Kuidas toimib keelatud sisu levitavatele lehtedele juurdepääsu blokeerimine (nüüd kontrollib RKN ka otsingumootoreid)

Enne telekommunikatsioonioperaatorite juurdepääsu filtreerimise eest vastutava süsteemi kirjelduse juurde asumist märgime, et nüüd kontrollib Roskomnadzor ka otsingumootorite tööd.

Aasta alguses kinnitati kontrolliprotseduur ja meetmete loetelu tagamaks, et otsingumootorite operaatorid täidavad nõudeid lõpetada teabe väljastamine Interneti-ressursside kohta, millele juurdepääs on Vene Föderatsiooni territooriumil piiratud.

Vastav järjekord Roskomnadzor 7. novembril 2017 nr 229 on registreeritud Venemaa justiitsministeeriumis.

Korraldus võeti vastu 15.8. juuli 27.07.2006. aasta föderaalseaduse nr 149-FZ "Info, infotehnoloogia ja teabekaitse kohta" artikli XNUMX sätete rakendamise osana, mis määrab kindlaks VPN-teenuste omanike, "anonüümseks muutjate" ja otsingumootori operaatorite kohustused piirata juurdepääsu teabele, mille levitamine on Venemaal keelatud.

Kontrollitoimingud viiakse läbi kontrollorgani asukohas ilma otsingumootorite operaatoritega suhtlemata.

Infosüsteemi all mõistetakse info- ja telekommunikatsioonivõrkude inforessursside FSIS-i, millele juurdepääs on piiratud.

Sündmuse tulemuste põhjal koostatakse aruanne, milles märgitakse eelkõige teave nende asjaolude tuvastamiseks kasutatud tarkvara kohta, samuti teave, mis kinnitab, et saidi konkreetne leht (leheküljed) kontrollimise ajal oli infosüsteemis üle päeva.

Akt saadetakse läbi infosüsteemi otsingumootori operaatorile. Toiminguga mittenõustumisel on operaatoril õigus kolme tööpäeva jooksul esitada oma vastuväited Roskomnadzorile, kes vaatab vastuväited läbi samuti kolme tööpäeva jooksul. Käitaja vastuväidete läbivaatamise tulemuste põhjal otsustab kontrollorgani juht või tema asetäitja algatada haldusõiguserikkumise.

Kuidas on praegu üles ehitatud sideoperaatorite juurdepääsu filtreerimise süsteem

Venemaal kehtivad mitmed seadused, mis kohustavad telekommunikatsioonioperaatoreid filtreerima juurdepääsu keelatud sisu levitavatele lehtedele:

• Föderaalseadus 126 "Side kohta", muudatus art. 46 – operaatori kohustuse kohta piirata juurdepääsu teabele (FSEM).
• "Ühtne register" - Vene Föderatsiooni valitsuse 26. oktoobri 2012. aasta dekreet N 1101 "Ühtne automatiseeritud infosüsteemi "Domeeninimede ühtne register, saidi lehtede indeksid teabe- ja telekommunikatsioonivõrgus "Internet" ja võrguaadressid mis võimaldavad tuvastada teabe- ja telekommunikatsioonivõrgu saite Interneti-võrgud, mis sisaldavad teavet, mille levitamine on Vene Föderatsioonis keelatud.
• Föderaalseadus 436 "Laste kaitse kohta...", saadaoleva teabe liigitus.
• Föderaalseadus nr 3 "Politsei kohta", artikli 13 lõige 12 - kodanike turvalisust ja avalikku turvalisust ohustavate põhjuste ja tingimuste kõrvaldamise kohta.
• Föderaalseadus nr 187 "Teatud Vene Föderatsiooni seadusandlike aktide muutmise kohta teabe- ja telekommunikatsioonivõrkude intellektuaalõiguste kaitse kohta" ("piraatlusvastane seadus").
• Kohtuotsuste ja prokuröride korralduste täitmine.
• 28.07.2012. juuli 139 föderaalseadus N XNUMX-FZ "Föderaalseaduse "Laste kaitsmise kohta nende tervist ja arengut kahjustava teabe eest" ja teatud Vene Föderatsiooni seadusandlike aktide muutmise kohta.
• 27. juuli 2006. aasta föderaalseadus nr 149-FZ “Teabe, infotehnoloogia ja teabekaitse kohta”.

