Закон 89417-6: Получим публичную базу нелегального контента?

    Хочу поделиться своими мыслями по поводу закона 89417-6 о возможной фильтрации и блокировке «плохих сайтов».

    Как мы знаем, закон предполагает фильтрацию IP-адресов, а не адресов сайтов, как это уже сделано при блокировке экстремистских ресурсов (перечень которых, кстати, публичен).

    В итоге где-то у некой некоммерческой компании будет база IP-адресов, за которыми находятся ресурсы с детским порно, пропагандой наркотиков и способами самоубийств. По крайней мере, такой способ фильтрации в представлениях наших законодателей.

    Наверное, не надо объяснять почему делать эту базу публичной глупо, как поступили с экстремистскими ресурсами. Также очевидно, что IP-адрес сервера ВКонтакте или Википедии туда не попадет точно, так как закрытие этих ресурсов даже на пару дней спровоцирует микрореволюцию в массах, а это никому не нужно.

    Если вдруг все пойдет так, как представляют законодатели, основная масса этой базы будет содержать адреса западных серверов с подобным контентом. Просто потому, что хозяева этих серверов и/или хостеры скорее протупят с убиранием указанных страниц, а судится об исключении IP-адреса они, разумеется не будут. Какая-то часть просто поменяет IP-адрес на соседний. Это практически бесплатно. Но те, которым российский рынок вдруг не сдался, могут просто не заметить блокировки. По крайней мере, первое время.

    Тут есть интересные последствия.

    Эту «закрытую» базу всех заблокированных IP-адресов можно будет довольно просто получить любому любопытствующему айтишнику.

    Вспомним, что общее число IP-адресов в мире ограничено чуть более, чем 4 миллиардами. Для того, чтобы понять, находится ли IP-адрес в «черном списке», нужно попытаться обратиться к нему по порту HTTP(80) из России и из-за ее пределов. Если из России не пустят, а за пределами все ок, значит IP с большой вероятностью находится в черном списке. Пусть на выяснение этого нужно не более 10 секунд – как правило, за это время сервер должен уже дать какой-то ответ. Одновременно с одного сервера-опрашивателя можно открыть хоть 1000 паралелльных запросов. В итоге получаем время на опрос всех айпишников – 4 млрд / 1000 * 10 сек / 60 / 60 / 24 = 1,5 года с одного сервера. Если это делать с десятка серверов, с России и с Запада, мы получим за полтора месяца всю базу. На самом деле, все можно уместить в неделю-две, так как в подавляющем большинстве ответ будет значительно быстрее, чем за 10 секунд, существеннную часть диапазона IP-адресов сканировать не надо вообще и т.д.

    Вывод: база IP-адресов запрещенных ресурсов станет публичной. С использованием сервисов Reverse DNS можно найти и сами адреса сайтов. Поскольку, как я уже писал, туда вряд ли попадут IP-адреса крупных хостеров или проектов типа Вконтакте/Википедии, reverse DNS будет давать вполне целевые домены. Что-то мне подсказывает, что подобным образом закон упрощает поиск запрещенной информации. Интересный закон выходит – до него публичного каталога детской порнухи, пропаганды наркомании и способов самоубийств не было, а после – он становится доступным.
    Share post

    Comments 75

      +9
      > очевидно, что IP-адрес сервера ВКонтакте или Википедии туда не попадет точно, так как закрытие этих ресурсов даже на пару дней спровоцирует микрореволюцию в массах

      Почему-то не случилось никакой микрореволюции, пока Википедия бастовала.
        +5
        Так всем же было понятно, что это временное явление. Ну полежит денек, завтра поднимется.
          +17
          Дуров: Встречаемся у Кремля! Будут бесплатные майки.
            +12
            <ирония>это потому что сессия кончилась</ирония>
              +12
              Почему же? У меня о том, что власти ебанулись, во френд ленте стали писать ну совершенно далекие от политики люди, которые даже про Болотную то не слышали.
                +2
                Ну, попишут не день, а два. Месяц попишут, год. Всю жизнь будут писать. И?
                  0
                  Может даже революцию совершат. В интернете.
                    0
                    Он шёл по сельской местности. К ближайшему орешнику.
                    Не может и не в интернете. Организуйтесь!
                +2
                по-моему там клали на эти микрореволюции…
                  +1
                  К томуже гугло кеш отлично справлялся с предоставлением доступа к википедии.
                    0
                    И его закроют.
                    +7
                    Как я понял, автор имел в виду следующее: если пользователи поймут, что Википедию и контактик закрыли не на один день (в знак протеста, сами авторы), а ПРАВИТЕЛЬСТВО, потому что там якобы детское порно, — вот тогда и совершат микрореволюцию.

