Как работает блокировка доступа к страницам, распространяющим запрещенный контент (теперь РКН проверяет и поисковики)



    Прежде чем перейти к описанию системы, которая отвечает за фильтрацию доступа операторами связи, отметим, что теперь Роскомнадзор займется и контролем над работой поисковых систем.

    В начале года утвержден порядок контроля и перечень мероприятий по соблюдению операторами поисковых систем требований прекратить выдачу сведений об интернет-ресурсах, доступ к которым ограничен на территории Российской Федерации.

    Соответствующий приказ Роскомнадзора от 7 ноября 2017 года № 229 зарегистрирован в Министерстве юстиции России.

    Приказ принят в рамках реализации положений статьи 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая определяет обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.

    Мероприятия по контролю проводятся по месту нахождения органа по контролю без взаимодействия с операторами поисковых систем.


    Под информационной системой понимается ФГИС информационных ресурсов информационно-телекоммуникационных сетей, доступ к которым ограничен.

    По итогам мероприятия составляется акт, в котором указывается, в частности, информация о ПО, используемом для установления этих фактов, а также сведения, подтверждающие, что конкретная страница (страницы) сайта на момент контроля находилась в информационной системе более суток.

    Акт направляется оператору поисковых систем посредством информационной системы. В случае несогласия с актом оператор в течение трёх рабочих дней вправе представить свои возражения в Роскомнадзор, который рассматривает возражения также в течение трёх рабочих дней. По результатам рассмотрения возражений оператора руководитель органа по контролю или его заместитель принимают решение о возбуждении дела об административном правонарушении.

    Как сейчас устроена система фильтрации доступа для операторов связи


    В России действует ряд законов, обязующих операторов связи фильтровать доступ к страницам распространяющим запрещенный контент:

    • ФЗ 126 «О связи», поправка в ст. 46 — об обязанности оператора ограничивать доступ к информации (ФСЭМ).
    • «Единый реестр» — постановление Правительства РФ от 26 октября 2012 г. N 1101 «О единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено»»
    • ФЗ 436 «О защите детей…», категоризация доступной информации.
    • ФЗ №3 «О полиции», статья 13, п. 12 — об устранении причин и условий, способствующих реализации угроз безопасности граждан и общественной безопасности.
    • ФЗ №187 «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях» («антипиратский закон»).
    • Выполнение решений судебных инстанций и предписаний органов прокуратуры.
    • Федеральный закон от 28.07.2012 N 139-ФЗ «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации».
    • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

    Запросы от Роскомнадзора на блокировку несут в себе обновляемый перечень требований к провайдеру, каждая запись из такого запроса содержит:

    • тип реестра, в соответствии с которым производится ограничение;
    • момент времени, с которого возникает необходимость ограничения доступа;
    • тип срочности реагирования (обычная срочность – в течение суток, высокая срочность –незамедлительное реагирование);
    • тип блокировки реестровой записи (по URL или по доменному имени);
    • хэш-код реестровой записи (изменяется при любом изменении содержимого записи);
    • реквизиты решения о необходимости ограничения доступа;
    • один или несколько указателей страниц сайтов, доступ к которым должен быть ограничен (не обязательно);
    • одно или несколько доменных имен (не обязательно);
    • один или несколько сетевых адресов (не обязательно);
    • одна или несколько ip-подсетей (не обязательно).

    Для эффективного доведения сведений до операторов была создана «Информационная система взаимодействия Роскомнадзора с операторами связи». Расположена она вместе с нормативными актами, инструкциями и памятками для операторов на специализированном портале:

    vigruzki.rkn.gov.ru

    Со своей же стороны, для проверки операторов связи Роскомнадзор стал выдавать клиента АС «Ревизор». Ниже немного о функционале агента.

    Алгоритм осуществления проверки доступности каждого URL Агентом. При проверке Агент должен:

