«Потемкинские блокировки»: почему запреты сайтов не работают

08.12.2017

Руководитель аналитического подразделения по информационной безопасности ООО «ТСС» Илья Шарапов выступил с программной статьей «От блокировок к изоляции. Зачем в России создают «независимый интернет» в российском Forbes. В материале Шарапов указывает на неэффективность методов по блокировке интернет-ресурсов и ставит закономерный вопрос: насколько запреты необходимы? 


В авторской колонке эксперт компании ТСС внимательно проанализировал способы, посредством которых провайдеры ограничивают доступ к сайтам. Для выполнения требований Роскомнадзора операторы применяют несколько способов: блокируют ресурсы по IP-адресу или по URL. Вторая блокировка предпочтительнее, но она требует наличия у провайдера системы DPI (deep packet inspection), позволяющей детально анализировать весь проходящий трафик. В новом проекте закона Роскомнадзор требует, чтобы все провайдеры использовали DPI в обязательном порядке. 


Однако даже крупные операторы, например, «Ростелеком» или «Транстелеком», не торопились устанавливать крайне дорогостоящую аппаратуру DPI. Но и те компании, которые закупили DPI, сделали это «для галочки»: аппаратура DPI в большинстве компаний работает в пассивном режиме, не блокируя трафик. Если же осуществлять полноценную блокировку сайтов с DPI в активном режиме, это обернется колоссальным падением скорости интернета. На такие меры компании идти не готовы: они сразу же потеряют клиентов, отмечает Шарапов. Полная версия публикации доступна здесь


Спустя два дня после выхода материала предположения Шарапова получили наглядное подтверждение: внесенные в реестр запрещенных сайтов LinkedIn и Rutracker оказались частично доступны без применения дополнительных сервисов, например, VPN-построителя. В комментарии для статьи Forbes "Глоток свободы. LinkedIn и Rutracker были временно доступны в России" Шарапов напомнил, что сетевой маршрут, по которому пользователю доступен тот или иной ресурс, может отличаться: он зависит от загрузки каналов сервис-провайдера и его оборудования. При выполнении требований «Роскомнадзора» на всех пограничных устройствах сервис-провайдеров должна быть настроена блокировка по списку запрещенных ресурсов. «Маршрут сервис-провайдера до ресурса изменяется и проходит через разные узлы сети. На каких-то узлах блокировка настроена правильно, а на других не настроена вовсе или настроена некорректно», — предположил сотрудник ТСС.