Как работи блокирането на достъпа до страници, разпространяващи забранено съдържание (сега RKN проверява и търсачките)

Преди да преминем към описанието на системата, която отговаря за филтрирането на достъпа от телекомуникационните оператори, отбелязваме, че сега Roskomnadzor също ще контролира работата на търсачките.

В началото на годината беше одобрена процедура за контрол и списък от мерки, за да се гарантира, че операторите на търсачките спазват изискванията за спиране на издаването на информация за интернет ресурси, достъпът до които е ограничен на територията на Руската федерация.

Съответна поръчка Роскомнадзор от 7 ноември 2017 г. № 229 е регистриран в Министерството на правосъдието на Русия.

Заповедта е приета като част от изпълнението на разпоредбите на член 15.8 от Федералния закон от 27.07.2006 юли 149 г. № XNUMX-FZ „За информацията, информационните технологии и защитата на информацията“, който определя отговорности за собствениците на VPN услуги, „анонимизаторите“ и операторите на търсачки за ограничаване на достъпа до информация, чието разпространение е забранено в Русия.

Контролните дейности се извършват на мястото на контролния орган без взаимодействие с операторите на търсачките.

Под информационна система се разбира FSIS на информационни ресурси на информационни и телекомуникационни мрежи, достъпът до които е ограничен.

Въз основа на резултатите от събитието се съставя протокол, който посочва по-специално информация за софтуера, използван за установяване на тези факти, както и информация, потвърждаваща, че конкретна страница (страници) от сайта към момента на контрола е бил в информационната система повече от XNUMX часа.

Актът се изпраща на оператора на търсачката чрез информационната система. В случай на несъгласие с акта операторът има право да представи възраженията си в Роскомнадзор в рамките на три работни дни, които разглеждат възраженията също в рамките на три работни дни. Въз основа на резултатите от разглеждането на възраженията на оператора ръководителят на контролния орган или неговият заместник решава да образува дело за административно нарушение.

Как е структурирана в момента системата за филтриране на достъпа на телеком операторите

В Русия има редица закони, задължаващи телеком операторите да филтрират достъпа до страници, разпространяващи забранено съдържание:

• Федерален закон 126 „За съобщенията“, изменение на чл. 46 - относно задължението на оператора да ограничи достъпа до информация (FSEM).
• „Единен регистър“ - Постановление на правителството на Руската федерация от 26 октомври 2012 г. N 1101 „За единна автоматизирана информационна система „Единен регистър на имена на домейни, индекси на страници на сайтове в информационната и телекомуникационна мрежа „Интернет“ и мрежови адреси които позволяват идентифициране на сайтове в информационната и телекомуникационна мрежа Интернет мрежи, съдържащи информация, разпространението на която е забранено в Руската федерация"
• Федерален закон 436 „За защита на децата...“, категоризация на наличната информация.
• Федерален закон № 3 „За полицията“, член 13, параграф 12 - за премахване на причините и условията, които допринасят за осъществяването на заплахи за безопасността на гражданите и обществената безопасност.
• Федерален закон № 187 „За изменение на някои законодателни актове на Руската федерация относно защитата на интелектуалните права в информационните и телекомуникационните мрежи“ („закон за борба с пиратството“).
• Изпълнение на съдебни решения и разпореждания на прокурорите.
• Федерален закон от 28.07.2012 юли 139 г. N XNUMX-FZ „За изменение на Федералния закон „За защита на децата от информация, вредна за тяхното здраве и развитие“ и някои законодателни актове на Руската федерация.“
• Федерален закон от 27 юли 2006 г. № 149-FZ „За информацията, информационните технологии и защитата на информацията“.

Заявките от Roskomnadzor за блокиране съдържат актуализиран списък с изисквания към доставчика, всеки запис от такава заявка съдържа:

• вида на регистъра, в съответствие с който се извършва ограничението;
• моментът във времето, от който възниква необходимостта от ограничаване на достъпа;
• вид спешност на реакцията (обикновена спешност - до XNUMX часа, висока спешност - незабавна реакция);
• тип блокиране на запис в регистъра (по URL или по име на домейн);
• хеш код на записа в регистъра (променя се при промяна на съдържанието на записа);
• подробности за решението за необходимостта от ограничаване на достъпа;
• един или повече индекси на страници на сайта, достъпът до които трябва да бъде ограничен (по желание);
• едно или повече имена на домейни (по избор);
• един или повече мрежови адреси (по избор);
• една или повече IP подмрежи (по избор).