                    Чего непонятного?
                    –1
                    Вы забыли, что блокировка вроде как не только по IP возможна, но и по доменному имени.
                      0
                      Google Public DNS уже давно спешит на помощь
                        0
                        Мне казалось, в статье речь идет не о том, как обойти ограничение, а о списке закрытых ресурсов. Если блокировка по домену, а не по айпи, то способ, приведенный в статье способ не даст полного списка.
                          0
                          Ага, только если блокировка осуществляется на уровне твоего провайдера (через которого физически проходит UDP-пакет с DNS-запросом), то «Google Public DNS» сосет причмокивая, потому что до гугля он просто банально не долетит ;)
                            +2
                            DNSCrypt через 443. По-моему, на борьбу с ветряными мельницами похоже.
                              +1
                              Делать провайдеру нечего, кроме как лопатить UDP-трафик в поисках DNS-запросов. Если некоторая часть пользователей будет в знак протеста использовать 53-й порт для любимых торрентов, то, учитывая популярность μTP протокола, это все превратится в ад и погибель.

                              В конце концов, параноикам проще сразу рассмотреть сценарий, когда вместо интернета станет великий православный интранет, чем обсуждать различные формы половых сношений юзера с цензурой.
                            –3
                            Доменных имен в зоне .ru три с половиной тысячи штук.
                              0
                              Что может помешать блокировать сайты из других зон?
                            +2
                            И каким образом предлагаете это сделать? Через регистраторов? У нас уже есть пример кавказцентра. Закрыть его можно было просто заблокировав домен, но никто этого не делал. Да и никто не мешает зарегистрировать домен за бугром.
                            Блокировать в DNS? Глупо. Я могу поднять свой собственный сервер и полностью обрабатывать запросы начиная с корневых серверов. Или ещё проще, гуглоднс, опенднс и прочие штуки.
                            Блокировать сайт на уровне провайдера… Экономически не целесообразно, т.к. нужно ставить шлюз, который будет разбирать соединения до уровня HTTP… А это вам не просто пакетики коммутировать, тут нехилые серверные мощности нужны чтобы обработать существующие объёмы трафика.
                            Остаётся только по IP.
                              0
                              Ну, как вы могли заметить, наши законодатели не сильно заморачивались при написании закона. Поэтому и я в данном вопросе позволил себе несколько «абстрагироваться». Кроме того, обращаю внимание на свой комментарий выше: habrahabr.ru/post/147644/#comment_4978941
                                0
                                у нас уже блокируют по имени домена

                                у провайдера есть файрвол, через который проходит весь траффик. Я могу ошибаться, но есть DNS-запрос, который можно отшивать по траффику по 53-му порту, есть HTTP-запросы, тут в 99,9% порт 80. Думаю, что проще по DNS, тогда единственным способом будет поднять свой DNS-сервер или прописать в hosts. Самые ушлые могут так делать, но тогда эти же ушлые могут поднять TOR или туннель, и вообще все обойти.

                                  –2
                                  Я уже по умолчанию везде прописываю DNS-сервером гугловый (4.4.4.4, 8.8.8.8), они и доступны всегда, и скорость обновление радует. В андроидах они же используются по умолчанию. Файрвол может анализировать запрос или ответ к стороннему DNS и модифицировать его или блокировать? Если да (на это ведь нужно много ресурсов), то печально.
                                    +4
                                    Эх, пресвятая наивность!!! ;)

                                    Провайдер на роутере прописывает правило:
                                    # iptables -A FORWARD -p udp --dport 53 -m string --algo kmp --string habr -j DROP

                                    Проверяем… Клиент сосет большой и толстый ***:
                                    $ host -t a habrahabr.ru 8.8.8.8
                                    ;; connection timed out; no servers could be reached

