ProHoster > blog > administratie > Hoe werkt het blokkeren van de toegang tot pagina's die verboden inhoud verspreiden (nu controleert RKN ook zoekmachines)

Hoe werkt het blokkeren van de toegang tot pagina's die verboden inhoud verspreiden (nu controleert RKN ook zoekmachines)

Hoe werkt het blokkeren van de toegang tot pagina's die verboden inhoud verspreiden (nu controleert RKN ook zoekmachines)

Voordat we verder gaan met de beschrijving van het systeem dat verantwoordelijk is voor het filteren van de toegang door telecomoperatoren, merken we op dat Roskomnadzor nu ook de werking van zoekmachines zal controleren.

Begin dit jaar werden een controleprocedure en een lijst met maatregelen goedgekeurd om ervoor te zorgen dat exploitanten van zoekmachines voldoen aan de vereisten om te stoppen met het verstrekken van informatie over internetbronnen, waarvan de toegang beperkt is op het grondgebied van de Russische Federatie.

Overeenkomstige bestelling Roskomnadzor gedateerd 7 november 2017 nr. 229 is geregistreerd bij het Ministerie van Justitie van Rusland.

Het besluit werd aangenomen als onderdeel van de implementatie van de bepalingen van artikel 15.8 van de federale wet van 27.07.2006 juli 149 nr. XNUMX-FZ “Over informatie, informatietechnologieën en informatiebescherming”, die bepaalt verantwoordelijkheden voor eigenaren van VPN-diensten, “anonimisatoren” en exploitanten van zoekmachines om de toegang tot informatie te beperken, waarvan de distributie in Rusland verboden is.

Controleactiviteiten worden uitgevoerd op de locatie van het controleorgaan, zonder interactie met exploitanten van zoekmachines.

Hoe werkt het blokkeren van de toegang tot pagina's die verboden inhoud verspreiden (nu controleert RKN ook zoekmachines)
Onder een informatiesysteem wordt verstaan ​​een FSIS van informatiebronnen van informatie- en telecommunicatienetwerken, waartoe de toegang beperkt is.

Op basis van de resultaten van de gebeurtenis wordt een rapport opgesteld, dat met name informatie bevat over de software die is gebruikt om deze feiten vast te stellen, evenals informatie die bevestigt dat een specifieke pagina (pagina's) van de site op het moment van controle stond langer dan een dag in het informatiesysteem.

De handeling wordt via het informatiesysteem naar de zoekmachinebeheerder gestuurd. Indien de exploitant het niet eens is met de wet, heeft de exploitant het recht om binnen drie werkdagen zijn bezwaren voor te leggen aan Roskomnadzor, die de bezwaren eveneens binnen drie werkdagen in behandeling neemt. Op basis van de resultaten van het onderzoek van de bezwaren van de exploitant besluit het hoofd van het controleorgaan of zijn plaatsvervanger een zaak van administratieve overtreding in te leiden.

Hoe het toegangsfiltersysteem voor telecomoperatoren momenteel is gestructureerd

In Rusland zijn er een aantal wetten die telecomoperatoren verplichten de toegang te filteren tot pagina's waarop verboden inhoud wordt verspreid:

  • Federale wet 126 “Betreffende communicatie”, wijziging van art. 46 - over de verplichting van de exploitant om de toegang tot informatie te beperken (FSEM).
  • “Unified Register” - Besluit van de regering van de Russische Federatie van 26 oktober 2012 N 1101 “Over een uniform geautomatiseerd informatiesysteem “Unified register van domeinnamen, indexen van sitepagina's in het informatie- en telecommunicatienetwerk “Internet” en netwerkadressen waarmee sites in het informatie- en telecommunicatienetwerk kunnen worden geïdentificeerd Internetnetwerken die informatie bevatten waarvan de verspreiding verboden is in de Russische Federatie"
  • Federale wet 436 “Over de bescherming van kinderen...”, categorisering van beschikbare informatie.
  • Federale wet nr. 3 "Over de politie", artikel 13, paragraaf 12 - over het elimineren van de oorzaken en omstandigheden die bijdragen aan de implementatie van bedreigingen voor de veiligheid van burgers en de openbare veiligheid.
  • Federale wet nr. 187 “Betreffende wijzigingen van bepaalde wetgevingshandelingen van de Russische Federatie inzake de bescherming van intellectuele rechten op informatie- en telecommunicatienetwerken” (“wet tegen piraterij”).
  • Naleving van rechterlijke beslissingen en bevelen van openbare aanklagers.
  • Federale wet van 28.07.2012 juli 139 N XNUMX-FZ “Betreffende wijzigingen van de federale wet “Betreffende de bescherming van kinderen tegen informatie die schadelijk is voor hun gezondheid en ontwikkeling” en bepaalde wetgevingshandelingen van de Russische Federatie.”
  • Federale wet van 27 juli 2006 nr. 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming.”