За ефективно предаване на информация на операторите е създадена „Информационна система за взаимодействие между Роскомнадзор и телеком операторите“. Намира се заедно с разпоредбите, инструкциите и напомнянията за операторите на специализиран портал:

vigruzki.rkn.gov.ru

От своя страна, за да провери телекомуникационните оператори, Роскомнадзор започна да издава клиент на AS „Ревизор“. По-долу е малко за функционалността на агента.

Алгоритъм за проверка на наличността на всеки URL от Агента. При проверка Агентът трябва:

• определете IP адресите, към които се преобразува мрежовото име на сайта, който се проверява (домейн), или използвайте IP адреси, предоставени в качването;
• За всеки IP адрес, получен от DNS сървъри, направете HTTP заявка за URL адреса, който се проверява. Ако се получи HTTP пренасочване от сайта, който се сканира, Агентът трябва да провери URL адреса, към който е направено пренасочването. Поддържат се поне 5 последователни HTTP пренасочвания;
• ако е невъзможно да се направи HTTP заявка (не е установена TCP връзка), Агентът трябва да заключи, че целият IP адрес е блокиран;
• в случай на успешна HTTP заявка, Агентът трябва да провери получения отговор от проверявания сайт чрез кода на HTTP отговор, HTTP хедъри и HTTP съдържание (първите получени данни с размер до 10 kb). Ако полученият отговор съвпада с шаблоните на страниците за мъничета, създадени в контролния център трябва да се заключи, че URL адресът, който се проверява, е блокиран;
• при проверка на URL, Агентът трябва да провери инсталирането на криптирана връзка и да маркира ресурса;
• Ако данните, получени от Агента, не съвпадат с шаблоните на страници мъничета или доверени страници за пренасочване, информиращи за блокирането на ресурса, Агентът трябва да заключи, че URL адресът не е блокиран в SPD на телеком оператора. В този случай информацията за данните (HTTP отговор), получени от Агента, се записва в отчет (регистрационен файл за проверка). Системният администратор има възможност да създаде шаблон за нова мъниче страница от този запис, за да предотврати последващи неверни заключения за липсата на блок.

Списък на това, което Агентът трябва да предостави

• свързване с контролния център за получаване на пълен списък с URL адреси и режими на блокиране, които трябва да бъдат тествани;
• комуникация с контролния център за получаване на данни за режимите на тестване. Поддържани режими: пълна еднократна проверка, пълна периодична с определен интервал, селективна еднократна със зададен от потребителя списък с URL адреси, периодична проверка с определен интервал на списък с URL адреси (от определен тип EP запис);
• продължаване на изпълнението на определени процедури за проверка с помощта на съществуващия списък с URL адреси, ако е невъзможно да се получи списък с URL адреси от контролния център и съхраняване на получените резултати от теста с последващо прехвърляне към контролния център;
• пълно изпълнение на определени процедури за проверка, като се използват налични списъци с URL адреси, ако е невъзможно да се получи информация за режимите на проверка от контролния център и съхраняване на получените резултати от теста с последващо прехвърляне към контролния център;
• проверка на резултатите от блокирането в съответствие с установения режим;
• изпращане на отчет за извършената проверка до контролния център (inspection log file);
• възможност за проверка на функционалността на SPD на телеком оператора, т.е. проверка на наличността на списък с известни достъпни сайтове;
• възможност за проверка на резултатите от блокиране с помощта на прокси сървър;
• възможност за дистанционно обновяване на софтуера;
• възможността за извършване на диагностични процедури на SPD (време за реакция, път на пакета, скорост на изтегляне на файлове от външен ресурс, определяне на IP адреси за имена на домейни, скорост на получаване на информация в обратния комуникационен канал в кабелни мрежи за достъп, пакет степен на загуба, средно време за забавяне на предаването пакети);
• производителност на сканиране от поне 10 URL адреса в секунда, при условие че има достатъчна честотна лента на комуникационния канал;
• възможността агентът да има достъп до ресурса многократно (до 20 пъти), с променлива честота от 1 път в секунда до 1 път в минута;
• възможност за създаване на случаен ред на записите в списъка, предадени за тестване, и задаване на приоритет за конкретна страница от сайт в Интернет.

Като цяло структурата изглежда така:

Софтуерните и хардуерно-софтуерните решения за филтриране на интернет трафик (DPI решения) позволяват на операторите да блокират трафика от потребители към сайтове от списъка RKN. Дали са блокирани или не се проверява от клиента на AS Auditor. Той автоматично проверява наличността на сайта, като използва списък от RKN.

