Как помогали по-тихому разблокировать navalny.com, а команда Навального решила попиариться и "спалила" программу обхода интернет-контроля GoodbyeDPI. Что такое "команда профессионалов" Навального или как Волков и ко прос*али все полиме
Алексей Навальный (слева) и Леонид Волков
Что касается "профессионализма Волкова" — это было рассмотрено еще несколько лет, смысла повторять нет.
Но история в целом любопытна, как одни люди пытаются реально помочь, а другим людям наплевать на всю эту помощь, им бы лишь бы истерию устроить вокруг себя и PR. (И загубить тему).
Есть вот такой проект: https://github.com/ValdikSS/GoodbyeDPI/
И вот некоторые, я не знаю как правильно сказать, умные люди... но очень и очень наивные... решили помочь Волкову-Навальному обойти блокировку (авторы). Не зная (?), с какими людьми они связываются (что странно, с учетом всего, что происходило в начале 2010-х и что публично доступно).
Вот, что сообщает автор неделю назад (20-21 февраля 2018):
"Сайт navalny.com попал в реестр запрещенных сайтов. Было принято решение попробовать обойти блокировку так, как это делает GoodbyeDPI, если бы его установили на сервер, а не на компьютер клиента.
Вместо того, чтобы сделать это только для определенных провайдеров, через несколько дней после вступления блокировки в силу, и по-тихому, IT-команда Навального сделала это глобально, в течение нескольких часов после блокировки, и рассказала об этом в СМИ.
Открывающийся заблокированный сайт не нравится ни Роскомнадзору, ни провайдерам, ни разработчикам DPI. Ожидайте, что GoodbyeDPI перестанет нормально работать на многих провайдерах в течение недели.
IT-команда Навального сказала, что им важна долговременная доступность. Был разработан план, первая часть которого была сообщена IT-команде. Были даны конкретные указания, что и как настраивать, какими адресами ограничиться, и что обход нужно включать через 1-2 дня по-тихому, а не сразу после блокировки.
План подразумевал долговременную доступность: были разработаны схемы затруднения обнаружения настроек для каждого провайдера со стороны Роскомнадзора, предусмотрены схемы сокрытия смены IP-адреса от Роскомнадзора в случае добавления в реестр сайта по IP-адресу, осуществлена блокировка системы контроля доступности заблокированных сайтов у провайдеров «Ревизор», для того, чтобы провайдеров не штрафовали за открывающийся заблокированный сайт, и некоторые другие уловки.
Несколько раз было оговорено, как конкретно нужно все настраивать и когда включать. И вот, через несколько часов после блокировки команда включает обход блокировки глобально, и всем о нем рассказывает.
Как это сочетается в целью долговременной доступности — непонятно. Долговременная доступность должна была достигаться сокрытием информации, точечными разблокировками только у проверенных провайдеров и оттягиванием времени реагирования Роскомнадзора, что никак не согласуется с текущим развитием ситуации. IT-команда недооценивает Роскомнадзор, считает людей, работающих там, тупыми.
Люди не понимают, что значит работать по плану. Никаких предпосылок того, что они не будут ему следовать, не было." ©
К чему это привело на практике для всех людей, в т.ч. для тех, кто в общем-то даже не знал о GoodbyeDPI:
"Сервер в SYN/ACK-пакете устанавливает TCP Window Size = 2, из-за чего клиент вынужден отправить не более двух байт в первом пакете, что вызывает псевдо-фрагментацию пакета TLS ClientHello, и системы DPI некоторых провайдеров не могут классифицировать это как HTTPS-сайт.
Кроме того, чтобы провайдеров не штрафовали, на сервере заблокирована системы контроля доступности заблокированных сайтов у провайдеров «Ревизор».
Через два дня после обхода блокировок на navalny.com, некоторые провайдеры начали блокировать все пакеты на порт 443, не похожие на HTTPS. По сути, провайдеры сломали клиентам интернет." ©
Поучительная история хотя бы для IT-шников, кто еще по странным стечениям обстоятельств столь же наивен.
