Реестр бесплатных объявлений 149-ФЗ.801

Послание через эксплуатацию уязвимости в системе блокировок Роскомнадзора

5 мая 2018 года в 01:40 MSK кто-то начал «отбивать» на графике актуальных IP-адресов всех доменных имен из выгрузки Роскомнадзора надпись азбукой Морзе. Возможность такой «шутки» с передачей посланий есть только потому, что есть мой график — т.е. её визуализация. Не было бы графика — никто бы не заметил. Однако, это не просто надписи и «привет Роскомнадзору». Надпись делается путем эксплуатации давно известной уязвимости в самой логике реализуемых сегодня блокировок. Которую Роскомнадзор признает, но упорно не замечает по сумме причин. Например, эта уязвимость в общем случае позволяет достигать намного большей эффективности блокировок, чем в любом другом случае. Напомню, что законодательство и нормативная база (группа статей 15.x 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации» и подзаконные нормативы) ничего не знают о результативной блокировке абстрактных ресурсов в интернете. Я не понимаю, какой закон и какой страны Роскомнадзор исполняет.

Что за уязвимость такая

Дело в том, что несмотря на действующий норматив по методам и способам ограничения доступа, Роскомнадзор вынуждает провайдеров (традиционно игнорируя собственную нормативно-правовую базу) путем автоматических проверок исполнения провайдерами законодательства и штрафов блокировать сайт, даже если этот сайт поменял IP-адрес, а в выгрузке содержится старый IP-адрес. Такая блокировка возможна только двумя способами — или фильтрацией всей ширины канала провайдера, или попыткой самостоятельно отслеживать изменения IP-адресов и фильтрацией только части трафика, который направлен к этим адресам. Вопреки заверениям Роскомнадзора, фильтровать всю ширину канала могут себе позволить только небольшие провайдеры, которые купили фильтр, рассчитанный на ёмкость больше, чем канал провайдера (меньше просто не делают). Средние, крупные и магистральные провайдеры не способны покрыть фильтрами всю свою ёмкость. Они стараются сами отслеживать изменения IP-адресов и направляют на фильтры только трафик на эти IP-адреса.

И если с блокировкой любого ресурса, на который указал домен злоумышленника в целом справились (кроме естественной деградации связи и «глюков» фильтров), то с переполнением таблиц маршрутизации дело обстоит хуже. Есть только два пути в этой ситуации — или настроить очень серьёзную эвристику анализа полученных от самостоятельного выявления IP результатов (которая тоже будет давать сбои), или просто по пороговому значению обрезать результаты, несомненно рискуя штрафами.

Есть и третий вариант — возложить отслеживание меняющихся адресов на Роскомнадзор с проверкой, что изменение адреса не сделано с умыслом отказа в обслуживании произвольного ресурса. С протоколом и занесением в реестр и выгрузку. Собственно, делать так, как подразумевает закон, норматив и здравый смысл. Как я мог такое предложить?

В июне 2017 года произошла крупнейшая эксплуатация этой уязвимости.

DIGITALRESISTANCE

В 01:40 MSK 5 мая 2018 года кто-то начал «отбивать» на графике актуальных IP-адресов всех доменных имен из выгрузки Роскомнадзора надпись азбукой Морзе. Были использованы домены из выгрузки, которые купил пишущий из числа находящихся в реестре запрещенных сайтов, но неоплаченных предыдущим владельцем и свободных к регистрации любым лицом. Для надписи на собственных DNS-серверах посланца добавлялись и удалялись IP-адреса, что создавало колебания на графике. К концу дня можно было прочесть:
— * *   * *   — — *   * *     * —   * — * *   * — *   *   * * *   * *   * * *     * —   — *   — * — *   *.
Т.е. DIGITALRESISTANCE

В 04:00 MSK 6 мая 2018 график вновь «заговорил» и напугал многих. Он начал делать обратный отсчет:
* * * * *   * * * * —   * * * — —   * * — — —   * — — — —   — — — — —
Т.е. 5 4 3 2 1 0

После обратного отсчета ничего особенного не случилось. Послание содержало в себе поздравление с Днем Радио.
* — —   — — —   * *   * * *     * *   — *   * * —   * — — *   — — —   * — — *   — — —   * — —   — — * * — —   * * — * —
Т.е. ВОИСТИНУ ПОПОВ! конец связи (русский вариант азбуки Морзе 1856 года).

Под самый конец послания Роскомнадзор расстроился и удалил из выгрузки часть доменов, которые использовались для послания. Но правда только те, что просочились в средства массовой информации. Поэтому удалось дописать восклицательный знак и символ конца связи.

В итоге выяснилось, что послание — это шутка Леонида Евдокимова под прикрытием и при поддержке «Неугомонного Фила» и сайта Эшер II.

METACF.RU

Однако вечером 8 мая 2018 года неизвестные начали передавать новое сообщение. Днем посланец откалибровался, протестировал, вечером начал писать. Для реализации посланцем было искусственно приподнято количество IP адресов над штатным средним значением. Послание написано ASCII символами, каждый символ в бинарном пакете 8-n-1. График вверх — 1, серединка — 0, вниз — стоп-бит. Посланник успешно пытался попасть разрядами в циклы моего опроса DNS. Очень интересный творческий подход и аккуратная работа. Послание содержит рекламу (возможно они бессмертные):
METACF.RU

Результативность

В результате популярности сайта Эшер II и освещения на нём информации о доменных именах из реестра, доступных для свободной регистрации, с 23 апреля 2018 года Роскомнадзор начал актуализировать данные по доменам в реестре. «В пике» 22 апреля 2018 года в выгрузке находилось 5136 доменных имени, доступных для свободной регистрации. Проблема впервые была обозначена на канале Сайберсекьюрити и Ко. в мае 2017 года, что привело к крупным так называемым «DNS-атакам» с использованием уязвимости системы блокировок. В июле-августе 2017 года я переписывался с Генеральной Прокураторой на тему «DNS-атаки». 14 марта 2018 года уже новый вектор использования этой уязвимости привел к крупным сбоям в сетях Транстелекома.

Однако, чистка выгрузки от свободных доменов сильно усложняет использование уязвимости, но не исправляет её. Ею могут воспользоваться сами прямые владельцы заблокированных доменов (например, при желании владельца, домены и поддомены grani.ru могут устроить настоящий Армагедон в сети - их там больше сотни), или любой желающий может разместить противоправную информацию у себя на сайте и таким образом получить домен в реестре.

Послания через график сильно ускорили процесс чистки выгрузки. По состоянию на 10 мая 2018 года в выгрузке находилось уже только 2254 доменных имени, доступных для свободной регистрации неопределенным кругом лиц, а 13 мая 2018 года только 204 таких домена. Я могу только приветствовать детоксикацию и давно обещанное избавление выгрузки от мусора, несмотря на хайп-дривен мотивацию.