Наличен примерен протокол за наблюдение по ссылке.

Миналата година Roskomnadzor започна да тества блокиращи решения, които операторът може да използва, за да приложи тази схема от оператор. Позволете ми да цитирам резултатите от такова тестване:

„Специализираните софтуерни решения „UBIC“, „EcoFilter“, „SKAT DPI“, „Tixen-Blocking“, „SkyDNS Zapret ISP“ и „Carbon Reductor DPI“ получиха положителни заключения от Roskomnadzor.

Получено е и заключение от Роскомнадзор, потвърждаващо възможността телекомуникационните оператори да използват софтуера ZapretService като средство за ограничаване на достъпа до забранени ресурси в Интернет. Резултатите от тестовете показаха, че при инсталиране съгласно препоръчаната от производителя схема на свързване „в празнина“ и мрежата на телеком оператора е правилно конфигурирана, броят на откритите нарушения според Единния регистър на забранената информация не надвишава 0,02%.

Така телекомуникационните оператори получават възможност да изберат най-подходящото решение за ограничаване на достъпа до забранени ресурси, включително от списъка на софтуерните продукти, получили положително становище от Роскомнадзор.

Въпреки това, по време на тестването на софтуерния продукт IdecoSelecta ISP, поради дългата процедура по неговото внедряване и конфигуриране, някои оператори не успяха да започнат тестването навреме. За повече от половината телекомуникационни оператори, участващи в тестването, периодът на тестова работа на ISP Ideco Selecta не надвишава една седмица. Като се има предвид малкия обем на получените статистически данни и малкия брой участници в тестването, Roskomnadzor в официалното си заключение посочи невъзможността да се получат недвусмислени заключения относно ефективността на ISP продукта Ideco Selecta като средство за ограничаване на достъпа до забранени ресурси в Интернет. ”

Позволете ми да добавя, че в тестването на всеки софтуерен продукт участваха до 27 телекомуникационни оператора с различен брой абонати от различни федерални окръзи на Руската федерация.

Официалните заключения въз основа на резултатите от тестовете можете да намерите тук. Тези заключения съдържат практически нулева техническа информация. Можете да прочетете за продукта „Ideco Selecta ISP“, за да знаете какво да не правите.

Тази година тестването ще продължи и в момента, съдейки по новините от Roskomnadzor, един продукт вече е взет и още 2 са в близко бъдеще.

Ами ако блокирането е станало по погрешка?

В заключение бих искал да ви напомня, че Роскомнадзор „не прави грешки“, което е потвърдено от Конституционния съд.

Резолюцията, която на практика освобождава Роскомнадзор от отговорност за погрешно блокиране на сайтове, беше приета като част от разглеждането на жалба до Конституционния съд от директора на Асоциацията на интернет издателите Владимир Харитонов. В него се казва, че през декември 2012 г. Roskomnadzor погрешка блокира неговата онлайн библиотека digital-books.ru. Както г-н Харитонов обясни, неговият ресурс се намираше на същия IP адрес като портала rastamantales(.)ru (сега rastamantales(.)com), който беше първоначалният обект на блокиране. Владимир Харитонов се опита да обжалва решението на Роскомнадзор в съда, но през юни 2013 г. Таганският окръжен съд призна блокирането за законно, а през септември 2013 г. това решение беше потвърдено от Московския градски съд.

Оттам:

От Роскомнадзор казаха на Комерсант, че са доволни от решението на Конституционния съд. „Конституционният съд потвърди, че Роскомнадзор изпълнява закона. Ако операторът няма техническа възможност да ограничи достъпа до отделна страница на сайта, а не до неговия мрежов адрес, тогава това е отговорност на оператора“, каза прессекретарят на отдела пред „Комерсант“.

Този въпрос е актуален и за облачните доставчици и хостинг компаниите, тъй като подобни инциденти са им се случвали. През юни 2016 г. облачната услуга Amazon S3 беше блокирана в Русия, въпреки че само страницата на покер стаята 888poker, разположена на нейната платформа, беше включена в регистъра по искане на Федералната данъчна служба. Блокирането на целия ресурс се дължи именно на факта, че Amazon S3 използва защитен https протокол, който не позволява блокиране на отделни страници. Едва след като самата Amazon изтри страницата, към която руските власти имаха оплаквания, ресурсът беше премахнат от регистъра.

Източник: www.habr.com