    • определить IP-адреса, в которые преобразуется сетевое имя проверяемого сайта (домен) или использовать IP адреса, предоставленные в выгрузке;
    • для каждого IP-адреса, полученного от DNS-серверов, произвести HTTP-запрос проверяемого URL. В случае получения от проверяемого сайта HTTP перенаправление, Агент должен проверить URL, на который осуществляется перенаправление. Поддерживается не менее 5 последовательных HTTP перенаправлений;
    • в случае невозможности осуществить HTTP-запрос (не происходит установки TCP-соединения) Агент должен делать вывод о наличии блокировки IP-адреса целиком;
    • в случае успешного HTTP-запроса Агент должен проверить полученный ответ проверяемого сайта по коду HTTP-ответа, по HTTP-заголовкам, по HTTP-содержанию (первые полученные данные размером до 10 кб). В случае совпадения полученного ответа с созданными в ЦУ шаблонами страниц-заглушек должен быть сделан вывод о наличии блокировки проверяемого URL;
    • при проведении проверки URL, Агент должен осуществить проверку установки шифрованного соединения и промаркировать ресурс;
    • в случае отсутствия совпадения полученных Агентом данных с шаблонами страниц-заглушек или доверенных страниц переадресации, информирующих о блокировке ресурса, Агент должен делать вывод об отсутствии блокировки URL на СПД оператора связи. В этом случае информация о данных (HTTP-ответе), полученная Агентом, записывается в отчёт (файл журнала проверки). Администратор системы имеет возможность сформировать из данной записи шаблон новой страницы-заглушки, для предотвращения последующих ложных выводов об отсутствии блокировки.

    Список того, что должен обеспечивать Агент
    • связь с ЦУ для получения полного списка URL и режимов блокировки, которые необходимо протестировать;
    • связь с ЦУ для получения данных о режимах проверки. Поддерживаемые режимы: полная однократная проверка, полная периодическая с заданным интервалом, выборочная однократная с заданным пользователем списком URL, периодическая с заданным интервалом проверка списка URL (определённого типа записей ЕР);
    • продолжение выполнения заданных процедур проверки по имеющемуся URL списку, в случае невозможности получения списка URL с ЦУ, и хранения полученных результатов проверок с последующей передачей на ЦУ;
    • полное выполнение заданных процедур проверки по имеющимся URL спискам, в случае невозможности получения информации о режимах проверки с ЦУ, и хранения полученных результатов проверки с последующей передачей на ЦУ;
    • осуществление проверки результатов блокировки в соответствии с установленным режимом;
    • отправку на ЦУ отчёта о проведённой проверке (файл журнала проверки);
    • возможность проверки работоспособности СПД оператора связи, т.е. проверку доступности списка заведомо доступных сайтов;
    • возможность осуществлять проверку результатов блокировки с использованием прокси-сервера;
    • возможность удалённого обновления ПО;
    • возможность проведения диагностических процедур на СПД (время отклика, путь прохождения пакетов, скорость скачивания файлов с внешнего ресурса, определение IP-адресов для доменных имен, значение скорости получения информации в обратном канале связи в проводных сетях доступа, коэффициент потерь пакетов, среднее время задержки передачи пакетов);
    • производительность проверки не менее 10 URL в секунду при условии достаточности полосы канала связи;
    • возможность многократного обращения агента к ресурсу (до 20 раз), с изменяемой периодичностью от 1 раза в секунду, до 1 раза в минуту;
    • возможность создания случайного порядка записей списка, передаваемого для тестирования и задание приоритета по конкретной странице сайта в сети «Интернет».


    В общем виде структура выглядит так:


    Программные и программно-аппаратные решения для фильтрации интернет-трафика (DPI-решения) позволяют операторам блокировать трафик от пользователей к сайтам из списка РКН. Блокируют их или нет, это проверяет клиент АС Ревизор. Он по списку от РКН в автоматическом режиме проверяет доступность сайта.

    Пример протокола мониторинга доступен по ссылке.

    В прошлом году Роскомнадзор начал тестировать решения для блокировки, который может применять оператор для реализации данной схемы оператором. Приведу цитату по результатам такого тестирования:
    «Положительные заключения Роскомнадзора получили специализированные программные решения «UBIC», «EcoFilter», «СКАТ DPI», «Тиксен-Блокировка», «SkyDNS Zapret ISP» и «Carbon Reductor DPI».

    Также получено заключение Роскомнадзора, подтверждающее возможность использования операторами связи программного обеспечения «ZapretService» в качестве средства ограничения доступа к запрещенным ресурсам в интернете. Результаты тестирования показали, что при установке по рекомендованной производителем схеме подключения «в разрыв» и правильной настройке сети оператора связи, количество выявленных нарушений по Единому реестру запрещенной информации не превышает 0,02%.

    Таким образом, операторам связи предоставлена возможность выбора наиболее подходящего для них решения по ограничению доступа к запрещенным ресурсам, в том числе из перечня программных продуктов, получивших положительное заключение Роскомнадзора.

