DPI не видит запрашиваемого пользователем адреса. В этом случае можно блокировать либо по IP-адресу, либо по домену. Роскомнадзор рекомендует провайдерам использовать второй способ. Для этого DPI вычленяет из запрошенного адреса SNI (название домена - единственная видимая часть адреса) и блокирует все запросы к системам DNS (хранят соответствие доменов и IP-адресов) с этим доменом. Гендиректор хостинг-провайдера «Дремучий лес» [b]Филипп Кулин[/b] считает, что команда Навального воспользовалась особенностями стека протоколов TCP/IP. На базе этого стека работает сеть интернет, включая веб-приложения, работающие на протоколе http, который, в свою очередь, использует транспортный протокол TCP. При установлении TCP-соединения происходит обмен пакетами данных, которые по умолчанию имеют стандартный размер. Но сервер Навального просит установить меньший размер: два байта. Имя сервера (SNI) в эти два байта не влезает, в результате чего блокировка перестает работать, говорит Кулин. «Со своей стороны, провайдер может попытаться собрать пакеты на фильтре, но они не обязаны идти последовательно, и это будет крайне сложная задача», - отмечает Кулин. «Гроза» Роскомнадзора: фрагментация пакетов и лишние проблемы в запросах Ведущий Telegram-канал «За телеком» [b]Михаил Климарев[/b] добавляет, что методы обхода блокировок DPI-системами путем использования стека TCP/IP еще в 2017 г. были описаны на ресурсе «Хабрахабр», и сейчас существует свободное ПО для этих целей. Это ПО может использовать комбинацию из шести различных способов в зависимости от типов используемых провайдерами DPI. В частности, можно использовать фрагментацию TCP-пакетов. Также можно экспериментировать с форматами http-запросов. Например, можно заменить в запросе служебное поле «Host» (определяет имя узла, к которому идет обращение) на «hosT» - некоторые DPI могут пропустить такие запросы. Можно в строке запроса можно удалить пробел между символом «:», который идет после поля «host» и перед именем хоста, либо, наоборот, добавить там лишний пробел, что тоже в некоторых случаях поможет избежать блокировки. Роскомнадзор не спешит штрафовать провайдеров за пропуск запросов к сайту Навального Впрочем, все зависит от используемой провайдером DPI-системы. Некоторые провайдеры не только смогли заблокировать ресурс Навального, но и заблокировали его поддомен «2018.navalny.com», где размещен сайт с призывом бойкотировать выборы. Однако после шума, который поднял в Сети соратник Навального [b]Леонид Волков[/b], ряд крупных провайдеров (Yota, «Дом.ру», «Транстелеком») отменили блокировку данного поддомена. Описанные методы помогают с обходом блокировок при использовании провайдерами DPI-систем, но непригодны для блокировок по IP-адресам. Однако для обхода этих случаев владелец ресурса может менять свои IP-адреса. С недавних пор Роскомнадзор стал использовать систему «Ревизор» для контроля исполнения интернет-провайдерами требований о блокировках. Для этого у провайдеров устанавливается специальное устройство, которое пытается заходить из их сетей на заблокированные сайты. В случае выявления «Ревизором» факта доступности какого-либо запрещенного сайта провайдеру выписывается штраф об административных правонарушениях. По данным Филиппа Кулина, полученных путем опроса представителей провайдеров в Telegram-чатах, Роскомнадзор не стал включать адрес сайта Навального в список проверки для «Ревизора». Кулин объясняет это тем, что запрещенный ресурс доступен у многих провайдеров, включая «Ростелеком». Из-за чего блокируют Навального События вокруг сайта Навального стали развиваться с пятницы, 9 февраля 2018 г. Тогда Алексей Навальный опубликовал на своем сайте и на видеохостинге расследование о связях олигарха, владельца компаний «Русал» и «Базовый элемент» [b]Олега Дерипаски[/b] с девушкой под псевдонимом [b]Настя Рыбка[/b]. Согласно фото- и видеозаписям, сделанным Рыбкой на своей страницы в Instagram, она была на яхте Дерипаски. На этих материалах был виден и человек, похожий на вице-премьера и куратора внешней политики России [b]Сергея Приходько[/b]. На одном из видео он обсуждал российско-американские отношения с Дерипаской. В субботу 10 февраля 2018 г. Роскомнадзор потребовал от ресурса Навального и других сайтов, разместивших данное расследование, его удаления. Основанием стали обеспечительные меры, вынесенные Усть-Лабинским районным судом Красноярского края по иску Дерипаски к [b]Анастасии Вашукевич[/b] (настоящее имя Насти Рыбка) и ее «тренеру» [b]Алексу Лесли[/b] (настоящее