Уязвимость в системе блокировки сайтов Роскомнадзора позволяет закрыть в РФ доступ к любому сайту

Discussion in 'Мировые новости. Обсуждения.' started by GAiN, 6 Jun 2017.

  1. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    я не совсем понимаю как у вас до сих пор рунэт робит...
    ведь без аккуратной проверки роскомнадзором IP на стадии добавления, в блэклисте до сих пор могут оказаться тысячи ip всяких важных роутеров (даже после введения "whitelist")
    проверка имелось ввиду:
    шото мене кажется, што работоспособность интернета в целой стране - слишком высокая цена за возможность хёнтай и всякие казины-онлайн полочить.

    хотели показать какие они мощные законотворцы и запретители - а в результате на всю страну виртуально обосрались, да еще и нормально настроенный инет заглючили
     
  2. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    теперь можно взять домен, загнать его в блек лист роскомпозора и зихерить конкурентным сайтам.
    Наверное появится спрос на заблокированные домены
     
    ACat likes this.
  3. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    возможно, появится такая услуга
    скорее всего, будут умышленно добиваться блокировки десятков своих доменов, а потом, не сразу, менять\добавлять ip "заказанных" сайтов в днс своих доменов

    если чушки из ркн не будут вручную проверять, рунету пи@#$ц
     
    ACat likes this.
  4. Угрюмый

    Угрюмый Elder - Старейшина

    Joined:
    3 Sep 2006
    Messages:
    212
    Likes Received:
    210
    Reputations:
    5
    V777, devton and CKAP like this.
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,809
    Likes Received:
    18,401
    Reputations:
    377
    Роскомнадзор попросил провайдеров временно закрыть «дыру» в системе блокировок

    В нескольких регионах России Роскомнадзор велел провайдерам до 16 июня ограничивать доступ к сайтам из «черного списка» лишь по IP-адресам, указанным в реестре запрещенных сайтов. Это требование может быть связано с уязвимостью в системе мониторинга и блокировки сайтов в России, из-за которой в июне у многих пользователей оказались недоступны незаблокированные сайты, в том числе «Медуза».

    Копия такого требования управления Роскомнадзора по Уральскому федеральному округу опубликована в телеграм-канале «Сайберсекьюрити и Ко» (подтвердить в Роскомнадзоре его подлинность «Медузе» не удалось). Два провайдера из Северо-западного федерального округе рассказали «Медузе», что получили такую же просьбу — в виде документа и по телефону. Еще один провайдер из СЗФО сообщил, что к нему с таким требованием не обращались.

    В документе Роскомнадзор требует «не осуществлять DNS-резолвинг» — эту процедуру совершают небольшие операторы связи, у которых нет системы блокировки по доменному имени. Им приходится обращаться к DNS (системе доменных имен), чтобы получить актуальный IP-адрес запрещенного сайта — владельцы сайтов могут менять IP, и Роскомнадзор следит, чтобы провайдеры блокировали именно актуальный адрес; за нарушение компаниям грозит штраф. В документе подчеркивается, что «данное изменение в системе фильтрации не повлечет за собой применение штрафных санкции».

    В результате выполнения требований многие запрещенные сайты могут оказаться разблокированными у пользователей этих операторов связи. С чем связаны временные рамки, указанные в документе, неизвестно.

    В июне владельцы некоторых запрещенных сайтов стали прописывать в DNS IP-адреса сторонних сайтов — к примеру, интернет-кинотеатра ivi.ru, «Википедия», «Медузы», TJ. Это привело к блокировке этих сайтов у пользователей некоторых провайдеров. 9 июня выяснилось, что злоумышленники привязали к заблокированным доменам IP-адреса серверов авторизации интернет-платежей нескольких крупнейших российских банков.
    ---------------------
    10.06.2017
    https://meduza.io/news/2017/06/10/r...rov-vremenno-zakryt-dyru-v-sisteme-blokirovok
     
    _________________________
    devton and CKAP like this.
  6. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    это неправильно я написал...там работают, возможно, засланные кем-то люди 0_о которые своими действиями дают возможность обрушить весь Рунэт любому и в любое время
    https://www.znak.com/2017-06-10/rkn..._blokirovku_interneta_do_pryamoy_linii_putina
    [​IMG]

