Než přejdeme k popisu systému, který je zodpovědný za filtrování přístupu telekomunikačních operátorů, poznamenáváme, že Roskomnadzor bude nyní řídit také provoz vyhledávačů.
Začátkem roku byl schválen kontrolní postup a seznam opatření, aby provozovatelé vyhledávačů dodržovali požadavky na zastavení vydávání informací o internetových zdrojích, k nimž je na území Ruské federace omezený přístup.
Roskomnadzor ze dne 7. listopadu 2017 č. 229 je registrován u Ministerstva spravedlnosti Ruska.
Nařízení bylo přijato v rámci implementace ustanovení čl. 15.8 federálního zákona ze dne 27.07.2006. července 149 č. XNUMX-FZ „o informacích, informačních technologiích a ochraně informací“, který stanoví odpovědnost vlastníků služeb VPN, „anonymizátorů“ a provozovatelů vyhledávačů za omezení přístupu k informacím, jehož distribuce je v Rusku zakázána.
Kontrolní činnost je prováděna v místě kontrolního orgánu bez interakce s provozovateli vyhledávačů.
Informační systém je chápán jako FSIS informačních zdrojů informačních a telekomunikačních sítí, ke kterým je omezený přístup.
Na základě výsledků akce je sepsán protokol, který uvádí zejména informace o softwaru použitém ke zjištění těchto skutečností a dále informace potvrzující, že konkrétní stránka (stránky) webu v době kontroly byl v informačním systému déle než den.
Akt je zaslán provozovateli vyhledávače prostřednictvím informačního systému. V případě nesouhlasu se zákonem má provozovatel právo podat námitky do tří pracovních dnů Roskomnadzoru, který námitky rovněž do tří pracovních dnů posoudí. Na základě výsledků posouzení námitek provozovatele rozhodne vedoucí kontrolního orgánu nebo jeho zástupce o zahájení řízení ve věci správního deliktu.
Jak je aktuálně strukturován systém filtrování přístupu pro telekomunikační operátory
V Rusku existuje řada zákonů, které zavazují telekomunikační operátory k filtrování přístupu na stránky distribuující zakázaný obsah:
- Federální zákon 126 „o komunikacích“, změna čl. 46 - o povinnosti provozovatele omezit přístup k informacím (FSEM).
- „Jednotný registr“ - Nařízení vlády Ruské federace ze dne 26. října 2012 N 1101 „O jednotném automatizovaném informačním systému „Jednotný registr doménových jmen, indexy stránek webu v informační a telekomunikační síti „Internet“ a síťové adresy které umožňují identifikaci stránek v informační a telekomunikační síti Internetové sítě obsahující informace, jejichž šíření je v Ruské federaci zakázáno“
- Federální zákon 436 „O ochraně dětí...“, kategorizace dostupných informací.
- Federální zákon č. 3 „O policii“, článek 13, odstavec 12 - o odstraňování příčin a podmínek, které přispívají k realizaci ohrožení bezpečnosti občanů a veřejné bezpečnosti.
- Federální zákon č. 187 „O změně některých právních předpisů Ruské federace o ochraně duševních práv v informačních a telekomunikačních sítích“ („protipirátský zákon“).
- Plnění soudních rozhodnutí a příkazů státních zástupců.
- Federální zákon ze dne 28.07.2012. července 139 N XNUMX-FZ „O změně federálního zákona „O ochraně dětí před informacemi škodlivými pro jejich zdraví a vývoj“ a některých legislativních aktů Ruské federace.
- Federální zákon ze dne 27. července 2006 č. 149-FZ „O informacích, informačních technologiích a ochraně informací“.
Žádosti Roskomnadzor o zablokování obsahují aktualizovaný seznam požadavků na poskytovatele, každý záznam z takové žádosti obsahuje:
- typ registru, podle kterého je omezení provedeno;
- okamžik, od kterého vzniká potřeba omezit přístup;
- typ naléhavosti odpovědi (obvyklá naléhavost – do XNUMX hodin, vysoká naléhavost – okamžitá reakce);
- typ blokování položky registru (podle URL nebo názvu domény);
- hash kód záznamu v registru (změní se vždy, když se změní obsah záznamu);
- podrobnosti o rozhodnutí o nutnosti omezit přístup;
- jeden nebo více indexů stránek webu, k nimž by měl být omezený přístup (volitelné);
- jedno nebo více doménových jmen (volitelné);
- jedna nebo více síťových adres (volitelné);
- jedna nebo více podsítí IP (volitelné).