Это все, что нужно знать о Волкове, Навальном и всей их тусе в вопросах IT, подходах, соблюдению обязательств и т.п.
***
Брешь в системе: Почему сайт Навального доступен россиянам, несмотря на блокировку
Фанатам Алексея Навального удалось нащупать «брешь» в системе блокировок интернет-сайтов в России. Его сайт, будучи заблокированным Роскомнадзором, по-прежнему доступен у более чем 60% пользователей. А YouTube не стал выполнять требование об удалении запрещенного ролика Навального.
Роскомнадзор не смог полностью заблокировать Навального
Страница оппозиционного блогера Алексея Навального, который в минувший четверг 15 февраля 2018 г., был внесен Роскомнадзором в Реестр запрещенных сайтов, продолжает открываться у большинства российских пользователей.
Например, как убедился корреспондент CNews, ресурс доступен в мобильных и фиксированных сетях «Вымпелкома», МГТС и «Онлайм» (в московской сети «Ростелекома»). Пользователи «Ростелекома» из регионов также сообщают о доступности сайта Навального из их сетей.
Сам Навальный указал, что в четверг днем уровень доступности его ресурса упал с 100% до 30%, но его сторонники заявили, что Роскомнадзор ждет «сюрприз». В результате мер, предпринятых командой блогера, уровень доступности ресурса к семи часам вечера 15 февраля 2018 г. вырос до 70%.
[Meduza, 15.02.2018, "В штабе Навального сообщили, что "сломали без особого труда" блокировку сайта navalny.com": Глава штаба Алексея Навального Леонид Волков заявил, что на заблокированный в России сайт navalny.com можно зайти несмотря на ограничение доступа, поскольку «их механизм „блокировок“ ломается без особого труда».
Некоторые пользователи твиттера подтвердили, что у ряда провайдеров сайт стал открываться. Позже Волков заявил, что сайт снова может не открываться из-за DDoS-атаки.
Каким образом был «сломан» механизм блокировок, Волков не сообщил, назвав это в разговоре с «Ведомостями» «блестящей работой технологической команды». — Врезка К.ру]
DDoS-атака на заблокированный ресурс
Затем показатель доступности вновь упал — до 37%. Навальный утверждает, что это стало следствием не блокировки Роскомнадзора, а запущенных на его ресурс «двух мощнейших DDos-атак». Свидетелем этому был и корреспондент CNews: в сети «Вымпелкома» в тот период сайт не открывался, но «страница-заглушка», извещающая пользователя о заходе на запрещенный сайт, не выводилась.
К вечеру четверга ситуация для Навального стала нормализовываться, и уровень доступности ресурса Навального достиг 65-70%. На нынешний момент по данным SimilarWeb, посещаемость сайта упала на 27%, причем большая часть посетителей ресурса, 63%, по-прежнему приходится на Россию. В Роскомнадзоре не ответили на запрос CNews относительно Навального.
Как команда Навального "перехитрила" Роскомнадзор
Опрошенные CNews технические эксперты говорят, что команда Навального нащупала уязвимости систем DPI, которые используются многими российскими интернет-провайдерами для обхода для блокировок.
Напомним, провайдер может блокировать запрещенный ресурс по IP-адресу или с помощью системы DPI. Второй способ предпочтительнее: в этом случае блокируются только конкретные страницы (URL) с запрещенной информацией, а не весь искомый ресурс, а также не затрагиваются другие сайты, находящие на данном IP-адресе.
Но не у всех провайдеров установлены системы DPI. Кроме того, при использовании запрещенным сайтом протокола шифрования SSL система DPI не видит запрашиваемого пользователем адреса. В этом случае можно блокировать либо по IP-адресу, либо по домену.