Roskomnadzori blokeerimistaotlused sisaldavad teenusepakkuja jaoks ajakohastatud nõuete loendit, iga sellise päringu kirje sisaldab:

• registri liik, mille alusel piirang tehakse;
• ajahetk, millest alates tekib juurdepääsu piiramise vajadus;
• kiireloomulisuse tüüp (tavaline kiireloomulisus - XNUMX tunni jooksul, suur kiireloomulisus - kohene reageerimine);
• registrikirje blokeerimise tüüp (URL-i või domeeninime järgi);
• registrikande räsikood (muutub iga kord, kui kande sisu muutub);
• juurdepääsu piiramise vajaduse otsuse üksikasjad;
• üks või mitu saidi lehtede registrit, millele juurdepääs peaks olema piiratud (valikuline);
• üks või mitu domeeninime (valikuline);
• üks või mitu võrguaadressi (valikuline);
• üks või mitu IP-alamvõrku (valikuline).

Operaatoritele teabe tõhusaks edastamiseks loodi teabesüsteem Roskomnadzori ja telekommunikatsioonioperaatorite vahelise suhtluse jaoks. See asub koos eeskirjade, juhiste ja meeldetuletustega operaatoritele spetsiaalses portaalis:

vigruzki.rkn.gov.ru

Roskomnadzor asus omalt poolt telekommunikatsioonioperaatorite kontrollimiseks AS-ile Revizor klienti väljastama. Allpool on veidi teavet agendi funktsioonide kohta.

Algoritm iga URL-i saadavuse kontrollimiseks agendi poolt. Kontrollimisel peab agent:

• määrake IP-aadressid, millele kontrollitava saidi (domeeni) võrgunimi teisendatakse, või kasutage IP-d üleslaadimisel antud aadressid;
• Iga DNS-serveritelt saadud IP-aadressi jaoks esitage kontrollitava URL-i HTTP-päring. Kui kontrollitavalt saidilt saadakse HTTP ümbersuunamine, peab agent kontrollima URL-i, kuhu ümbersuunamine tehakse. Toetatud on vähemalt 5 järjestikust HTTP ümbersuunamist;
• kui HTTP päringut pole võimalik teha (TCP-ühendust ei looda), peab agent järeldama, et kogu IP-aadress on blokeeritud;
• eduka HTTP päringu korral peab agent kontrollitavalt saidilt vastust kontrollima HTTP vastuse koodi, HTTP päiste ja HTTP sisu (esimesed kuni 10 kb suurused andmed) järgi. Kui saadud vastus ühtib juhtimiskeskuses loodud tühjelehe mallidega tuleks järeldada, et kontrollitav URL on blokeeritud;
• URL-i kontrollimisel peab Agent kontrollima krüpteeritud ühenduse installimist ja märkima ressursi;
• Kui agendile laekuvad andmed ei ühti ressursi blokeerimisest teavitavate tünnilehtede või usaldusväärsete ümbersuunamislehtede mallidega, peab agent järeldama, et URL ei ole sideoperaatori SPD-s blokeeritud. Sel juhul salvestatakse informatsioon agendi saadud andmete kohta (HTTP vastus) aruandesse (auditi logifaili). Süsteemiadministraatoril on võimalus luua sellest kirjest uue tünnilehe malli, et vältida hilisemaid valejäreldusi ploki puudumise kohta.

