Недоступны «Яндекс», «ВКонтакте», «Вики», «Одноклассники», РБК и другие? Ваш провайдер установил «Ревизор»

В апреле 2016 года замглавы Роскомнадзора Олег Иванов рассказал ^[1] «Известиям», что до конца года все провайдеры будут обязаны установить у себя программно-аппаратный комплекс «Ревизор». Он автоматически проверяет доступ к запрещённым сайтам из сети провайдера, и если доступ есть — в территориальное управление Роскомнадзора уходит сигнал о нарушении: «Мы сможем спокойно при необходимости идти в суд с полученными данными», — объяснял Иванов. В 2017 году эта система надзора работает ^[2] и провайдеры прислушиваются к ней больше, чем непосредственно к Роскомнадзору.

Как сегодня напомнил ^[3] автор Telegram-канала «IT уголовные дела СОРМ россиюшка» и IT-консультант ФБК Владислав Здольников, сайты из реестра запрещённых сайтов могут свободно добавлять на собственные DNS любые IP-адреса, в том числе чужих сайтов. Позднее гендиректор Diphost.ru Филипп Кулин рассказал ^[4], что в Роскомнадзоре знают о том, что сайты нарушители могут прикрыться любым IP адресом, поэтому ведомство традиционно рекомендовало провайдерам: «не надо ресолвить хосты самим» (выяснять IP адрес по домену). РКН объяснял провайдерам, что если требуется блокировка по IP-адресу, адрес нужно взять из реестра запрещённых сайтов, а не у сайта нарушителя. Разработанный «МФИ Софт» прибор «Ревизор» пока лишён человеческой гибкости, он перебирает IP-адреса иначе, чем это сделал бы человек с рекомендациями Роскомнадзора в руках. Поэтому, резюмирует Кулин:

Телеком быстро переобулся, подтерся любыми рекомендациями РКН и стал делать так, чтобы «Ревизор» не слал репорты и РКН, рекомендациями которого подтерлись, не слал штрафы ^[5].

Генеральный директор компании Qrator, которая занимается защитой от DDoS-атак, Александр Лямин сказал «Роем!» ^[6], что таким образом злоумышленники могут использовать блокировки РКН в своих целях. «Это отличная иллюстрация того как неудачный дизайн системы блокировок может быть проэксплуатирован […]», — речь идёт о том, что злоумышленники могут прописывать IP-адреса любых других сайтов к заблокированным доменам, в результате провайдеры будут блокировать все ресурсы с такими IP-адресами.

По статистике сайта «Каждый сбой ^[7]» сегодня 4 июня с 13:00 до 22:00 часть пользователей не могла попасть на Яндекс, ВКонтакте, Википедию, «Одноклассники» и другие сайты. Произошло это в частности и потому, что хозяин только одного, из множества заблокированных, домена dymoff.space добавил в свой DNS IP-адреса таких сайтов, как:

1tv.ru, atlas ripe, badoo.com, booking.com, facebook.com, mail.ru, nic.ru, ntv.ru, ocsp.comodoca.ru (OCSP-респондер CA), office 365, ok.ru, pikabu.ru, rbc.ru, reg.ru ^[8], rfc-revizor.ru, rt.com, nag.ru, rzd.ru, sipnet.ru, skbkontur.ru, vasexperts.ru, vk.com.

Теоретически российские провайдеры могли бы пренебречь действиями владельца dymoff.space и не блокировать IP адреса принадлежащие в действительности не dymoff.space, а вышеперечисленным разрешённым в РФ проектам. Но многие из них не стали этого делать, так как провайдеры теперь вынуждены либо подстраиваться под работу «Ревизора», с его независимой логикой сопоставления IP, либо платить штрафы.