                                      0
                                      Может еще и не такое (:
                                –3
                                Т.е. если до того, как базы таковой не было, вас не интересовала ДП, пропаганда наркомании и способы самоубийств, а теперь после появления оной вас это будет интересовать?
                                  +2
                                  конечно, любое привлечение внимания вызывает интерес, чем больше вопрос обсуждать тем больше народу захотят посмотреть что же там такое обсуждается, это свойство общества и не стоить говорит что фу, я не такой. Вы не такой, а общество оно многогранно.
                                    +2
                                    +7
                                    У вас ошибка в вычислениях, на 10 секунд надо не делить, а умножать, полученная оценка занижена в 100 раз.
                                      0
                                      Даже если и дольше, технически это возможно. Педофилы должны быть обоими руками «за». Освоить зарубежные прокси — делов на 5 минут. Зато теперь искать ничего не надо.
                                        0
                                        Технически конечно. Кстати, еще есть случай когда некоторые IP могут быть недоступны из России по собственной инициативе.
                                        +2
                                        Ошибка есть. С другой стороны, алгоритм, предложенный автором хорошо параллелится.
                                          0
                                          Возьмем в 10 раз больше серверов и в 10 раз больше подождем, делов то.
                                          +4
                                          Кто ищет- тот всегда найдет. «Золотой щит» Китай не очень спасает, этот черный список скорее всего тоже обыкновенная профанация и средство контроля электронной коммерции- в любом онлайн магазине можно найти что-нибудь экстремистское (карманные эксперты факт экстремизма признают). А публичный каталог объясняется легко и просто- средний возраст депутатов 53 года, следовательно в современных аспектах ИТ они практически ничего не понимают и действуют простыми и понятными для них методами.
                                            +1
                                            > Наверное, не надо объяснять почему делать эту базу публичной глупо

                                            Нет уж, объясните, пожалуйста. Сделать эту базу тайной — умно?

                                            Выбрать [только] IP адрес в качестве идентификатора ресурса — глупо, тут сомнений нет.

                                            Ну и не будем забывать, что цель закона — оградить детей от доступа к этим ресурсам. Детей, а не ИТ-шников. К ресурсам, а не их списку.
                                              +2
                                              Ограждать детей нужно не доступом к ресурсам, а фильтрацией траффика, добровольно и с использованием пополняемой базы, которых сейчас тоже накопилось немало. Для этого есть туча продуктов, которые, если уж государство задумалось позаботится, стоит в детских садах выдавать бесплатно на дисках родителям. Можно посчитать, сколько это будет стоить — полтора миллиона детей рождается каждый год. Полмиллиона дисков выпустить и распространить по 45 тыс детских садов и так каждый год — не так и дорого.
                                                0
                                                С этим отчасти можно согласиться, но я просил объяснить другое.
                                                  0
                                                  >Нет уж, объясните, пожалуйста. Сделать эту базу тайной — умно?
                                                  Очевидно же, что делать публичный реестр запрещенных ресурсов очень на руку тем, кто такие сайты ищет.

                                                  Они еще и каталог по ним сделают, и рекламировать будут — а если что кто обратится с вопросами, так мы не при чем, мы ж ничего не хостим — только ссылки ставим. За ссылки еще никого не сажали. Реестр им даже не придется вести — для этого будет специальная некоммерческая компания. А в разделе «Новые пополнения» можно будет подписываться по RSS.

                                                  Вы правда себе не представляете, какой сюр тогда начнется?
                                                    0
                                                    Плохо представляю.
                                                    Как ни рекламируй этот каталог, с таким каталогами, как Яндекс, Гугл, Бинг и т.п. он конкурировать вряд ли сможет.

                                                    > делать публичный реестр запрещенных ресурсов очень на руку тем, кто такие сайты ищет
                                                    Может быть, но это явно не те дети, о которых речь в законе.

                                                    Скажите, если мой сайт вдруг стал недоступен, а ТП хостера отмазывается «ваш сайт внесен в реестр запрещенных», я должен иметь возможность это проверить?
                                                    Если у меня вдруг стал недоступен Gmail, а ТП провайдера отмазывается так же, я должен иметь возможность это проверить?
                                                      0
                                                      Ну вообще-то вам никто не мешает проверить, находится ли конкретный телефон в сети сотового оператора или нет – вы можете на него позвонить. Но вам никто не даст перечень всех телефонов со статусами – чувствуете разницу?