Nimekiri sellest, mida agent peab esitama

• võtke ühendust juhtimiskeskusega, et saada täielik loetelu testimist vajavatest URL-idest ja blokeerimisrežiimidest;
• suhtlemine juhtimiskeskusega, et saada andmeid testimisrežiimide kohta. Toetatud režiimid: täielik ühekordne kontroll, täielik perioodiline kindlaksmääratud intervalliga, valikuline ühekordne kasutaja määratud URL-ide loendiga, perioodiline kontroll URL-ide loendi (teatud tüüpi EP kirje) määratud intervalliga;
• kindlaksmääratud kontrolliprotseduuride teostamise jätkamine olemasoleva URL-i loendi abil, kui juhtkeskusest pole võimalik URL-ide loendit hankida, ja saadud testitulemuste salvestamine koos järgneva üleandmisega juhtimiskeskusesse;
• kindlaksmääratud kontrolliprotseduuride täielik rakendamine, kasutades saadaolevaid URL-i loendeid, kui juhtimiskeskusest pole kontrollimisrežiimide kohta teavet võimalik saada, ja saadud testitulemuste salvestamine koos järgneva üleandmisega juhtimiskeskusesse;
• blokeerimistulemuste kontrollimine vastavalt kehtestatud režiimile;
• teostatud kontrolli kohta akti saatmine juhtimiskeskusele (ülevaatuse logifail);
• võimalus kontrollida sideoperaatori SPD funktsionaalsust, st. teadaolevate juurdepääsetavate saitide loendi saadavuse kontrollimine;
• võimalus kontrollida blokeerimise tulemusi puhverserveri abil;
• tarkvara kaugvärskenduse võimalus;
• võimalus teostada SPD-s diagnostilisi protseduure (vastuseaeg, paketitee, failide allalaadimise kiirus välisest ressursist, IP-aadresside määramine domeeninimede jaoks, teabe vastuvõtmise kiirus pöördsidekanalis juhtmega juurdepääsuvõrkudes, pakett kadumäära, keskmise edastusviivituse paketid);
• skannimise jõudlus vähemalt 10 URL-i sekundis eeldusel, et sidekanali ribalaius on piisav;
• agendi võimalus pääseda ressursile mitu korda (kuni 20 korda), muutuva sagedusega 1 kord sekundis kuni 1 kord minutis;
• võimalus luua testimiseks edastatud loendikirjete juhuslik järjekord ja määrata saidi konkreetse lehekülje prioriteet Internetis.

Üldiselt näeb struktuur välja selline:

Tarkvara ja riistvara-tarkvaralahendused Interneti-liikluse filtreerimiseks (DPI lahendused) võimaldavad operaatoritel blokeerida liiklust kasutajatelt RKN-i loendi saitidele. Seda, kas need on blokeeritud või mitte, kontrollib AS Audiitor klient. Ta kontrollib saidi saadavust automaatselt, kasutades RKN-i loendit.

Seireprotokolli näidis saadaval по ссылке.

Eelmisel aastal alustas Roskomnadzor blokeerimislahenduste katsetamist, mida operaator saab kasutada selle skeemi rakendamiseks operaatori poolt. Lubage mul tsiteerida sellise testimise tulemusi:

“Spetsialiseerunud tarkvaralahendused “UBIC”, “EcoFilter”, “SKAT DPI”, “Tixen-Blocking”, “SkyDNS Zapret ISP” ja “Carbon Reductor DPI” said Roskomnadzorilt positiivsed järeldused.

Samuti saadi Roskomnadzori järeldus, mis kinnitas telekommunikatsioonioperaatorite võimalust kasutada ZapretService'i tarkvara vahendina juurdepääsu piiramiseks keelatud ressurssidele Internetis. Testimistulemused näitasid, et tootja soovitatud ühendusskeemi "lünka" järgi paigaldamisel ja telekommunikatsioonioperaatori võrgu õigesti konfigureerimisel ei ületa ühtse keelatud teabe registri andmetel tuvastatud rikkumiste arv 0,02%.