имя - [b]Александр Кириллов[/b]). Основанием для иска стало нарушение ответчиками права истца на неприкосновенность частной жизни. Сам Навальный фигурантом иска не является, его юристу в суде не дали возможности получить текст определения о блокировки. Тем не менее, Роскомнадзор отвел ресурсу положенные законом три дня на удаление спорных материалов. Навальный, со своей стороны, не согласился с этими требованиями и подал иск к Роскомнадзору в Таганский районный суд Москвы. Но поскольку требование надзорного ведомства не было исполнено, Роскомнадзор приступил к блокировке ресурса оппозиционера. YouTube не спешит удалять ролик Навального Претензии Роскомнадзора об удалении расследования Навального об Олеге Дерипаске и Насте Рыбке касались не только ресурса самого оппозиционера, но и целого ряда интернет-СМИ, написавших об этом: Newsru.com, «Радио Свобода», «Сноб», The Village, znak.com, «Медиазона». Все эти сайты полностью или частично скрыли свои материалы о расследовании Навального. Журналу «Максим», также по требованию Роскомнадзора, пришлось удалить подборку шуток о Навальном и Рыбке. Наиболее интересной была судьба запросов аналогичных запросов Роскомнадзора, направленных ведомством в Instagram и YouTube. Настя Рыбка сама удалила со своего аккаунта в Instagram большую часть фото- и видеоматериалов о Дерипаске. Оставшиеся фото удалил Instagram. YouTube же направил Навальному требование об удалении ролика о Дерипаске и Рыбке. Оппозиционер отказался подчиняться этому требованию. В середине прошлой недели Роскомнадзор говорил, что находится «в диалоге с YouTube». Ролик Навального на текущий момент продолжает быть доступен в России. В Google, владеющем сервисом YouTube, отказались от комментариев по данной ситуации. Зато когда Навальный разместил на YouTube ролик о блокировке своего сайта Роскомнадзором, то он был заблокирован администрацией YouTube из-за нарушения авторских прав «Первого канала» (его материалы использовались в этом ролике).[img]http://filearchive.cnews.ru/img/news/2018/02/20/novalne600.jpg"> Сайт Алексея Навального доступен большинству российских пользователей,
невзирая на блокировку Роскомнадзором Напомним, провайдер может блокировать запрещенный ресурс по IP-адресу или с помощью системы DPI. Второй способ предпочтительнее: в этом случае блокируются только конкретные страницы (URL) с запрещенной информацией, а не весь искомый ресурс, а также не затрагиваются другие сайты, находящие на данном IP-адресе. Но не у всех провайдеров установлены системы DPI. Кроме того, при использовании запрещенным сайтом протокола шифрования SSL система DPI не видит запрашиваемого пользователем адреса. В этом случае можно блокировать либо по IP-адресу, либо по домену. Роскомнадзор рекомендует провайдерам использовать второй способ. Для этого DPI вычленяет из запрошенного адреса SNI (название домена - единственная видимая часть адреса) и блокирует все запросы к системам DNS (хранят соответствие доменов и IP-адресов) с этим доменом. Гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин считает, что команда Навального воспользовалась особенностями стека протоколов TCP/IP. На базе этого стека работает сеть интернет, включая веб-приложения, работающие на протоколе http, который, в свою очередь, использует транспортный протокол TCP. При установлении TCP-соединения происходит обмен пакетами данных, которые по умолчанию имеют стандартный размер. Но сервер Навального просит установить меньший размер: два байта. Имя сервера (SNI) в эти два байта не влезает, в результате чего блокировка перестает работать, говорит Кулин. «Со своей стороны, провайдер может попытаться собрать пакеты на фильтре, но они не обязаны идти последовательно, и это будет крайне сложная задача», - отмечает Кулин. «Гроза» Роскомнадзора: фрагментация пакетов и лишние проблемы в запросах Ведущий Telegram-канал «За телеком» Михаил Климарев добавляет, что методы обхода блокировок DPI-системами путем использования стека TCP/IP еще в 2017 г. были описаны на ресурсе «Хабрахабр», и сейчас существует свободное ПО для этих целей. Это ПО может использовать комбинацию из шести различных способов в зависимости от типов используемых провайдерами DPI. В частности, можно использовать фрагментацию TCP-пакетов. Также можно экспериментировать с форматами http-запросов. Например, можно заменить в запросе служебное поле «Host» (определяет имя узла, к которому идет обращение) на «hosT» - некоторые DPI могут пропустить такие запросы. Можно в строке запроса можно удалить пробел между символом «:», который идет после поля «host» и перед именем хоста, либо, наоборот, добавить там лишний пробел, что тоже в некоторых случаях поможет избежать блокировки. Роскомнадзор не спешит штрафовать провайдеров за пропуск запросов к сайту Навального Впрочем, все зависит от используемой провайдером DPI-системы. Некоторые провайдеры не только смогли заблокировать ресурс Навального, но и заблокировали его поддомен «2018.navalny.com», где размещен сайт с призывом бойкотировать выборы. Однако после шума, который поднял в Сети соратник Навального Леонид Волков, ряд крупных провайдеров (Yota, «Дом.