Pro efektivní sdělování informací operátorům byl vytvořen „Informační systém pro interakci mezi Roskomnadzorem a telekomunikačními operátory“. Je umístěn spolu s předpisy, pokyny a připomínkami pro operátory na specializovaném portálu:
Za účelem kontroly telekomunikačních operátorů začal Roskomnadzor vydávat klienta AS „Revizor“. Níže je něco málo o funkcích agenta.
Algoritmus pro kontrolu dostupnosti každé adresy URL agentem. Při kontrole musí agent:
- určit IP adresy, na které se převádí síťový název kontrolovaného webu (domény), nebo použít IP adresy uvedené v nahrávání;
- Pro každou IP adresu přijatou ze serverů DNS proveďte HTTP požadavek na kontrolovanou URL. Pokud je z kontrolovaného webu přijato přesměrování HTTP, musí agent zkontrolovat adresu URL, na kterou je přesměrování provedeno. Je podporováno alespoň 5 po sobě jdoucích přesměrování HTTP;
- pokud není možné provést HTTP požadavek (nenavázáno TCP spojení), musí Agent dojít k závěru, že je blokována celá IP adresa;
- v případě úspěšného HTTP požadavku musí Agent zkontrolovat přijatou odpověď z kontrolovaného webu podle kódu HTTP odpovědi, HTTP hlaviček a obsahu HTTP (první přijatá data do velikosti 10 kb). Pokud přijatá odpověď odpovídá šablonám se zakázaným inzerováním vytvořeným v řídicím centru mělo by se dojít k závěru, že kontrolovaná URL je blokována;
- při kontrole URL musí Agent zkontrolovat instalaci šifrovaného připojení a označit zdroj;
- Pokud data přijatá Agentem neodpovídají šablonám pahýlových stránek nebo důvěryhodných přesměrovacích stránek informujících o blokování zdroje, Agent musí dojít k závěru, že URL není blokováno na SPD telekomunikačního operátora. V tomto případě jsou informace o datech (odpovědi HTTP) přijaté agentem zaznamenány do zprávy (soubor protokolu auditu). Správce systému má možnost z tohoto záznamu vytvořit šablonu pro novou útržkovou stránku, aby zabránil následným chybným závěrům o absenci bloku.
Seznam toho, co musí Agent poskytnout
- kontaktování řídicího centra za účelem získání úplného seznamu adres URL a režimů blokování, které je třeba otestovat;
- komunikace s řídicím střediskem pro získání dat o testovacích režimech. Podporované režimy: plná jednorázová kontrola, plná periodická se zadaným intervalem, selektivní jednorázová s uživatelem zadaným seznamem URL, periodická kontrola se zadaným intervalem seznamu URL (určitého typu EP záznamu);
- pokračování v provádění specifikovaných ověřovacích postupů pomocí existujícího seznamu URL, pokud není možné získat seznam URL z řídicího centra, a uložení získaných výsledků testů s následným přenosem do řídicího centra;
- úplná implementace specifikovaných ověřovacích postupů pomocí dostupných seznamů URL, pokud není možné získat informace o režimech ověřování z řídicího centra, a uložení získaných výsledků testů s následným přenosem do řídicího centra;
- kontrola výsledků blokování v souladu se zavedeným režimem;
- zaslání zprávy o provedené kontrole do řídícího centra (soubor protokolu o kontrole);
- možnost kontroly funkčnosti SPD telekomunikačního operátora, tzn. kontrola dostupnosti seznamu známých přístupných míst;
- možnost kontrolovat výsledky blokování pomocí proxy serveru;
- možnost vzdálené aktualizace softwaru;
- schopnost provádět diagnostické procedury na SPD (doba odezvy, cesta paketu, rychlost stahování souborů z externího zdroje, určení IP adres pro doménová jména, rychlost příjmu informací v reverzním komunikačním kanálu v sítích s pevným přístupem, paket ztrátová rychlost, balíčky průměrné doby zpoždění přenosu);
- výkon skenování alespoň 10 URL za sekundu, za předpokladu, že existuje dostatečná šířka pásma komunikačního kanálu;
- schopnost agenta přistupovat ke zdroji vícekrát (až 20krát), s proměnnou frekvencí od 1krát za sekundu do 1krát za minutu;
- schopnost vytvořit náhodné pořadí položek seznamu přenášených k testování a nastavit prioritu pro konkrétní stránku webu na internetu.
Obecně struktura vypadá takto:
Softwarová a hardwarově-softwarová řešení pro filtrování internetového provozu (řešení DPI) umožňují operátorům blokovat provoz od uživatelů na stránky ze seznamu RKN. Zda jsou blokovány nebo ne, kontroluje klient AS Auditor. Automaticky zkontroluje dostupnost webu pomocí seznamu z RKN.