    Вместе с тем в ходе тестирования программного продукта IdecoSelecta ISP из-за длительной процедуры его развертывания и настройки некоторые операторы не смогли приступить к тестам в установленные сроки. У более чем половины операторов связи, участвующих в тестировании, срок тестовой эксплуатации Ideco Selecta ISP не превышал недели. Учитывая малый объем полученных статистических данных и небольшое число участников тестирования, Роскомнадзор в официальном заключении указал на невозможность получения однозначных выводов об эффективности продукта «Ideco Selecta ISP» как средства ограничения доступа к запрещенным ресурсам в интернете.»
    Дополню, что в тестировании каждого программного продукта принимали участие до 27 операторов связи с различной численностью абонентов из разных федеральных округов Российской Федерации.

    С официальными заключениями по результатам тестирования можно ознакомиться здесь. В этих заключениях практически ноль технической информации. Про продукт «Ideco Selecta ISP» можно почитать, чтобы знать, как не нужно делать.

    В этом году тестирование продолжится и на данный момент, судя по новостям Роскомнадзора, взят уже один продукт и еще 2 в ближайших планах.

    Что если блокировка произошла по ошибке?


    В завершение, хотелось бы напомнить, что Роскомнадзор «не ошибается», что подтверждает Конституционный суд.

    Постановление, фактически снимающее ответственность с Роскомнадзора за ошибочную блокировку сайтов, было принято в рамках рассмотрения жалобы в КС директора ассоциации интернет-издателей Владимира Харитонова. В ней говорилось, что в декабре 2012 года Роскомнадзор по ошибке заблокировал его интернет-библиотеку digital-books.ru. Как пояснял господин Харитонов, его ресурс располагался на том же IP-адресе, что и портал rastamantales(.)ru (сейчас rastamantales(.)com), который и был изначальным объектом блокировки. Владимир Харитонов попробовал в судебном порядке опротестовать решение Роскомнадзора, однако в июне 2013 года Таганский райсуд признал блокировку законной, а в сентябре 2013-го это решение оставил в силе Мосгорсуд.

    Оттуда же:
    В Роскомнадзоре «Ъ» заявили, что решением КС удовлетворены. «Конституционный суд подтвердил, что Роскомнадзор исполняет закон. Если у оператора нет технической возможности для ограничения доступа к отдельной странице сайта, а не к его сетевому адресу, то это ответственность оператора»,— сказал «Ъ» пресс-секретарь ведомства.

    Этот вопрос актуален также для облачных провайдеров и хостинг-компаний, так как подобные инциденты случались и с ними. В июне 2016 года в России был заблокирован облачный сервис Amazon S3, хотя в реестр по требованию Федеральной налоговой службы была внесена лишь расположенная на его платформе страница покер-рума 888poker. Блокировка всего ресурса была связана как раз с тем, что Amazon S3 использует защищенный протокол https, который не позволяет заблокировать отдельные страницы. Только после того как сам Amazon удалил страницу, к которой возникли претензии у российских властей, ресурс был исключен из реестра.
    Cloud4Y 104,53
    #1 Корпоративный облачный провайдер
    Поделиться публикацией
    Комментарии 14
    • 0
      Столько усилий прикладывается. Заставить бы всех этих людей чем то полезным заниматься
      • +1
        Предлагаю составить реестр IP-адресов гос-органов и занести их в черный список. В том числе на хабре.
        • +1
          Идея давно зрела, и как оказалось, такой список уже есть
        • 0

