Como funciona o bloqueo de acceso ás páxinas que distribúen contido prohibido (agora RKN verifica tamén os motores de busca)

Antes de pasar á descrición do sistema que se encarga de filtrar o acceso dos operadores de telecomunicacións, observamos que agora Roskomnadzor tamén controlará o funcionamento dos buscadores.

A principios de ano aprobouse un procedemento de control e unha lista de medidas para garantir que os operadores de buscadores cumpran os requisitos para deixar de emitir información sobre recursos de Internet, cuxo acceso está limitado no territorio da Federación Rusa.

Orde correspondente Roskomnadzor do 7 de novembro de 2017 O número 229 está rexistrado no Ministerio de Xustiza de Rusia.

A orde foi adoptada como parte da aplicación do disposto no artigo 15.8 da Lei Federal do 27.07.2006 de xullo de 149 núm. XNUMX-FZ "sobre información, tecnoloxías da información e protección da información", que determina responsabilidades dos propietarios de servizos VPN, "anonimizadores" e operadores de motores de busca para limitar o acceso á información, cuxa distribución está prohibida en Rusia.

As actividades de control realízanse no lugar do órgano de control sen interacción cos operadores de buscadores.

Un sistema de información enténdese como un FSIS de recursos de información de redes de información e telecomunicacións, cuxo acceso é limitado.

A partir dos resultados do evento, elabórase un informe, no que se indica, en particular, información sobre o software utilizado para establecer estes feitos, así como información que confirma que unha (páxinas) específicas do sitio no momento do control. estivo no sistema de información durante máis dun día.

O acto envíase ao operador do buscador a través do sistema de información. En caso de desacordo co acto, o operador ten dereito a presentar as súas obxeccións a Roskomnadzor nun prazo de tres días hábiles, que considera as obxeccións tamén nun prazo de tres días hábiles. En función dos resultados da consideración das obxeccións do operador, o xefe do órgano de control ou o seu adxunto decide iniciar un caso de infracción administrativa.

Como se estrutura na actualidade o sistema de filtrado de acceso para operadores de telecomunicacións

En Rusia hai unha serie de leis que obrigan aos operadores de telecomunicacións a filtrar o acceso ás páxinas que distribúen contido prohibido:

• Lei Federal 126 "sobre comunicacións", modificación do art. 46 - sobre a obriga do operador de limitar o acceso á información (FSEM).
• "Rexistro unificado" - Decreto do Goberno da Federación Rusa do 26 de outubro de 2012 N 1101 "Nun sistema de información automatizado unificado "Rexistro unificado de nomes de dominio, índices de páxinas de sitios na rede de información e telecomunicacións "Internet" e enderezos de rede. que permiten identificar sitios na rede de información e telecomunicacións redes de Internet que conteñan información cuxa distribución está prohibida na Federación Rusa"
• Lei Federal 436 “De Protección da Infancia...”, categorización da información dispoñible.
• Lei federal número 3 "sobre a policía", artigo 13, parágrafo 12 - sobre a eliminación das causas e condicións que contribúen á aplicación de ameazas á seguridade dos cidadáns e á seguridade pública.
• Lei federal número 187 "sobre modificacións de determinados actos lexislativos da Federación Rusa sobre a protección dos dereitos intelectuais nas redes de información e telecomunicacións" ("lei antipiratería").
• Cumprimento das decisións xudiciais e ordes dos fiscais.
• Lei Federal do 28.07.2012 de xullo de 139 N XNUMX-FZ "Sobre as modificacións da Lei Federal "Sobre a protección dos nenos contra a información prexudicial para a súa saúde e desenvolvemento" e determinados actos lexislativos da Federación Rusa.
• Lei Federal do 27 de xullo de 2006 n.o 149-FZ “Sobre información, tecnoloxías da información e protección da información”.

As solicitudes de bloqueo de Roskomnadzor conteñen unha lista actualizada de requisitos para o provedor, cada entrada desta solicitude contén:

• o tipo de rexistro segundo o cal se fai a restrición;
• o momento no que xorde a necesidade de restrinxir o acceso;
• tipo de urxencia de resposta (urxencia habitual - dentro de XNUMX horas, urxencia alta - resposta inmediata);
• tipo de bloqueo de entradas no rexistro (por URL ou por nome de dominio);
• código hash da entrada do rexistro (cambia sempre que o contido da entrada cambia);
• detalles da decisión sobre a necesidade de restrinxir o acceso;
• un ou máis índices de páxinas do sitio, cuxo acceso debe ser limitado (opcional);
• un ou máis nomes de dominio (opcional);
• un ou máis enderezos de rede (opcional);
• unha ou máis subredes IP (opcional).