    Это письмо означает, что Роскомнадзор настаивет на постоянной "динамической фильтрации" у всех провайдеров России. Т.е. после установки своих Ревизоров (каждый из которых обошелся государству в несколько десятков раз дороже чем он стоит даже в РОЗНИЦУ https://habrahabr.ru/post/282087/) они начали штрафовать провайдеров и настаивать на "надежной блокировке" при которой пров сам берет доп. IP для блокировки из ДНС заблокированного домена почти в реальном времени вместо того, чтоб просто фильтровать по списку, присылаемому из РКН.
    Т.е. это именно РКН ответственнен за все громкие недавние сбои такого рода!

    И что сделал РКН? Вместо того, чтобы одуматься и начать самим тщательно проверять IP для списка (а у провайдеорв Ревизорами резолвить и проверять только по своему списку) они ОБОССАЛИСЬ перед эфиром с президентом и шлют писульки чтобы прикрыть свои жеппы ))))))))))))))))

    Это ммммега-fail, прилюдное признание своей преступной халатности (хотя они это еще не осознали)
    Т.е. карликовое ведомство РКН готово решительно обрушить интернет у целой страны из-за того, что им лень проверять IP при формировании черных списков!
    Т.е. работоспособность интернета в целой стране ценится меньше, чем возможность полочить КазиныИкс и рисованных голых покемонов.
     
    ACat, CKAP and user100 like this.
  7. Угрюмый

    Угрюмый Elder - Старейшина

    Joined:
    3 Sep 2006
    Messages:
    212
    Likes Received:
    210
    Reputations:
    5
    Ой полетят чьи-то головушки...
    Но, как обычно. По принципу - невиновных наказать, непричастных наградить.
     
    CKAP likes this.
  8. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    только РКН...больше никого вые$@#ь даже не подумают
    я уверен, что история с покупкой "Ревизоров" для мониторинга блэклистинга у провайдеров станет формальным поводом для перетряхивания ведомства

    разорвут порочный круг ничегонеделанья РКН
    [​IMG]
     
    #28 devton, 10 Jun 2017
    Last edited: 24 Jun 2017
  9. ACat

    ACat Member

    Joined:
    10 Mar 2017
    Messages:
    162
    Likes Received:
    31
    Reputations:
    0
    не совсем так, я думаю они просто напросто сами себе ставят задачи заведомо требующие вложений, решений.
    или им кто-то их ставит. можно с разных сторон глядеть. в общем - в то, что РФ не додумалась как заблочить чатсь интернета мне не верится. это по-любому кому-то на руку.
    ИМХО.
     
  10. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    653
    Likes Received:
    2,865
    Reputations:
    8
    Ты наверное хотел сказать что в рф есть те кому это по силам, но они в роспозоре не работают :)
     
  11. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    ты не в теме...вкратце переведу то, о чём неделю говна бурлят:
    РКН заставил провайдеров штрафами использовать самый небезопасный метод блокировки (когда ip для блокировки берутся из ДНС заблокированных сайтов)

    это позволило любому обладателю заблоченного сайта бесплатно и на много часов сделать недоступным во всей России что угодно (все банковские сайты, мессенжеры, гугл итд)

    это преступная халатность, повлекшая многомиллионные убытки
     
  12. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,809
    Likes Received:
    18,401
    Reputations:
    377
    Ща погодите, РКН ещё штрафы для провайдеров ведёт: "за незаконную блокировку законных сайтов" и совсем забогатеет:cool:
     
    _________________________
    Triton_Mgn, ACat and CKAP like this.
  13. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    ваши прогнозы: сделают с помошью этого бага веселуху на 15 июня?
     
  14. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,809
    Likes Received:
    18,401
    Reputations:
    377
    Провайдеры с РКН подсуетились, скорее всего, и внесли в исключения ip сайтов с вещанием прямой трансляцией Солнцеликого;) А в остальном, заюзают этот баг конечно ещё не раз...но так и до китайской версии интернета скатиться не далеко.
     