Verzoeken van Roskomnadzor om blokkering bevatten een bijgewerkte lijst met vereisten voor de aanbieder. Elke vermelding van een dergelijk verzoek bevat:

  • het soort register op grond waarvan de beperking wordt opgelegd;
  • het tijdstip waarop de noodzaak om de toegang te beperken ontstaat;
  • type urgentie van de reactie (gebruikelijke urgentie - binnen XNUMX uur, hoge urgentie - onmiddellijke reactie);
  • type blokkering van registerinvoer (via URL of domeinnaam);
  • hashcode van de registervermelding (verandert wanneer de inhoud van de vermelding verandert);
  • details van het besluit over de noodzaak om de toegang te beperken;
  • een of meer indexen van sitepagina's, waartoe de toegang beperkt moet zijn (optioneel);
  • één of meerdere domeinnamen (optioneel);
  • één of meerdere netwerkadressen (optioneel);
  • een of meer IP-subnetten (optioneel).

Om informatie effectief aan operators te communiceren, werd een “Informatiesysteem voor interactie tussen Roskomnadzor en telecomoperatoren” gecreëerd. Het bevindt zich samen met voorschriften, instructies en herinneringen voor operators op een gespecialiseerd portaal:

vigruzki.rkn.gov.ru

Om telecomoperatoren te controleren, begon Roskomnadzor op zijn beurt een client aan AS "Revizor" uit te geven. Hieronder vindt u iets over de functionaliteit van de agent.

Algoritme voor het controleren van de beschikbaarheid van elke URL door de agent. Bij de controle moet de agent:

  • bepaal de IP-adressen waarnaar de netwerknaam van de gecontroleerde site (domein) wordt geconverteerd of gebruik IP adressen opgegeven in de upload;
  • Voor elk IP-adres dat van DNS-servers wordt ontvangen, dient u een HTTP-verzoek in voor de URL die wordt gecontroleerd. Als er een HTTP-omleiding wordt ontvangen van de site die wordt gescand, moet de agent de URL controleren waarnaar de omleiding is gemaakt. Er worden minimaal 5 opeenvolgende HTTP-omleidingen ondersteund;
  • als het onmogelijk is om een ​​HTTP-verzoek te doen (er wordt geen TCP-verbinding tot stand gebracht), moet de Agent concluderen dat het volledige IP-adres is geblokkeerd;
  • in het geval van een succesvol HTTP-verzoek moet de agent het ontvangen antwoord van de gecontroleerde site controleren aan de hand van de HTTP-antwoordcode, HTTP-headers en HTTP-inhoud (de eerste ontvangen gegevens met een grootte van maximaal 10 kb). Als het ontvangen antwoord overeenkomt met de stubpaginasjablonen die in het controlecentrum zijn gemaakt er moet worden geconcludeerd dat de URL die wordt gecontroleerd, is geblokkeerd;
  • bij het controleren van een URL moet de Agent de installatie van een gecodeerde verbinding controleren en de bron markeren;
  • Als de door de Agent ontvangen gegevens niet overeenkomen met de sjablonen van stubpagina's of vertrouwde omleidingspagina's die informeren over de blokkering van bronnen, moet de Agent concluderen dat de URL niet is geblokkeerd op de SPD van de telecomoperator. In dit geval wordt informatie over de door de Agent ontvangen gegevens (HTTP-antwoord) vastgelegd in een rapport (auditlogbestand). De systeembeheerder heeft de mogelijkheid om vanuit dit record een sjabloon voor een nieuwe stubpagina te maken om latere valse conclusies over de afwezigheid van een blokkering te voorkomen.