                                                      Могут, например, сделать сервис проверки, который выдает ответ, но не больше 10 штук за день, 30 за месяц и 50 за год для каждого обращающегося IP-адреса. И все. Четыре миллиарда айпишников через него не проверишь.
                                                  0
                                                  Согласен. Продуктов уже тьма по ограждению пользователей [детей] от запрещенного контента. Тот же Eset Security такое может, хотя если подумать, обычный антивирь/firewall. Вот куда надо думцам думать, а не принимать бредовые законы. Есть различные организации с которыми можно и, в данном случае нужно, консультироваться, чтобы не получалось ахинеи.
                                                    0
                                                    И ставить его им на iPhone к примеру? А еще каким-то образом до родителей донести эту информацию, при условии что им не всеравно? С тем же успехом можно переложить борьбу с наркотиками на родителей, пусть объяснят своему чаду, что наркотики принимать вовсе не следует.
                                                      0
                                                      А как до родителей доходит информация о, скажем, отдыхе в Турции? Какой такой федеральный закон заставляет родителей получать загранпаспорта на себя и на детей, покупать путевки, ехать в аэропорт и все такое?

                                                      Нет такого закона? А между тем родители как-то узнают обо всем этом. И фильтрацией контента родители прекрасно справятся.
                                                0
                                                Жаль, что вы не читали текст закона. Формулировка там такая: «Единый реестр доменных имен, указателей страниц сайтов в сети „Интернет“ и сетевых адресов, позволяющих идентифицировать сайты».

                                                Поясню на всякий случай. Доменное имя — это «habrahabr.ru». Указатель страницы — это "/post/147644". Сетевой адрес — это IP. В реестр вносятся все три компонента. Если владелец сайта просто сменит IP или домен, это не помешает провайдеру по-прежнему избирательно блокировать нужную страницу. Скорее всего дальше появится механизм обновления реестра в таких случаях.
                                                  +3
                                                  Это понятно, но блокировка все равно либо будет по IP, либо ее не будет. Если будет, то эти адреса легко вытащить, если не будет, а будет по указателю – тогда появляется такое количество способов обхода, что не счесть. Например, на всякий случай будут подмешивать random в урл. По доменам — сложнее всего, они все-таки денег стоят, в отличие от URL. Но непонятно как быть с соцсетями и прочим в этом случае.

                                                  Текст закона читал, но последние два дня не могу на него заглянуть для справки — эта часть сайта Думы просто лежит напрочь все это время.
                                                    –2
                                                    > блокировка все равно либо будет по IP, либо ее не будет
                                                    Блокировка бывает и по доменному имени, на уровне DNS; и по URL, с помощью контент-фильтра (DPI).

                                                    >появляется такое количество способов обхода, что не счесть
                                                    Что с того? Ребенок не бросится их изучать, он кликнет следующую ссылку в поиске.

                                                    (Вы похоже рисуете себе исключительно нецелевое применение этого закона, для блокировки оппозиционных сайтов? Это действительно глупо с вашей стороны.)

                                                    >часть сайта Думы просто лежит напрочь все это время
                                                    Гугл все помнит.
                                                    +2
                                                    То есть URI типа /post/147644 будут заблокированы на всех существующих сайтах? :-)
                                                      –2
                                                      Ну если у админов провайдера логика совпадает с вашей, то видимо да. :)
                                                    –4
                                                    1) с переходом на IP6 тоже перебирать адреса будите?
                                                      +4
                                                      Я так понял что реестр запрещенных ресурсов будет публичным. Иначе как владельцы, хостеры и провайдеры должны будут получать инфо о том что ресурс попал в реестр.
                                                        +2
                                                        Это точно.
                                                        Даже если реестр не будет публичным, а будет распространятся для провайдеров секретно, то всё равно инфа утечёт из саппорта в массы. И не надо сканировать весь интернет через 2 сервера.
                                                          +1
                                                          Я бы в реестр еще копии контента вносил, можно будет потом издавать отдельными книгами как «вредные советы»
                                                          +3
                                                          А как бы с этим Настольная книга самоубийцы из alt.suicide.holiday? Я думаю большинство из нас ее прочло еще во времена fido. :)
                                                            +4
                                                            На счет Фидо — возможно вернется ее популярность (=
                                                            +2
                                                            Лучше бы тогда контент-фильтры совершенствовали. Может хоть в ИИ прогресса добьемся… и способ получить список будет немного сложнее. Хотя мощности на серверах-фильтрах действительно должны быть большие.
                                                              +3
                                                              Получается, что «педофильское лобби» получает больше всех «профита» от нового закона?
                                                                +1
                                                                А то, создается массовый каталог выверенных сайтов, который никогда прикроют как склад ссылок на детское порно. Зарубежный прокси в руки и серфь до изнеможения.
                                                                0
                                                                > В итоге получаем время на опрос всех айпишников – 4 млрд / 1000 / 10 сек / 60 / 60 / 24 = 4,62 суток.