    _________________________
  15. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    ты вот околограмотный в сфере IT, но в голове у тебя то же говно, что у обычных обывателей и чиновников
    при действующей системе никаких "кетайских файрволов" не нужно, чтоб только нужное блокировалось
    достаточно в РКН тщательно проверять на входе данные и при изменении:
    ну а провам банить только по списку, периодически (раз в несколько часов?) обновляемому

    я посмотрел на сколько записей блэклист приростает за сутки - число записей и IP небольшое, 3-4 справятся с перерывами на дрочку на хёнтай кофе
     
    #35 devton, 12 Jun 2017
    Last edited: 24 Jun 2017
  16. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,809
    Likes Received:
    18,401
    Reputations:
    377
    Дык провайдеры сами стали резолвить dns записи запрещенки, на привязанные к ним ip адреса (ибо на dip нормальный денег нет), а иначе им "Ревизор" штраф выкатывает за незаблоченный ресурс. Отсюда и косяки с привязкой левых IP к dns адресу запрещенного ресурса.
    Ибо РКН выкатыват блеклист кое-как, по url , по ip, по dns...
    А если банить только по ip - тогда ресурс менят ip адрес и разбанивается.
    Вобщем система дырявая...отсюда и мысли про белые списки и кетайский тырнет.
     
    _________________________
  17. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    эти мысли лишь у толстолобиков тупорогих,ибо:
    1)DPI нормальный для всего трафа не нужен - достаточно, чтоб провские рутеры умели редиректить траф, идущий на blacklisted IP, к одному серваку, который уже будет ковыряться внутри соединения и смотреть - если там HOST и урл запрещенка - лочить, если нет - то пропускать
    2)Ревизоры (по инфе из письма) настроены по-пидорски (делают dns-resolve и проверяют залочено или нет, а должны проверять только по фиксированному списку РКН. Именно это к прошлонедельным блокировакам и привело. Именно поэтому провы и страдают самодеятельностью.

    Т.е. лочить все провы должны ТОЛЬКО по спискам РКН, в которых бльшинство записей url_ip.
    Лучше чтоб провы лочили интеллектуально (с DPI но не всего а ip-чернолистного трафа)...если нет возможности - то по IP, но только из списка РКН.
    -------------------------------------------------
    Что касается оперативности, то это проблемы РКН...да и большинство из этого списка никогда примерно не меняет ip (всякие порники, хёнтаи, пиратские ресурсы, проститутошные)

    А с казиноиксами пусть чего-нибудь придумывают - эти вертятся как уж на сковородке и меняют-добавляют домены, ip.
    Но из обрушения Рунета и того, что у некоторых на несколько минут или часов доступ к джойказинам появится всем понятно что есть меньшее зло )))
     
  18. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    а белые списки - не выход
    ибо помимо крупных Гугла и Телешрама имеются миллионы других сайтов

    вот и получается, что выход для новых записей - ручная проверка всего глазами при добавлении в блэклист

    что делать с быстроменяющими ip...пусть РКН придумывает, им деньги платят.
    буйные быстроменяющие наркодомены и джойказины .ru разделегировать оперативно

    П.С. кстаааааати DNS cache poisoning же !!!
    можно легко примазаться к white list !!!

    П.П.С я б на месте провайдера первое время сейчас на#$%@л бы РКН - подключал Ревизора через прокси или циску со строгой динамической фильтрацией, где новые ip для блокировки берутся прям из ДНС...и все счасливы - в РКН видят что лочит, провайдеры не платят штрафы, у пользовательском сегменте всё разумно умеренно блочится - по фиксированному списку РКН
     
    #38 devton, 12 Jun 2017
    Last edited: 24 Jun 2017
  19. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,372
    Likes Received:
    5,124
    Reputations:
    48
    щас подумалось...учитывая, из какого места руки у ведомственных и провайдерских "программистов"... интересно, шо случится, если у двух blacklisted-доменов сnаmе другнадруга выставить 0_0 ))))?
     
    #39 devton, 12 Jun 2017
    Last edited: 12 Jun 2017
  20. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,809
    Likes Received:
    18,401
    Reputations:
    377
    Реестр РКН представляет собой огромную свалку ссылок (в том числе не соответствующих стандартам), доменов и IP-адресов. И там не всегда указан IP- Домена или полный IP привязанных к домену.
    Рекомендую к прочтению: https://geektimes.ru/post/289947/
     
    _________________________
    t0ma5 likes this.
Loading...