Lijst met wat de agent moet verstrekken

  • contact opnemen met het controlecentrum voor een volledige lijst met URL's en blokkeermodi die moeten worden getest;
  • communicatie met het controlecentrum om gegevens over testmodi te verkrijgen. Ondersteunde modi: volledige eenmalige controle, volledig periodiek met een gespecificeerd interval, selectieve eenmalige controle met een door de gebruiker opgegeven lijst met URL's, periodieke controle met een gespecificeerd interval van een lijst met URL's (van een bepaald type EP-record);
  • voortzetting van de uitvoering van gespecificeerde verificatieprocedures met behulp van de bestaande URL-lijst, als het onmogelijk is om een ​​lijst met URL's te verkrijgen van het controlecentrum, en opslag van de verkregen testresultaten met daaropvolgende overdracht naar het controlecentrum;
  • volledige implementatie van gespecificeerde verificatieprocedures met behulp van beschikbare URL-lijsten, als het onmogelijk is om informatie over verificatiemodi van het controlecentrum te verkrijgen, en opslag van de verkregen testresultaten met daaropvolgende overdracht naar het controlecentrum;
  • het controleren van de blokkeerresultaten in overeenstemming met de vastgestelde modus;
  • het verzenden van een rapport over de uitgevoerde inspectie naar het controlecentrum (inspectielogbestand);
  • de mogelijkheid om de functionaliteit van de SPD van de telecomoperator te controleren, d.w.z. het controleren van de beschikbaarheid van een lijst met bekende toegankelijke sites;
  • de mogelijkheid om blokkeerresultaten te controleren met behulp van een proxyserver;
  • mogelijkheid tot software-update op afstand;
  • de mogelijkheid om diagnostische procedures op de SPD uit te voeren (responstijd, pakketpad, snelheid van het downloaden van bestanden van een externe bron, bepaling van IP-adressen voor domeinnamen, de snelheid van het ontvangen van informatie in het omgekeerde communicatiekanaal in bekabelde toegangsnetwerken, pakket verliespercentage, pakketten met gemiddelde transmissievertragingstijd);
  • scanprestaties van minimaal 10 URL's per seconde, op voorwaarde dat er voldoende bandbreedte voor het communicatiekanaal is;
  • de mogelijkheid voor de agent om meerdere keren toegang te krijgen tot de bron (tot 20 keer), met een variabele frequentie van 1 keer per seconde tot 1 keer per minuut;
  • de mogelijkheid om een ​​willekeurige volgorde van lijstitems te maken die voor testen worden verzonden en om prioriteit in te stellen voor een specifieke pagina van een site op internet.

Over het algemeen ziet de structuur er als volgt uit:

Hoe werkt het blokkeren van de toegang tot pagina's die verboden inhoud verspreiden (nu controleert RKN ook zoekmachines)
Met software- en hardware-softwareoplossingen voor het filteren van internetverkeer (DPI-oplossingen) kunnen operators verkeer van gebruikers naar sites uit de RKN-lijst blokkeren. Of ze wel of niet geblokkeerd zijn, wordt gecontroleerd door de AS Auditor-client. Hij controleert automatisch de beschikbaarheid van de site aan de hand van een lijst van de RKN.

Voorbeeldbewakingsprotocol beschikbaar link.

Vorig jaar begon Roskomnadzor met het testen van blokkeeroplossingen die een operator kan gebruiken om dit schema door een operator te implementeren. Laat me citeren uit de resultaten van dergelijke tests:

“Gespecialiseerde softwareoplossingen “UBIC”, “EcoFilter”, “SKAT DPI”, “Tixen-Blocking”, “SkyDNS Zapret ISP” en “Carbon Reductor DPI” kregen positieve conclusies van Roskomnadzor.

Er werd ook een conclusie van Roskomnadzor ontvangen waarin de mogelijkheid werd bevestigd dat telecomoperatoren de ZapretService-software gebruiken als middel om de toegang tot verboden bronnen op internet te beperken. Uit de testresultaten bleek dat wanneer geïnstalleerd volgens het door de fabrikant aanbevolen verbindingsschema “in gap” en het netwerk van de telecomoperator correct is geconfigureerd, het aantal gedetecteerde overtredingen volgens het Unified Register of Prohibited Information niet hoger is dan 0,02%.