Para comunicar de forma eficaz a información aos operadores, creouse un "Sistema de información para a interacción entre Roskomnadzor e os operadores de telecomunicacións". Atópase xunto coa normativa, instrucións e recordatorios para os operadores nun portal especializado:

vigruzki.rkn.gov.ru

Pola súa banda, para comprobar os operadores de telecomunicacións, Roskomnadzor comezou a emitir un cliente a AS "Revizor". A continuación móstrase un pouco sobre a funcionalidade do axente.

Algoritmo para comprobar a dispoñibilidade de cada URL polo axente. Ao comprobar, o axente debe:

• determinar os enderezos IP aos que se converte o nome de rede do sitio que se está a comprobar (dominio) ou utilizar a IP enderezos proporcionados na carga;
• Para cada enderezo IP recibido dos servidores DNS, faga unha solicitude HTTP para o URL que se está a comprobar. Se se recibe unha redirección HTTP do sitio que se está a dixitalizar, o axente debe comprobar o URL ao que se realiza a redirección. Admítense polo menos 5 redireccións HTTP consecutivas;
• se é imposible realizar unha solicitude HTTP (non se establece unha conexión TCP), o axente debe concluír que todo o enderezo IP está bloqueado;
• no caso dunha solicitude HTTP exitosa, o axente debe comprobar a resposta recibida do sitio que se está a comprobar mediante o código de resposta HTTP, as cabeceiras HTTP e o contido HTTP (os primeiros datos recibidos de ata 10 kb de tamaño). Se a resposta recibida coincide cos modelos de páxina de stub creados no centro de control débese concluír que o URL que se está a comprobar está bloqueado;
• ao comprobar un URL, o axente debe comprobar a instalación dunha conexión cifrada e marcar o recurso;
• Se os datos recibidos polo axente non coinciden cos modelos das páxinas stub ou das páxinas de redirección de confianza que informan sobre o bloqueo de recursos, o axente debe concluír que o URL non está bloqueado no SPD do operador de telecomunicacións. Neste caso, a información sobre os datos (resposta HTTP) que recibe o axente rexístrase nun informe (ficheiro de rexistro de auditoría). O administrador do sistema ten a capacidade de crear un modelo para unha nova páxina de stub a partir deste rexistro para evitar conclusións falsas posteriores sobre a ausencia dun bloque.

Lista do que debe proporcionar o axente

• contactar co centro de control para obter unha lista completa de URL e modos de bloqueo que deben ser probados;
• comunicación co centro de control para obter datos sobre os modos de proba. Modos admitidos: comprobación única completa, periódica completa cun intervalo especificado, unha única vez selectiva cunha lista de URL especificada polo usuario, comprobación periódica cun intervalo especificado dunha lista de URL (dun determinado tipo de rexistro EP);
• continuación da execución dos procedementos de verificación especificados mediante a lista de URL existente, se é imposible obter unha lista de URL do centro de control, e almacenamento dos resultados das probas obtidos coa posterior transferencia ao centro de control;
• implementación completa dos procedementos de verificación especificados utilizando listas de URL dispoñibles, se é imposible obter información sobre os modos de verificación do centro de control e almacenamento dos resultados das probas obtidos coa posterior transferencia ao centro de control;
• comprobar os resultados do bloqueo de acordo co modo establecido;
• enviar un informe sobre a inspección realizada ao centro de control (ficheiro de rexistro de inspección);
• a capacidade de comprobar a funcionalidade do SPD do operador de telecomunicacións, é dicir. comprobar a dispoñibilidade dunha lista de sitios accesibles coñecidos;
• a capacidade de comprobar os resultados do bloqueo mediante un servidor proxy;
• posibilidade de actualización de software remota;
• a capacidade de realizar procedementos de diagnóstico no SPD (tempo de resposta, ruta do paquete, velocidade de descarga de ficheiros desde un recurso externo, determinación de enderezos IP para nomes de dominio, velocidade de recepción de información na canle de comunicación inversa en redes de acceso por cable, paquete taxa de perdas, paquetes de tempo medio de atraso de transmisión);
• un rendemento de dixitalización de polo menos 10 URL por segundo, sempre que haxa suficiente ancho de banda da canle de comunicación;
• a capacidade do axente de acceder ao recurso varias veces (ata 20 veces), cunha frecuencia variable de 1 vez por segundo a 1 vez por minuto;
• a capacidade de crear unha orde aleatoria de entradas de lista transmitidas para probar e establecer prioridade para unha páxina específica dun sitio en Internet.

En xeral, a estrutura ten o seguinte aspecto:

As solucións de software e hardware-software para filtrar o tráfico de Internet (solucións DPI) permiten aos operadores bloquear o tráfico dos usuarios aos sitios da lista RKN. O cliente de AS Auditor comproba se están bloqueados ou non. Comproba automaticamente a dispoñibilidade do sitio mediante unha lista do RKN.