ру», «Транстелеком») отменили блокировку данного поддомена. Описанные методы помогают с обходом блокировок при использовании провайдерами DPI-систем, но непригодны для блокировок по IP-адресам. Однако для обхода этих случаев владелец ресурса может менять свои IP-адреса. С недавних пор Роскомнадзор стал использовать систему «Ревизор» для контроля исполнения интернет-провайдерами требований о блокировках. Для этого у провайдеров устанавливается специальное устройство, которое пытается заходить из их сетей на заблокированные сайты. В случае выявления «Ревизором» факта доступности какого-либо запрещенного сайта провайдеру выписывается штраф об административных правонарушениях. По данным Филиппа Кулина, полученных путем опроса представителей провайдеров в Telegram-чатах, Роскомнадзор не стал включать адрес сайта Навального в список проверки для «Ревизора». Кулин объясняет это тем, что запрещенный ресурс доступен у многих провайдеров, включая «Ростелеком». Из-за чего блокируют Навального События вокруг сайта Навального стали развиваться с пятницы, 9 февраля 2018 г. Тогда Алексей Навальный опубликовал на своем сайте и на видеохостинге расследование о связях олигарха, владельца компаний «Русал» и «Базовый элемент» Олега Дерипаски с девушкой под псевдонимом Настя Рыбка. Согласно фото- и видеозаписям, сделанным Рыбкой на своей страницы в Instagram, она была на яхте Дерипаски. На этих материалах был виден и человек, похожий на вице-премьера и куратора внешней политики России Сергея Приходько. На одном из видео он обсуждал российско-американские отношения с Дерипаской. В субботу 10 февраля 2018 г. Роскомнадзор потребовал от ресурса Навального и других сайтов, разместивших данное расследование, его удаления. Основанием стали обеспечительные меры, вынесенные Усть-Лабинским районным судом Красноярского края по иску Дерипаски к Анастасии Вашукевич (настоящее имя Насти Рыбка) и ее «тренеру» Алексу Лесли (настоящее имя - Александр Кириллов). Основанием для иска стало нарушение ответчиками права истца на неприкосновенность частной жизни. Сам Навальный фигурантом иска не является, его юристу в суде не дали возможности получить текст определения о блокировки. Тем не менее, Роскомнадзор отвел ресурсу положенные законом три дня на удаление спорных материалов. Навальный, со своей стороны, не согласился с этими требованиями и подал иск к Роскомнадзору в Таганский районный суд Москвы. Но поскольку требование надзорного ведомства не было исполнено, Роскомнадзор приступил к блокировке ресурса оппозиционера. YouTube не спешит удалять ролик Навального Претензии Роскомнадзора об удалении расследования Навального об Олеге Дерипаске и Насте Рыбке касались не только ресурса самого оппозиционера, но и целого ряда интернет-СМИ, написавших об этом: Newsru.com, «Радио Свобода», «Сноб», The Village, znak.com, «Медиазона». Все эти сайты полностью или частично скрыли свои материалы о расследовании Навального. Журналу «Максим», также по требованию Роскомнадзора, пришлось удалить подборку шуток о Навальном и Рыбке. Наиболее интересной была судьба запросов аналогичных запросов Роскомнадзора, направленных ведомством в Instagram и YouTube. Настя Рыбка сама удалила со своего аккаунта в Instagram большую часть фото- и видеоматериалов о Дерипаске. Оставшиеся фото удалил Instagram. YouTube же направил Навальному требование об удалении ролика о Дерипаске и Рыбке. Оппозиционер отказался подчиняться этому требованию. В середине прошлой недели Роскомнадзор говорил, что находится «в диалоге с YouTube». Ролик Навального на текущий момент продолжает быть доступен в России. В Google, владеющем сервисом YouTube, отказались от комментариев по данной ситуации. Зато когда Навальный разместил на YouTube ролик о блокировке своего сайта Роскомнадзором, то он был заблокирован администрацией YouTube из-за нарушения авторских прав «Первого канала» (его материалы использовались в этом ролике).