Zo krijgen telecomoperatoren de mogelijkheid om de meest geschikte oplossing te kiezen om de toegang tot verboden bronnen te beperken, onder meer uit de lijst met softwareproducten die een positief advies hebben gekregen van Roskomnadzor.

Tijdens het testen van het IdecoSelecta ISP-softwareproduct konden sommige operators vanwege de langdurige procedure voor de implementatie en configuratie ervan echter niet op tijd beginnen met testen. Bij ruim de helft van de telecomoperatoren die meededen aan de tests duurde de proefperiode van Ideco Selecta ISP niet langer dan een week. Gezien de kleine hoeveelheid verkregen statistische gegevens en het kleine aantal testdeelnemers, gaf Roskomnadzor in zijn officiële conclusie de onmogelijkheid aan om ondubbelzinnige conclusies te trekken over de effectiviteit van het Ideco Selecta ISP-product als middel om de toegang tot verboden bronnen op internet te beperken. ”

Ik wil hieraan toevoegen dat maar liefst 27 telecomoperatoren met variërende aantallen abonnees uit verschillende federale districten van de Russische Federatie hebben deelgenomen aan het testen van elk softwareproduct.

De officiële conclusies op basis van de testresultaten zijn te vinden hier. Deze conclusies bevatten vrijwel geen technische informatie. Wat u niet moet doen, kunt u lezen over het product “Ideco Selecta ISP”.

Dit jaar zullen de tests doorgaan en op dit moment is er, afgaande op het nieuws uit Roskomnadzor, al één product afgenomen en zijn er nog twee in de nabije toekomst.

Wat als de blokkering per ongeluk heeft plaatsgevonden?

Tot slot wil ik u eraan herinneren dat Roskomnadzor “geen fouten maakt”, wat wordt bevestigd door het Grondwettelijk Hof.

De resolutie, die Roskomnadzor feitelijk ontslaat van de verantwoordelijkheid voor het ten onrechte blokkeren van sites, werd aangenomen als onderdeel van de behandeling van een klacht bij het Constitutionele Hof door de directeur van de Internet Publishers Association, Vladimir Kharitonov. Er stond dat Roskomnadzor in december 2012 per ongeluk zijn onlinebibliotheek digital-books.ru blokkeerde. Zoals de heer Kharitonov uitlegde, bevond zijn bron zich op hetzelfde IP-adres als de portal rastamantales(.)ru (nu rastamantales(.)com), wat het oorspronkelijke object van blokkering was. Vladimir Kharitonov probeerde bij de rechtbank in beroep te gaan tegen de beslissing van Roskomnadzor, maar in juni 2013 erkende de districtsrechtbank van Tagansky de blokkering als legaal, en in september 2013 werd deze beslissing bevestigd door de rechtbank van Moskou.

Vanaf daar:

Roskomnadzor vertelde Kommersant dat ze tevreden waren met de beslissing van het Constitutionele Hof. “Het Constitutionele Hof heeft bevestigd dat Roskomnadzor de wet ten uitvoer legt. Als de operator niet over de technische mogelijkheid beschikt om de toegang tot een aparte pagina van de site te beperken, en niet tot het netwerkadres, dan is dit de verantwoordelijkheid van de operator”, vertelde de perssecretaris van het departement aan Kommersant.

Deze kwestie is ook relevant voor cloudproviders en hostingbedrijven, aangezien hen soortgelijke incidenten zijn overkomen. In juni 2016 werd de Amazon S3-clouddienst in Rusland geblokkeerd, hoewel op verzoek van de federale belastingdienst alleen de pokerroompagina 888poker op het platform in het register was opgenomen. De blokkering van de gehele bron was juist te wijten aan het feit dat Amazon S3 het beveiligde https-protocol gebruikt, waardoor het blokkeren van afzonderlijke pagina's niet mogelijk is. Pas nadat Amazon zelf de pagina had verwijderd waarover de Russische autoriteiten klachten hadden, werd de bron uit het register verwijderd.

Bron: www.habr.com

Voeg een reactie