Роскомнадзор рекомендует провайдерам использовать второй способ. Для этого DPI вычленяет из запрошенного адреса SNI (название домена — единственная видимая часть адреса) и блокирует при совпадении. Также возможно перехватывать все запросы к системе DNS (хранит соответствие доменов и IP-адресов) и фильтровать запросы с нужным доменом.
Гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин считает, что команда Навального воспользовалась особенностями стека протоколов TCP/IP. На базе этого стека работает сеть интернет, включая веб-приложения, работающие на протоколе http, который, в свою очередь, использует транспортный протокол TCP.
При установлении TCP-соединения происходит обмен пакетами данных, которые по умолчанию имеют стандартный размер. Но сервер Навального просит установить меньший размер: два байта. Имя сервера (SNI) в эти два байта не влезает, в результате чего блокировка перестает работать, говорит Кулин.
«Со своей стороны, провайдер может попытаться собрать пакеты на фильтре, но они не обязаны идти последовательно, и это будет крайне сложная задача», — отмечает Кулин.
"Гроза" Роскомнадзора: фрагментация пакетов и лишние проблемы в запросах
Ведущий Telegram-канал «За телеком» Михаил Климарев добавляет, что методы обхода блокировок DPI-системами путем использования стека TCP/IP еще в 2017 г. были описаны на ресурсе «Хабрахабр», и сейчас существует свободное ПО для этих целей.
Это ПО может использовать комбинацию из шести различных способов в зависимости от типов используемых провайдерами DPI. В частности, можно использовать фрагментацию TCP-пакетов. Также можно экспериментировать с форматами http-запросов.
Например, можно заменить в запросе служебное поле «Host» (определяет имя узла, к которому идет обращение) на «hosT» — некоторые DPI могут пропустить такие запросы. Можно в строке запроса можно удалить пробел между символом «:», который идет после поля «host» и перед именем хоста, либо, наоборот, добавить там лишний пробел, что тоже в некоторых случаях поможет избежать блокировки.
Роскомнадзор не спешит штрафовать провайдеров за пропуск запросов к сайту Навального
Впрочем, все зависит от используемой провайдером DPI-системы. Некоторые провайдеры не только смогли заблокировать ресурс Навального, но и заблокировали его поддомен «2018.navalny.com», где размещен сайт с призывом бойкотировать выборы. Однако после шума, который поднял в Сети соратник Навального Леонид Волков, ряд крупных провайдеров (Yota, «Дом.ру», «Транстелеком») отменили блокировку данного поддомена.
Описанные методы помогают с обходом блокировок при использовании провайдерами DPI-систем, но непригодны для блокировок по IP-адресам. Однако для обхода этих случаев владелец ресурса может менять свои IP-адреса.
С недавних пор Роскомнадзор стал использовать систему «Ревизор» для контроля исполнения интернет-провайдерами требований о блокировках. Для этого у провайдеров устанавливается специальное устройство, которое пытается заходить из их сетей на заблокированные сайты. В случае выявления «Ревизором» факта доступности какого-либо запрещенного сайта провайдеру выписывается штраф об административных правонарушениях.
По данным Филиппа Кулина, полученных путем опроса представителей провайдеров в Telegram-чатах, Роскомнадзор не стал включать адрес сайта Навального в список проверки для «Ревизора». Кулин объясняет это тем, что запрещенный ресурс доступен у многих провайдеров, включая «Ростелеком».
Из-за чего блокируют Навального
События вокруг сайта Навального стали развиваться с пятницы, 9 февраля 2018 г. Тогда Алексей Навальный опубликовал на своем сайте и на видеохостинге расследование о связях олигарха, владельца компаний «Русал» и «Базовый элемент» Олега Дерипаски с девушкой под псевдонимом Настя Рыбка.
Согласно фото— и видеозаписям, сделанным Рыбкой на своей страницы в Instagram, она была на яхте Дерипаски. На этих материалах был виден и человек, похожий на вице-премьера и куратора внешней политики России Сергея Приходько. На одном из видео он обсуждал российско-американские отношения с Дерипаской.