Protocolo de seguimento de mostra dispoñible по ссылке.

O ano pasado, Roskomnadzor comezou a probar solucións de bloqueo que un operador pode usar para implementar este esquema por parte dun operador. Permítanme citar os resultados de tales probas:

"As solucións de software especializadas "UBIC", "EcoFilter", "SKAT DPI", "Tiksen-Blokirovka", "SkyDNS Zapret ISP" e "Carbon Reductor DPI" recibiron conclusións positivas de Roskomnadzor.

Tamén se recibiu unha conclusión de Roskomnadzor que confirma a posibilidade de que os operadores de telecomunicacións utilicen o software ZapretService como un medio para restrinxir o acceso a recursos prohibidos en Internet. Os resultados das probas mostraron que cando se instala segundo o esquema de conexión recomendado polo fabricante "en brecha" e se configura correctamente a rede do operador de telecomunicacións, o número de infraccións detectadas segundo o Rexistro Unificado de Información Prohibida non supera o 0,02%.

Así, os operadores de telecomunicacións teñen a oportunidade de escoller a solución máis axeitada para limitar o acceso aos recursos prohibidos, incluso a partir da lista de produtos de software que recibiron unha opinión positiva de Roskomnadzor.

Non obstante, durante a proba do software do ISP IdecoSelecta, debido ao longo procedemento para a súa implantación e configuración, algúns operadores non puideron comezar a probar a tempo. Para máis da metade dos operadores de telecomunicacións que participaron nas probas, o período de funcionamento das probas do ISP de Ideco Selecta non superou a semana. Tendo en conta o pequeno volume de datos estatísticos obtidos e o reducido número de participantes nas probas, Roskomnadzor na súa conclusión oficial indicou a imposibilidade de obter conclusións inequívocas sobre a eficacia do produto Ideco Selecta ISP como medio para limitar o acceso a recursos prohibidos en Internet. ”

Permítanme engadir que ata 27 operadores de telecomunicacións con diferentes números de subscritores de diferentes distritos federais da Federación Rusa participaron nas probas de cada produto de software.

Pódense atopar as conclusións oficiais baseadas nos resultados das probas aquí. Estas conclusións conteñen practicamente cero información técnica. Podes ler sobre o produto "Ideco Selecta ISP" para saber que non facer.

Este ano continuarán as probas e polo momento, a xulgar polas noticias de Roskomnadzor, xa se tomou un produto e hai outros 2 nun futuro próximo.

E se o bloqueo ocorreu por erro?

Como conclusión, gustaríame lembrar que Roskomnadzor "non comete erros", o que confirma o Tribunal Constitucional.

A resolución, que exime efectivamente a Roskomnadzor da responsabilidade por bloquear sitios de forma errónea, foi adoptada como parte da consideración dunha queixa ante o Tribunal Constitucional polo director da Asociación de Editores de Internet, Vladimir Kharitonov. Dicía que en decembro de 2012, Roskomnadzor bloqueou por erro a súa biblioteca en liña digital-books.ru. Segundo explicou Kharitonov, o seu recurso estaba situado no mesmo enderezo IP que o portal rastamantales(.)ru (agora rastamantales(.)com), que era o obxecto orixinal do bloqueo. Vladimir Kharitonov intentou recorrer a decisión de Roskomnadzor no xulgado, pero en xuño de 2013 o Tribunal de Distrito de Tagansky recoñeceu o bloqueo como legal, e en setembro de 2013 esta decisión foi confirmada polo Tribunal da Cidade de Moscova.

A partir de aí:

Roskomnadzor dixo a Kommersant que estaban satisfeitos coa decisión do Tribunal Constitucional. "O Tribunal Constitucional confirmou que Roskomnadzor está a aplicar a lei. Se o operador non ten a capacidade técnica para restrinxir o acceso a unha páxina separada do sitio, e non ao seu enderezo de rede, entón esta é responsabilidade do operador ", dixo o secretario de prensa do departamento a Kommersant.

Este problema tamén é relevante para os provedores de nube e as empresas de hospedaxe, xa que lles ocorreron incidentes similares. En xuño de 2016, o servizo na nube de Amazon S3 bloqueouse en Rusia, aínda que só se incluíu no rexistro a páxina da sala de poker 888poker situada na súa plataforma a petición do Servizo Federal de Impostos. O bloqueo de todo o recurso debeuse precisamente a que Amazon S3 utiliza o protocolo seguro https, que non permite bloquear páxinas individuais. Só despois de que a propia Amazon eliminou a páxina á que as autoridades rusas tiñan queixas, o recurso foi eliminado do rexistro.

Fonte: www.habr.com