Seega antakse sideoperaatoritele võimalus valida endale sobivaim lahendus keelatud ressurssidele juurdepääsu piiramiseks, sealhulgas Roskomnadzorilt positiivse hinnangu saanud tarkvaratoodete nimekirjast.

IdecoSelecta ISP tarkvaratoote testimise ajal ei saanud mõned operaatorid selle juurutamise ja konfigureerimise pika protseduuri tõttu testimist õigel ajal alustada. Rohkem kui pooltel testimisel osalenud sideoperaatoritel ei ületanud Ideco Selecta ISP testtööperiood nädalat. Arvestades saadud statistiliste andmete väikest mahtu ja testimisel osalejate väikest arvu, viitas Roskomnadzor oma ametlikus järelduses võimatusele teha ühemõttelisi järeldusi Ideco Selecta ISP toote tõhususe kohta vahendina juurdepääsu piiramiseks keelatud ressurssidele Internetis. ”

Lubage mul lisada, et iga tarkvaratoote testimisel osales kuni 27 erineva abonentide arvuga telekommunikatsioonioperaatorit Vene Föderatsiooni erinevatest föderaalpiirkondadest.

Testitulemuste põhjal tehtud ametlikud järeldused leiate siin. Need järeldused ei sisalda praktiliselt nulli tehnilist teavet. Saate lugeda toote “Ideco Selecta ISP” kohta, et teada saada, mida mitte teha.

Sel aastal testimine jätkub ja hetkel on Roskomnadzori uudiste põhjal üks toode juba võetud ja lähitulevikus on veel 2 toodet.

Mis siis, kui blokeerimine toimus kogemata?

Kokkuvõtteks tuletan meelde, et Roskomnadzor “ei tee vigu”, mida kinnitab ka konstitutsioonikohus.

Resolutsioon, mis vabastab Roskomnadzori tõhusalt vastutusest saitide eksliku blokeerimise eest, võeti vastu konstitutsioonikohtule esitatud kaebuse läbivaatamisel Interneti-kirjastajate liidu direktori Vladimir Kharitonovi poolt. Seal öeldi, et 2012. aasta detsembris blokeeris Roskomnadzor ekslikult tema veebiraamatukogu digital-books.ru. Nagu hr Haritonov selgitas, asus tema ressurss samal IP-aadressil kui portaal rastamantales(.)ru (praegu rastamantales(.)com), mis oli algne blokeerimise objekt. Vladimir Haritonov üritas Roskomnadzori otsust kohtus edasi kaevata, kuid 2013. aasta juunis tunnistas Taganski ringkonnakohus blokeerimise seaduslikuks ning 2013. aasta septembris jättis Moskva linnakohus selle otsuse jõusse.

Sealt:

Roskomnadzor ütles Kommersandile, et on konstitutsioonikohtu otsusega rahul. «Konstitutsioonikohus kinnitas, et Roskomnadzor rakendab seadust. Kui operaatoril pole tehnilist võimalust piirata ligipääsu saidi eraldi lehele, mitte oma võrguaadressile, siis on see operaatori vastutus,” ütles osakonna pressisekretär Kommersandile.

See probleem on aktuaalne ka pilveteenuse pakkujate ja hostimisettevõtete jaoks, kuna nendega on sarnaseid juhtumeid juhtunud. 2016. aasta juunis blokeeriti Venemaal Amazon S3 pilveteenus, kuigi föderaalse maksuteenistuse palvel kanti registrisse vaid selle platvormil asuv 888poker pokkeritoa leht. Kogu ressursi blokeerimine tulenes just sellest, et Amazon S3 kasutab turvalist https-protokolli, mis ei võimalda üksikuid lehti blokeerida. Alles pärast seda, kui Amazon ise kustutas lehe, mille kohta Venemaa võimudel oli kaebusi, eemaldati ressurss registrist.

Allikas: www.habr.com