Pull to refresh

Заблокировать весь интернет, или обезьяна с гранатой

Information Security *Legislation in IT


Сегодня случилось то, о чем давно предупреждали. РКН заблокировал приличную часть глобальной сети и Рунета в частности, включая Яндекс, ВК, Одноклассников и ТамТам заодно. Фейсбук и Гугл тоже не остались в стороне.


Это случилось 26 апреля в 21:06 по UTC, или примерно в полночь по Москве. Всего было заблокировано больше сотни IP адресов различных популярных сайтов.


В числе заблокированных:


IP Домены на IP
31.13.92.14, 157.240.20.15, 157.240.20.19... facebook.com, m.facebook.com, messenger.com
209.85.233.188, 216.58..., 64.233... google.com, youtube.com, blogspot.com, googledrive.com, docs.google.com ...
216.58.207.202, 216.58.207.234 googleapis.com, fonts.googleapis.com
216.58.207.232 google-analytics.com
216.58.207.197 mail.google.com
13.107.21.200 bing.com, m.bing.com, ...
104.244.42.131 twitter.com
104.244.42.5 t.co
2.17.140.47 addthis.com
104.16.18.96 whatismyipaddress.com
37.79.247.8 rnis66.ru *
151.101.84.84 pinterest.com
194.190.168.1 ntp.ix.ru (сервер времени на MSK-IX)
217.20.155.10 odnoklassniki.ru, ok.ru, tamtam.chat
195.128.157.74 mail.dom.gosuslugi.ru, mir24.tv
95.213.222.13, 95.213.222.9 smi2.ru
87.240.129.133 vk.com
213.180.204.90, 77.88.21.90 mc.yandex.ru

Кроме того, в списке есть всевозможные счётчики и рекламные системы. Полный отчёт по заблокированным IP.


К счастью, для большинства читателей этой статьи блокировка прошла незамеченной: её отменили примерно через два часа. Ощутить неприятные эффекты смогли разве что жители Дальнего Востока. Из-за этой блокировки какие-то сервисы Одноклассников могли быть недоступны, а пользователи Google и Facebook не в Москве могли вообще не заметить блокировки так как IP у этих компаний выдаются предположительно учитывая географические факторы.


Как обычно, на доступности Телеграма эта новая блокировка никак не сказалась.


Как такое могло произойти?


Во всей этой ситуации примечателен не сам факт блокировки — тут ничего нового, а возможные причины появления именно такого списка заблокированных IP.


Давайте представим что вы — РКН, и вам поручили заблокировать Телеграм. Откуда вы, РКН, может взять IP для блокировки Телеграма? Само очевидное решение было бы где-то перехватывать трафик Телеграма, брать оттуда IP, к которым он пытается подсоедениться, и отправлять в блокировку. Для этого достаточно простейшего правила вида iptables -j LOG и скрипта из tail -f, grep и xargs для вызова программы добавления в блок-лист.


Перехватывать трафик РКН было бы оптимально с мобильного приложения, так что самым очевидным решением было бы настроить Wi-Fi точку доступа, подключенную через подконтрольный роутер, а к ней подключить телефон, на котором будет открыт Телеграм. Так любые попытки подсоединения к серверам телеграма будут отслеживаться, адреса — блокироваться.


Если посмотреть на список заблокированных, то бросается в глаза счётчики и рекламные сети. Такое чувство что кто-то с устройства, предназначенного для блокировки Телеграма, зашел в обычный интернет и пошел по разным сайтам. Скорее всего это было какое-то другое устройство, которое по случаю подключилось к той же Wi-Fi сети. Судя по присутствию сайта whatismyipaddress.com в списке заблокированных, это мог быть даже не сотрудник РКН, а какой-то посторонний человек, по случаю нашедший открытую Wi-Fi сеть или подобравший пароль. Впрочем, бритва Хэнлона подсказывает что от сотрудников РКН можно ожидать и не такого.


О чём это говорит?


Если раньше владелец заблокированного домена мог добавить в блок-лист произвольные IP адреса заменой A записи, то сейчас ситуация выходит на совершенно новый уровень. Просто представьте себе: что если Телеграм будет пытаться открыть не свои сервера, а просто обратится к IP топовых сайтов? IP объектов инфраструктуры?.. Эти все IP по логике Роскомнадзора быстренько попадут в список под блокировку, а затем также быстро в выгрузку провайдерам.


Это означает что владелец заблокированного приложения, вроде того же Телеграма или Zello, может не просто заблокировать какие-то отдельные IP подобно владельцам сайтов, а потенциально получает возможность заблокировать вообще всё что ему захочется.


Из этой возможности естественно следует появление белого списка адресов, которые никогда нельзя заблокировать. Можно предположить такой список уже есть, ведь IP сервера, откуда провайдеры берут новые данные, уже попадал в выгрузку с понятными последствиями, но этому списку явно есть куда расти (сообщают что там было порядка 500 IP). Само наличие такого полного белого списка влечет за собой возможность в какой-то момент отключить всё, кроме белого списка. Это не может радовать.


По следам ночных событий


Tags:
Hubs:
Total votes 144: ↑136 and ↓8 +128
Views 101K
Comments Comments 262