В субботу 10 февраля 2018 г. Роскомнадзор потребовал от ресурса Навального и других сайтов, разместивших данное расследование, его удаления. Основанием стали обеспечительные меры, вынесенные Усть-Лабинским районным судом Красноярского края по иску Дерипаски к Анастасии Вашукевич (настоящее имя Насти Рыбка) и ее «тренеру» Алексу Лесли (настоящее имя — Александр Кириллов).
Основанием для иска стало нарушение ответчиками права истца на неприкосновенность частной жизни. Сам Навальный фигурантом иска не является, его юристу в суде не дали возможности получить текст определения о блокировки.
Тем не менее, Роскомнадзор отвел ресурсу положенные законом три дня на удаление спорных материалов. Навальный, со своей стороны, не согласился с этими требованиями и подал иск к Роскомнадзору в Таганский районный суд Москвы. Но поскольку требование надзорного ведомства не было исполнено, Роскомнадзор приступил к блокировке ресурса оппозиционера.
YouTube не спешит удалять ролик Навального
YouTube (разместил на YouTube) ролик Претензии Роскомнадзора об удалении расследования Навального об Олеге Дерипаске и Насте Рыбке касались не только ресурса самого оппозиционера, но и целого ряда интернет-СМИ, написавших об этом: Newsru.com, «Радио Свобода», «Сноб», The Village, znak.com, «Медиазона».
Все эти сайты полностью или частично скрыли свои материалы о расследовании Навального. Журналу «Максим», также по требованию Роскомнадзора, пришлось удалить подборку шуток о Навальном и Рыбке.
Наиболее интересной была судьба запросов аналогичных запросов Роскомнадзора, направленных ведомством в Instagram и YouTube. Настя Рыбка сама удалила со своего аккаунта в Instagram большую часть фото- и видеоматериалов о Дерипаске. Оставшиеся фото удалил Instagram.
YouTube же направил Навальному требование об удалении ролика о Дерипаске и Рыбке. Оппозиционер отказался подчиняться этому требованию. В середине прошлой недели Роскомнадзор говорил, что находится «в диалоге с YouTube».
Ролик Навального на текущий момент продолжает быть доступен в России. В Google, владеющем сервисом YouTube, отказались от комментариев по данной ситуации. Зато когда Навальный разместил на YouTube ролик о блокировке своего сайта Роскомнадзором, то он был заблокирован администрацией YouTube из-за нарушения авторских прав «Первого канала» (его материалы использовались в этом ролике).
Смотрите также:
- 2018/02/27"Секс-инструкторам" — ответчикам по иску Дерипаски в России, отказали в выходе под залог из СИЗО в Паттайе до суда. Настю Рыбку и Алекса Лесли задержали в Таиланде за незаконные тренинги
- 2018/02/27Геннадий Капканов попался на родине. Соорганизатор ботнета Avalanche арестован в Киеве за пальбу по полицейским из автомата и кражу сотен миллионов евро с помощью "трояна"
- 2018/02/27Илью Волосевича опознали в Латвии как члена преступной группы. Экс-зампред банка "Клиентский" арестован в Риге за хищение более 1 млрд средств VIP-вкладчиков
- 2018/02/28Миллиардерам отказали в цензуре. Суды разрешили СМИ публиковать детали попытки получения Абрамовичем вида на жительство в Швейцарии и развода Ротенберга в Британии
- 2018/02/28Кубанские "короли песка и гравия" замахнулись на активы аграриев. Отец и сыновья Теслины под крылом "ВЭБ Капитала" обнуляют кредиты банкротствами
- 2018/02/28Пропавшему Ибрагиму Казибекову нашли дело на 386 млн руб. Врио министра строительства и ЖКХ Дагестана инкриминируют соучастие в хищении бюджетных средств при расселении аварийного жилья
- 2018/02/28Анатолий Чубайс "химичит" с госгарантиями на запуске фармпроизводства в природоохранной зоне. Нанопила для бюджета
Комментарии:
Написать комментарий