                                                                Коллега, мне вот почему-то думается, что на пинг всего интернета в тысячу потоков уйдёт года этак полтора, ибо на десять секунд надо не делить, а умножать, не?
                                                                  0
                                                                  Да-да, исправил. Ничего это по существу не меняет. Это не расшифровка генома – ну берем в аренду 10 серверов на неделю-две. Все равно задача решаемая небольшими ресурсами.
                                                                    0
                                                                    Да вообще ничего не нужно перебирать, в списке будут непосредственно символьные адреса сайтов и страниц. И список публичный.
                                                                      0
                                                                      ну действительно, всегда 10к машин найдут этот список за неделю. да раз плюнуть.
                                                                    +2
                                                                    Можно даже сделать плагин к браузеру, который периодически подсасывает список из интернета, и только «запрещенные» сайты автоматически открывает через прокси :)
                                                                      0
                                                                      Зная IP-адрес, вы не узнаете нужного виртуального хоста (коих на одном адресе может быть тысячи), а тем более путей внутри сайта. Вряд ли главная страничка с дефолтным виртуальным хостом без всякой регистрации порадует вас «клубничкой» или рецептами наркоты. За это во многих странах могут посадить и быстро.
                                                                        +2
                                                                        Да, я об этом написал сразу же, но я очень сомневаюсь, что в список попадут айпишники хостеров. А если и попадут, то жить будут очень мало – так как хостер обратит внимание на падение траффика из России (об этом ему напишут другие клиенты), узнает причину и отключит нафиг сервер с запрещенным контентом. Зато дольше будут оседать айпишники серверов с выделенным IP. Особенно, западные — у которых российский рынок не является приоритетным. Мессадж как раз в том, что именно эта база может быть публичной.
                                                                        0
                                                                        Да не будет там никакого запрещенного контента. Англоязычные ресурсы наши старперы не осилят, а значить сфокусируются на русскоязычных, а последние просто сменят адрес при попадании в список. Никто не будет держать ресурс просто так.
                                                                        Другой вопрос что в принципе можно написать проверку ресурса при попадании в список и уже его искать после обнаружения блокировки и это идея для поисковика для фриков :)

                                                                        Ну и на самом деле, судя по ажиотажу вокруг закона — это заказуха что бы бороться с белой угрозой. Туда попадут скорее всего жж известных, в последнее время, людей за экстремизм и он спрячется в лепро-подобный закрытый сегмент или будет обратный ТОР в котором передается новый урл закрытого сайта.

                                                                        Все это приведет к бытовой криминализации в интернете и вообще ростом экстремизма и общего градуса в обществе, которое в конце концов навернется. Пока что час Х — следующие выборы через 6 лет.
                                                                          –4
                                                                          Автор, извините, но кроме как феерический бред ваш пост назвать нельзя.

