5 мая 2018 года в 01:40 MSK кто-то начал «отбивать» на графике актуальных IP-адресов всех доменных имен из выгрузки Роскомнадзора надпись азбукой Морзе. Возможность такой «шутки» с передачей посланий есть только потому, что есть мой график — т.е. её визуализация. Не было бы графика — никто бы не заметил. Однако, это не просто надписи и «привет Роскомнадзору». Надпись делается путем эксплуатации давно известной уязвимости в самой логике реализуемых сегодня блокировок. Которую Роскомнадзор признает, но упорно не замечает по сумме причин. Например, эта уязвимость в общем случае позволяет достигать намного большей эффективности блокировок, чем в любом другом случае. Напомню, что законодательство и нормативная база (группа статей 15.x 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации» и подзаконные нормативы) ничего не знают о результативной блокировке абстрактных ресурсов в интернете. Я не понимаю, какой закон и какой страны Роскомнадзор исполняет.

Что за уязвимость такая

Дело в том, что несмотря на действующий норматив по методам и способам ограничения доступа, Роскомнадзор вынуждает провайдеров (традиционно игнорируя собственную нормативно-правовую базу) путем автоматических проверок исполнения провайдерами законодательства и штрафов блокировать сайт, даже если этот сайт поменял IP-адрес, а в выгрузке содержится старый IP-адрес. Такая блокировка возможна только двумя способами — или фильтрацией всей ширины канала провайдера, или попыткой самостоятельно отслеживать изменения IP-адресов и фильтрацией только части трафика, который направлен к этим адресам. Вопреки заверениям Роскомнадзора, фильтровать всю ширину канала могут себе позволить только небольшие провайдеры, которые купили фильтр, рассчитанный на ёмкость больше, чем канал провайдера (меньше просто не делают). Средние, крупные и магистральные провайдеры не способны покрыть фильтрами всю свою ёмкость. Они стараются сами отслеживать изменения IP-адресов и направляют на фильтры только трафик на эти IP-адреса.

И если с блокировкой любого ресурса, на который указал домен злоумышленника в целом справились (кроме естественной деградации связи и «глюков» фильтров), то с переполнением таблиц маршрутизации дело обстоит хуже. Есть только два пути в этой ситуации — или настроить очень серьёзную эвристику анализа полученных от самостоятельного выявления IP результатов (которая тоже будет давать сбои), или просто по пороговому значению обрезать результаты, несомненно рискуя штрафами.

Есть и третий вариант — возложить отслеживание меняющихся адресов на Роскомнадзор с проверкой, что изменение адреса не сделано с умыслом отказа в обслуживании произвольного ресурса. С протоколом и занесением в реестр и выгрузку. Собственно, делать так, как подразумевает закон, норматив и здравый смысл. Как я мог такое предложить?

В июне 2017 года произошла крупнейшая эксплуатация этой уязвимости.

DIGITALRESISTANCE

В 01:40 MSK 5 мая 2018 года кто-то начал «отбивать» на графике актуальных IP-адресов всех доменных имен из выгрузки Роскомнадзора надпись азбукой Морзе. Были использованы домены из выгрузки, которые купил пишущий из числа находящихся в реестре запрещенных сайтов, но неоплаченных предыдущим владельцем и свободных к регистрации любым лицом. Для надписи на собственных DNS-серверах посланца добавлялись и удалялись IP-адреса, что создавало колебания на графике. К концу дня можно было прочесть:
— * *   * *   — — *   * *   —   * —   * — * *   * — *   *   * * *   * *   * * *   —   * —   — *   — * — *   *.
Т.е. DIGITALRESISTANCE

В 04:00 MSK 6 мая 2018 график вновь «заговорил» и напугал многих. Он начал делать обратный отсчет:
* * * * *   * * * * —   * * * — —   * * — — —   * — — — —   — — — — —
Т.е. 5 4 3 2 1 0

После обратного отсчета ничего особенного не случилось. Послание содержало в себе поздравление с Днем Радио.
* — —   — — —   * *   * * *   —   * *   — *   * * —   * — — *   — — —   * — — *   — — —   * — —   — — * * — —   * * — * —
Т.е. ВОИСТИНУ ПОПОВ! конец связи (русский вариант азбуки Морзе 1856 года).

Под самый конец послания Роскомнадзор расстроился и удалил из выгрузки часть доменов, которые использовались для послания. Но правда только те, что просочились в средства массовой информации. Поэтому удалось дописать восклицательный знак и символ конца связи.

В итоге выяснилось, что послание — это шутка Леонида Евдокимова под прикрытием и при поддержке «Неугомонного Фила» и сайта Эшер II.

METACF.RU

Однако вечером 8 мая 2018 года неизвестные начали передавать новое сообщение. Днем посланец откалибровался, протестировал, вечером начал писать. Для реализации посланцем было искусственно приподнято количество IP адресов над штатным средним значением. Послание написано ASCII символами, каждый символ в бинарном пакете 8-n-1. График вверх — 1, серединка — 0, вниз — стоп-бит. Посланник успешно пытался попасть разрядами в циклы моего опроса DNS. Очень интересный творческий подход и аккуратная работа. Послание содержит рекламу (возможно они бессмертные):
METACF.RU