Практическое сравнение SkyDNS, YandexDNS и DansGuardian как средств защиты от прокуратуры

Алгоритм тестирования

Факты, потом предыстория. Тестирование проходило на четырех идентичных виртуальных машинах:

• Первая — YandexDNS с семейной, т.е. максимальной фильтрацией;
• Вторая — SkyDNS в тестовом режиме с настройками, рекомендованными для школ;
• Третья — DansGuardian + SquidGuard с опцией SafeSearch, которые были настроены 2 года назад и в которые периодически докидывался федеральный список запрещенных материалов;
• Четвертая — референсная машина, на которой проверялся, существует ли доступ к информации напрямую через провайдера.

Сразу замечу, что SquidGuard во время тестирования не сработал ни разу, так что его наличие ни на что не повлияло.

Поскольку далеко не для каждого пункта федерального списка можно придумать способ проверки, да и вообще иногда трудно понять, что там написано, алгоритм тестирования по нему был следующий:
1. Ткнув в случайный пункт списка, идем по нему вниз, пока не найдем что-то, что можно попробовать найти в Интернете. Например, это может быть некий текст, электронная книга, URL, IP-адрес, видеоролик, музыкальная запись, которые можно так или иначе идентифицировать.
2. Пытаемся найти эту информацию через Google.
3. Все, что находится на первых двух страницах выдачи, пытаемся открыть и смотрим результаты.

Федеральный список

Всего было проверено 30 случайных пунктов федерального списка. Результат:
12 пунктов заблокированы провайдером. Из оставшихся 18 пунктов:

• YandexDNS заблокировал 2;
• SkyDNS заблокировал 5;
• DansGuardian заблокировал 13, если считать, что книгу на арабском мало кто сможет прочитать.

Реестр Роскомнадзора

Выбирались случайные пункты из тех, что внесли за последние три-четыре дня и на которые пустил провайдер. В результате из 15 проверочных пунктов заблокировано:

• YandexDNS — 6;
• SkyDNS — 12;
• DansGuardian — 10.

Поиск в Google

Обычный поиск для школьного возраста: «Курительная смесь купить», «Порно скачать бесплатно» и то же самое в нескольких вариантах написания. Результат по первым страницам результатов поисковой выдачи:

• YandexDNS позволил найти и зайти на 3 сайта с порнографией, 7 сайтов по продаже курительных смесей;
• SkyDNS позволил посмотреть 7 сайтов с порнографией, 3 магазина с курительными смесями;
• DansGuardian на порносайты не пустил, открыл один сайт с легкой эротикой и 2 магазина с курительными смесями.

Выводы

1. Что касается фильтрации, как и ожидалось, SkyDNS заборол семейный YandexDNS, но значительно проиграл DansGuardian в полевых условиях.
2. SkyDNS не является контент-фильтром, несмотря на заявление самой компании. В моем понимании контент-фильтр должен отслеживать содержимое страниц, а не адреса интернет-ресурсов.
3. Правильно настроенные и обновляемые DansGuardian+SquidGuard покажут результаты еще лучше, поскольку тот SquidGuard, который участвовал в тестировании, ничего не знает про Роскомнадзор и два года не обновлял черные списки.
4. Со всей собранной информацией меня ждут неплохие выходные.

Почему и для кого написано

В одно муниципальное учреждение, за которым я присматриваю, стали массово поступать письма от SkyDNS, в которых они напирали, что они — единственное решение для контент-фильтрации, что одобрены госорганами, что за смешные деньги, что Интернет после них чист, как снег в Альпах. Намекали, что проверка прокуратуры, услышав их название, сразу разворачивается и уходит в пыльные кабинеты пахнуть коньяком и плакать от бессилия. А тут еще начальник автоматизации, женщина со сложной судьбой, решила поддаться на уговоры и сменить работающий DansGuardian на этот волшебный SkyDNS. И я подумал: «А вдруг!?» Но нет, всё как ожидалось.

Уважаемые работники государственных учреждений, учителя информатики, другие администраторы поневоле и их руководители! Возможности SkyDNS ограничены технологией. SkyDNS НЕ фильтрует IP-адреса, не фильтрует по содержимому интернет-страниц, не фильтрует по типам и по названиям скачиваемых файлов. Это просто белый и черный список интернет-адресов, которые вы можете настраивать и использовать для ваших нужд. Если вас это устраивает, то все хорошо.

Однако, поскольку я был очевидцем проверки прокуратурой интернет-доступа к запрещенным материалам, общался с другими пострадавшими в других организациях, а также имел удовольствие беседовать с работниками прокуратуры и минюста, которые организуют и проводят эти проверки, могу вас заверить, что терминалы, блокирующие доступ по черным спискам SkyDNS, проверку прокуратуры не проходят, разве что вам повезет или у вас есть особые соглашение с проверяющими.

Прокуратуре фиолетово, что вы там себе поставили, с кем заключили договор. Они проверяют именно вас. Их задача получить доступ к материалам из федерального списка, и они обязательно его получат при некоторой настойчивости. Ваш единственный шанс пройти проверку — это всегда использовать белый список адресов или хотя бы успеть переключиться на него до того, как проверка начнется.

Появляется логичный вопрос — как можно требовать исполнения закона, который невозможно исполнить? К сожалению, для прокуратуры все просто: есть закон — надо выполнять. Не выполняете — наказываем. При этом все всё понимают и могут войти в положение, но предписание все равно будет.

Статья имеет практическую задачу показать эффективность разных способов фильтрации. Я с уважением отношусь к желанию людей заработать денег и обычно не мешаю их зарабатывать. Но в данном случае мне не нравится, что ребята из SkyDNS позиционируют себя как безальтернативное решение, ведут агрессивную рекламную компанию, используя административные государственные ресурсы и запугивание статьями уголовного кодекса, при этом не давая никакой, я повторюсь, НИКАКОЙ гарантии за результат и официально отказываясь от любой ответственности перед вами или прокуратурой за качество фильтрации, что и прописано у них в юридических документах.

Итого, простые рецепты по фильтрации

Если вы можете составить этот белый список сами и положить на прокси — SkyDNS вам не нужен.
Если вам нужен нормальный контент-фильтр, у вас есть руки и голова, которые могут его настроить (не обязательно ваши) — берите DansGuardian и занимайтесь.
Если рук или головы нет — ставьте SkyDNS или YandexDNS. SkyDNS, конечно, лучше и удобнее, но тут все зависит от бюджета.

На всякий случай — перечень запросов, которые я, в результате, использовал для поиска по федеральному списку: таблица Google spreadsheet ^[1]

Автор: tychh

Источник ^[2]