                                                                          Во первых, прежде чем писать желательно закон прочитать, а еще лучше понять.
                                                                          Во вторых, закон предусматривает блокировку как по IP, домену и по URL. Как только провайдеры освоят фильтрацию по URL (а ничего сложного в этом нет, если есть голова на плечах) — база будет состоять в основном из URL. И это правильно.
                                                                          В третьих, база предназначена для использования операторами связи и доступ, скорее всего будет максимум ДСП. А может вообще открытый. В любом случае ничего секретного в ней нет и «никаких десятков серверов» не нужно чтобы ее получить.
                                                                          В четвертых, вы про HTTP 1.1 слышали? Что вам даст реверс днс, на сервере с 1000 сайтов?
                                                                          В пятых, какой вам прок от базы, если все равно все закрыто.
                                                                          В шестых, вы очевидно при прочтении предыдущего пункта подумали про анонимные прокси или еще что-нибудь. А я подумал про СОРМ2, который уже сейчас отлично отслеживает все что нужно.
                                                                            +1
                                                                            Так, отвечаю по пунктам.
                                                                            — закон читал. Считаю, что закон нужен, но недоработан. О чем и топик.
                                                                            — действительно предусматривает блокировку не только по IP. Но! Из трех вариантов блокировки — по IP, по домену и по URL все три имеют проблемы с концепцией. Первые два — описанные в топике (можно восстановить черный список за короткое время и использовать его не по назначению), фильтрация по URL — глупая. Стоит мне добавить timestamp в URL, как защита сломается. По маске? поменяю местами параметры, изменю на шестнадцатеричное значение — да уйма вариантов. Когда-то так соцсети в офисах блокировали, уже сами пользователи научились обходить. Ну а про доменные имена — мы помним, что можно создать timestamp.domain.zone:port/
                                                                            — если в ней севкретного ничего нет, мы облегчим создание списков ссылок, каталогов и навигаторы по этому списку, причем с автообновлением и RSS новых поступлений.
                                                                            — сервер с 1000 виртуальными хостами разных клиентов не закроют. Скорее хостер снесет клиента. Клиент сделает вывод и купит виртуальный сервер, на котором периодически будет менять IP-адрес, подмешивать в URL таймстамп и менять доменные имена на третий уровень.
                                                                            — вот СОРМ и надо было улучшать на эти деньги. Кто мешает?
                                                                              0
                                                                              Блокировка по доменам «пока» наиболее эффективная :) проблема с timestamp.domain.zone:port решается просто *.domain.zone в блоке. Порт для DNS вообще по боку. При блокировке DNS на уровне провайдеров закрыть можно практически все. И ОСОБЫЕ мощности для этого не нужны.
                                                                                0
                                                                                Все нормально там с концепцией. Я бы сказал, что закон достаточно проработан. Что удивило. Весь вой вокруг него, не более чем наброс говна на вентилятор. Понятно кем и понятно почему.

                                                                                Вменяемым хостерам и проектам дан шанс. Невменяемые уйдут в бан, потеряют доход, образумятся и начнут соблюдать российские законы. Не начнут — не велика потеря.

                                                                                Бегать от фильтра, вы конечно сможете, но это будет занимать ваше время, видимо деньги, вызывать проблемы с поиском и т.д. Но в любом случае рано или поздно эта азартная игра с государством закончится. Оно (государство) всегда выигрывает.

                                                                                  0
                                                                                  государство выигрывает только тогда, когда занимается делом. Борьба с ветряными мельницами, и под это — растратой государственных денег, государство ослабляет.
                                                                                  Возможно, перед своей кончиной, государство и покалечит сколько-то людей, но чтобы выиграть — увы. Не с этим руководством, не с такой стратегией :)
                                                                              +1
                                                                              Зачем этот закон? Явно не для защиты детей от порно. Последнее время пЕдРосня удивляет. Наверное будут блокировать не нужные им сайты.
                                                                                +3
                                                                                Ну как бы запрещать доступ, например, к детской порнографии, — это не то же самое, что ловить преступников, создающих контент, и наживающихся на нём. Эдакое закрывание глаз, запрятывание проблемы. Особенно интересно слышать, что просмотр данного контента сильно повлияет на детскую психику. А участие — нет, что ли?

                                                                                Моё мнение близкое к Вашему: данный закон только потворствует преступникам, с которыми собрались бороться.
                                                                                  0
                                                                                  База станет публичной без всех этих изысков. Банально по той причине, что она должна будет быть у каждого провайдера. Во-вторых, нигде не написано, что она НЕ будет публичной. В-третьих, на сколько я понимаю наше законодательство, она обязательно будет публичной :)

                                                                                  Only users with full accounts can post comments. Log in, please.