K dispozici vzorový monitorovací protokol .
V loňském roce začal Roskomnadzor testovat blokovací řešení, která může operátor použít k implementaci tohoto schématu operátorem. Dovolte mi citovat z výsledků takového testování:
„Specializovaná softwarová řešení „UBIC“, „EcoFilter“, „SKAT DPI“, „Tixen-Blocking“, „SkyDNS Zapret ISP“ a „Carbon Reductor DPI“ obdržela od Roskomnadzor pozitivní závěry.
Byl také přijat závěr Roskomnadzoru, který potvrdil možnost telekomunikačních operátorů používat software ZapretService jako prostředek k omezení přístupu k zakázaným zdrojům na internetu. Výsledky testování ukázaly, že při instalaci podle výrobcem doporučeného schématu připojení „in gap“ a správné konfiguraci sítě telekomunikačního operátora nepřesahuje počet zjištěných porušení podle Jednotného registru zakázaných informací 0,02 %.
Telekomunikační operátoři tak mají možnost vybrat si nejvhodnější řešení pro omezení přístupu k zakázaným zdrojům, a to i ze seznamu softwarových produktů, které obdržely kladné stanovisko od Roskomnadzor.
Během testování softwarového produktu IdecoSelecta ISP však někteří operátoři kvůli zdlouhavému procesu jeho nasazení a konfigurace nemohli zahájit testování včas. U více než poloviny telekomunikačních operátorů účastnících se testování nepřesáhla doba testovacího provozu Ideco Selecta ISP týden. S ohledem na malý objem získaných statistických dat a malý počet účastníků testování Roskomnadzor ve svém oficiálním závěru naznačil nemožnost získat jednoznačné závěry o účinnosti produktu Ideco Selecta ISP jako prostředku omezení přístupu k zakázaným zdrojům na internetu. “
Doplňuji, že testování každého softwarového produktu se zúčastnilo až 27 telekomunikačních operátorů s různým počtem účastníků z různých federálních okresů Ruské federace.
Oficiální závěry založené na výsledcích testů lze nalézt . Tyto závěry neobsahují prakticky žádné technické informace. Můžete si přečíst o produktu „Ideco Selecta ISP“, abyste věděli, co nedělat.
Letošní testování bude pokračovat a v tuto chvíli, soudě podle novinek od Roskomnadzor, je již jeden produkt odebrán a 2 další jsou v blízké budoucnosti.
Co když k zablokování došlo omylem?
Na závěr bych rád připomněl, že Roskomnadzor „nechybí“, což potvrzuje i Ústavní soud.
Usnesení, které fakticky zbavuje Roskomnadzor odpovědnosti za chybné blokování stránek, bylo přijato v rámci projednávání stížnosti k Ústavnímu soudu ředitelem Asociace internetových vydavatelů Vladimirem Charitonovem. Uvedl, že v prosinci 2012 Roskomnadzor omylem zablokoval jeho online knihovnu digital-books.ru. Jak vysvětlil pan Kharitonov, jeho zdroj byl umístěn na stejné IP adrese jako portál rastamantales(.)ru (nyní rastamantales(.)com), který byl původním předmětem blokování. Vladimir Kharitonov se pokusil odvolat proti rozhodnutí Roskomnadzoru u soudu, ale v červnu 2013 okresní soud Tagansky uznal blokování za legální a v září 2013 toto rozhodnutí potvrdil moskevský městský soud.
Odtud:
Roskomnadzor Kommersantu řekl, že jsou s rozhodnutím Ústavního soudu spokojeni. „Ústavní soud potvrdil, že Roskomnadzor zákon provádí. Pokud operátor nemá technickou možnost omezit přístup na samostatnou stránku webu, a nikoli na jeho síťovou adresu, pak je to odpovědností operátora,“ řekl Kommersantu tiskový tajemník ministerstva.
Tento problém je relevantní také pro poskytovatele cloudu a hostingové společnosti, protože se jim staly podobné incidenty. V červnu 2016 byla v Rusku zablokována cloudová služba Amazon S3, i když na žádost Federální daňové služby byla do registru zahrnuta pouze stránka pokerové herny 888poker umístěná na její platformě. Zablokování celého zdroje bylo způsobeno právě tím, že Amazon S3 používá zabezpečený protokol https, který neumožňuje blokování jednotlivých stránek. Teprve poté, co Amazon sám smazal stránku, na kterou si ruské úřady stěžovaly, byl zdroj odstraněn z registru.
Zdroj: www.habr.com