          Так вроде бы уже такой есть

          • 0
            Такое впечатление, что вся Страна разделена на 3 касты. Каста законопослушных, каста закононепослушных и Роскомнадзор, который рулит первыми двумя.
            • 0
              Всегда мечтала жить в Северной Корее (нет).
              • +1
                Вообще абсолютно непонятны сексуальные предпочтения Роскомнадзора.
                Некоторые порно сайты в списке забаненных, другие нет. И там, и там, одни же сиськи-письки. В чём фишка?
                • 0
                  На одних уже обнаружили контент, наносящий вред детям, а на других — ещё нет.
                  • 0
                    Не там ищите контент, наносящий вред детям. Присмотритесь к телевизору.
                    Иезуитская какая-то логика.
                    • 0
                      Банят в первую очередь те сайты на которых половой акт совершается с несовершенно летними. Т.Е. чем младше в порно актер — тем больше вреда будет причерчено детям при просмотре. Смотреть на взрослые сиськи письки — детям менее вредно :)
                      А теперь серьёзно: На самом деле у роскомнадзора другая логика — они считают что маньяки насильники которые не видят порно контент с детьми меньше думают об этом самом насилии — т.е. якобы уменьшается шанс того что насильник будет причинять вред ребёнку. Т.е. как бы видя что либо на экране человек может получить что-то вроде «инструкции к действиям» и пробудиться повторить то что видит. Даже если эти самые дети на этих самых видео вполне себе счастливы и улыбаются — это всё равно побудит маньяка к разврату и расчленёнкам.(ну про крайней мере так думает большинство. Многие проводят прямую аналогию между сексом и насилием.)…
                      Я люто не навижу например РЕНТВ но там такого не показывают — значит с их логикой сходится. Меня больше волнует например что они например запретили очень много гей-порно. Как оно может побудить расчленять детей — непонятно. Однако отвечая на вопрос WRP о том чем оно отличается от от незабаненого порно: например в них (гей порно) сисек мало ( если совсем нету). Отсутствие сисек на экране точно может это причинит вред ребёнку. Я гарантирую это. И вообще присутствие нетрадиционного порно вызывает в ребёнке который ещё не видел традиционное порно почти теже чувства которые он испытает и при традиционном порно, с той разницей что оно отпечатается в памяти и будет «преследовать» фантазии очень продолжительное время. Оссобенно если например родители об этом узнают и например скандал устроят. Тогда это видео вообще из головы не сможет вылететь. Так что да — Я за то чтобы такой контент был трудно доступен (трудно != совсем недоступно, это важно). Но для этого надо просто облегчить доступ к «правильному» контенту. Если уж ребёнок всё равно увидет порно — то будет лучше если он увидет двух по настоящему любящих друг друга гетеро сексуальных людей которые пользуются презирвативами. Или хотя бы просто упоминают на экране что именно так детишек и делают. У нас девочки умудрились забеременеть ДО 9-го класса. Это шик просто. В развитой стране живём — а дети вынуждены свои «исследования» проводить в тайне от родителей просто потому что у нас так заведено. Дети всё равно будут трахаться. Это в природе заложено. И всё равно найдут тот контент который захотят. И никакие блокировки тут не помогут. Если уж правительство хочет чтобы все дети были правильные — так будте добры снимите правильное порно и сделайте его максимально легко доступным.
                      • 0
                        Начинать надо с абсолютно аморальных каналов и шоу, с общедоступного телевидения. С абсолютно беспринципного шоу Малахова, с Дома-2. С абсолютно тупых мультфильмов. Но тут у РКН руки коротки?
                        Не юродствуйте…
                        • 0
                          Я не считаю свой комментарий бесполезным и бессмысленным. Я надеюсь что кто нибудь из понимающих людей его прочитает. Проблема отсутствия сексуального образования приводит и в том числе к такому телевидению. Я искренне считаю что проблема не в том что не контролируют контент по телевидению, а в том что сами не предоставляют таковой контент. В этом плане РПЦ поступили в миллион раз умней чем наше правительство. Видя что нет контента который бы соответствовал ихним представлениям они просто организовали свой телеканал и своё радио. Если у людей будет альтернатива и интересный контент — неправильные каналы вымрут сами. А Если тупо и бездумно отобрать у народа ихний опиум — они начнут его искать на улицах. Вам оно такое надо? Все надо вводить медленно и постепенно. Я считаю что РЕНТВ наносит в миллион раз меньше вреда чем например продажа некачественных якобы лекарственных средств. Потому что элементарно разница от принятия негативно влияющий аудиовизуальной информации и принятия отравы значительна. А правительство смотрит ещё глобальнее. От отравления — спасти человека можно, а от изнасилования и последующей расчленёнки — уж никак. Тем более если речь идёт о ребёнке который теоретически не может себя защитить. Речь идёт о быстрых иногда смертельных последствиях. С которыми наше правительство и пытается бороться. Я бы например запретил всякие азино777, спиртное и табак, вот только какую альтернативу я могу предложить? никакую.
                • 0
                  А в чём ответственность оператора? В том, что клиенты проголосуют рублём? Кроме того, в реестре есть и блокировка по IP прямая. Это разве не ответственность РК
                  • 0
                    Великий и могучий роскомнадзор не ошибается — как указы нашего великого пу. К чему идем-то?

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое